BGIA-Report 2/2008
Contents
1. mittels N herungsschalter Sicherheitsfunktion O Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Die Bet tigung des N herungsschalters beim ffnen der beweglichen trennenden Schutzeinrichtung Schutzgitter leitet die Sicherheitsfunktion STO Sicher abgeschal tetes Moment ein Funktionsbeschreibung e Das ffnen der beweglichen trennenden Schutzeinrichtung z B Schutzgitter wird durch einen N herungsschalter B1 erfasst der auf die Unterspannungsausl sung eines Motorstarters Q1 wirkt Durch das Abfallen von Q1 werden gefahr bringende Bewegungen oder Zust nde unterbrochen bzw verhindert Die Sicherheitsfunktion l sst sich nicht bei allen Bauteilausf llen aufrechterhalten und h ngt von der Zuverl ssigkeit der Bauteile ab Ein Entfernen der Schutzeinrichtung wird bemerkt B1 enth lt keine internen berwachungsma nahmen Es sind keine weiteren Ma nahmen zur Fehlererkennung vor gesehen Konstruktive Merkmale O Grundlegende Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutzbeschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Als grundlegendes Sicherheitsprinzip wird das Ruhestromprinzip des Unterspannungsausl sers verwendet Ein stabiler Aufbau der Schutzeinrichtung Schutzgitter zur Bet tigung des N herungsschalters ist sichergestellt Die sichere Funktion kann je nach Ausf hrung des N2. In den ersten drei Betriebsarten ist eine alleinige Bewegung des Pressbalkens m glich um die Schnittlinie anzuzeigen Schnitt andeuten Hierzu bet tigt der Bediener ein Fu pedal und kann dabei mit den H nden im Gefahrenbereich die Position des Papierstapels ver ndern 5 7 2 Identifizierung der Gef hrdungen Folgende mechanische Gef hrdungen sind f r eine Planschneide maschine signifikant G1 Quetschen durch den Pressbalken G2 Schneiden durch das Schneidmesser w hrend des Schnittvorgangs G3 Schneiden durch das Schneidmesser im Ruhezustand Risikoeinsch tzung Die dynamische Presskraft des Pressbalkens Gef hrdung G1 ist so gro dass es nicht nur zu reversiblen Quetschungen son dern auch zu Knochenbr chen kommen kann F r Gef hrdung G2 muss von abgetrennten Gliedma en ausgegangen werden Gef hrdung G3 kann z B w hrend der manuellen Positionierung der Papierstapel zu Verletzungen der H nde oder Unterarme am stillstehenden Schneidmesser f hren die in der Regel jedoch reversibel sind Die Gef hrdungsexposition der bedienenden Personen ist sehr hoch da sie betriebsm ig regelm ig zyklisch manuell in den Gefahrenbereich eingreifen Die Absenkgeschwindigkeit von Pressbalken und Messer Gef hr dungen G1 und G2 ist sehr hoch sodass f r den Bediener praktisch keine M glichkeit besteht die Gefahr abzuwenden Bei stillstehendem Messer Gef hrdung G3 hat der Bediener die M glichkeit den S
3. Nach der Bestimmung des DC f r einzelne Testmafsnahmen O und vor der Berechnung des DC avg MUSS der DC Wert pro Block ermittelt werden Meist wirkt eine einzelne Testma nahme auf einen gesamten Block z B Kreuzvergleich Dann kann der Einzelwert einfach f r den Block bernommen werden Es sind aber weitere Konstellationen m glich O Wird ein Block durch mehrere Einzelma nahmen berwacht siehe Abbildung E 2 so ist der Block DC mindestens so gut wie der beste Einzel DC Bei gegenseitiger Erg nzung ist sogar ein h herer Block DC m glich dessen Bestimmung erfordert aber dann eine Analyse der durch jeden Test abge deckten Ausf lle hnlich einer FMEA DC 60 60 60 60 Ein Block besteht aus mehreren Einheiten von denen jede durch andere Ma nahmen getestet wird z B programmier bare Elektronik mit separaten Tests f r Speicher und Ver arbeitungseinheit siehe Abbildung E 3 Dann ist der Block DC mindestens so gut wie der schlechteste Einzel DC ist die ser 0 d h gibt es Einheiten die gar nicht getestet werden so w re nach dieser groben Absch tzung auch der Block DC 0 Ein besserer und genauerer Wert f r den Block DC l sst sich durch Gewichtung der Einzel DC mit der zugeh rigen Ausfallrate A 1 MTTF erreichen Die gewichtete Mittelungsformel entspricht dabei Gl 1 f r DC Je nach Genauigkeit gipfelt eine solche Analyse allerdings ebenfalls in einer FMEA
4. berpr ft werden Folgende Aspekte sind dabei u a zu betrach ten O Hohe und Orientierung der Stellteile in Bezug auf den Bediener O Greif und Beinraum bei der blicherweise stehenden Bedienung O mit der Bedienaufgabe abgestimmte Anordnung und gute Erreichbarkeit au erhalb des Gefahrenraums O Beobachtbarkeit des Schneidevorgangs vom Ort der ZHS aus O Mindestabmessungen und Form der Stellteile ergonomische Gestaltung unter Beachtung der Vorgaben nach DIN EN 574 O leichte Bet tigung mit geringen Kr ften aber unbeabsich tigtes Bet tigen durch konstruktive Ma nahmen verhindern O widerstandsf hige Gestaltung sowie geeignete Kennzeich nung und Farbgebung der Taster O Gestaltung der ZHS die eine Manipulation und damit Umgehung der Ortsbindung verhindert 6 5 9 Anforderungen an die Software speziell SRESW Im Folgenden wird die Realisierung der sicherheitsbezogenen Firmware f r den Mikrocontroller K1 beispielhaft dargestellt Es handelt sich um eine Embedded Software SRESW f r die PL e gilt Aufgrund des diversit ren Ansatzes f r die Logik steuerung der zweite Kanal wird als ASIC ausgef hrt k nnen die Anforderungen entsprechend der Anmerkung in Abschnitt 4 6 2 der Norm heruntergestuft werden Wenn Diver sit t in Spezifikation Entwurf und Codierung f r die beiden Kan le des SRP CS in Kategorie 3 oder 4 verwendet wird kann ein PL e mit den oben erw hnten Ma nahmen f r PL von c oder d
5. Eingabemasken Zusammenfassung E PR 33 Elektro Hydraulische Pressensteueru a E SF Stillsetzen der gefahrbringenden Bes Sub syste mi BG IA t x E SB Schutzeinichtung und Positions i El CH Kanal Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke H BL Positonsschalter 61 El CH Kanal2 i AA H BL Positionsschalter B2 ee TE Festa Hinzuf gen _ MTTFd a 8 SB Logik K2 BL Positionsschalter B1 39 High 255 39 E SB Aktoren C L schen E CH Kanal 1 E Bearbeiten BL Venti 1V4 En E CH Kanal 2 Bibliothek H BL Ventil 195 Er TE Jarama 4 E C2 Inhalte der Kan le vertauschen me Kanal 2 z Plr e gt al 9 Hinaut gen O Tre T ocal mra PFH 17H 5 16 8 7 L schen BL Positionsschalter B2 399 High 142 69 E Bearbeiten 2 Bibliothek DCaval 99 High 75 erf llt zi 8 2 34 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 4 PL e Beispiel 34 START Reset R ckf hrung Abbildung 8 55 Stellungs berwachung beweglicher trennender f Darstellung in bet tigter Stellung Schutzeinrichtung mittels Sicherheitsbaustein Sicherheitsfunktion e Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Das ffnen der beweglichen trennenden Schutzeinrichtung Schutzgitter leitet die Sicherheitsfunktion STO Sicher abgeschaltetes Moment ein Funktionsbeschreibung
6. K2 und K3 besitzen zur R cklesung zwangsgef hrte ffnerkontakte Bemerkung Anwendung z B an mechanischen Pressen DIN EN 692 Berechnung der Ausfallwahrscheinlichkeit K1 wird als Subsystem mit einer Ausfallwahrscheinlichkeit von 2 47 10 Stunde G betrachtet Der brige Steuerungsteil wird zu einem Subsystem der Kategorie 4 zusammengefasst dessen Ausfallwahrscheinlichkeit im Folgenden berechnet wird Da S1 und S2 unabh ngig voneinander beim Loslassen eine Abschaltung ausl sen m ssen sind sie logisch in Reihe geschaltet Dazu wurde je ein Schlie erkontakt 13 14 und ein ffnerkontakt 21 22 einem Steuerungskanal zugeordnet Das sicherheitsgerichtete Blockdiagramm unterscheidet sich hier deutlich vom funktionalen Schaltplan Wenn Zuverl ssigkeits daten nur f r die Taster insgesamt Bet tigungsmechanik plus ffner und Schlie erkontakt verf gbar sind k nnen die Ausfallwerte der Taster als Absch tzung zur sicheren Seite f r die Ausfallwerte der Kontakte plus Bet tigungsmechanik herangezogen werden MTTF F r S1 und S2 werden wegen des durch K1 erzeugten definierten Steuerstroms niedrige Last mechanische Lebens dauer der Kontakte ist bestimmend B Werte von je 20000000 Schaltspielen H angenommen Da K2 und K3 ebenfalls Steuerstr me schalten gelten f r K2 und K3 B Werte von je 20 000 000 Zyklen N Bei 240 Arbeitstagen 8 Arbeitsstun den und 20 Sekunden Zykluszeit ist f r diese Komponenten n 345 600
7. B mer T Funktionale Sicherheit nach IEC 61508 In BGIA Handbuch Sicherheit und Gesundheitsschutz am Arbeitsplatz Kennzahl 330 219 47 Lfg XII 2005 Hrsg BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Sankt Augustin Erich Schmidt Berlin 1985 Losebl Ausg www bgia handbuchdigital de 330219 Hauke M Schaefer M Sicherheitsnorm mit neuem Konzept O P lhydraulik und Pneumatik 50 2006 Nr 3 S 142 147 www dguv de bgia de pub grl pdf 2006_016 pdf Schaefer M Hauke M Performance Level Calculator PLC 3 Aufl Hrsg BGIA Institut f r Arbeitsschutz der Deut schen Gesetzlichen Unfallversicherung Sankt Augustin Zentralverband Elektrotechnik und Elektronikindustrie ZVEI e V Fachverband Automation Frankfurt am Main und Verband Deutscher Maschinen und Anlagenbau e V VDMA Frankfurt am Main 2008 www dguv de bgia Webcode d3508 Summary list of titles and references of harmonised stand ards under Directive 98 37 EC on Machinery Hrsg Euro pean Commission http ec europa eu enterprise newapproach standardizati on harmstds reflist machines html Reinert D Risikobezogene Auswahl von Steuerungen In BGIA Handbuch Sicherheit und Gesundheitsschutz am Arbeitsplatz Kennzahl 320 100 31 Lfg 1 98 Hrsg BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Sankt Augustin Erich Schmidt Berlin 1985 Losebl Ausg www bgia handbuch
8. Wurden die Folgen ausreichend ber cksichtigt die sich durch den Gebrauch einer f r den gewerblichen industriellen Einsatz konstruierten Maschine im nicht gewerblichen nicht industriellen Bereich ergeben k nnen Ist sichergestellt dass die durchgef hrten Schutzma nahmen die Arbeitsbedingungen der Bedienpersonen oder die Benutzerfreundlichkeit der Maschine nicht negativ beeinflussen 25 Abbildung 5 3 Risikoeinsch tzung und Risikominderung Akzeptables vertretbares Risiko Tats chliches Restrisiko niedrig Risiko ohne sicherheits relevante Steuerungen Risiko ohne Schutz ma nahmen Ss Gesamtrisiko Notwendige der Maschine Mindest Risikominderung Tats chliche Risikominderung Abgedeckt von sicherheitsrelevanten Steuereinrichtungen Verbleibendes Restrisiko 5 3 Identifizierung der notwendigen Sicherheitsfunktionen und ihrer Eigenschaften Kommt man zu der Bewertung dass ein Risiko noch nicht akzeptabel ist sind entsprechende Schutzeinrichtungen vorzu sehen Dem sind jedoch Bem hungen voranzustellen die durch konstruktive Ver nderungen der Maschine Gef hrdungen ver meiden inh rent sichere Konstruktion oder zumindest weitest gehend reduzieren Prinzipiell ist Risikominderung auch durch Benutzerinformation einschlie lich organisatorischer Ma nah men m glich Letzteres ist jedoch nur in solchen Ausnahmef llen akzeptabel bei denen durch technische Schutzma nahmen keine
9. berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination von K1 bis K4 und T1 entspricht Kategorie 3 mit mittlerer MTTF pro Kanal 24 Jahre und mittlerem DC 91 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 3 33 10 Stunde F r die sicherheits bezogene Stoppfunktion und die sicher begrenzte Geschwindigkeit ist dazu der Wert von B1 und G1 zu addieren So ergibt sich mit 1 00 2 65 3 33 10 Stunde 6 98 10 Stunde ein PL d F r den Tippbetrieb muss der Wert von S1 und G1 hinzugef gt werden womit sich ein Wert von 5 28 2 65 3 33 10 Stunde 1 13 10 Stunde errechnet Dies ent spricht PL c Weiterf hrende Literatur 162 DIN EN 1010 1 Sicherheit von Maschinen Sicherheitsanforderungen an Konstruktion und Bau von Druck und Papier verarbeitungsmaschinen Teil 1 Gemeinsame Anforderungen 03 05 Beuth Berlin 2005 Sicherheitsgerechtes Konstruieren von Druck und Papierverarbeitungsmaschinen Elektrische Ausr stung und Steuerungen Hrsg Berufsgenossenschaft Druck und Papierverarbeitung Wiesbaden 2004 http www bgdp de pages service download medien 220 2 pdf Apfeld R Zilligen H Sichere Antriebssteuerungen mit Frequenzumrichtern BGIA Report 5 2003 Hrsg Hauptverband der gewerblichen Berufsgenossenschaften HVBG Sankt Augustin 2003 www dguv de bgia Webcode d6428 a B Speicher gt E Schlie en PR 24 Tippbetnieb an e
10. bringenden Bewegungen Sicherheitsfunktionen O Sicherheitsbezogene Stoppfunktion Stillsetzen der gefahrbringenden Bewegung und Verhinderung des ungewollten Anlaufs aus der Ruhelage O Hier ist nur der pneumatische Steuerungsteil als Subsystem gezeigt F r die komplette Sicherheitsfunktion sind weitere sicherheitsbezogene Steuerungsteile z B Schutzeinrichtungen und elektrische Logik als Subsysteme hinzuzuf gen 164 251 Funktionsbeschreibung Gefahrbringende Bewegungen werden redundant durch Wegeventile gesteuert Ein Stillsetzen kann entweder durch das Wegeventil 1V1 oder durch die Wegeventile 2V2 und 2V3 erfolgen Letztere werden durch das Steuerventil 2V1 angesteuert Der alleinige Ausfall eines der genannten Ventile f hrt nicht zum Verlust der Sicherheitsfunktion Alle Wegeventile werden zyklisch im Prozess angesteuert Die Funktion des Steuerventils 2V1 wird durch einen Druckschalter 251 berwacht An den nicht berwachten Ventilen werden einige Fehler im Arbeitsprozess erkannt Die Ventile 2V2 und 2V3 sollten eine Stellungs berwachung aufweisen oder da diese noch nicht Stand der Technik ist es muss eine regelm ige berpr fung der Funktion durchgef hrt werden Die Anh ufung unentdeckter Fehler kann zum Verlust der Sicherheitsfunktion f hren Kann durch eingesperrte Druckluft eine weitere Gef hrdung auftreten sind weitere Ma nahmen erforderlich Konstruktive Merkmale Grundlegende und bew hrte Sich
11. mittel weiter gearbeitet werden Diese Vorgehensweise sch tzt das System zur sicheren Seite ab Wegen der wenigen Stufen der DC vg Skala kann jedoch manchmal eine nur kleine System nderung die den Wert DC eine der Schwellen gerade unterschreiten l sst zu einer deutlich schlechteren Bewertung des Systems f hren Dies kann sogar passieren wenn in einem Kanal hochwertig getestete Bauelemente hoher DC durch bessere Bauelemente mit h herer MTTF ersetzt werden vgl DC Formel z B in Abschnitt 6 2 14 Die kleine Verbesserung der Kanal MTTF wird dann durch die formal vollzogene Herabstufung von DC auf den n chst kleineren Wert berkompensiert wodurch die ermittelte PFH schlechter gr er wird Dieser paradox erschei nende Effekt ist eine Folge der Grobstufigkeit der DC Skala also letztlich eine Konsequenz der Einfachheit von Bild 5 bzw Tabelle K 1 der Norm vgl Abbildung G 3 dieses Reports Der beschriebene Effekt kann verhindert oder gemildert wer den indem anstelle von Abbildung G 3 eine Grafik mit feinerer Abstufung der DC Werte benutzt wird Abbildung G 4 Mit R cksicht auf die begrenzte Genauigkeit von DC yg Werten vgl DIN EN ISO 13849 1 Tabelle 6 Anmerkung 2 wurden f r alle Kategorien auch die minimal m glichen DC Werte ber cksich tigt Zur PFH Bestimmung bietet sich der BGIA Softwareassistent SISTEMA an siehe Anhang H Er interpoliert sogar zwischen den in Abbildung G 4 gezeigte
12. sicherheits technisch bew hrte Bauteile zu betrachten Diese Aussage gilt jedoch nur wenn die Anforderungen der DIN EN 60204 1 20 f r die elektrische Ausr stung der Maschine Anlage ber cksichtigt werden In einigen F llen sind auch Fehlerausschl sse m glich z B bei einem Steuersch tz in Bezug auf das Anziehen bei feh lender Steuerspannung oder das Nicht ffnen eines zwangl ufig bet tigten ffners bei einem Schalter nach DIN EN 60947 5 1 38 Anhang K 8 1 2 Fluidtechnische Steuerungen Bei fluidtechnischen Anlagen ist als sicherheitsbezogener Teil der Steuerung insbesondere der Ventilbereich zu betrachten und zwar die Ventile die gefahrbringende Bewegungen oder Zust nde steuern Auch die ausgef hrten fluidischen Schaltungen sind nur beispielhafte Darstellungen Die geforderten Sicherheits funktionen k nnen in der Regel auch durch andere Steuerungs verkn pfungen mit entsprechenden Ventilausf hrungen oder evtl auch durch zus tzliche mechanische L sungen wie z B Halteein richtungen oder Bremsen erreicht werden Bei hydraulischen Anlagen siehe Abbildung 8 1 sind zus tzlich die Ma nahmen zur Druckbegrenzung im System 1V2 und zur Filtration der Druckfl ssigkeit 122 in diesem Zusammenhang zu sehen Die Bauteile 171 151 und 152 in Abbildung 8 1 sind in den meisten hydraulischen Anlagen vorhanden und insbesondere f r den Zustand der Druckfl ssigkeit und damit f r die Ventilfunk tionen von gro e
13. siehe auch sicherheitsbezogenes Blockdiagramm berechnet MTTF F r K1 und K2 gilt der B Wert von 400000 Zyklen N Bei 240 Arbeitstagen 8 Arbeitsstunden und 10 Minuten Zykluszeit ist f r diese Komponenten Nop 11520 Zyklen Jahr und MTTF 347 Jahre F r den elektronischen Teil der Anzugsverz gerung in K2 wird eine MTTF von 1000 Jahren angenommen G sodass K2 insgesamt eine MTTF von 257 Jahren besitzt F r G1 liegt keine Herstellerangabe vor es wird eine MTTF von 30 Jahren angenommen G Diese Werte ergeben eine symmetrisierte MTTF pro Kanal von 70 Jahren DC Fehlerhafte Zust nde von K1 oder K2 f hren aufgrund der Zwangsf hrung der Kontakte zu einem dauerhaften Ausfall der Entriegelung der Zuhaltung oder der Motorenergie sodass eine Fehlererkennung durch den Prozess gegeben ist und ein DC von 99 angenommen wird Eine Drift der Schaltschwelle von G1 kann durch den Prozess erkannt werden sodass ein DC von 60 angenommen wird F r den Ausfall der Anzugsverz gerung von K2 ist keine Fehlererkennung gegeben Dies ergibt einen Der von 57 der im Toleranzbereich von niedrig liegt Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 70 Punkte Trennung 15 Schutz gegen ber spannung usw 15 Verwendung bew hrter Bauteile 5 und Umgebungsbedingungen 25 10 Bei gleichzeitigem Fehlerausschluss f r die weiteren Elemente der Zuhaltung siehe oben entspricht die Kombination der Steuerungse
14. und die Widerstandsfahigkeit gegen Ausfalle infolge gemeinsamer Ursache CCF Daneben bildet sie die Kategorien auf funf strukturelle Grundtypen sogenannte vorgesehene Archi tekturen Designated Architectures ab Zwar konnen sich gleiche Kategorien im Einzelnen strukturell immer noch unterschiedlich darstellen die Vergr berung durch Abbildung auf die zugeh rige vorgesehene Architektur ist aber dennoch innerhalb des verein fachten Ansatzes als N herung statthaft Beispielsweise ist die Anzahl vertikaler Bl cke Input Logik Output in einem Kanal in der Regel f r die PL Bestimmung mathematisch und sicher heitstechnisch kaum relevant Bei komplexeren Sicherheitsfunktionen kann es vorkommen dass sich die gesamte Sicherheitskette nicht mehr auf eine der f nf Grundtypen alleine abbilden l sst Dann hilft meist eine Zerlegung der Sicherheitskette in mehrere Abschnitte von denen sich jeder einzeln auf eine vorgesehene Architektur abbilden l sst Wie diese Abschnitte wieder zusammengesetzt und aus den einzelnen Performance Level wieder ein Gesamtwert ermittelt werden kann wird in Abschnitt 6 4 n her erl utert Die fol genden Ausf hrungen beziehen sich auf Steuerungen SRP CS die ohne Zerlegung in Subsysteme einer Kategorie zugeordnet werden k nnen 45 6 2 2 und Kategorien Die Kategorien klassifizieren sicherheitsbezogene Teile einer Steuerung SRP CS in Bezug auf ihre Widerstandsf higkeit gegen Fehler und ih
15. 1 DIN EN 61508 6 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer programmierbarer elektronischer Systeme Teil 6 Anwendungsrichtlinie f r IEC 61508 2 und IEC 61508 3 06 03 Beuth Berlin 2003 Anhang G Was steckt hinter dem S ulendiagramm in Bild 5 der DIN EN ISO 13849 1 Anders als die Vorg nger Norm DIN EN 954 1 1 sieht DIN EN ISO 13849 1 zus tzlich zur Kategoriepr fung den Nach weis eines Performance Levels PL vor Numerisch leitet sich der Performance Level gem Tabelle 6 1 dieses Reports aus der durchschnittlichen Wahrscheinlichkeit eines gef hrlichen Ausfalls des Systems je Stunde ab die auch als PFH Probability of a Dangerous Failure per Hour bezeichnet wird Diese Gr e muss aus der Systemstruktur den Bauelementausfallraten dem Diagnosedeckungsgrad der automatischen Tests der Gebrauchs dauer des Systems und bei entsprechender Systemstruktur der Empfindlichkeit des Systems gegen ber Ausf llen infolge gemeinsamer Ursache CCF Common Cause Failures ermittelt werden Zu diesem Zweck dienen Rechenmodelle die das Zusammen wirken der genannten Faktoren ber cksichtigen und als Ergeb nis die PFH liefern Mittelwert w hrend der Gebrauchsdauer Eigentlich m sste vom Anwender der Norm f r jedes zu untersuchende System ein ma geschneidertes Modell erstellt werden F r einige gebr uchliche Strukturvarianten die soge nannten vorgesehenen Architekturen aus DIN EN ISO
16. Deutsche Gesetzliche ALI Unfallversicherung BGIA Report 2 2008 Funktionale Sicherheit von Maschinensteuerungen Anwendung der DIN EN ISO 13849 ESOS erforderlicher niedriges Performance en Level PL P F ll LP 2 S4 P Startpur 3 5 o g 2 zur Bewer gt z z 2 des Beltr der Risikominderung BGIA Report 2 2008 Funktionale Sicherheit von Maschinensteuerungen Anwendung der DIN EN ISO 13849 Autoren Redaktion Brosch renversand Herausgeber Satz und Layout Druck ISBN ISSN Michael Hauke Michael Schaefer Ralf Apfeld Thomas B mer Michael Huelke Torsten Borowski Karl Heinz B llesbach Michael Dorra Hans Georg Foermer Schaefer Wolfgang Grigulewitsch Klaus Dieter Heimann Burkhard K hler Michael Krau Werner K hlem Oliver Lohmaier Karlheinz Meffert Jan Pilger G nter Reu Udo Schuster Helmut Zilligen Fachbereich 5 Unfallverh tung Produktsicherheit BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung DGUV Sankt Augustin Zentralbereich des BGIA Referat Informationsmanagement info dguv de Deutsche Gesetzliche Unfallversicherung DGUV Mittelstra e 51 D 10117 Berlin Telefon 030 288763 800 Telefax 030 288763 808 Internet www dguv de 2 geanderte Auflage Dezember 2008 Deutsche Gesetzliche Unfallversicherung DGUV Plump OHG Rheinbreitbach 978 3 88383 771 0 0173
17. Eins nach oben Beweal das ausgew hlte Grundelement in der Liste nach oben BE Ee E p Te P e EFH IIA 3 7E 8 Pressen und Schneiden Der von der Kategorie geforderte DE Bereich wird nur unter OEins nach unten Beweat das Besiicksichtigung der zul ssigen Toleranz aufgrund der m ausgew hlte Grundelement in der Liste angenommenen Grenzwertungensusgkeit von 5 Prozent emeicht nach unten Di e Aktionen a Hinzuf gen E L schen J Aus Bibliothek laden fe In die Bibliothek kopieren sind au erdem ber A MTTFd lal 31 Zwischenablage a 73 O Fehlervermeidende Ma nahmen bei der ASIC Entwicklung gem ASIC Entwicklungs Lebenszyklus des Normentwurfs DIN IEC 61508 2 2006 In diesem Normentwurf ist f r die Entwicklung eines ASICs ein V Modell in Anlehnung an das aus der Softwareentwicklung bekannte V Modell vorgesehen 6 5 8 Ergonomische Aspekte In diesem Beispiel gibt es eine sicherheitsrelevante Schnittstelle zwischen dem Benutzer und der Steuerung die Zweihand schaltung ZHS mit den Stellteilen S1 und S2 Hier sind einige ergonomische Aspekte zu ber cksichtigen damit keine Person w hrend der geplanten Verwendung und vern nftigerweise vorhersehbaren Fehlanwendung unmittelbar oder auf Dauer durch Fehlbelastungen gef hrdet wird Diese Benutzerschnittstel len k nnen f r die meisten Maschinen mit den BG Informationen 5048 Ergonomische Maschinengestaltung Teile 1 und 2 23
18. MTTF niedrig f mittel MX hoch Abbildung G 4 5560 65 70 75 80 85 90 55 60 65 70 75 80 85 90 95 9994 96 98 99 lt _ Kategorie 3 Kategorie 2 Performance Level bei feinstufigerer Aufl sung der DC yg Skala Erweiterung von Bild 5 aus DIN EN ISO 13849 1 245 Anhang H SISTEMA Der Softwareassistent zur Bewertung von SRP CS H1 Was kann SISTEMA Mit dem Software Assistenten SISTEMA Sicherheit von Steuerun gen an Maschinen steht Entwicklern und Pr fern von sicherheits bezogenen Maschinensteuerungen eine umfassende Hilfestellung bei der Bewertung der Sicherheit im Rahmen der DIN EN ISO 13849 1 zur Verf gung Das Windows Tool bietet dem Nutzer die M glichkeit die Struktur der sicherheitsbezogenen Steuerungs teile auf der Basis der sogenannten vorgesehenen Architekturen nachzubilden und erlaubt schlie lich eine automatisierte Berech nung der Zuverl ssigkeitswerte auf verschiedenen Detailebenen einschlie lich des erreichten Performance Levels PL ber Eingabemasken werden relevante Parameter wie Risiko parameter zur Bestimmung des erforderlichen Performance Levels PL Kategorie des SRP CS Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache CCF bei mehrkanaligen Syste men mittlere Bauteilg te MTTF und die mittlere Testqualitat DC von Bauelementen bzw Bl cken Schritt f r Schritt erfasst Nachdem die geforderten Daten in SISTEMA eingetragen
19. O Schutz gegen unerwarteten Anlauf Kontakte nach EN 60947 5 1 2004 Anhang K ffnen sich Der unerwartete Anlauf z B verursacht durch gespeicherte Es ist anzumerken Dieser Fehlerausschluss gilt nur f r Energie oder nach Wiederherstellung der Energieversorgung den elektrischen Teil des Schalters es handelt sich um wird vermieden einen Fehlerausschluss aus der Fehlerliste zur Elektrik Der mechanische Teil des Schalters z B der an der C3 2 Beispiele f r grundlegende Sicherheitsprinzipien Schutzt r montierte getrennte Bet tiger f r einen Bauart in der Fluidtechnik 2 Schalter das Anfahrlineal f r einen Bauart 1 Schalter oder die Mechanik innerhalb des Schalters muss O Druckbegrenzung zus tzlich betrachtet werden Daher sind im Teil 1 der DIN EN ISO 13849 in Tabelle C 1 auch trotz dieses elek Der Anstieg des Drucks in einem System oder in Teilsystemen trischen Fehlerausschlusses B Werte angegeben ber ein festgelegtes Niveau hinaus wird in der Regel durch ein oder mehrere Druckbegrenzungsventile verhindert In der Pneumatik werden dazu vorwiegend Druckregelventile mit Sekund rentl ftung eingesetzt 10d O Ma nahmen zur Vermeidung von Verunreinigungen des Druckmediums Die f r die verwendeten Bauteile erforderliche Reinheits klasse des Druckmediums wird durch eine geeignete Ein richtung meist ein Filter erreicht In der Pneumatik ist auch eine entsprechende Entw sserung erforderlich 214 C
20. SF2 Ortsbindung der H nde des Bedieners au erhalb des Gef hrdungsbereiches w hrend einer gefahrbringenden Bewegung SF3 Erkennung eines Eingriffs weiterer Personen in den Gefahrenbereich durch eine BWS ber hrungslos wirkende Schutzeinrichtung z B ein Lichtgitter und sofortige Schnittunterbrechung SF4 Selbstt tiger Stopp aller Bewegungen nach jedem Einzelschnitt bzw nach Beendigung der automatischen Schnittfolge SF5 Reduzierung der dynamischen Presskraft f r den Pressbalken bei der Funktion Schnitt andeuten SF6 Selbstt tige R ckkehr von Pressbalken und Messer in ihre Ausgangslage bei Schnittunterbrechung SF7 Abdeckung des Messers durch den Pressbalken Eigenschaften der Sicherheitsfunktionen Bei Eingriff in das Lichtgitter ist der Schnitt sofort zu unterbre chen Die Sicherheitsfunktion SF3 hat daher Priorit t gegen ber SF2 F r SF5 ist die maximal zul ssige Kraft f r den Pressbalken bei Schnittlinie andeuten anzugeben siehe DIN EN 1010 3 33 5 7 4 Bestimmung des erforderlichen Performance Level PL Der PL ist f r jede Sicherheitsfunktion zu bestimmen Analysiert man die Situationen in denen die einzelnen Sicherheitsfunk tionen benutzt werden stellt man eine gleichartige Bewertung der Risikoparameter S F und P f r die Sicherheitsfunktionen SF1 bis SF6 fest S2 ernste blicherweise irreversible Verletzung F2 dauernder Aufenthalt im Gefahrenbereich P2 Vermeidung ei
21. Trennung 15 FMEA 5 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Das Subsystem Sensor Aktor entspricht Kategorie 3 mit hoher MTTF pro Kanal 41 Jahre und hohem DE 99 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 6 56 10 Stunde Dies entspricht PL e Der PL d wird bertroffen was bei erforderlicher zweikanaliger Ausf hrung der Hardware mit wenigen Bauteilen und der Verwen dung von B Werten nach Norm einem DC von hoch sowie einer moderaten Schalth ufigkeit nahezu immer der Fall sein wird 10d Die Gesamtausfallwahrscheinlichkeit wird durch Addition der Wahrscheinlichkeit gef hrlicher Ausf lle von K1 1 5 10 7 Stunde ermittelt und betr gt 2 16 10 Stunde Dies entspricht PL d Weiterf hrende Literatur Grigulewitsch W Reinert D Schaltungsbeispiele mit programmierbaren Steuerungen zur Umsetzung der Steuerungs kategorie 3 Kennzahl 330 227 27 Lfg 1 95 Hrsg BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfall versicherung Sankt Augustin Erich Schmidt Berlin 1985 Losebl Ausg www bgia handbuchdigital de 330227 DIN EN 61800 5 2 VDE 0160 105 2 Elektrische Leistungsantriebe mit einstellbarer Drehzahl Teil 5 2 Anforderungen an die Sicherheit Funktionale Sicherheit 04 08 Beuth Berlin 2008 DIN EN 1010 1 Sicherheit von Maschinen Sicherheitsanforderungen an Konstruktion und Bau von Druck und
22. c Drucken Hille 2 Wizard R 7 a a Eingabemasken 7 Zusammenfassung m o gt amp Zuck Vorwarts Drucken 5 5 Projekte E PR Planschneide Maschine Diversit i Subsystem BGIA Y x E SF Ontsbindung der H nde des Bedieners y i Navigationsfenster B Sb Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke Ti hin u E CH Kanal Das Navigationsfenster zeigt eine E BL ee des Tasters 51 ON Baumansicht der geladenen Projekte bzw EL 51 131 A 3 des ausgew hlten Grundelementtyps in der E BL Offnerkoritakt des Tasters 52 Name ocel MTTFd a Bibliothek an die die hierarchische EL 52 21 22 Seh BL ip m Ta 51 apres 000 Struktur der enthaltenen Grundelemente E BL Mikrocontroller KI BL linerkontakt des Taste s 39 High 31 48 wiedergibt ide BL Mikrocontioler K1 30 Medium 805 61 Er Paha BL Hilssch tz K3 High 248i Jl L eniphere ARE BL Hilleschiitz K4 39 High 231 48 Ein Linksklick mit der Maus auf eines der BL H lssch tz K3 BL Hydraulkventil 144 99 High 150 angezeigten Grundelemente w hlt dieses EL Hilfsschiitz K3 BL Hyd auikvenil 2 2 39 High for die Anzeige Bearbeitung je nach BL H lssch ltz K4 EL Hilfssch tz K4 BL Hydraulik ventd 144 0 Inhalte der Kanale vertauschen EL Hydrauikventl 144 BL Hydraulikventd 2 2 EL Hydrauikventil 2 2 E CH Kanal 2 ey BL Schke
23. lung Dabei ist es wichtig zu wissen dass man bei den folgenden Schritten zun chst einmal von einer Maschine ausgeht an der noch keine Schutzma nahmen getroffen wurden Letztendlich dient der gesamte Prozess der Risikominderung dazu die Art und auch die Qualit t der zu treffenden Schutzma nahme bzw Schutzeinrichtung zu bestimmen Das Verfahren zur Risikominderung beginnt mit der Festlegung der Grenzen der Maschine Neben den r umlichen Grenzen und der zeitlichen Nutzung einer Maschine sind insbesondere die Verwendungsgrenzen zu ber cksichtigen Dazu geh ren die bestimmungsgem e Verwendung z B zul ssige Materialien die verarbeitet werden d rfen der Maschine einschlie lich aller Betriebsarten und der unterschiedlichen Eingriffsm glichkeiten Au erdem muss die vern nftigerweise vorhersehbare Fehl anwendung der Maschine ber cksichtigt werden Anschlie end folgt die Identifizierung der Gef hrdungen bei der samtliche Phasen der Lebensdauer einer Maschine zu ber ck sichtigen sind neben dem Automatikbetrieb insbesondere die Betriebsarten die manuelle Eingriffe erfordern z B f r das Einrichten das Pr fen das Teachen Programmieren die Inbetriebnahme die Maschinenbeschickung die Produktentnahme die Fehlersuche und Fehlerbeseitigung die Reinigung die Instandhaltung Weitere Details zu diesem Prozessschritt sind in DIN EN ISO 12100 1 und DIN EN 14121 1 4 zu finden F r die systemat
24. sche Systeme Beuth Berlin Dezember 2002 5 6 m Bearbeiter Dipl Ing T B mer Dipl Ing W Grigulewitsch Dipl Ing W K hlem Dr Ing K Meffert Dipl Ing G Reu Fachbereich Unfallverh tung Produktsicherheit Anhang D Mean Time to Dangerous Failure MTTF D1 Was bedeutet MTTF Die mittlere Zeit bis zum gefahrbringenden Ausfall MTTF Mean Time to Dangerous Failure beschreibt die Zuverl ssigkeit der in einer Steuerung verwendeten Bauteile und flie t als einer von mehreren Parametern in die Bestimmung des Performance Levels ein In DIN EN ISO 13849 1 wird die MTTF als Erwartungswert der mittleren Zeit bis zum gefahrbringenden Ausfall definiert was mehrere Aspekte betont O MTTF ist eine statistische Gr e d h ein empirisch ent standener Wert bzw eine Kennzahl die nichts mit einer garantierten Lebensdauer ausfallfreien Zeit oder hnlichem zu tun hat MTTF hat die physikalische Dimension einer Zeit und wird meist in Jahren angegeben O Es geht nur um Ausf lle in die gefahrbringende Richtung d h solche die die Ausf hrung der Sicherheitsfunktion beeintr chtigen F hren mehrere Kan le die Sicherheits funktion aus Redundanz so spricht man auch von einem gefahrbringenden Ausfall wenn nur ein einzelner Kanal betroffen ist D1 1 Badewannenkurve und konstante Ausfallrate Eine bliche Form der Beschreibung von Bauteilzuverl ssigkeiten
25. ten 4 6 2 und 4 6 3 der Norm verstanden werden siehe hierzu auch Abschnitt 6 3 Ein weiteres bew hrtes Sicherheitsprinzip ist die Fehleraufdeckung in komplexen Bauelementen wie zum Beispiel Mikrocontrollern durch sogenannte Selbsttests Tabelle E 1 der Norm zur Absch tzung des Diagnosedeckungsgrades listet solche Selbsttests wie zum Beispiel Speichertests oder CPU Tests Informationen zur Realisierung solcher Tests enth lt auch ein entsprechender BGIA Report 8 Abh ngig von der Anwen dung k nnen auch Fehlererkennung durch den Prozess und Fehlererkennung durch Vergleich zwischen Kan len als bew hrte Sicherheitsprinzipien gelten 215 C5 Bew hrte Bauteile Bew hrte Bauteile f r Mechanik und Elektrik werden in den Tabellen A 3 und D 4 der informativen Anh nge der DIN EN ISO 13849 2 behandelt Ziel der Verwendung bew hrter Bauteile ist es kritische Fehler oder Ausf lle zu minimieren oder auszu schlie en und so die Wahrscheinlichkeit von Fehlern oder Aus f llen die die Sicherheitsfunktion beeinflussen zu vermindern Als allgemeine Kriterien f r ein bew hrtes Bauteil gelten gem den Ausf hrungen zur Kategorie 1 dass das Bauteil a in der Vergangenheit weit verbreitet mit erfolgreichen Ergeb nissen in hnlichen Anwendungen verwendet wurde oder b unter Anwendung von Prinzipien hergestellt und verifiziert wurde die seine Eignung und Zuverl ssigkeit f r sicherheits bezogene Anwendungen zeigen K
26. utilis s et concernant les composants prouv en mati re de technique de s curit Un grand nombre de documents compl mentaires mentionn s permettent une meilleure compr hension des exemples donn s Ce rapport montre que les exigences de la norme DIN EN ISO 13849 peuvent tre techniquement mises en pratique et apporte ainsi une aide pour une application et une interpr tation coh rente de la norme au niveau national et international Resumen Seguridad funcional de sistemas de mando de m quinas Aplicaci n de la norma DIN EN ISO 13849 La norma DIN EN ISO 13849 Seguridad de las m quinas partes de sistemas de mando relativas a la seguridad establece reglas para el dise o de partes de sistemas de mando relativas a la seguridad El presente informe presenta los contenidos esencia les de la norma en su versi n sustancialmente revisada de 2007 y explica su aplicaci n a trav s de numerosos ejemplos de los ramos de la electromec nica ingenier a de fluidos electrot cnica y tecnolog a inform tica entre ellos tambi n sistemas de mando de tecnolog a mixta Se demuestra la relaci n de la norma con los requisitos fundamentales de seguridad de la directiva M quinas presentando posibles procedimientos para la eva luaci n de los riesgos Sobre la base de estas informaciones el informe permite seleccionar el nivel de prestaciones necesario required Performance Level PL para funciones de seguridad en la t cnica de
27. 3 10 h Die Zuordnung von PFH Intervallen und Performance Level deckt sich im Wesent lichen mit Tabelle 6 1 und DIN EN 61508 5 Abbildung D 2 siehe 3 4 In Anhang K der Norm ist der Inhalt von Abbildung G 3 in Form von Tabelle K 1 numerisch wiedergegeben Mithilfe von Tabelle K 1 kann der Performance Level pr ziser ermittelt werden als mit der Abbildung was insbesondere dann n tzlich ist wenn PFH Beitr ge von mehreren kaskadierten Teilsystemen aufsummiert werden m ssen Hingegen bietet das S ulen diagramm vor allem eine schnelle bersicht ber die PL Taug lichkeit verschiedener technischer L sungswege und kann somit bei deren Vorauswahl helfen Die Informationen aus Tabelle K 1 der Norm sind auch in einem sogenannten Performance Level Calculator PLC enthalten einer handlichen Drehscheibe aus Karton zur PL Bestimmung die u a beim BGIA erh ltlich ist 5 Kat 2 Kat 3 DC DC avg avg mittel niedrig durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde niedrig mittel MTTF jedes Kanals hoch Mitunter kommt es vor dass der f r ein System ermittelte DC Wert nur geringf gig unterhalb einer der Schwellen niedrig 60 mittel 90 oder hoch 99 liegt Wird dann das vereinfachte Quantifizierungsverfahren aus DIN EN ISO 13849 1 angewendet muss rein formal jeweils mit der n chst kleineren DC Stufe also mit kein niedrig bzw
28. 90 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 4 29 10 Stunde Nach Hinzuf gen des Subsystems K1 betr gt die mittlere Wahrscheinlichkeit gef hrlicher Ausf lle 4 52 10 Stunde Dies entspricht PL e Damit ist der PL d bertroffen 173 8 2 30 Sch tz berwachungsbaustein Kategorie 3 PL e Beispiel 30 Schutz einrichtung Sch tz berwachungs baustein R ckf hrung Abbildung 8 49 Einleitung des STO Sicher abgeschaltetes Moment mittels Sicher heitsbaustein und Sch tz berwachungsbaustein Sicherheitsfunktion e Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Das ffnen der beweglichen trennenden Schutzeinrichtung leitet die Sicherheitsfunktion STO Sicher abgeschaltetes Moment ein Funktionsbeschreibung e Die Sicherung einer Gefahrenstelle erfolgt mit einer Schutzeinrichtung deren ffnen durch einen Sicherheitsbaustein K1 detektiert wird Dieser steuert ein Leistungssch tz Q2 und eine Kombination aus einem Sch tz berwachungsbaustein F1 und einer Unterspannungsausl sung Q1 an Das Abfallen von Q2 unterbricht gefahrbringende Bewegungen bzw verhindert gefahrbringende Zust nde Der Sch tz berwachungsbaustein F1 hat die Funktion die Hauptkontakte von Leistungssch tz 02 auf Verschwei en zu berwachen F llt Q2 nicht ab l st F1 den vorgeordneten Leistungsschalter oder Motorstarter Q1 ber dessen Unterspannungsausl
29. Aktivit ten der Entwicklung Validierung Validierung Integrations tests berpr fende Aktivit ten Validierte Software Abbildung 6 11 Vereinfachtes V Modell f r die Entwicklung sicherheitsbezogener Software 6 3 2 Schnittstelle zur Gesamtsicherheit Softwarespezifikation Ausgehend von der bergeordneten Spezifikation der Sicher heitsfunktionen der SRP CS wird hier in einem Dokument beschrieben welche Teilfunktionen davon die Software reali sieren muss Weiterhin werden O Funktionen die Hardwarefehler aufdecken und beherrschen O Leistungsmerkmale wie maximale Reaktionszeit O Reaktionen im Fehlerfall O vorgesehene Schnittstellen zu anderen Systemen usw dargestellt Neben diesen funktionalen Anforderungen ist auch der von den Sicherheitstunktionen zu erreichende PL der PL anzugeben damit die notwendigen fehlervermeidenden Ma nahmen siehe weiter unten ausgew hlt werden k nnen Diese Spezifikation auch sicherheitsbezogenes Software Lastenheft genannt ist zu verifizieren indem z B eine an der Erstellung dieses Dokuments unbeteiligte Person gegenliest Diese muss erstens best tigen dass dieses Lastenheft mit der bergeordneten Spezifikation bereinstimmt und zweitens dass auch die Anforderungen an die Form wie eine Softwarespezi fikation zu schreiben ist erf llt sind Die Spezifikation sollte so strukturiert und ausf hrlich erstellt werden dass sie gleichzeitig als Checkliste zur s
30. Anforderungen an SRESW Alle betrachteten Standardkomponenten m ssen f r den indus triellen Einsatz entwickelt worden sein F r die SRESW Firm ware Betriebssystem gelten mindestens die Basisma nahmen f r PL a bis b In den meisten Anwendungsf llen gibt es siehe Tabelle 6 5 zwei Alternativen um dies nachzuweisen O entweder durch eine Best tigung des Komponenten herstellers daf r dass die Basisma nahmen erf llt wurden Tabelle 6 5 Anforderungen an die SRESW von Standardkomponenten O oder durch Angaben des Komponentenherstellers dar ber dass er eine qualit tssichernde Entwicklung z B nach DIN EN ISO 900x nach relevanten Produktstandards z B DIN EN 61131 2 f r SPS durchgef hrt hat Dies wird f r die meisten Standardkomponenten zutreffen Im Folgenden wird an einigen Stellen diversit re SRESW vorausgesetzt Als diversit r werden hier die SRESW zweier Komponenten bezeichnet wenn O essich um unterschiedliche Komponenten mit unterschied lichen Betriebssystemen zweier verschiedener Hersteller handelt oder O wenn es sich um unterschiedliche Komponenten aus ver schiedenen Baureihen Produktfamilien desselben Herstellers handelt f r die vom Hersteller best tigt wird dass sie sich in der SRESW signifikant voneinander unterscheiden Beispiele bei SPS eine Komponente ist eine Kompakt SPS z B 16 bit CPU propriet res Betriebssystem die zweite Komponente ist eine Modular SPS z B 32 bit CPU
31. Ausfallrate deren Kehrwert den MTTF Wert darstellt gen hert Dieses Verfahren wird in Abbildung D 3 illustriert Die durch gezogene Linie stellt eine Weibull Verteilung mit b 3 dar Die gestrichelte Linie entspricht dann einer Exponentialverteilung mit b 1 welche die urspr ngliche Weibull Verteilung im Punkt t Bog Fy 10 schneidet Wird der Zusammenhang MTTF 1 4 f r Exponentialverteilungen und die Umrechnung von Zyklen in Zeiten durch Nes ber cksichtigt so leitet sich aus dieser Schnittbedingung die N herungsformel f r die Umrech nung von B in MTTF ab Dabei wird ausgenutzt dass die Ausfallrate vor Erreichen der Verschlei phase sehr gering ist und erst ab einem gewissen Zeitpunkt deutlich ansteigt Dieser Zeit punkt wird n herungsweise durch B in Zyklen bzw T als Zeit in Jahren festgelegt Indem nun die Einsatzdauer auf T beschr nkt wird kann die leicht ansteigende Ausfallrate durch einen konstanten Wert in der N he von Tq Zur sicheren Seite hin abgesch tzt werden In Abbildung D 3 l sst sich erkennen dass diese Begrenzung der Einsatzdauer auf 7 sehr wichtig ist Oberhalb steigt der real zu erwartende Anteil gef hrlicher Ausf lle mit der Zeit gegen ber der exponentiellen N herung deutlich an Auch die gew hlte Ersatz Ausfallrate A 1 MTTF der exponentiellen N herung entspricht ungef hr dem arith metischen Mittelwert der real zu erwartenden Ausfallrate bis zum Zeitpunkt T
32. BL K6 90 Medium 1141 55 1 2 Bibliothek BL K7 90 Medium 456621 BL R2 90 Medium 2282105 BL Ke 90 Medium 1141 55 4 C2 Inhalte der Kan le vertauschen Kanal2 ae Hinzuf gen _ Name Dell MITFd a he BL K2 99 High 11415 53 E L schen BL K4 60 Low 878120 14 Bearbeiten 2 Bibliothek Abbildung 8 28 e PL Bestimmung mithilfe von SISTEMA 133 8 2 17 Kaskadierung von Schutzeinrichtungen mittels Sicherheitsbausteinen Kategorie 3 PL d Beispiel 17 Abbildung 8 29 Kaskadierung von Schutz einrichtungen mittels Sicherheitsbausteinen Not Halt Funktion STO 134 E S1 tv K1 Not Halt t Darstellung in bet tigter Stellung Nison Regler sperre m Sicherheitsfunktionen Not Halt Funktion STO Sicher abgeschaltetes Moment durch Bet tigung des Not Halt Ger tes O Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Das ffnen der beweglichen trennenden Schutzeinrichtung leitet die Sicherheitsfunktion STO Sicher abgeschaltetes Moment ein Funktionsbeschreibung O Gefahrbringende Bewegungen oder Zust nde werden bei Bet tigung des Not Halt Ger ts 1 ber den Sicherheitsbau stein K1 redundant durch Unterbrechung der Steuerspannung von Sch tz Q1 und Anwahl der Reglersperre des Frequenz umrichters T1 abgeschaltet Zus tzlich erfolgt die Sicherung einer Gefahrenstelle mit zwei beweglichen trennenden Schutz e
33. Bauteile von unterschiedlichen Herstellern Entwurf Anwendung Erfahrung Schutz gegen berspan nung berdruck berstrom usw 15 Punkte und Verwen dung bew hrter Bauteile 5 Punkte Beurteilung Analyse 5 Punkte Wurden die Ergebnisse einer Ausfalleffektanalyse ber cksichtigt um Ausf lle infolge gemeinsamer Ursache in der Entwicklung zu vermeiden Kompetenz Ausbildung 5 Punkte Wurden Konstrukteure Monteure geschult um die Gr nde und Auswirkungen von Ausf llen infolge gemeinsamer Ursache zu erkennen Umgebungsbedingungen hinsichtlich Schutz vor Verun reinigung und elektromagnetischer Beeinflussung gegen CCF in bereinstimmung mit den angemessenen Normen 25 Punkte Fluidische Systeme Filtrierung des Druckmediums Verhinderung von Schmutzeintrag Entw sserung von Druckluft z B in bereinstimmung mit den Anforde rungen des Herstellers f r die Reinheit des Druck mediums Elektrische Systeme Wurde das System hinsichtlich elek tromagnetischer Immunit t gegen CCF gepr ft z B wie in zutreffenden Normen festgelegt Bei kombinierten fluidischen und elektrischen Systemen sollten beide Aspekte ber cksichtigt werden Umgebungsbedingungen hinsichtlich anderer Einfl sse 10 Punkte Wurden alle Anforderungen der Unempfindlich keit gegen ber allen relevanten Umgebungsbedingungen wie Temperatur Schock Vibration Feuchtigkeit z B wie in den relevanten Normen festgelegt ber cksichtigt Literatur
34. DIN EN ISO 13849 Teil 1 und Teil 2 abgeschlossen 8 Schaltungsbeispiele f r SRP CS In diesem Report wurde zun chst allgemein auf die Gestaltung sicherer Steuerungen eingegangen Die Abschnitte 5 7 6 5 und 7 6 illustrierten anschlie end am Beispiel einer Plan schneidemaschine wie die Methoden zur Gestaltung sicherer Steuerungen umgesetzt werden k nnen Die Methoden zur Bestimmung des PL sind hier bzw in DIN EN ISO 13849 1 zwar Schritt f r Schritt beschrieben einige dieser Schritte z B die Ableitung des sicherheitsbezogenen Blockdiagramms aus dem Schaltplan erfordern jedoch einige bung Sie lassen sich aufgrund der Vielfalt m glicher Sicherheitsfunktionen und ihrer Realisierung auch nur schwer allgemein beschreiben Daher wird nun in diesem Kapitel die Bewertung einer Vielzahl von Schal tungsbeispielen vorgestellt die Sicherheitsfunktionen in verschie denen Kategorien bzw Performance Leveln und in verschiedenen Technologien realisieren Mit dem Begriff Steuerung sind in den Schaltungsbeispielen im Allgemeinen nur die sicherheitsbezo genen Teile von Steuerungen erfasst Die Beispiele beschr nken sich auf wesentliche Gesichtspunkte und dienen deshalb nur als Anregung f r eine Realisierung Bei deren Auswahl wurde auf ein breites Spektrum von Technologien und m glichen Anwen dungen Wert gelegt Leser des Reports zu den Kategorien f r sicherheitsbezogene Steuerungen nach EN 954 1 aus dem Jahre 1997 40 werden das eine oder a
35. Die Sicherheitsfunktion l sst sich nicht bei allen Bauteilausf llen aufrechterhalten und h ngt von der Zuverl ssigkeit der Bauteile ab Die fehlerfreie Durchf hrung der Bremsfunktion wird vom Bremsger t K1 regelm ig berwacht Sollte ein Fehler fest gestellt werden z B eine berschreitung der maximal zul ssigen Bremszeit wird ber den Freigabekontakt im Ger t ein erneutes Starten des Motors verhindert Ma nahmen zur Fehlererkennung in S1 oder Q1 sind nicht vorgesehen Konstruktive Merkmale O Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Als grundlegendes Sicherheitsprinzip wird das Prinzip der Energietrennung Ruhestromprinzip angewandt Zum Schutz gegen unerwarteten Wiederanlauf nach Wiederherstellung der Energieversorgung ist die Steuerung mit einer Selbsthaltung ver sehen O Bei Si handelt es sich um einen Tastschalter mit zwangl ufigem Bet tigungsmodus gem DIN EN 60947 5 1 Anhang K Zwangs ffnung S1 wird daher als bew hrtes Bauteil angesehen O Das Sch tz 01 ist ein bew hrtes Bauteil unter Ber cksichtigung der zus tzlichen Bedingungen nach Tabelle D 4 der DIN EN ISO 13849 2 O Das von einem Mikrocontroller gesteuerte Bremsgerat K1 erf llt alle Anforderungen f r Kategorie 2 und PL c Die sicher heitsrelevanten Funktionen we
36. Embedded Windows oder als weiteres Beispiel eine SPS und ein programmier bares Schaltrelais Sofern der Hersteller die Diversit t nicht best tigt wird in allen anderen F llen zwei gleiche SPS oder zwei vergleichbare aus derselben Baureihe vom selben Hersteller die SRESW beider Komponenten als nicht diversit r und somit homogen angenommen Falls f r die Erreichung des erforderlichen DC notwendig muss der Hersteller zus tzlich den DC der fehlererkennenden beherrschenden Ma nahmen die in der SRESW implementiert sind bestatigen Die MTTF der Kompo nenten gehort naturlich zu den grundsatzlich erforderlichen Angaben des Herstellers Bei Verwendung von nur einer Standardkomponente in Kate gorie 2 oder 3 in Kombination mit einer anderen Technologie sowie bei diversitaren Standardkomponenten f r jeden Kanal werden aufgrund der geringeren Wahrscheinlichkeit eines gefahrlichen Ausfalls durch systematische Fehler in der SRESW die Anforderungen abgesenkt Tabelle 6 5 zeigt die verschiedenen Kombinationen und wie die Anforderungen an SRESW erf llt werden Kategorie Redundanz SRESW Kategorie B 2 3 Es gelten die Basisma nahmen f r PL a bis b Zwei Alternativen a Best tigung durch Hersteller b abgedeckt durch qualit tssichernde Entwicklung nach relevanten Produktstandards dann ist keine Herstellerbest tigung ber die Einhaltung der Anforderungen nach DIN EN ISO 13849 1 erforderlich Zwei Komponenten f r zwei K
37. MTTF o Bei ausgeglichenen Kan len entspricht der so ermittelte MTTF Kennwert der MTTF eines Kanals Bei unausgewogenen Kan len ergibt sich eine mittlere MTTF die minimal zwei Drittel des besseren Wertes betragen kann Hier kann zus tzlich der Effekt auftreten dass der bessere Kanal vorher auf 100 Jahre MTTF gekappt wurde und der symmetrisierte Wert dadurch weniger als 100 Jahre betr gt Es ist daher in der Regel effektiver m glichst Kan le ausgeglichener Zuverl ssigkeit zu realisieren Das Resultat dieses Verfahrens ist in jedem Fall unabh ngig von der Zahl und Ausf hrung der Kan le ein auf einen einzigen Steuerungskanal bezogener MTTF Kennwert der ber die Steuerung gemittelt das Niveau der Bauteilzuverl ssigkeit angibt 53 6 2 14 Diagnosedeckungsgrad von Test und berwachungsma nahmen DC Eine weitere einflussreiche Gr e f r den PL sind die Selbst Test und berwachungsma nahmen in SRP CS Durch wirk same Tests l sst sich z B eine schlechte Zuverl ssigkeit der Komponenten teilweise kompensieren Die G te der Tests wird in DIN EN ISO 13849 1 mit dem sogenannten Diagnosedeckungs grad DC Diagnostic Coverage gemessen Der DC ist definiert als Anteil der erkannten gefahrbringenden Ausf lle an allen denkbaren gefahrbringenden Ausf llen wobei die Bezugs gr e eine Komponente ein Block oder das gesamte SRP CS sein kann Im letzteren Fall handelt es sich um den durchschnittlichen Diagnosedec
38. Programmablauf in einen definierten sicheren Zustand bringen k nnen muss C4 Bew hrte Sicherheitsprinzipien Die Tabellen A 2 B 2 C 2 und D 3 der informativen Anh nge der DIN EN ISO 13849 2 behandeln bew hrte Sicherheitsprinzipien Ziel der Anwendung bew hrter Sicherheitsprinzipien ist es kritische Fehler oder Ausf lle zu minimieren oder auszuschlie en und so die Wahrscheinlichkeit von Fehlern oder Ausf llen die die Sicherheitsfunktion beeinflussen zu vermindern C4 1 Allgemein f r alle Technologien bew hrte Sicherheitsprinzipien e Uberdimensionierung Sicherheitsfaktor Alle Betriebsmittel werden unter Nennwert beansprucht Ziel ist es die Ausfallwahrscheinlichkeit zu reduzieren O Zwangl ufige formschl ssige Bet tigung Es handelt sich um eine sichere Bet tigung durch starre mechanische Teile mit formschl ssigen steifen und nicht federnden Verbindungen Ziel ist es eine sichere Befehlsgabe zu erreichen z B beim Bet tigen eines Positionsschalters das zwangl ufige ffnen auch eines verschwei ten Kontaktes O Begrenzung elektrischer und oder mechanischer Parameter Kraft Weg Zeit Drehzahl oder Geschwindigkeitsbegren zungen werden durch elektrische mechanische oder fluid technische Einrichtungen auf zul ssige Werte reduziert Ziel ist die Risikominderung durch verbesserte Gefahrenabwehr C4 2 Beispiele f r bew hrte Sicherheitsprinzipien in der Fluidtechnik O Gesicherte Position Das beweg
39. Test f r Test f r Test f r Einheit 1 Einheit 2 Einheit 3 DC DC 60 90 Abbildung E 3 Bei der DC Mittelung f r mehrere Einheiten eines Blocks f hrt die Gewich tung der Einzel DC 60 0 und 90 mit x auf einen anderen Wert 60 als z B das ungewichtete arith metische Mittel 50 A Einheit 1 A Einheit 2 A Einheit 3 Ausfallrate A 1 MTTF 60 0 90 60 236 Der durchschnittliche DC f r die gesamte betrachtete Steuerung wird mit DC bezeichnet und errechnet sich aus den DC Werten aller ihrer Bl cke Im Gegensatz zur MTTF pro Kanal wird nicht zwischen den Steuerungskan len unterschieden sondern direkt ein Gesamtwert ermittelt Die Mittelungsformel gewichtet die Einzel DCs mit der zugeh rigen Ausfallrate A 1 MTTF jedes Blocks Dies gew hrleistet dass Bl cke mit einer hohen Aus fallrate d h geringen MTTF st rker ber cksichtigt werden als Bl cke deren gefahrbringender Ausfall vergleichsweise unwahr scheinlich ist Die Mittelungsformel lautet DC DC DC MTTF MTTF MTTF DC 1 gt 1 i 1 MTTF MTTF MTTF Die Summation l uft ber alle relevanten Bl cke mit folgender Festlegung F r Bl cke ohne DC wird eine DC 0 eingesetzt Diese tragen damit nur zum Nenner des Bruchs bei o F r Bl cke mit Fehlerausschluss bez glich der gefahrbrin genden Ausfallrichtung verschwindender Ausfallrate A bzw unendlich hoher MT
40. abit ban kopiert das ausgew hlle on an die Farag Zwi schenablage Lo Einf gen Fihgt ein E on aus der er Peischonablage ein Das nent werd als Unerelameni des ae ausgewahllen eingehigl Eins nach oben Bewagi das ausgew hlte nen in der List nach oben des Eins nach unter Dewegi das ausgew hlie tin der Liste nach unian Die Aktionen Hinzuf gen L schen Ang Bibliothek kiber um ihe Bildiothek kopderen sind au arder ber die Buflo nleisje oberhalb der Anhang Positionspapier des VDMA WoMA J VDMA Positionspapier Funktionale Sicherheit Sicherheitsbezogene Teile von Steuerungen nach EN ISO 13849 1 1 Einleitung Der VDMA Verband Deutscher Maschinen und Anlagenbau ist der gr te europ ische Verband der Investitionsg terindustrie Er ist Interessenvertreter Dienstleister und An sprechpartner f r rund 3 000 deutsche und europ ische Unternehmen des Maschinen und Anlagenbaus In Deutschland besch ftigt der Maschinen und Anlagenbau rund 865 000 Menschen mit einem Umsatz von 151 Milliarden und einem Exportanteil von rund 75 VDMA Mitgliedsunternehmen sind global aktiv und haben allein in der EU ins gesamt 1 649 Tochterunternehmen gegr ndet wovon 327 produzierende T tigkeiten ausf hren Das hohe technische Niveau der mehr als 20 000 unterschiedlichen Produkte der Investitionsg terindustrie begr ndet ihren weltweiten Ruf als Innovationsbranche 2 Situation Fun
41. die in der Norm selbst gelistet sind und schlie lich einen sehr konservativ abgesch tzten Ersatzwert von zehn Jahren Da dieser Ersatzwert auf ein Bauteil bezogen ist und bei mehreren Bauteilen in einem Kanal schnell die MTTF Untergrenze von drei Jahren erreicht wird sind die in der Norm selbst gelisteten MTTF Werte von besonderer Bedeu tung zumindest so lange bis die Angabe von MTTF Werten vonseiten der Hersteller zur Selbstverst ndlichkeit wird D2 Unterschiede der Technologien Das Ausfallverhalten von Bauteilen h ngt naturgem sehr stark von der eingesetzten Technologie ab da die Badewannen charakteristik und die Bedeutung von Verschlei effekten unter schiedlich stark ausgepr gt sein k nnen Bei mechanischen und hydraulischen Komponenten die von der Konstruktion und der Anwendung auf hohe Zuverl ssigkeit und geringen Verschlei optimiert werden kann von einer sehr hohen MTTF ausgegan gen werden Hier spielen Zufallsausf lle der Bereich konstanter Ausfallrate und Verschlei ausf lle kaum eine Rolle Bei den meisten elektronischen Komponenten hingegen ist das Ausfall verhalten innerhalb der typischen Einsatzdauer vergleichsweise billiger Einwegkomponenten blicherweise sehr gut durch eine konstante Ausfallrate beschrieben da der Verschlei bereich nur bei versch rften Einsatzbedingungen erreicht wird Ganz anders geartet wiederum ist das Ausfallverhalten von elektro mechanischen oder pneumati
42. ist es blich die Zuverl ssigkeit in Schaltspielen z B als B Wert anzugeben d h die mittlere Anzahl von Zyklen nach der 10 der Bauteile gef hrlich ausfallen Hier kann eine Umrechnung in MTTF durch Einbeziehen der in der Anwendung zu erwartenden mittleren Anzahl j hrlicher Bet tigungen n Number of Operations erfolgen Mehr Einzelheiten dazu finden sich im Anhang D o Gefahrbringend stellt klar dass nur solche Ausf lle die das Ausf hren der Sicherheitsfunktion beeintr chtigen letztlich in den PL einflie en Ausfall zur unsicheren Seite Im Gegensatz dazu k nnen ungef hrliche Ausf lle zwar den sicheren Zustand provozieren Betriebshemmung oder die Verf gbarkeit bzw Produktivit t einer Maschine herabsetzen weiterhin wird aber die Sicherheitsfunktion erfolgreich ausgef hrt oder der sichere Zustand eingeleitet bzw aufrechterhalten In redundanten Strukturen bezieht sich das Attribut gefahrbringend allerdings auf jeden einzelnen Kanal F hrt ein Ausfall in einem Kanal zu einem Au erkraftsetzen der Sicherheitsfunktion so wird dieser Ausfall als gefahrbringend bezeichnet selbst wenn ein weiterer Kanal die Sicherheitsfunktion noch erfolgreich ausf hren kann Sowohl ein einzelnes Bauelement z B ein Transistor Ventil oder Sch tz als auch ein Block ein Kanal oder die Steuerung insgesamt kann eine MTTF besitzen Diese Gesamt MTTF versteht sich als unter Umst nden ber mehrere Kan le symme
43. nahmen gegen Ausf lle infolge gemeinsamer Ursache sind in Kategorie 1 nicht relevant Die elektromechanische Steuerung bestehend aus S1 und Q1 entspricht Kategorie 1 mit hoher MTTF 100 Jahre Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 14 10 Stunde Nach Hinzuf gen des Subsystems K1 betr gt die mittlere Wahrscheinlichkeit gef hrlicher Ausf lle 1 67 10 Stunde Dies entspricht PL c Damit ist der PL b bertroffen Weiterf hrende Literatur O Grunds tze f r die Pr fung und Zertifizierung von Holzbearbeitungsmaschinen GS HO 01 Ausg 12 2007 www dguv de bgia Webcode d14898 107 8 2 9 Getestete Lichtschranken Kategorie 2 PL c mit nachgeschaltetem Kategorie 1 Ausgangsschaltelement Beispiel 9 Eing nge Ausg nge 01 0 01 1 01 2 Abbildung 8 16 Testung von Licht schranken mit einer Standard SPS 1 Lichtschranke _______ n te Lichtschranke Sicherheitsfunktion O Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Bei Lichtstrahlunterbrechung wird eine gefahrbringende Bewegung stillgesetzt STO Sicher abgeschaltetes Moment Funktionsbeschreibung O Bei einer Lichtstrahlunterbrechung der n kaskadierten Lichtschranken F1 bis Fn wird sowohl kontaktbehaftet durch das Entregen des Hilfssch tzes K2 als auch durch den SPS Ausgang 01 1 des Testkanals ein Abschaltbefehl erzeugt Das Stillsetzen der gefahrbringenden Bewegung erfolgt dann ber
44. r PL c ausreichend sein wenn der Programmierer die Spezifikation selbst verfasst und ein anderer Programmierer sie gegenliest internes Review Soll aber die gleiche Software f r PL e eingesetzt werden so muss ein h herer Grad der Fehlervermeidung erreicht werden Dann kann es notwendig sein dass nicht der Programmierer selbst die Spezifikation schreibt sondern z B der Projektleiter Soft ware Dar ber hinaus k nnte das Review dieser Spezifikation gemeinsam vom Programmierer und einer unabh ngigeren Person z B dem Hardware Projekteur durchgef hrt werden Mehr Personen sehen meist mehr Fehler Im Rahmen dieses BGIA Reports k nnen die Anforderungen im Einzelnen sowie ihre mehr oder weniger wirksamen Auspr gungen leider nicht vollst ndig diskutiert werden Daher sollen nur einige besondere F lle angesprochen werden O H ufig realisiert eine zusammengeh rende Software der SRP CS mehrere Sicherheitsfunktionen SFx mit jeweils unter schiedlichen PL z B SF1 und SF2 mit PL c SF3 mit PL e Beim Entwicklungszyklus den Werkzeugen oder der Wirk samkeit der Aktivit ten z B bei Modifikationen wird man in der Praxis aber kaum zwischen den Sicherheitsfunktionen unterschiedlicher PL differenzieren k nnen In diesem Fall richten sich die Anforderungen zur Fehlervermeidung daher nach dem h chsten PL hier e O Redundante SRP CS von denen nur ein Kanal programmier bar ist Obwohl die programmierbare Elektronik
45. teschutzsicherungen Teil 1 Begriffe f r Ger teschutzsicherungen und allgemeine Anforderungen an G Sicherungseins tze 02 07 Beuth Berlin 2007 14 DIN EN ISO 13850 Sicherheit von Maschinen Not Halt Gestaltungsleits tze 03 07 Beuth Berlin 2007 15 DIN EN 60947 5 1 Niederspannungsschaltger te Teil 5 1 Steuerger te und Schaltelemente Elektromechanische Steuerger te 02 05 Beuth Berlin 2005 217 218 340 220 Sicherheitstechnisches Informations und Arbeitsblatt Fehlerlisten f r sicherheitsbezogene Bauelemente Bei der Pr fung unterstellte Fehlerarten 1 Einleitung F r technische Einrichtungen an denen beim Versagen einer Steuerung oder Schutzein richtung Personen zu Schaden kommen k n nen gelten besondere Sicherheitsanforderun gen bez glich des Verhaltens im Fehlerfall Beispiele hierf r sind aus technischen Regeln und Normen unterschiedlicher technischer Bereiche bekannt zum Beispiel aus der Maschinen und Anlagentechnik der Ver kehrs und Transporttechnik der Medizintech nik und der Energietechnik Auch die Maschi nenrichtlinie 1 fordert dass Steuerungen insbesondere so konzipiert und gebaut sein m ssen dass Fehler in der Logik zu keiner gef hrlichen Situation f hren Welche Auswirkungen Fehler in sicherheitsre levanten Steuerungen haben k nnen zeigt das sicherheitstechnische Informations und Arbeitsblatt 330 250 dieses Handbuches 2 Die in den technis
46. um diesen w hrend des Schnittes zu fixieren Messer und Pressbalken werden hydraulisch angetrieben 5 7 1 Festlegung der Grenzen der Maschine R umliche Grenzen Da die Planschneidemaschine von Hand beschickt wird ist au er ausreichendem Bewegungsraum f r den Bediener auch gen gend Platz zur Bereitstellung von Schneidgut Abfuhr bzw Lagerung der geschnittenen Papierstapel und Entsorgung von Abfallpapier erforderlich Zeitliche Grenzen Je nach Anwendungsfall kann die Maschine ber einen Zeitraum von ca 20 Jahren eingesetzt werden Durch die Abnutzung von Bauteilen kann sich die ben tigte Zeit f r das Stillsetzen einer Bewegung verl ngern Die daraus resultierende berschreitung des Nachlaufwegs muss daher detektiert werden und zu einer Stillsetzung der Maschine f hren Verwendungsgrenzen Die bestimmungsgem e Verwendung der Maschine besteht im Schneiden von gestapelten Papierb gen oder hnlichen Mate rialien Die Maschine wird manuell von einer einzelnen Person beschickt Je nach Aufstellungsort und Maschinenbreite ist jedoch nicht auszuschlie en dass sich weitere Personen in der Umge bung aufhalten Folgende Betriebsarten sind vorgesehen 1 Pressen 2 manuelles Schneiden Einzelschnitt 3 automatische Schnittfolge automatischer Ablauf nach erstem manuellen Schnitt 4 Messerwechsel Abbildung 5 10 Planschneidemaschine mit Zweihandschaltung ZHS und ber hrungslos wirkender Schutzeinrichtung BWS
47. wie im sicherheitsbezogenen Blockdiagramm gezeigt Die Ausfall wahrscheinlichkeit des Sicherheitsbausteins K1 wird am Ende der Berechung addiert 2 31 10 Stunde H geeignet f r PL e F r die brigen Subsysteme wird die Ausfallwahrscheinlichkeit im Folgenden berechnet Da jede Schutzt r Bestand teil einer eigenen Sicherheitsfunktion ist wird hier stellvertretend die Berechnung f r die Schutzeinrichtung 1 gezeigt MTTF F r den Positionsschalter B1 ist ein Fehlerausschluss f r den zwangs ffnenden elektrischen Kontakt m glich F r den elektrischen Schlie erkontakt des Positionsschalters B2 betr gt B 1000000 Schaltspiele H F r den mechanischen Teil von B1 und B2 wird ein B Wert von 1000000 Zyklen H angegeben Bei 365 Arbeitstagen 16 Arbeitsstunden pro Tag und 1 Stunde Zykluszeit ist f r diese Komponenten n 5840 Zyklen Jahr und MTTF betr gt 1712 Jahre f r B1 bzw 856 Jahre f r B2 F r die Sch tze Q1 und Q2 entspricht bei induktiver Last AC3 der B Wert der elektrischen Lebensdauer von 1000000 Schaltspielen H Bei Annahme von 50 gefahrbringenden Ausf llen ergibt sich der B Wert durch Ver doppelung des B Wertes Mit dem oben angenommenen Wert f r Do folgt f r Q1 und Q2 eine MTTF von 3424 Jahren pro Kanal Insgesamt ergibt sich in beiden Subsystemen ein symmetrisierter MTTF Wert pro Kanal von 100 Jahren hoch DC ug DC 99 f r B1 und B2 beruht auf der Plausibilit ts berwachung der f
48. wirksamer Abstreifer an der Kolben stange siehe in Abbildung 8 6 vorgesehen Berechnung der Ausfallwahrscheinlichkeit O MTTF F r das Wegeventil 1V3 wird eine MTTF von 150 Jahren angenommen N Dies ist gleichzeitig der MTTF Wert pro Kanal der auf 100 Jahre hoch gek rzt wird DE ug und Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache sind in Kategorie 1 nicht relevant Die hydraulische Steuerung entspricht Kategorie 1 mit hoher MTTF 100 Jahre Damit ergibt sich eine mittlere Wahrschein lichkeit gef hrlicher Ausf lle von 1 14 10 Stunde Dies entspricht PL c Nach Hinzuf gen weiterer sicherheitsbezogener Steuerungsteile als Subsysteme zur Vervollst ndigung der Sicherheitsfunktion wird der PL in der Regel geringer Neu 2 fnen MB Speichen F Sch e en 44 Bibliothek gt Drucken Hite wizard R O te E Eingabemasken Zusammenfassung i P s Pipi ro a 3 Inn Hydraulisches Yentil Subsystem Kateg Sub System BG A y x E SF Sicherhetsbezogene Stoppfunktion un SB Hydraulische Steuerung Dokumentation PL Kategorie MTTFd 3 DCavg 3 CCF Bl cke E CH Kanall E BL Ventil 1V3 EL Ventil 143 A O o CH Kanal Hinzuf gen _ Name del MTTFdjal er gt Le BL Ventil1V3 nihtrelvant 1500 Loschen Ea Bearbeiten 2 Bibliothek C2 Inhalte der Kan le vertauschen I Nae bel MT TF fa 1 Sicherheitsbezogene
49. wodurch der Transistor K3 leitet und an Anschluss X1 2 eine positive Ausgangsspannung ansteht die mit dem Voltmeter P2 messbar ist Wird der Lichtstrahl unterbrochen so sperrt K1 K2 wird leitend und K3 schaltet die Ausgangspannung ab Der Test des Funktionsblocks Lichtschranke den die Mikrocontroller Steuerung aus Abbildung B 1 programmgesteuert durchf hrt kann mit dem Taster 51 und dem Voltmeter P2 simuliert werden Die Lichtquelle P1 wird kurzzeitig ausgeschaltet und dabei wird gepr ft ob die Ausgangsspannung ordnungsgem auf Null Volt absinkt Den signalverarbeitenden Elementen des Funktions blocks Lichtschranke K1 bis K3 R2 bis R9 C1 wird dabei dasselbe Verhalten abverlangt wie bei einer echten Anforde rung der Sicherheitsfunktion durch Unterbrechen des Lichtstrahls Dieser Test wird im Folgenden als Test 1 bezeichnet Funktionsblock Lichtschranke B2 2 Gefahrliche Ausfallrichtung eines Funktionsblocks Als erster Schritt muss die gef hrliche Ausfallrichtung des Funktionsblocks bestimmt werden Im Allgemeinen k nnen nicht nur einzelne Bauelemente sondern in der Folge auch ein ganzer Funktionsblock auf verschiedene Weise ausfallen Als gef hrliche Ausfallrichtung eines Funktionsblocks gelten diejenigen Arten des Ausfalls die aus sicherheitstechnischer Sicht ung nstig sind Manche Ausf lle lassen das ganze System direkt gef hrlich ausfallen sodass es weder die urspr ngliche S
50. 100 prozentiger Testabdeckung f r komplexe inte grierte Schaltkreise nicht mehr durchf hrbar hnliches gilt f r die Software programmierbarer Elektronik Im Gegensatz zu elektromechanischen Schaltungen haben rein elektronische Schaltungen oft den Vorteil dass sich Zust nde dynamisieren lassen Hierdurch kann der erforderliche DC auch in entsprechend kurzen Zeitabst nden und ohne Zustands nderung externer Signale erreicht werden Dynamisierung Zur Verhinderung von Ausf llen infolge gemeinsamer Ursache sind zwischen verschiedenen Kan len Entkopplungsma nahmen erforderlich Diese bestehen in der Regel aus galvanisch getrennten Kontakten Widerstands oder Diodennetzwerken Filterschaltungen Optokopplern und bertragern Systematische Ausf lle k nnen zum gleichzeitigen Versagen redundanter Verarbeitungskan le f hren wenn dies nicht durch fr hzeitige Ber cksichtigung insbesondere w hrend der Ent wurfs und Integrationsphase verhindert ist Durch Anwendung von Prinzipien z B Ruhestrom Diversit t oder berdimensionie rung k nnen auch elektronische Schaltungen so robust gestaltet werden dass ein systematischer Ausfall ausreichend sicher ver hindert ist Nicht zu vernachl ssigen sind Ma nahmen die die Verarbeitungskan le unempfindlich gegen physikalische Einfl sse machen wie sie z B in einer Industrieumgebung anzutreffen sind Temperatur Feuchte Staub Vibration Schock korrosive Atmosph re elektromagne
51. 13849 1 Abschnitt 6 2 vgl Abschnitte 6 2 1 bis 6 2 7 dieses Reports wurden im BGIA Markov Modelle entwickelt deren numerische Ergebnisse als sogenanntes S ulendiagramm in der Norm in Abschnitt 4 5 4 Bild 5 Abbildung 6 10 bzw G 3 dieses Reports zusammengetragen sind Dadurch kann auf die Entwicklung eines eigenen Rechenmodells und eine komplexe Berechnung verzichtet werden falls das System im Wesentlichen die Gestalt einer der vorgesehenen Architekturen hat oder es sich in Teil systeme von solcher Gestalt zerlegen l sst vgl hierzu Abschnitt 6 3 und Anhang H der DIN EN ISO 13849 1 oder Abschnitt 6 4 dieses Reports Eine grundlegende Einf hrung in die Technik der Markov Modellierung findet man z B in 2 Um ein bersichtliches Diagramm zu erhalten mussten einige Einschr nkungen und Vereinfachungen vorgenommen werden Zum einen begrenzt die Norm die Anzahl der vorgesehenen Architekturen und damit die Anzahl der notwendigen Modelle Zum anderen wurde die Vielzahl der Eingangsparameter durch sinnvolle B ndelung verringert Hierzu wurden die Gr en MTTF und DE ie eingef hrt die jeweils mehrere Eingangsparameter zusammenfassen Die im Diagramm verwendete MTTF hat die Bedeutung einer mittleren Zeit bis zum Ausfall jedes Kanals in dessen gefahr bringende Ausfallrichtung Mean Time to Dangerous Failure Die MTTF Werte mehrerer Funktionsblocke werden dabei zu einer einzigen Kanal MTTF zusammengefasst Kapitel 6 und A
52. 14 PL Bestimmung mithilfe von SISTEMA 105 8 2 8 Stillsetzen von Holzbearbeitungsmaschinen Kategorie 1 PL c Beispiel 8 Abbildung 8 15 Kombination von elektromechanischer Befehlseinrichtung und programmierbar elektro nischem Bremsger t zum Stillsetzen von Holz bearbeitungsmaschinen Elektronisches Bremsger t K1 Bremsen Start Freigabe O S1 Aus E S2 Ein E Sicherheitsfunktion Die Bet tigung des Aus Tasters f hrt zu SS1 Sicherer Stopp 1 einem gesteuerten Stillsetzen des Motors innerhalb einer maximal zul ssigen Zeit Funktionsbeschreibung 106 Mit Bet tigen des Aus Tasters S1 wird das Stillsetzen des Motors eingeleitet Das Motorsch tz 01 f llt ab und die Brems funktion wird gestartet Die Bremsung des Motors erfolgt durch einen Gleichstrom der im Bremsger t K1 durch eine Phasenanschnittsteuerung mit Thyristoren erzeugt und ber interne Relais auf die Motorwicklung geschaltet wird Die Stillsetzzeit darf einen maximalen Wert z B 10 Sekunden nicht berschreiten Die gew nschte Bremszeit und evtl andere erforderliche Parameter z B Bremsstrom Schwelle f r Stillstandserkennung k nnen am Bremsger t eingestellt werden Nach erfolgtem Stillstand bzw nach Ablauf der maximalen Bremszeit schaltet das Bremsger t den Bremsstrom ab und trennt den Motor wieder vom Netz Der Stillsetzvorgang entspricht einem Stopp der Kategorie 1 gem DIN EN 60204 1
53. 227 Mit der Umsetzung dieser Anforderungen soll sichergestellt werden dass die Anwendung grundlegender und oder bew hrter Sicherheitsprinzipien von der Herstellung ber die Implementierung bis zum laufenden Betrieb des Bauteils gew hrleistet ist Auch die Schnittstelle zwischen Hersteller und Anwender bzw Betreiber der Maschine ist klar definiert Der Hersteller muss die Ber cksichtigung der Sicherheitsprinzipien bei der Konstruktion verbindlich best tigen und alle relevanten Informationen zu Einsatz und Betriebsbedingungen zur Ver f gung stellen Der Anwender bzw Betreiber der Maschine seinerseits ist f r die Einhaltung aller Sicherheitsprinzipien ver antwortlich die Implementierung und Betrieb des Bauteils betreffen Unter diesen Voraussetzungen kann bei der Berech nung der MTTF oder bei der Annahme eines Fehlerausschlusses auf die in Tabelle D 2 zitierten typischen Werte zugegriffen werden Der oben begr ndete MTTF Wert von 150 Jahren f r hydraulische Steuerungskomponenten wird hier auch auf mecha nische Komponenten ausgedehnt Dieser Hilfswert kann verwen det werden wenn zwar kein Fehlerausschluss begr ndet werden kann aber der Einsatz grundlegender bzw bew hrter Sicher heitsprinzipien gew hrleistet ist Au erdem werden B Werte f r elektromechanische Bauteile genannt die nach dem ebenfalls oben vorgestellten Verfahren mit der durchschnittlichen Anzahl jahrlicher Bet tigungen n in einen MTTF Wer
54. 5 Erg nzende Schutzma nahmen Die Anforderungen an erg nzende Schutzma nahmen sind in DIN EN ISO 12100 2 3 Abschnitt 5 5 enthalten Im Hinblick auf die im vorliegenden Report behandelten steuerungstechnischen Fragestellungen sind hierunter insbesondere zu verstehen Oo Ma nahmen zum Stillsetzen im Notfall O Umkehrung von Bewegungen O Energietrennung und Energieableitung Definitionsgem handelt es sich hierbei nicht um technische Schutzma nahmen f r deren Realisierung ein bestimmter Performance Level erforderlich w re Allerdings sollen diese erg nzenden Schutzma nahmen dann greifen wenn technische Schutzma nahmen trennende und oder nicht trennende Schutz einrichtungen versagt haben bzw durch Manipulation unwirk sam gemacht wurden Besonders in diesen F llen erwartet man dass z B ein Not Halt auch funktionsf hig ist Insofern sind die Anforderungen der DIN EN 60204 1 20 an Steuerstromkreise und Steuerfunktionen von Maschinen zu ber cksichtigen Im Abschnitt 9 4 Steuerfunktionen im Fehlerfall wird ein ange messenes Niveau der sicherheitstechnischen Leistungsf higkeit verlangt das durch die Risikobewertung der Maschine festzu legen ist Die Anforderungen der DIN EN ISO 13849 gelten letztlich also auch f r diese erg nzenden Schutzma nahmen In jedem Falle d rfen erg nzende Schutzma nahmen nicht die Funktion und das Niveau von Schutzeinrichtungen beeinflussen 5 6 Behandlung von Altmaschinen Unter
55. 60 39 61 44 234 74 102 ff 35 122 64 ff 247 53 229 ff 43 72 89 60 226 226 227 54 ff 108 ff 116 ff 120 ff 231 49 49 57 231 237 49 54 57 49 ff 237 241 247 49 54 237 148 f 160 f 72 44 55 240 Seite U BEP DI KT ee en ee ee 152 f berd mens on eine een ee 215 berspannungskategorie nennen nai cidcid 213 berstr msch tzeintichiume iii idad 216 Ubertrac nesie hle ana 57 Uberwachune smalkna Nne e o PUE een OEE 54 ff 231 ff Umeeb uneshedint Ung o ERNE saedtioawatewsuduanstounavagasnstonndelielasonans 240 Unterlass tE KennUNE rn 122 ff Unterspannungsauslo SUNE een ee RAR RE 104 ff V Validierung 2PORVEUNEPEREREREENERERENLOTFPEEBEDRENETEHLLERTETENERBEURREERTERERKEULERTEHEERTEREEEEEEETEHERUERERENERTRESSEEERTEURUEEPEREEORETEERNERELTTEN 77 ff VE PEAN ee ee A ENEN N ee 86 ff 223 ff Ventil hydraulisches gt hydraulisches Ventil Ventil pneumatisches gt pneumatisches Ventil VErDIMOLINES MI LE q P Pe a e PRO A o E S R Ei 57 ff Verfahren guter ingenieurm iger Praxis ccccccccssscssssssssssssssssseeeescccceceeeesseeeeeueeessssseseeeeeeeecceeeeeeeeeeas 226 O o A EU A 77 ff A E o EAEN S 23 WEINE cuna SI RICHT isc 140 f nn A A EN 221 Vers camu ZUNG SE TA recono 213 a 58 74 ff vorgesehene Architekturen iii iia 45 ff w Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde gt durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfal
56. 61496 2 sowie fur PL e Berechnung der Ausfallwahrscheinlichkeit O Es wird die Ausfallwahrscheinlichkeit des sicheren Stillsetzens ausgel st durch das Not Halt Ger t S4 bzw durch die BWS berechnet die auch im sicherheitsbezogenen Blockdiagramm gezeigt wird Die Funktion Schnellhalt des FU und die M glichkeit der Abschaltung der Spannungsversorgung des FU ber Q1 werden bei der Berechnung der Ausfallwahrschein lichkeit der Sicherheitsfunktion nicht ber cksichtigt O Der Frequenzumrichter T1 wird in die Bl cke T1a und T1b zerlegt Im Block T1a sind die Funktionen Start und Stopp sowie deren steuerungstechnische Umsetzung enthalten Der Block T1b beinhaltet die mit einer geringen Anzahl von Bauteilen realisierte Impulssperre Sicheres Stillsetzen ausgel st durch das Not Halt Ger t S4 O Fur das Not Halt Ger t wird ein Fehlerausschluss angenommen da die in Tabelle D 2 genannte Bet tigungsanzahl nicht berschritten wird O MTTF Folgende MTTF Werte werden gesch tzt 50 Jahre f r K4 100 Jahre f r T a und 1000 Jahre f r T1b G F r K1 ergibt sich bei einem B Wert von 400000 Zyklen N und bei 240 Arbeitstagen 8 Arbeitsstunden und 6 Minuten Zykluszeit eine n 19200 Zyklen Jahr und eine MTTF von 208 Jahren F r K2 ergibt sich bei einem B Wert von 400 000 Zyklen N und t glichem Einschalten an 240 Arbeitstagen eine MTTF von 16667 Jahren Der Kondensator C1 geht mit MTTF 45662 Jahre D in die Berechnung ei
57. 8 im Toleranzbereich von niedrig F r Kategorie 3 ergibt dies eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 77 10 Stunde Die Gesamtausfallwahrscheinlichkeit wird durch Addition ermittelt und ergibt 2 07 10 Stunde Dies entspricht ebenfalls PL d Weiterf hrende Literatur Apfeld R Zilligen H Sichere Antriebssteuerungen mit Frequenzumrichtern BIA Report 5 2003 Hrsg Hauptverband der gewerblichen Berufsgenossenschaften HVBG Sankt Augustin 2003 www dguv de bgia Webcode d6428 DIN EN 61496 1 Sicherheit von Maschinen Ber hrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforde rungen und Pr fungen 01 05 Beuth Berlin 2005 DIN CLC TS 61496 2 Sicherheit von Maschinen Ber hrungslos wirkende Schutzeinrichtungen Teil 2 Besondere Anforde rungen an Einrichtungen welche nach dem aktiven opto elektronischen Prinzip arbeiten 02 08 Beuth Berlin 2008 IEC 61800 5 2 Adjustable speed electrical power drive systems Part 5 2 Safety requirements Functional 07 07 International Electrotechnical Commission IEC Genf 2007 Abbildung 8 35 PL Bestimmung mithilfe von SISTEMA 146 Neu gt ffnen W Speicher an pera gt a AG Projekte E PR 20 Sicheres Stillsetzen eines SPS gesteuert Nat Halt Funktion 551 Sicherer Stopp SB NotHalt Gerat 54 H SB Redundantes Stillsetzen S Kanal 1 TH Kanal 2 TE L
58. 9 Sicherheitsbezogenes Blockdiagramm ccceccccccccccccccceceneeeesssssessesceeeeecccceceeeeauaaesaesesssseseeeeeeceeeeeceeeeseeeeuuaaeaaaaaes 6 2 10 Fenlerbetracht ngen und Fehlerausschluss siissasnndverevesssninesswneubsiannnnmmannhuintsankanaeaaedesusnsvanshitannseasunisaunnaiadidesdedindwawapesaninnn 6 2 11 Mittlere Zeit bis zum gelanrbringenden AUStall MITE ernennen nase 6 2 12 Datenquellen t r Einzelbauteile una ee 6 2 13 FMEA versus Parts Count Verfahren ae esse aaa ner Reese Raser 11 13 15 19 20 20 21 22 23 23 23 25 25 26 26 28 30 30 31 32 32 32 32 33 33 34 35 37 37 38 43 45 45 45 46 48 48 49 49 50 50 51 51 52 52 53 6 2 14 Diagnosedeckungsgrad von Test und berwachungsma nahmen DC eeeeeceeenneeensnnnnnnnnnnnnnsennnnnnnnennnnnnnnenennennnnnnnne 6 2 15 Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache CCF coooooocnncnccccnncnoccccnonnnononnnnonancnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnns 6 2 16 6 2 17 6 3 6 3 1 6 3 2 6 3 3 6 3 4 6 3 5 6 3 6 6 3 7 6 3 8 6 3 9 6 3 10 6 4 6 5 6 5 1 6 5 2 6 5 3 6 5 4 6 5 5 6 5 6 6 5 7 6 5 8 6 5 9 6 5 10 6 5 11 7 1 7 1 1 2 142 7 1 3 7 1 4 7 1 5 7 1 6 7 1 7 7 2 7 3 7 3 1 7 3 2 1 3 3 7 3 4 7 3 5 7 3 6 1 3 1 7 4 1 3 7 6 1 6 1 7 6 2 7 6 3 Vereinfachte PL Bestimmung durch das S ulendiagramm Bussysteme als Verbindungsmittel se0 0000 Entwicklung sich
59. A sind ebenfalls Fehlerlisten hier jeweils f r elektrische Bauelemente mit teilweise gering f gigen Abweichungen zur DIN EN ISO 13849 2 vorhanden Der Beitrag 340 220 4 erl utert Hintergr nde und das Zustande kommen der Fehlerlisten Nachdruck am Ende dieses Anhangs C2 Fehlerausschl sse Ohne die Annahme von Fehlerausschl ssen sind sichere Steue rungen manchmal nicht mit vertretbarem Aufwand zu realisieren Gr nde f r einen Fehlerausschluss k nnen insbesondere die physikalische Unm glichkeit einer bestimmten Fehlerart oder die technische Unwahrscheinlichkeit des Auftretens eines Fehlers sein sowie allgemein anerkannte technische Erfahrungen siehe auch Abschnitt 7 3 der DIN EN ISO 13849 1 Fehlerausschl sse sind auch f r neue Komponenten oder Bauelemente grunds tz lich m glich Jeder Fehlerausschluss muss in der technischen Dokumentation genau begr ndet werden DIN EN ISO 13849 2 beschreibt f r einzelne Bauelemente m gliche Fehlerausschl sse soweit sie als zul ssig erachtet werden Angaben in den fol genden Beispielen sind wo erforderlich im Sinne blicher Praxis aktualisiert Diese Aspekte werden bei der anstehenden ber arbeitung der Norm als nderungsvorschl ge eingebracht C2 1 Beispiele f r Fehlerausschl sse an Bauteilen C2 1 1 Bauteile der Fluidtechnik F r pneumatische und hydraulische Bauteile sind h ufig ver gleichbare Fehlerausschl sse formuliert Es sind jedoch auch fluidspezifische Feh
60. Altmaschinen sind solche Maschinen zu verstehen die bereits vor Inkrafttreten der Maschinenrichtlinie in Verkehr gebracht wurden Die Anforderungen der Richtlinie wurden auf diese Maschinen nicht angewendet Werden Altmaschinen erwei tert ver ndert modernisiert usw kann dies jedoch erforderlich werden In solchen F llen ist zu bewerten ob eine wesentliche Ver nderung vorliegt Ist dies der Fall gelten die Anforderungen der EG Maschinenrichtlinie auch f r alte Maschinen ebenso wie f r neue Dazu geh rt u a die Anwendung der DIN EN ISO 13849 Bei der Entscheidung ob eine wesentliche Ver nderung vorliegt hilft ein Diagramm der Berufsgenossenschaft der che mischen Industrie 21 32 Erforderlicher Performance Level PE und erforderliche Kategorie nach DIN EN ISO 13849 1 2007 e Kategorie 4 5 7 Risikominderung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL e Das folgende Beispiel illustriert die Anwendung der DIN EN ISO 13849 1 an einer Planschneidemaschine Dabei werden nur ein zelne Aspekte n her dargestellt und nicht der gesamte Prozess Planschneidemaschinen siehe Abbildung 5 10 dienen zum Schneiden von gestapelten Papierb gen oder hnlichen Mate rialien mittels eines Messers Das Schneidgut wird meist von Hand unter das Schneidmesser gelegt Unmittelbar vor dem Schnitt wird ein Pressbalken mit hoher Kraft auf den Stapel abgesenkt
61. Auf zwei Details zu systematischen Ausf llen die im ersten Fall den beiden Steuerungskan len jeweils verschiedene Tests mit der Applikation und im zweiten Fall mit dem Entwurfsprozess ausgef hrt die fr hzeitig Fehler erkennen k nnen und zusammenh ngen sei besonders hingewiesen jeweils unabh ngig vom Nachbarkanal den sicheren Zustand selbst einleiten k nnen O Bei der Gestaltung des Hydrauliksystems f r Planschneide maschinen ist der Papierstaubanfall zu ber cksichtigen Testung durch redundante Hardware hierdurch k nnen mit So kann z B mit Papierstaub verunreinigtes Hydraulik l die hilfe der konstruktionsbedingten Diversit t zus tzlich Fehler sichere Funktion einer Planschneidemaschine gef hrden durch Umwelteinfl sse beherrscht werden die sich in den Aus diesem Grund muss im Besonderen auf eine gute einzelnen Kan len nicht gleichartig auswirken Filtrierung des Druckmediums geachtet werden Weiterhin muss das externe Einbringen von Papierstaub in das Hydrau O Verwendung von Hilfssch tzen mit zwangsgef hrten Kontak liksystem durch z B Abstreifringe an Kolbenstangen und ten durch das R cklesen entsprechender Kontakte k nnen Tankbel ftungsfilter verhindert werden gef hrliche Ausf lle der Hilfssch tze und unter Umst nden anderer Schaltungsteile erkannt werden Abbildung 6 18 PL Bestimmung mithilfe von SISTEMA Datel Bearbeiten Ansicht Hilfe Neu Y ffnen ko Speichern gt Schlie en All Bibliothek
62. Aufwand soll hnlich wie bei der Hardware der programmierbaren SRP CS der jeweils notwen digen Risikominderung entsprechend angemessen sein Daher werden die Anforderungen bzw deren Wirksamkeit mit zuneh mendem PL sinnvoll gesteigert DIN EN ISO 13849 1 nennt aber keine Minimalanforderungen die f r jede Software unabh ngig vom PL notwendig w ren Abbildung 6 12 zeigt dass es sowohl bei SRASW als auch bei SRESW f r alle PL zun chst ein geeignetes B ndel von Basis ma nahmen gibt Diese Basisma nahmen gen gen f r die Entwicklung von Software f r PL a oder b F r Software die in SRP CS f r PL c bis e eingesetzt wird gelten neben den Basis ma nahmen zus tzliche fehlervermeidende Ma nahmen Letztere sind f r PL c mit geringerer Wirksamkeit f r PL d mit mittlerer Wirksamkeit und f r PL e mit h herer Wirksamkeit gefordert Unabh ngig davon ob die Software nur in einem oder in beiden Kan len einer beliebigen Kategorie mitwirkt Als Ma stab f r die Anforderungen gilt immer der PL der realisier ten Sicherheitsfunktion en Zielsetzung Entwicklungsmodell vereinfachtes V Modell O O N A I mn y 00 m A O 22 LLJ AA gt w O w lt Men U N Q lt Software Parametrierung Der Aspekt h here Wirksamkeit bezieht sich auf den zuneh menden Grad der Fehlervermeidung Dies soll an der wichti gen Aktivit t der Spezifikation illustriert werden So kann es z B f
63. Berechnung der Ausfallwahrscheinlichkeiten Der Frequenzumrichter T1 wird f r die Berechnung der Ausfallwahrscheinlichkeiten in die Bl cke T1a und T1b zerlegt Im Block T1a sind die Funktionen Sollwertvorgabe Reglerfreigabe und Schnellstopp sowie deren steuerungstechnische Umsetzung enthalten Der Block T1b beinhaltet die mit einer geringen Anzahl von Bauteilen realisierte sichere Impulssperre Die detaillierte Berechnung der Ausfallwahrscheinlichkeit wird f r die Sicherheitsfunktion Sicherheitsbezogene Stoppfunktion SS1 die auch im Blockdiagramm dargestellt ist durchgef hrt 158 Da die Schaltleiste mit zugeh rigem Auswerteger t B1 als k ufliches Sicherheitsbauteil vorliegt wird deren Ausfallwahr scheinlichkeit am Ende der Berechnung addiert 3 00 10 Stunde G MTTF Die sicherheitsrelevanten Bauteile von K1 und K2 einschlie lich ihrer Peripherie werden nach Anwendung des Parts Count Verfahrens mit einem Wert von 878 Jahren G ber cksichtigt F r G2 flie t ein Wert von 75 Jahren G in die Berech nung ein F r Tia wird ein Wert von 100 Jahren G und f r T1b ein Wert von 1 000 Jahren G angesetzt F r K3 wird ein B a Wert von 400 000 Zyklen N angesetzt Bei einer Bet tigung pro Tag ergeben sich Nop 365 Zyklen Jahr und eine MTTF 10 959 Jahre Q1 wird mit einer MTTF von 50 Jahren G ber cksichtigt Die Haltebremse Q1 ist nur im Fehlerfall erforderlich und unterliegt keinem betriebsm igen Versc
64. D des Teils 2 enthalten umfangreiches Material zu den Themen grund legende Sicherheitsprinzipien bew hrte Sicherheitsprin zipien bew hrte Bauteile und Fehlerlisten das auch unter dem neuen Teil 1 g ltig ist Details hierzu sind im Anhang C dieses Reports dargestellt Prozess industrie Abbildung 3 1 Anwendungsbereiche verschiedener Basis normen zur funktionalen Sicherheit SRP CS sicherheits bezogene Teile einer Steuerung SRECS sicherheitsbezogenes elektrisches Steuerungs E E PES als Elektrik Elektronik programmierbare Elektronik system SIS sicherheits technisches System E E PES elektrisch elek tronisch programmierbar elektronisches System 1 Funktionale Sicherheit bedeutet in diesem Zusammenhang dass m gliche Gef hrdungen behandelt werden die durch Ausf lle eines Steuerungssystems bedingt sind also von einer Fehlfunktion herr hren 2 Daneben gibt es noch sogenannte deterministische Anforderungen die im jeweiligen Level erf llt werden m ssen 15 Wahrscheinlichkeit eines gef hrlichen Ausfalls pro Stunde 10 DIN EN ISO 13849 1 a PL 1 d S L Rene DIN EN 62061 DIN EN 61508 Abbildung 3 2 Performance Level PL und Sicherheits Integrit tslevel SIL als Wahrscheinlichkeit eines gef hrlichen Ausfalls pro Stunde Die augenscheinliche berlappung des Regelungsanspruchs beider Normenwelten kann f r Steuerungshersteller und ander
65. Dauer der M glichkeit zur Vermeidung der Gef hrdung F wv P2 Kaum m glich Sicher abgeschaltetes Moment Am Antriebsmotor kann kein Drehmoment erzeugt werden Stillstand a l Dokumentation PLi PL Subsysteme 51 Leichte ublicherweise reversible Verletzung einschlie lich Tod Fi Selten bis fter und oder kurze Dauer der Exposition Exposition P1 M glich unter bestimmten Bedingungen Abbildung 5 12 Dokumentation und Risikograph f r SF7 Dokumentation PLr PL Subsysteme Name der Sichethetsfuriktion SF7 Abdeckung des Messers durch den Pressbalken Typ des Sicherheitsfunktion Abdeckung x Ausosendes Ereignis Erreichen des Ruhezustands Reaktior Fressbalken vor das Messer posiorseren Sicherer Zustand bau steht vor dem Messer Dokumentation PLr PL Subsysteme PLur Wert aus Risikograph emitteln Schwere der Verletzung 5 af 1 Leichte blicherweise reversible Verletzung 527 Schwere blichenyeise reversible Verletzung einschieMich Tod H ufigkeit und oder Dauer der Gef hrdungsexposilion F Fi Selten bis ofter und oder kurze Dauer der Exposition e F2 H ufig bis dauernd und oder lange Dauer der Exposition Moglichkeit zur Vermeidung der Gef hrdung F af P1 M glich unter bestimmten Bedingungen P2 Kaum R9oo00 00 D 5 7 5 Erg nzende Schutzma nahmen Folgende Ma na
66. F Im Anhang D der DIN EN 61508 6 27 wird dazu das sogenannte Beta Faktor Modell bem ht das die Ausf lle gemeinsamer Ursache als B mal A ins Verh ltnis setzt zur gefahrbringenden Ausfallrate eines Kanals y Ohne eine genaue FMEA kann f r reale SRP CS allerdings bestenfalls gesch tzt werden DIN EN ISO 13849 1 bietet dazu eine Checkliste aus acht wichtigen Gegenma nahmen an die mit 5 bis 25 Punkten bewertet werden physikalische Trennung der Signalpfade unterschiedlicher Kan le 15 Punkte Diversit t in der Technologie der Gestaltung oder den physikalischen Prinzipien der Kan le 20 Punkte 39 e Schutz gegen m gliche berbelastungen 15 Punkte und Verwendung bew hrter Bauteile 5 Punkte O Ausfalleffektanalyse in der Entwicklung zur Aufdeckung potenzieller Ausf lle infolge gemeinsamer Ursache 5 Punkte e Schulung der Konstrukteure Monteure hinsichtlich CCF und ihrer Vermeidung 5 Punkte O Schutz vor durch Verunreinigung mechanische und fluidische Systeme bzw elektromagnetische Beeinflussung elektrische Systeme ausgel ste Ausf lle infolge gemeinsamer Ursache 25 Punkte e Schutz vor durch ung nstige Umgebungsbedingungen aus gel ste Ausf lle infolge gemeinsamer Ursache 10 Punkte Die f r eine Gegenma nahme genannten Punkte sollen nur vollst ndig oder gar nicht vergeben werden eine halbe Umsetzung der Gegenma nahmen wird nicht durch Punkte belohnt allerdings k nnen subsystemwei
67. Geschwindigkeit des Motors wird innerhalb spezifizierter Grenzwerte gehalten STR Safe Torque Range Sicherer Momentenbereich Das Drehmoment des Motors die Kraft bei Linearmotoren wird innerhalb spezifizierter Grenzwerte gehalten Die Art der Ausf hrung einer Sicherheitsfunktion kann sehr O H ufigkeit der Bet tigung unterschiedlich sein daher sind zusammen mit der Auswahl einige Eigenschaften zu ber cksichtigen und f r jede Anwendung ggf eine Priorit t falls mehrere Sicherheitsfunktionen individuell festzulegen Hierzu z hlen gleichzeitig aktiv sein k nnen O Verwendung in unterschiedlichen Betriebsarten O Festlegung sicherheitsbezogener Parameter z B der maximal z B Automatikbetrieb Einrichtbetrieb St rungsbeseitigung zul ssigen Geschwindigkeit O Reaktion en beim Ansprechen der Sicherheitsfunktion o erforderlicher Performance Level PL O Reaktion en beim Erkennen eines Fehlers der Sicherheitsfunktion O Ansprechzeit 28 5 3 2 Beispiele bei denen die Definition der Sicherheitsfunktion Einfluss auf die sp tere Berechnung des PL hat In sp teren Kapiteln wird gezeigt wie die durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde f r eine Sicherheitsfunktion berechnet werden kann Die Grundlagen hierf r werden jedoch bereits hier bei der Definition der Sicher heitsfunktion festgelegt Die Realisierung einer Sicherheitsfunk tion bestimmt naturgem die Art und den Umfang der hierf
68. Gestaltung Was helfen die sch nsten Zahlen zur Ausfall wahrscheinlichkeit wenn prinzipielle Aspekte nicht ber cksich tigt wurden Wird beispielsweise ein Produkt nicht richtig oder in der falschen Umgebung eingesetzt droht m glicherweise ein systematischer Ausfall Dieser Tatsache wird DIN EN ISO 13849 1 im Zusammenspiel mit Teil 2 gerecht wenn sie f r das Errei chen eines PL fordert auch m gliche systematische Ausf lle zu ber cksichtigen Grunds tzlich l sst sich sagen dass schon viele der grundlegenden und bew hrten Sicherheitsprinzipien gegen systematische Ausf lle wirken siehe Anhang C Diese sind gem DIN EN ISO 13849 2 zu ber cksichtigen und vervollst n digen Anhang G der Norm Im informativen Anhang G der Norm ist eine Liste von Ma nah men und damit indirekt auch von zu betrachtenden Einfl ssen aufgef hrt Die Ma nahmen gliedern sich in solche zur Ver meidung von Ausf llen G 3 und G 4 und solche zur Beherr schung G 2 Abbildung 6 4 gibt eine bersicht Die Ma nahmen zur Vermeidung von Ausf llen m ssen sich dabei durch alle Lebensphasen eines Produktes ziehen und werden demnach in diesem Report teilweise auch im Kapitel 7 unter dem Aspekt der Validierung angesprochen Obwohl nicht explizit aufgef hrt gilt Abbildung 6 4 Ma nahmen gegen systematische Ausf lle nach Anhang G der Norm Ursachen systematischer Ausf lle vor der Inbetriebnahme z B Herstellungsfehler Irrtum bei der Entwic
69. Hilfssch tze K2 und K3 abgefragt ber Eingang 11 1 und die Aufhebung der Anlauf sperre abgefragt ber Eingang 11 0 Als Folge wird Ausgang 01 1 gesetzt Zur Steuerung des Uberbriickungsvorgangs sind vier Infrarot Lichttaster F1 bis F4 zur Anordnung siehe auch Abbil dung 8 39 eingebunden ber die Eing nge 11 2 bis 11 5 berwacht die SPS die Bet tigungsabfolge der vier Infrarot Licht taster ber deren Kontakte F1 1 bis F4 1 unter Ber cksichtigung von zwei hinterlegten Zeitvorgaben Die berbr ckungs funktion ist allein im Ausgangsstromkreis der SPS Ausgang 01 2 realisiert unabh ngig vom Ausgangsstromkreis der Lichtschranke F5 Die in Reihe geschalteten berbr ckungskontakte F1 2 und F2 2 sowie F3 2 und F4 2 sind jeweils ber die Dioden R2 und R3 mit der ber die Hilfssch tze K2 und K3 realisierten Freigabe durch ODER Verkn pfung verbunden R2 und R3 bewirken die korrekte Anzeige der Mutingfunktion und trennen den aktivierten Freigabeausgang von den Muting anzeigen P1 P2 bei nicht aktiver berbr ckungsfunktion Fehler in R2 oder R3 k nnen nicht zu einem ungewollten Muting d h gef hrlichem Ausfall der Mutingfunktion f hren Anordnung Ansicht von oben _Umzaunung Lichtschranke ME MM 3 strahlig Transportgut F4 Pi Zutrittsverbot f r Personen Palettenauslauf F3 Lichtschranke Anordnung Ansicht von der Seite 3 strahlig Transportgut F4 l 5 a Zutrittsverbot f r mm Abbi
70. Jahre und ist damit gr er oder gleich der H lfte der MTTF des funktionalen Kanals DC o DC 60 f r B1 K10 und K6 durch Kreuzvergleich von B1 und B2 in K1 mit geringer Anforderungsrate der Sicher heitsfunktion DC 60 f r K1 durch zeitliche Programmlauf berwachung und Selbsttests einfacher Wirksamkeit DC 99 f r K2 K3 K16 K17 K19 und K20 durch direkte berwachung ber zwangsgef hrte Kontakte F r K7 ist DC 0 Die Mittelungsformel f r Due ergibt 85 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen ber spannung 15 und Umgebungsbedingungen 25 10 Die Kombination der Steuerungselemente entspricht Kategorie 2 mit hoher MTTF pro Kanal 100 Jahre und niedrigem DC 85 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 2 72 10 Stunde Dies entspricht PL d Weiterf hrende Literatur O DIN 15560 46 Scheinwerfer f r Film Fernsehen B hne und Fotografie Teil 46 Bewegliche Leuchtenhanger Sicherheits technische Anforderungen und Pr fung Normentwurf 06 07 Beuth Berlin 2007 Sicherheit bei Produktionen und Veranstaltungen Leitfaden BGI 810 Hrsg Verwaltungs Berufsgenossenschaft Hamburg 2006 http www vbg de imperia md content produkte broschueren bgi 810 pdf 2 El S Ei lun chlie en Al Bibliothek lt gt Drucken Hilfe Wizard X
71. Jahren F r den Frequenzumrichter T1 betr gt die MTTF 20 Jahre H Insgesamt ergibt sich im Subsystem Q1 T1 ein symmetrisierter MTTF Wert pro Kanal von 68 Jahren hoch DC ug DC 99 f r B1 und B2 beruht auf der Plausibilit ts berwachung der ffner Schlie er Kombinationen in K2 Dies entspricht der DC ve f r das Subsystem DC 99 f r das Sch tz 01 ergibt sich aus der R cklesung der Kontaktstellung in den Sicherheitsbausteinen F r den Frequenzumrichter T1 folgt DC 60 aus der Fehlererkennung durch den Prozess Durch Mittelung ergibt sich damit f r das Subsystem Q1 T1 ein Den von 62 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache in den Subsystemen B2 B1 bzw Q1 T2 70 bzw 85 Punkte Trennung 15 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 in B2 B1 bew hrte Bauteile 5 in 01 T1 Diversit t 20 Das Subsystem B1 B2 entspricht Kategorie 3 mit hoher MTTF 100 Jahre und hohem DC ve 99 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 2 47 10 Stunde Das Subsystem 01 T1 entspricht Kategorie 3 mit hoher MTTF 68 Jahre und niedrigem DET 62 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 73 10 7 Stunde F r die sicherheitsbezogene Stoppfunktion ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 2 00 10 Stunde Dies entspricht PL d F r N
72. K1 und K2 werden z B hochwertige Selbsttests durch Software und Kreuzvergleich inklusive der f r Rechnersysteme erforderlichen speziellen Ma nahmen f r variante und invariante Speicher und die Verarbeitungseinheit durchgef hrt In der Summe ergibt sich f r den SRP CS nach Abschnitt 6 2 14 ein Dove von 98 6 der unter Ausnutzung der 5 Toleranz im Bereich von hoch liegt 99 99 90 99 99 99 99 a A ho oo do AA IA 232 Jahre 232Jahre 806 Jahre 232Jahre 232Jahre 150 Jahre 150 Jahre De A c oO 10 i 1 1 1 1 1 1 1 4 dd dd 232 Jahre 232Jahre 806 Jahre 232Jahre 232 Jahre 150Jahre 150 Jahre 71 Die im grauen Kasten auf Seite 70 oben genannten Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache CCF sind weit gehend selbsterkl rend dennoch wird die Validierung in Kapi tel 7 n her erl utert Zus tzlich wirkt im elektrischen Subsystem die Ma nahme Diversit t und im hydraulischen Subsystem die Ma nahme Verwendung bew hrter Bauteile siehe Anhang F Mit der Erf llung der Anforderungen an CCF DC hoch und MTTF hoch werden auch die quantitativen Anforderungen f r Kategorie 4 erf llt 6 5 6 Mehrere Wege zur quantitativen PL Bestimmung Bis zur PL Bestimmung auf der Grundlage quantifizierbarer Aspekte ist es nun nicht mehr weit Mit den Ergebnissen f r Kategorie DC wg und MTTF l sst sich grafisch durch das S ulendiagramm best tigen dass PL e erreicht wird siehe Abbildung
73. K2 Abbildung 8 53 Pressensteuerung elektrische Uberwachung einer beweglichen trennenden Schutz einrichtung mit hydraulischem Stillsetzen der gefahrbringenden ft Darstellung in betatigter Stellung Bewegung Sicherheitsfunktion O Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Stillsetzen der gefahrbringenden Bewegung Funktionsbeschreibung O Der Gefahrenbereich ist mittels einer beweglichen trennenden Schutzeinrichtung gesichert deren Stellung von zwei Positionsschaltern B1 und B2 in ffner Schlie er Kombination erfasst wird Die Signale werden in einen handels blichen Sicherheitsbaustein K2 eingelesen der in den Freigabepfad der elektrischen Vorsteuerung K1 herk mmliche SPS f r die hydraulischen Aktoren eingeschleift ist Gefahrbringende Bewegungen oder Zust nde werden aktorseitig durch drei Wege ventile 1V3 1V4 und 1V5 gesteuert Voraussetzung daf r ist ein Fehlerausschluss f r das Druckbegrenzungsventil 1V6 Wenn z B die Feder bricht wird die Abw rtsbewegung des Oberwerkzeugs nicht gestoppt Die sicherheitsbezogene Stopp funktion wird mittels der Ventile 1V4 und 1V5 realisiert Das Ventil 1V3 wird z B f r die Sicherheitsfunktion Verhinderung eines unerwarteten Anlauf aus der Ruhelage ben tigt Diese und weitere Sicherheitsfunktionen werden hier jedoch nicht behandelt 180 O Bei Anforderung der Sicherheitsfunktion werden beide Ventile durch K2 stromlos geschaltet und
74. K3 dG x K4 gefahrbringende REN Ta K5 2V2 P Q Q2 BKK Messer Messer Stellungs sicherung berwachung R ckmeldung Messer G 251 K5 E K3 13 21 To 13 31 sE 22 B3 82 a Bert de K4 KE E n EEE gt IT 2 y AA FH Eng Mikrocontroller 1 Datenaustausch 2V1 Abbildung 8 60 K3 El KA l Ansteuerung eines elektrischen Messer antriebs und eines r il Darstellung in bet tigter Stellung q hydraulischen Pressbalkens 194 Sicherheitsfunktion Ortsbindung der H nde eines einzelnen Bedieners au erhalb des Gef hrdungsbereiches w hrend der Press und Schneid bewegung Beim Loslassen mindestens eines der beiden Taster 51 52 wird die Freigabe aufgehoben und so lange blockiert bis beide Taster entlastet und erneut synchron bet tigt werden Funktionsbeschreibung O Die Bet tigung der Zweihandschaltung ZHS S1 und S2 startet die gefahrbringenden Bewegungen Bearbeitungszyklus des Pressbalkens Hydraulik 1A und des Messers Elektromechanik Wird w hrend eines Zyklus auch nur ein Taster S1 oder 52 losgelassen oder erfolgt ein Signalwechsel in der Peripherie der Maschine z B Lichtgitter im Schaltbild nicht dargestellt nicht wie durch die Steuerung erwartet stoppt der Zyklus und die Maschine verbleibt in diesem sicheren Zustand Das Mes ser und der Pressbalken stellen wegen ihrer unmittelbaren r umlichen N he zueinander eine gemeinsame
75. Kategorien 3 und 4 m ssen auch Ausf lle infolge gemein samer Ursache die ein gleichzeitiges Versagen mehrerer Kan le hervorrufen k nnen in ausreichendem Ma e beherrscht werden Das gilt ebenso f r die Kategorie 2 da die Testeinrichtung mit ihrem eigenen Abschaltpfad ebenfalls ein zweikanaliges System darstellt Grunds tzlich l sst sich sagen dass viele der grund legenden und bew hrten Sicherheitsprinzipien nicht nur gegen zuf llige Hardwareausf lle sondern auch gegen systematische Ausf lle wirken die sich irgendwann im Laufe des Produkt lebenszyklus in das Produkt einschleichen k nnen z B Fehler im Produktentwurf oder bei der Modifikation 6 2 3 Kategorie B Die SRP CS m ssen nach den zutreffenden Normen unter Verwendung der grundlegenden Sicherheitsprinzipien f r die bestimmte Anwendung so gestaltet gebaut ausgew hlt zusam mengestellt und kombiniert werden dass sie O den zu erwartenden Betriebsbeanspruchungen z B Zuverl ssigkeit hinsichtlich ihres Schaltverm gens und ihrer Schalth ufigkeit O dem Einfluss des im Arbeitsprozess verwendeten Materials z B aggressive chemische Substanzen St ube Sp ne O anderen relevanten u eren Einfl ssen z B mechanischen Ersch tterungen elektromagnetischen St rungen Unter brechungen oder St rungen der Energieversorgung standhalten k nnen Diese allgemeinen Grunds tze lassen sich in den in Anhang C aufgef hrten grundlegenden Sicherheitsprinzipie
76. Komplettbewertung des Blocks abgeleitet Dies geschieht zweckm ig in Form einer Tabelle die diesen Prozess und zugleich das Ergebnis dokumen tiert Die FMEA kann mit unterschiedlichem Exaktheitsanspruch ausgef hrt werden was sich in verschieden hohem Aufwand f r die Erstellung der dazugeh rigen Tabellen widerspiegelt Eine m gliche Ausf hrung ist beispielsweise in 8 angegeben Verbindliche Vorschriften existieren nicht Die in Abbildung B 3 vorgestellte Variante stellt einen Kompromiss zwischen hohem Akkuratheitsanspruch und Aufwand einerseits und allzu starker Vereinfachung andererseits dar und nimmt R cksicht auf die Genauigkeit und die Verf gbarkeit der verwendeten Daten Die dort verwendeten Zahlen sind angenommene Beispiel werte 208 Die Bauelemente des Funktionsblocks werden zeilenweise auf gelistet und mit ihren Ausfallraten versehen Die bliche Einheit der Ausfallrate ist FIT Failures In Time 1 FIT 10 h Als einziger Gewichtsfaktor f r die Basisausfallrate erscheint hier der Temperaturfaktor Der Verzicht auf weitere Anpassungsfaktoren ist dann gerechtfertigt wenn die Bauelemente im Mittel elektrisch tendenziell berdimensioniert sind was h ufig der Fall ist Ihre elektrische Belastung liegt dann berwiegend unter der Refe renzbelastung f r welche die Basisausfallrate gilt sodass die entsprechenden Anpassungsfaktoren lt 1 sind Somit bedeutet das Weglassen dieser Faktoren eine Absch tzung zur
77. Lebensdauer nach der bis 10 der Bau teile gefahrbringend ausgefallen sind ergeben kann Bigg 2 Big 2 Der B Wert wird in der Regel im Labor ermittelt Dabei werden mindestens sieben Ventile von unterschiedlichen Produktions zeitpunkten einer Langzeitbelastung ausgesetzt Die maximale Schaltfrequenz f r die Langzeitbelastung wird ber den Druckauf bau Erreichen von 90 des Pr fdruckes und den Druckabbau Erreichen von 10 des Pr fdruckes in einem angeschlossenen nach Anschlussquerschnitten definierten Volumen ermittelt F r eine Bewertung der Pr fergebnisse sollten mindestens f nf von sieben Ventilen ausgefallen sein N herungsweise gilt dass bei einer geringen Anzahl von Pr flin gen z B sieben Ventilen der Erstausfall den B Wert bestimmt bzw die bis zum Zeitpunkt des Erstausfalls erreichten Zyklen un gefahr dem B Wert entsprechen Ist der Erstausfall gefahrbrin gend entspricht diese Schaltspielzahl ungef hr dem B Wert Als gefahrbringende Ausf lle bei Pneumatikventilen sind ins besondere zu nennen O Nichtschalten H ngenbleiben in der End oder Nulllage oder nicht vollst ndiges Schalten H ngenbleiben in einer beliebigen Zwischenstellung O Ver nderung der Schaltzeiten O selbstt tige Ver nderung der Ausgangs Schaltstellung ohne Eingangssignal Die Betrachtung der Ausf lle bezieht sich immer auf die Bau einheit z B bestehend aus Hauptventil und Vorsteuerventil D2 4
78. Nachweis von Kategorie und Performance Level PL nach DIN EN ISO 13849 1 muss die Struktur eines sicherheitsgerichte ten Systems unter dem Aspekt der zu realisierenden Sicherheits funktion ggf mehrerer Funktionen separat analysiert werden F r den obligatorischen quantitativen Nachweis des PL m ssen Systeminformationen auf geeignete Weise aufbereitet werden damit die quantitative Gr e PFH Probability of a Dangerous Failure per Hour oder direkt der darauf basierende PL bestimmt werden kann Zwei wichtige Schritte auf diesem Weg sind das sicherheitsbezogene Blockdiagramm und die funktionsblock weise durchgef hrte Ausfalleffektanalyse FMEA Failure Mode and Effects Analysis B1 Zweck und Erstellung eines sicherheitsbezogenen Blockdiagramms Das Ergebnis der unter sicherheitstechnischem Blickwinkel erfolgenden Analyse der Systemstruktur wird zweckm ig in Form eines Blockdiagramms dargestellt das man als sicher heitsbezogenes Blockdiagramm bezeichnen kann Im Diagramm soll zum Ausdruck kommen ob die Sicherheitsfunktion ganz oder teilweise ein oder mehrkanalig ausgef hrt wird und welche Diagnosem glichkeiten bestehen um interne Bauelement ausf lle zu erkennen Weil unter dem hier interessierenden Aspekt der Quantifizierung von Ausfallwahrscheinlichkeiten die Diagnose ein Kompensationsmittel f r Bauelementausf lle ist wird in diesem Anhang anstelle des sonst blichen Begriffs Fehlererkennung der Ausdruck A
79. Papier verarbeitungsmaschinen Teil 1 Allgemeine Anforderungen 03 05 Beuth Berlin 2005 Neu gt ffnen Mi Speichern 1 Schlie en ll Bibliothek Drucken 9 Hite 2 Wizard R m eal E A Eingabemasken Zusammenfassung PR 21 Sicher begrenzte Geschwindigkeit f j R G A X E s Verhinderung zu hoher Drehzahlen i S Il ia SY S e mi Is ZN SB Sensor Aktor CH Kanal 1 Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke H BL Positonsschalter B1 E BL Tachogenerator G1 E E BL Frequenzumrichter T1 Sl CH Kanal 2 Hinzuf gen G _ Name CMT TF fal H BL Positionsschalter B2 T lesch BL Fositionsschalter B1 99 High 104166 67 H BL Tachogenerator G2 _ L schen BL Tachogenerator G1 39 High 50 High E BL Leistungsschite Q1 2 PERS BL Frequenzurnichter T1 99 High 100 High TE Jenttaraay i E SB SPSK 3 Bibliothek a H Asa CH u 7 a 7 4 Ey l Inhalte der Kan le vertauschen Verhinderung zu hoher Drehzahlen im Tippbet Kanal d A IIIIZ e H Hinzut gen Name ocal meaa BL Positionsschalter B2 39 High 5208 33 2 16E 7 L schen BL Tachogenerator G2 99 High 50 High SB a Les z T F TE ensor Aktor A Bearbeiten EL Leistungsschu tz 01 99 High 16666 57 Bibliothek Abbildung 8 37 PL Bestimmung mithilfe lb von SI
80. Person von Personen des Eintritts eines Gef hrdungsereignisses der technischen und menschlichen M glichkeiten zur Vermeidung oder Begrenzung des Schadens Ziel des weiteren Vorgehens ist es das Risiko auf ein akzep tables Ma zu reduzieren Abbildung 5 3 siehe Seite 26 zeigt hierzu die Anteile der Risikoreduzierung mit und ohne sicher heitsrelevante Teile einer Steuerung Weitere Informationen zum Thema Risiko enth lt das BGIA Handbuch 18 5 2 2 Risikobewertung Im Anschluss an die Risikoeinsch tzung wird eine Risikobewer tung durchgef hrt um zu entscheiden ob eine Risikominderung notwendig ist Die Kriterien f r eine hinreichende Risikominde rung gibt DIN EN 12100 1 vor Stolpergefahr Quetschgefahr Abbildung 5 2 Beispiele f r Gef hrdungen Quelle Wikipedia Wurden alle Betriebsbedingungen und alle Eingriffsm glich keiten ber cksichtigt Wurden die Gef hrdungen durch angemessene Schutzma nahmen beseitigt oder die Risiken soweit vermindert wie dies praktisch umsetzbar ist Ist sichergestellt dass die durchgef hrten Ma nahmen nicht neue Gef hrdungen schaffen Sind die Benutzer hinsichtlich der Restrisiken ausreichend informiert und gewarnt Ist sichergestellt dass die Arbeitsbedingungen der Bedien personen und die Benutzerfreundlichkeit der Maschine durch die ergriffenen Schutzma nahmen nicht konterkariert werden Sind die durchgef hrten Schutzma nahmen miteinander vereinbar
81. R cklesung Kreuz Vergleich Der erreichte DC Wert O ohne Dynamisierung X ist abh ngig von der H ufigkeit eines Signalwechsels in der Anwendung O mit Dynamisierung X ohne hochwertige Fehlererkennung mit Dynamisierung mit hochwertiger Fehlererkennung Der erreichte DC Wert ist abhangig 90 99 von der Anwendung Zyklische Testung Dynamisierung x Indirekte berwachung X Direkte berwachung X J Der erreichte DC Wert ist abh ngig von der Fehlererkennung durch den Prozess X 0 991 Anwendung diese anal alleine ist nicht ausreichend um PL e zu erreichen Uberwachung von Eigenschaften px Programmlauf berwachung zeitliche berwachung zur Erkennung verborgener Fehler DC abh ngig von der Testausf hrung O einfache zeitliche O zeitlich und logisch Selbsttests bei Anlauf Br Testung der Reaktionsm glichkeit der Uber wachungseinrichtung durch den Hauptkanal A BAR h Anlauf od die Sicher Testung der Uberwachungseinrichtung IA A ae SINE heitsfunktion angefordert wird oder wann immer ein externes Signal dies durch eine Eingangseinrichtung anfordert 232 redundanten Steuerungskan len die Sicherheitsfunktion noch nur dann berhaupt wirksam ist wenn nach Erkennung eines unabh ngig ausf hren kann Generell wird bei der Bewertung gefahrbringenden Ausfalls auch der sichere Zustand eingenom nicht unterschieden zwischen automatischen z B regelm ig men wird Wird z B das Verschwei en eines Haup
82. S ulendiagramms ist wird der berechnete DC _ Wert auf einen der vier Eckwerte 0 60 90 und 99 in Einklang mit Tabelle E 1 abgerundet bzw in eine der vier DC Klassen kein niedrig mittel und hoch eingeordnet Ein DC Wert von 80 wird im vereinfachten Ansatz daher auf einen Wert von 60 herabgestuft anders als im BGIA Software Assistenten SISTEMA der in der Grundeinstellung mit DC _ Zwischenwerten rechnet siehe Anhang H Im Folgenden wird zun chst auf den DC einzel ner Tests und danach auf die Berechnung von Dog eingegangen 231 In Tabelle E 2 sind typische Test und berwachungsma nahmen nach Ausf hrung oder u eren Umst nden schwanken z B bezogen auf Komponenten bzw Bl cke und ihre DC Bewertung je nach Anwendung in der die Steuerung betrieben wird Die nach DIN EN ISO 13849 1 dargestellt Je nach Funktion I L O indirekte berwachung durch Wegaufnehmer oder Entschalter bzw Eingabe Logik Ausgabe Kategorie und Technologie sind an den Aktoren statt an den Steuerungselementen l sst je nach unterschiedliche Ma nahmen blich Ihre Bewertung kann je Anwendung z B keinen R ckschluss zu ob jeder von zwei Tabelle E 2 DC Eckwerte f r typische Test und berwachungsma nahmen auf Komponenten bzw Blockebene nach DIN EN ISO 13849 1 haupts chlich relevant f r Ma nahme a Ma nahmen Beschreibung a cee Periodische Generierung eines Signal wechsels mit berwachung des Ergebnisses Plausibilit t
83. Sicherheit von Maschinen Ber hrungslos wirkende Schutzeinrichtungen Teil 2 Besondere Anforde rungen an Einrichtungen welche nach dem aktiven opto elektronischen Prinzip arbeiten 02 08 Beuth Berlin 2008 O DIN IEC 62046 Sicherheit von Maschinen Anwendung von Schutzeinrichtungen zum Erkennen von Personen Normentwurf 08 06 Beuth Berlin 2006 O DIN EN 999 Sicherheit von Maschinen Anordnung von Schutzeinrichtungen im Hinblick auf Ann herungsgeschwindig keiten von K rperteilen 12 98 Beuth Berlin 1998 155 8 2 23 Karussellt rsteuerung Kategorie 3 PL d Beispiel 23 B3 Bewegungs melder A Schalt Auswerte leiste ger t Ein Ausg nge uC Selbsttests B2 2 E Licht schranke Auswerte ger t Frequenz umrichter mit Schnellstopp sicherer Impuls Impulssperre sperre K3 uh oils Mi G2 Abbildung 8 40 n Karussellt rsteuerung mit Mikrocontrollern Sicherheitsfunktionen O Sicherheitsbezogene Stoppfunktion Bei Bet tigung der Schaltleiste wird die Drehbewegung der Karussellt r stillgesetzt SS1 Sicherer Stopp 1 O Sicher begrenzte Geschwindigkeit SLS Bei Detektion einer Person oder eines Gegenstandes durch die Lichtschranke wird die Geschwindigkeit der Karussellt r reduziert und sicher begrenzt 156 Schaltleiste amp B1 Funktionsbeschreibung Die Drehbewegung der Karussellt r wird erstmals nach dem Einschalten der Steuerung durch
84. Sicherheit von Maschinen Sicher heitsbezogene Teile von Steuerungen Teil 2 Validierung 12 03 Beuth Berlin 2003 Richtlinie 2006 42 EG des Europ ischen Parlaments und des Rates vom 17 Mai 2006 ber Maschinen und zur nderung der Richtlinie 95 16 EG Neufassung ABl EU Nr L 157 2006 S 24 mit Berichtigung der Richtlinie 2006 42 EG des Europ ischen Parlaments und des Rates vom 17 Mai 2006 ber Maschinen und zur nderung der Richtlinie 95 16 EG vom 9 Juni 2006 ABl EU Nr L 76 2007 S 35 http eur lex europa eu Ostermann H von Locquenghien D Wegweiser Maschinensicherheit Bundesanzeiger Verlagsgesellschaft K ln 2007 Reudenbach R Sichere Maschinen in Europa Teil 1 Europ ische und nationale Rechtsgrundlagen 8 Aufl Verlag Technik amp Information Bochum 2007 DIN EN 954 1 Sicherheit von Maschinen Sicherheits bezogene Teile von Steuerungen Teil 1 Allgemeine Gestaltungsleits tze 03 97 Beuth Berlin 1997 12 13 14 15 16 17 18 19 20 DIN EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer programmierbarer elektroni scher Systeme Teil 0 bis Teil 7 11 02 bis 10 05 Beuth Berlin 2002 bis 2005 DIN EN 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme 10 05 und Berichtigung 1 06 06 Beuth Berlin 2005
85. Stoppfunktion und Verhit Pub Abbildung 8 7 PL Bestimmung mithilfe von SISTEMA 97 8 2 4 Stillsetzen von Holzbearbeitungsmaschinen Kategorie 1 PL c Beispiel 4 Elektronisches Bremsger t K1 Bremsen Start S1 Aus F 52 Ein E Q1 Abbildung 8 8 Kombination von elektromechanischer Befehlseinrichtung und einfachem elektronischen Bremsger t zum Stillsetzen von Holzbearbeitungs maschinen Sicherheitsfunktion Die Bet tigung des Aus Tasters f hrt zu SS1 Sicherer Stopp 1 einem gesteuerten Stillsetzen des Motors innerhalb einer maximal zul ssigen Zeit Funktionsbeschreibung O Mit Bet tigen des Aus Tasters S1 wird das Stillsetzen des Motors eingeleitet Das Motorsch tz 01 f llt ab und die Brems funktion wird gestartet Die Bremsung des Motors erfolgt durch einen Gleichstrom der im Bremsger t K1 durch eine Phasenanschnittsteuerung mit Thyristor erzeugt wird und in der Motorwicklung ein Bremsmoment erzeugt Die Stillsetzzeit darf einen maximalen Wert z B 10 Sekunden nicht berschreiten Die hierf r erforderliche H he des Bremsstroms kann ber ein Potenziometer am Bremsger t eingestellt werden Nach Ablauf der maximalen Bremszeit wird der Thyristor nicht mehr angesteuert und der Strompfad f r den Bremsstrom ist unterbrochen Der Stillsetzvorgang entspricht einem Stopp der Kategorie 1 gem DIN EN 60204 1 Die Sicherheitsfunktion l sst sich nicht bei
86. Subsysteme wird die Ausfallwahrscheinlichkeit im Folgenden berechnet Bei 51 handelt es sich um ein handels bliches Not Halt Ger t nach DIN EN ISO 13850 Es erfolgt ein Fehlerausschluss f r den zwangs ffnenden Kontakt und die Mechanik sofern die in Tabelle D 2 dieses Reports angegebene Anzahl der Bet ti gungen nicht berschritten wird F r n wird von drei Bet tigungen im Jahr ausgegangen Hinsichtlich der Gesamtschal tungen von Q1 und dem Frequenzumrichter wird dieser Wert bei der weiteren Berechnung f r beide Sicherheitsfunktionen vernachl ssigt MTTF F r den Positionsschalter B2 mit zwangs ffendem Kontakt ist ein Fehlerausschluss f r den elektrischen Kontakt m glich F r den elektrischen Schlie erkontakt des Positionsschalters B1 betr gt B 1000000 Schaltspiele H F r den mechanischen Teil von B2 und B1 wird ein B Wert von 1000000 Zyklen H angegeben Bei 365 Arbeitstagen 16 Arbeits stunden pro Tag und 10 Minuten Zykluszeit ist f r diese Komponenten n 35040 Zyklen Jahr und MTTF betr gt 285 Jahre fur B2 bzw 142 Jahre f r B1 F r das Sch tz Q1 entspricht bei induktiver Last AC3 der B Wert der elektrischen Lebens dauer von 1000000 Schaltspielen H Bei Annahme von 50 gefahrbringenden Ausf llen ergibt sich der B Wert durch Verdoppelung des B Wertes Da Q1 an beiden sicherheitsbezogenen Stoppfunktionen beteiligt ist folgt mit dem Doppelten des oben angenommenen Wertes f r n eine MTTF von 285
87. Zyklen Jahr und MTTF 579 Jahre Bei h heren Anforderungen l ngere Arbeitszeit oder k rzere Zykluszeit sind unter Umst nden f r K2 K3 h here durch den Hersteller abgesicherte B Werte erforderlich Insgesamt ergibt sich ein MTTF Wert pro Kanal von 193 Jahren gek rzt auf 100 Jahre hoch DC DC 99 f r S1 und S2 ergibt sich durch die direkte berwachung mithilfe der ffner Schlie er Kombinationen in K1 DC 99 f r K2 und K3 gr ndet sich auf dem R cklesen der zwangsgef hrten Offnerkontakte im R ckf hrkreis von K1 Die hohe Bet tigungsdynamik in der Anwendung f hrt zu einer effektiven Testung Durch Mittelung ergibt sich damit ein Dee von 99 hoch Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 70 Punkte Trennung 15 FMEA 5 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der Steuerungselemente entspricht Kategorie 4 mit hoher MTTF pro Kanal 100 Jahre und hohem DC ve 99 F r die Kombination von S1 S2 K2 und K3 ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 2 47 10 Stunde Wird ein Wert von 2 47 10 Stunde G f r K1 hinzuaddiert so ergibt sich eine mittlere Wahrscheinlich keit gef hrlicher Ausf lle von 4 94 10 Stunde Dies entspricht PL e Unter Umst nden ist zur Komplettierung der Sicher heitsfunktion zus tzlich die Ausfallwahrscheinlichkeit nachgeordneter Leistungselemente
88. a a Ti E Te Eingabemasken Zusammenfassung j j PR 13 Unterlast Erkennung fir Leuchtenh l al j Unterlasterkennung S u ia SY S e m BG A y x E SB Leuchtenhanger Steuerung E CH Kanal 1 Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke H BL B1 pj 8 Tr S Kanal 1 BL KI Hinzuf gen Nan a BL KIS L L schen BL Ki0 60 Low 5435 96 eee BL KE 60 Low 22831 05 I ne 4 Bearbeiten BL KI 60 Low 114 551 H BL K BL K2 99 High 22831 05 BL K7 2 Bibliothek BL KIS 99 High 4857 67 H BL K13 BL K3 59 High 22831 05 F BL K20 sl BL K17 3 High 4857 aay a i E I ee Inhalte der Kanale vertauzchen Unterlasterkennung Kanal a Hinzuf gen I Nm Dci MrTedall Abbildung 8 24 PL Bestimmung mithilfe Ian 99 71 Low I von SISTEMA ie 165 fe M 124 8 2 14 Pneumatische Ventilsteuerung Subsystem Kategorie 3 PL d Beispiel 14 gefahrbringende Bewegung e 57181 E m 1V1 2V1 eltern N gt 0S1 weitere Verbraucher und Steuerungen 0V ASA Gel UT Abbildung 8 25 Getestete pneumatische Ventile zur redundanten Steuerung von gefahr bringenden Bewegungen Sicherheitsfunktionen O Sicherheitsbezogene Stoppfunktion Stillsetzen der gefahrbringenden Bewegung und Verhinder
89. abh ngen Eine andere Voraussetzung Ist z B ausreichende berdimensionierung die sicherstellt dass die mechanischen Komponenten z B im Bereich der Dauerfestigkeit belastet wer den Falls ein Fehlerausschluss nicht m glich ist bietet eventuell die Anwendung des weiter unten genannten Verfahrens guter ingenieurm iger Praxis die M glichkeit einen MTTF Wert abzusch tzen D2 2 BGIA Report 6 2004 Untersuchung des Alterungsprozesses von hydraulischen Wegeventilen Bei hydraulischen Anlagen ist als sicherheitsbezogener Teil der Steuerung insbesondere der Ventilbereich zu betrachten Dabei sind vor allem Ventile die gefahrbringende Bewegungen oder Zust nde steuern f r die Berechnung des Performance Levels von u erster Wichtigkeit Das Ausfallverhalten hydraulischer Ventile wird erfahrungsgem wenig von Zufallsausf llen und eher von Verschlei ausf llen gepr gt Dabei handelt es sich in erster Linie um systematische Ursachen wie z B berbeanspru chung ung nstige Einsatzbedingungen oder fehlende Wartung Um die Lebensdauer hydraulischer Ventile besser absch tzen zu k nnen wurde im BGIA eine Diplomarbeit zu diesem Thema initiiert deren Ergebnisse als BGIA Report 6 2004 Untersuchung des Alterungsprozesses von hydraulischen Wegeventilen 3 ver ffentlicht wurden Da es sich in der Regel bei Ventilen die Steuerungsaufgaben bernehmen um Wegeventile in Schieber bauweise handelt wurden die MTTF Wert f
90. aktiver Sicht eine editierbare Eingabemaske oder einen Abschnitt aus dem bersichtsdokument Der Inhalt der jeweiligen Sicht ist durch das ausgew hlte Grundelement aus der weiter oben genannten Hierarchie bestimmt und wird ber die Selektion in einer Baumansicht auf der linken Seite festgelegt Jede Verzwei gung in der Baumansicht steht f r ein Grundelement ber den Baum lassen sich auch Grundelemente auf den verschiedenen Ebenen neu erzeugen entfernen verschieben oder kopieren Die Details des angew hlten Grundelements werden in der Editier ansicht ber die Eingabemaske eingetragen Jede Eingabemaske ist selbst ber Register in verschiedene Bereiche untergliedert Die jeweils letzte Registerkarte enth lt eine Tabelle die alle untergeordneten Verzweigungen zusammenfasst und die wich tigsten Informationen auflistet Hat der Benutzer beispielsweise einen Block in der Baumansicht markiert so zeigt diese Tabelle alle darin enthaltenen Elemente mit ihren MTTF und DC Werten an Ferner enth lt die Baumansicht zu jedem Grundelement eine Statusinformation durch eine farbliche Markierung in Form eines Punktes neben der Verzweigung Rot zeigt an dass eine Bedin gung der Norm nicht erf llt ist ein Grenzwert berschritten ist oder eine allgemeine Inkonsistenz vorliegt durch die ein erfor derlicher Wert nicht berechnet werden kann In diesem Fall wird Date Bearbeiten Ansicht Hifa eine Warnung ausgegeben Gelb bedeutet dass ein unk
91. allen Bauteilausf llen aufrechterhalten und h ngt von der Zuverl ssigkeit der Bauteile ab Es sind keine Ma nahmen zur Fehlererkennung vorgesehen 98 Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Als grundlegendes Sicherheitsprinzip wird das Prinzip der Energietrennung Ruhestromprinzip angewandt Zum Schutz gegen unerwarteten Wiederanlauf nach Wiederherstellung der Energieversorgung ist die Steuerung mit einer Selbsthaltung ver sehen Bei S1 handelt es sich um einen Tastschalter mit zwangl ufigem Bet tigungsmodus gem DIN EN 60947 5 1 Anhang K Zwangs ffnung S1 wird daher als bew hrtes Bauteil angesehen Das Sch tz 01 ist ein bew hrtes Bauteil unter Ber cksichtigung der zus tzlichen Bedingungen nach Tabelle D 4 der DIN EN 13849 2 Das Bremsger t K1 ist ausschlie lich unter Verwendung einfacher elektronischer Bauelemente wie z B Transistoren Kondensatoren Dioden Widerst nde Thyristoren aufgebaut die als bew hrte Bauteile angesehen werden Die fehlerfreie Durchf hrung der sicherheitsrelevanten Bremsfunktion wird durch die Auswahl der Bauteile charakterisiert Interne Ma nahmen zur Fehlererkennung sind nicht vorgesehen Es kommen keine komplexen elektronischen Bauteile z B Mikropro zessoren zum Einsatz d
92. angewandten Normen und sonstige technische Spezifikationen unter Angabe der von diesen Normen erfassten grundlegenden Sicherheits und Gesundheitsschutzanforderungen alle technischen Berichte mit den Ergebnissen der Pr fungen die vom Hersteller selbst oder von einer Stelle nach Wahl des Herstellers oder seines Bevollm chtigten durchgef hrt wurden ein Exemplar der Betriebsanleitung der Maschine gegebenenfalls die Einbauerkl rung f r unvollst ndige Maschinen und die Montageanleitung f r solche unvollst ndigen Maschinen gegebenenfalls eine Kopie der EG Konformit tserkl rung f r in die Maschine eingebaute andere Maschinen oder Produkte eine Kopie der EG Konformit tserkl rung bei Serienfertigung eine Aufstellung der intern getroffenen Ma nahmen zur Gew hrleistung der bereinstimmung aller gefertigten Maschinen mit den Bestimmungen dieser Richtlinie 42 6 1 2 Systematische Ausf lle Systematische Ausf lle haben im Gegensatz zu zuf lligen Bauteilausf llen Ursachen die nur durch eine nderung z B der Gestaltung oder des Herstellungsprozesses der Betriebsverfahren oder der Dokumentation beseitigt werden k nnen Sie entstehen irgendwann im Laufe des Lebenszyklus eines Produktes z B durch Fehler in der Spezifikation im Entwurf oder bei einer nderung von SRP CS Die Realisierung mehrkanaliger Struk turen und auch die Betrachtung der Wahrscheinlichkeit von Bauteilausf llen sind wichtige Elemente der sicherheitstech nischen
93. auf weniger als 100 Seiten alles Notwendige in einem Guss Die Methoden sind von der konkreten Anwendung oder Technologie unabh ngig formuliert und k nnen deshalb von nahezu allen Produktnormen C Normen in Bezug genommen sowie in den maschinenspezifischen Normen erw hnt werden Die Norm erh lt als harmonisierte Norm nach Inkrafttreten der neuen Maschinenrichtlinie 8 am 29 Dezember 2009 ein st rkeres Gewicht Wesentliche Neuerung ist beispielsweise die Aufnahme von sicherheitsrelevanten Logiken auch sicher heitsbezogene Teile von Steuerungen genannt in den Anhang IV der neuen Richtlinie Solche Anhang IV Produkte erfahren nach der Richtlinie eine besondere Behandlung sofern sie nicht nach harmonisierten und im Amtsblatt ver ffentlichten Normen hergestellt werden Anhang IV Produkte sind dann zwar nicht mehr EG baumusterpr fpflichtig sie k nnen u a auch durch 1 Neben der EG Baumusterpr fung kann der Hersteller nach heute g ltiger Maschinenrichtlinie bei Vorliegen einer harmonisierten und gelisteten Norm auch erkl ren dass er nach dieser harmonisierten und gelisteten C Norm gebaut hat und er muss die Unterlagen entweder bei einer notifizierten Pr fstelle hinterlegen oder dort pr fen lassen und hinterlegen 13 ein erweitertes von einer notifizierten Pr fstelle gepr ftes Qualit tsmanagement QM System des Herstellers in den Markt eingef hrt werden jedoch r cken Steuerungen mit der neuen Richtlinie verst rk
94. control Se explica detalladamente la determinaci n del Performance Level PL realmente alcanzado Se exponen en detalle los requisitos para alcanzar el respectivo Performance Level y sus respectivas categor as la fiabilidad de los compo nentes los grados de cobertura del diagn stico la seguridad del software y las medidas contra fallos sistem ticos as como errores originados por una causa com n Informaciones de tras fondo sobre la implementaci n de los requisitos en la pr ctica de la ingenier a de control completan la oferta Numerosos ejem plos de circuitos que abarcan hasta el nivel de los componentes muestran c mo se puede implementar t cnicamente el Perfor mance Level a a e con las categor as B a 4 en las diversas tecnolog as Estos ejemplos dan indicaciones sobre los principios de seguridad aplicados y los componentes comprobados desde el punto de vista de la t cnica de seguridad Numerosas referencias bibliogr ficas ayudan a comprender mejor los diversos ejemplos El informe demuestra que los requisitos de la norma DIN EN ISO 13849 pueden implementarse en la pr ctica t cnica y contribu ye de esta forma a la aplicaci n e interpretaci n unitaria de la norma a nivel nacional e internacional Inhaltsverzeichnis 1 VOW ONT ee a ae een Reese 2 LLL 1 1 py APP po o A A e o Eo 3 Basisnormen zur funktionalen Sicherheit von Maschinensteuerungen cccccccccccncnnnnnnnnnnnnnnnononcnnnnnnnnnnnnnnnnnnon
95. das Leistungssch tz Q1 Die Testung der Lichtschranken erfolgt vor jedem Start der gefahrbringenden Bewegung nach dem Dr cken der Start Taste S2 durch softwaregesteuertes Ausschalten der Lichtschrankensender mittels SPS Ausgang 01 2 Die berwachung der Empf ngerreaktion K2 f llt wieder ab erfolgt ber die SPS Eing nge 11 1 und 11 2 Bei fehlerfreiem Verhalten gelangt K2 ber 01 2 in Selbsthaltung und S2 kann zum Einleiten der gefahrbringenden Bewegung losgelassen werden K1 wird ber 01 0 entregt und ber 01 1 wird das Hauptsch tz Q1 angesteuert Im Falle eines durch die Testung aufgedeckten Fehlers in einer Lichtschranke oder in K2 werden die Ausg nge 01 1 und 01 2 deaktiviert und es erfolgt keine weitere Ansteuerung des Hauptsch tzes Q1 Beim unterstellten globalen Versagen der SPS Ausgang 01 0 f hrt Low Potenzial 01 1 und 01 2 f hren High Potenzial bewirkt eine Lichtstrahlunterbrechung unabh ngig von der SPS die Entregung von K2 Um diese Unabh ngigkeit sicherzu stellen werden die Lichtschrankenausg nge mithilfe der Entkopplungsdiode R2 von der SPS getrennt Im ung nstigen Fall k nnen ber das Bet tigen der Start Taste die Lichtschranken wieder mit K2 aktiviert werden und somit das Hauptsch tz Q1 ansteuern Somit w re nur die Testeinrichtung ausgefallen Ein Ausfall der Testeinrichtung wird wegen eines wahrschein lich in diesem Zusammenhang gest rten funktionalen Prozessablaufs aufgedeckt W hrend des Tests ist di
96. den Taster S1 eingeleitet Im Normalbetrieb erfolgt die Anforderung zur Drehung ber den an der T r befindlichen Bewegungsmelder B3 Der Frequenz umrichter T1 wird gemeinsam durch die beiden Mikrocontroller K1 und K2 angesteuert Jeder Mikrocontroller uC beinhaltet einen Mikroprozessor CPU als Recheneinheit sowie Arbeits RAM und Festwertspeicher ROM K1 steuert die Funktionen der Sollwertvorgabe Reglerfreigabe sowie des Schnellstopps Durch K2 wird die Impulssperre angesteuert und die Halte bremse Q1 kann mithilfe des Hilfssch tzes K3 gel st werden Die Drehgeber G1 und G2 bermitteln die Motordrehzahl an K1 bzw K2 Fehler in der Schaltleiste bzw der Lichtschranke werden in den zugeh rigen Auswerteger ten B1 und B2 erkannt werden Dies gilt auch f r Fehler in B1 und B2 die durch interne berwachung erkannt werden Fehler in den Komponenten der Mikrocontroller werden ber durchgef hrte Selbsttests bzw durch Datenvergleich erkannt Die korrekte Funktion des Frequenzumrichters T1 wird mithilfe der Drehgeber G1 und G2 in K1 bzw K2 berwacht Aufgedeckte Fehler f hren gesteuert ber K1 und oder K2 zur Stillsetzung der T rdrehbewegung durch T1 und oder Q1 Zur Befreiung eingeschlosse ner Personen k nnen die T rfl gel von Hand geklappt werden Durch redundante Verarbeitungskan le f hrt ein einzelner Fehler nicht zum Verlust der Sicherheitsfunktionen Die Kombi nation unerkannter Fehler kann zum Verlust der Sicherheitsfunkti
97. des S ulendiagramms zusam menh ngt gelten die damit verbundenen Einschr nkungen auch bei einer unabh ngigen Bestimmung der durchschnitt lichen Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde nach anderen Methoden Wie schon erw hnt gelten f r einige Kategorien folgende Einschr nkungen durch die Architektur die verhindern sollen dass die Bauteilzuverl ssigkeit gegen ber den anderen Einflussgr en berbewertet wird O Mit Kategorie B kann maximal PL b erreicht werden O Mit Kategorie 1 kann maximal PL c erreicht werden O Mit Kategorie 2 kann maximal PL d erreicht werden O Mit Kategorie 3 oder 4 ist auch PL e erreichbar Au er dem quantitativen Aspekt der Ausfallwahrscheinlichkeit m ssen zum Erreichen eines bestimmten PL aber auch qualitative Aspekte beachtet werden Zu diesen geh ren systematische Ausf lle siehe Abschnitt 6 1 2 und Softwarefehler auf die in Abschnitt 6 3 n her eingegangen wird 6 2 17 Bussysteme als Verbindungsmittel Die einzelnen Bl cke Eingabeeinheit Logik und Ausgabe einheit einer vorgesehenen Architektur m ssen nicht nur logisch sondern auch physikalisch miteinander verbunden werden Dazu definiert die Norm sogenannte Verbindungsmittel die als Teil der SRP CS betrachtet werden Der Name Verbindungsmittel erscheint zun chst aus der Sicht eines Experten der Elektro oder Fluidtechnik merkw rdig ist aber der Oberbegriff f r elektrische sowie fluidtechnische
98. die Nachrichten systematisch verf lschen z B vollst ndig invertieren Durch Ma nahmen in sogenannten Sicherungs schichten die dann in sicherheitsbezogenen Teilen von Steue rungen realisiert werden lassen sich bertragungsfehler mit hinreichender Wahrscheinlichkeit ausschlie en Geeignete Ma nahmen sind z B laufende Nummer Zeitmarke Zeiterwar tung Empfangsbest tigung Kennung f r Sender und Empf nger und Datensicherung Gerade die Betrachtung der Datensicherung ist oft mit komplexen Berechnungen verbunden Ziel dieser Betrachtungen ist es die sogenannte Restfehlerwahrscheinlich keit Rund die daraus abgeleitete Restfehlerrate A in Anleh nung an das kleine A als Fehlerrate von Bauteilen zu bestim men Genau dieser Wert l sst sich dann unter dem Aspekt der f r einen PL geforderten durchschnittlichen Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde als Anteil f r die bertragung sicherheitsrelevanter Nachrichten einrechnen Beide oben genannten Publikationen begrenzen den Wert der Restfehlerrate auf 1 des zul ssigen Maximalwertes der Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde Tats chlich sind von Herstellern bisher angegebene Werte oft auf einen SIL siehe Kapitel 3 bezogen in der Praxis sind diese Werte aber kompa tibel f r einen Einsatz unter einem geforderten PL siehe auch Abbildung 3 2 Durch die 1 Regel ist der Beitrag zur Wahr scheinlichkeit eines gef hrlichen Ausfalls je Stunde
99. die Zuverl ssigkeit der Komponenten in der Regel vom Verschlei verhalten der bewegten Elemente bestimmt Bei fluidtechnischen Komponenten wie z B Ventilen die meistens komplexe Einheiten mit vielen beweglichen Ele menten z B Schieber St el Federn in Vorsteuerstufe und Hauptstufe darstellen kann die Lebensdauer auch von den betrieblichen Umgebungsbedingungen stark beeinflusst werden Hierbei sind insbesondere zu nennen 224 Qualit t und Zustand des Druckmediums Druckluft Vertr glichkeit von Dichtungen mit den Schmierstoffen O Temperatureinfl sse Oo Umgebunsseinfl sse wie z B St ube Gase Fl ssigkeiten Auf eine Einhaltung der vom Hersteller der Komponenten spezi fizierten Anforderungen ist unbedingt zu achten damit die bei der Ermittlung der Steuerungskategorie zugrunde gelegten Para meter bez glich des Ausfallverhaltens der Komponente zutreffend sind Sind die folgenden Merkmale erf llt kann der MTTF Wert f r ein einzelnes pneumatisches elektromechanisches oder mechanisches Bauteil nach den weiter unten aufgef hrten Formeln abgesch tzt werden O Der Hersteller des Bauteils best tigt die Verwendung von grundlegenden Sicherheitsprinzipien nach DIN EN ISO 13849 2 2003 Tabelle B 1 oder Tabelle D 1 f r die Konstruktion des Bauteils Best tigung im Datenblatt des Bauteils O Der Hersteller eines Bauteils das in einer Steuerung der Kategorie 1 2 3 oder 4 verwendet werden soll best tigt die Verw
100. durch MTTF und DE ve im PL bereits ber cksichtigt sind orientiert sich der PL f r die Zusammenschaltung an der H ufigkeit des niedrigsten PL in der Serienschaltung und nicht an der niedrigsten Einzelkategorie Mit der Anzahl der Steuerungselemente steigt auch die Gesamt Ausfallwahrscheinlichkeit daher kann der PL der Reihenschal tung gegen ber dem niedrigsten Subsystem PL noch um eine Stufe verringert sein wenn z B davon mehr als drei Elemente hintereinander geschaltet werden Als grobe Absch tzung des erreichten Gesamt PL auf der Basis der Subsystem PL l sst sich folgendes Verfahren der DIN EN ISO 13849 1 verwenden Zun chst wird der niedrigste PL aller in Reihe geschalteter Subsysteme ermittelt dies ist Pede O Anschlie end wird die H ufigkeit des Auftretens von edi in der Reihenschaltung der Subsysteme abgezahlt dies st N niedrig AusPL iegrig und Nijedna l sst sich dann nach Tabelle 6 6 der Gesamt PL bestimmen Tabelle 6 6 Vereinfachte PL Bestimmung f r in Reihe geschaltete Subsysteme kein PL nicht erlaubt PE niedrig Dieses vereinfachte Verfahren unterst tzt die Bestimmung des Gesamt PLs wenn von den Subsystemen nur der PL und nicht der dahinter stehende Wert der durchschnittlichen Wahrschein lichkeit eines gef hrlichen Ausfalls je Stunde bekannt ist Als N herung wird dabei f r die Subsysteme eine Ausfallwahr scheinlichkeit genau in der Mitte des f r den jeweiligen PL g ltigen Bereichs a
101. eine Abstraktion von der Hardwareebene stattfindet ist die Reihenfolge der Subsysteme prinzipiell aus tauschbar Es empfiehlt sich daher wie in Abbildung 6 14 gezeigt Subsysteme gleicher Struktur zusammenzufassen Dadurch wird die PL Bestimmung einfacher und unn tige Abschneideeffekte z B die mehrfache Begrenzung der MTTF eines Kanals auf 100 Jahre werden vermieden Trotzdem bleiben Spezialf lle brig f r die sich bisher keine oder nur sehr grobe Regeln angeben lassen Ein Spezialfall betrifft die Parallelschaltung von Subsystemen Hier lassen sich weder hinsichtlich der quantifizierbaren Aspekte z B zweimal Kategorie 1 parallel ergibt noch keine Kategorie 3 da die Fehler erkennung fehlt noch hinsichtlich der qualitativen Aspekte z B systematische Ausf lle Software Ausfall infolge gemeinsamer Ursache einfache und allgemein g ltige Regeln aufstellen Daher bleibt nur eine Neubewertung des Gesamtsystems wobei unter Umst nden auf einzelne Zwischenergebnisse z B MTTF oder DC von Bl cken zur ckgegriffen werden kann Abbildung 6 14 Gemischte Subsysteme lassen sich im sicherheitsbezogenen Blockschaltbild umsortieren hardwarenahe Darstellung drei SRP CS als Subsysteme vereinfachte logische Darstellung zwei SRP CS als Subsysteme Einen weiteren Spezialfall stellt die Integration von bereits mit einem PL oder SIL oder einer durchschnittlichen Wahrschein lichkeit eines gef hrlichen Ausfalls je Stunde vers
102. eines FIT Wertes wenig anschaulich ist vermittelt die Angabe eines zeitlichen Erwar tungswertes in Jahren eher eine Vorstellung von der Bauelement g te Abbildung D 2 siehe Seite 222 zeigt die statistisch zu erwartende Entwicklung des Anteils gefahrbringender Ausf lle ber der Einsatzzeit f r vier verschiedene MTTF Werte Hier l sst sich ein weiterer mathematischer Zusammenhang ablesen n mlich dass bei Erreichen der MTTF Marke auf der Zeitachse 221 im statistischen Mittel ca 63 aller anf nglich intakten Bauteile gefahrbringend ausgefallen sind nicht 50 da zwar mehr Bauteile vor Erreichen der MTTF ausfallen daf r aber die dann noch intakten Bauteile mit Restlaufzeiten von teilweise dem Mehrfachen der MTTF schwerer wiegen Das vereinfachte Quantifizierungsverfahren nach DIN EN ISO 13849 1 unterstellt eine bliche Gebrauchsdauer von maximal 20 Jahren f r Bauteile in Sicherheitssteuerungen im Maschinen bau Vor diesem Hintergrund und bei Kenntnis des zeitlichen Verlaufs der Ausfallrate Abbildung D 1 wird verst ndlich dass die Angabe eines MTTF Wertes nur als illustrative Kennzeich nung f r das Zuverl ssigkeitsniveau innerhalb der Gebrauchs dauer verstanden werden sollte und weder eine Garantie f r eine ausfallfreie Zeit vor Erreichen der MTTF noch eine exakte Vor hersage f r den Ausfallzeitpunkt eines Einzelbauteils bietet Ist der Verschlei bereich erreicht ndert sich das Ausfallverhalten grundlegend
103. einschleichen Dementsprechend m ssen alle Entwicklungs und Verifikationsma nahmen sowie die Validierung der betroffenen Sicherheitsfunktionen wiederholt werden Bei dem beschriebenen Aufwand ist es verst ndlich dass der Einfluss einer Modifikation auf die Sicherheitsfunktionen syste matisch zu untersuchen und zu dokumentieren ist Da Modifi kationen einen erheblichen Effekt auf die korrekte Ausf hrung der Sicherheitsfunktion haben k nnen sollte fr hzeitig ein geeig netes Verfahren festgelegt werden gegebenenfalls einschlie lich der Benennung verantwortlicher Personen 6 3 10 Anforderungen an die Software von Standardkomponenten in SRP CS Sicherheitsbezogene Steuerungen werden oft auch mit Stan dardkomponenten f r den industriellen Anwendungsbereich realisiert Da die Norm Anforderungen an die Realisierung von SRESW und SRASW formuliert sind diese auch in Bezug auf elek tronische programmierbare Standardkomponenten zu erf llen Im Vergleich zu gepr ften Sicherheitskomponenten ergeben sich jedoch Einschr nkungen Folgende Kategorien bzw Performance Level PL k nnen durch elektronische programmierbare Stan dardkomponenten nicht beansprucht werden O Kategorie 1 Ausschluss durch die Norm O Kategorie 4 bzw PL e kann in der Regel beim Einsatz von Standardkomponenten wegen des geforderten hohen Diagnosedeckungsgrades DC in der Praxis nicht erreicht werden Eine individuelle Beurteilung des Einzelfalls ist notwendig
104. erkontakt des Tasters 2 aktiver Sicht aus m Ein Rechtsklick ffnet ein Kontextmen mit dem folgenden Inhalt m 3 j i T 1 An El Hinzuf gen F gt dem E BL Schlie erkontakt des Tasters 52 a rg a j 4 ausgew hlten Grundelement ein neues i EL 321314 BL Hilfssch tz ES Hi AB untergeordnetes Grundelement hinzu BL Offmerkontakt des Tasters 51 BL Hillssch tz KE i 231 48 Tha EL 51 21 22 E BL Hydrauikventil 13 i 1 iz L schen Entfernt das ausgew hlle E BL ASICK2 BL Hydiaubkventil 2 1 j Crundelement aus der Liste EL ASIC j e 2 Aus Bibliothek laden L dt ein EL Peripherie Grundelement aus der Bibliothek Das E BL Hifssch tz K5 geladene Grundelement wird als ein EL Hifsschutz K5 Unterelement des aktuell ausgew hlten E BL Hilssch tz K6 eingef gt EL Hilissch tz KE hal e in die Bibliothek kopieren F gt eine E BL Hydraulikventl 1W3 L schen a 4 ic we Kopie des ausgewahiten EL Hydraulikwentil 1V3 De iS Grundelernents in die Bibliothek ein 7 ji E nee 21 Ausschneiden Entfarra naz Fani ausgew hlte Grundelement aus der E TE 7a RF a qa ib cis Liste und f gt es in die Windows a BL en arg Zwischenablage ein ove ji 42 Kopieren Kopiert das ausgew hlte Zwischenablage ist Einfiigen F gt ein Grundelement aus der Windows Zwischenablage ein Das Grundelement wird als Unterelement des aktuell ausgew hlten eingef gt
105. ffunktion getestet woraus sich DC 90 ableitet F r F1 wird eine DC 99 angesetzt Durch Mittelung ergibt sich damit ein DC ve von 98 mittel Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen ber spannung usw 15 und Umgebungsbedingungen 25 10 Das Subsystem bestehend aus Q1 Q2 und F1 entspricht Kategorie 3 mit hoher MTTF 64 Jahre und mittlerem Dr 98 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 4 45 10 8 Stunde Dies entspricht PL e Nach Hinzuf gen des Subsystems bestehend aus Schutzeinrichtung und Sicherheitsbaustein K1 wird der PL unter Umst nden geringer Unter Ber cksichtigung der oben aufgef hrten Absch tzung zur sicheren Seite ergibt sich f r das verschlei behaftete Element 02 ein T Wert von 3 7 Jahren f r den vorgesehenen Austausch 175 8 2 31 Pneumatische Ventilsteuerung Subsystem Kategorie 4 PL e Beispiel 31 gefahrbringende Bewegung 1V1 TN w Mea a A o el E 0S1 P7 vami AN weitere Verbraucher und Steuerungen Abbildung 8 50 Getestete pneumatische ig Ventile zur redundanten Steuerung von gefahr bringenden Bewegungen Sicherheitsfunktionen O Sicherheitsbezogene Funktion Reversieren der gefahrbringenden Bewegung und Verhinderung des ungewollten Anlaufs aus der Ruhelage Hier ist nur der pneumatische Steuerungsteil als Subsystem
106. hydraulisches Ventil Subsystem Kategorie 2 PL t r PL c Sicherheitsfunktionen Beispiel 12 nennen 120 8 2 13 Unterlast Erkennung f r Leuchtenh nger Kategorie 2 PL d Beispiel 13 ooooonooonccccnccccnnnnnnnnnnnnnnnnnnnnnnnnnnnos 122 8 2 14 Pneumatische Ventilsteuerung Subsystem Kategorie 3 PL d Beispiel 14 oooooonccccccccnnnnnnnnnnnnnnnnnnnnnnnnnnnonos 126 8 2 15 Schutzeinrichtung und SPS gesteuerte Hydraulik Kategorie 3 PL d Beispiel 15 ooonnnnnncccncnnnncccnnnnnnnnnnnnnnnnnnos 128 8 2 16 Erdbaumaschinensteuerung mit Bussystem Kategorie 3 PL d Beispiel 16 oooooocccnnnncnnnnnnnnnnnnnnnnnnnnnnnnnnnanns 130 8 2 17 Kaskadierung von Schutzeinrichtungen mittels Sicherheitsbausteinen Kategorie 3 PL d Beispiel 17 134 8 2 18 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 3 PL d Beispiel 18 138 8 2 19 Verriegelungseinrichtung mit Zuhaltung Kategorie 3 PL d Beispiel 19 oooooooooooccccnoncnnnnnnnnnnnncnononnnnnnnnnnnnos 140 8 2 20 Sicheres Stillsetzen eines SPS gesteuerten Antriebs Kategorie 3 PL d Beispiel 20 ooonnncnccnnncncccccnnnnnnnnnnnnnnnno 144 8 2 21 Sicher begrenzte Geschwindigkeit f r Tippbetrieb Kategorie 3 PL d Beispiel 21 ooconnnnnncccccncccnnnnnnnnnnnonnonnnn 148 8 2 22 Muting einer Schutzeinrichtung Kategorie 3 PL d Beispiel 22 occc
107. ist die Angabe von Ausfallraten abgek rzt A nur auf gefahrbrin gende Ausf lle bezogen entsprechend y mit der gebr uch lichen Einheit FIT Failures In Time d h Anzahl der Ausf lle in 10 Bauteilstunden 1 FIT 107 h Diese Ausfallrate beschreibt zu einem bestimmten Zeitpunkt die Rate mit der funktionsf hige Bauteile gerade ausfallen Das hei t die Zahl der Ausf lle pro Zeit wird durch die Anzahl der zum jeweiligen Zeitpunkt noch ausfallfreien Bauteile geteilt Das Ausfallverhalten vieler Arten von Bauteilen speziell elektronischer Bauteile stellt sich in Abh ngigkeit von der Zeit als mehr oder weniger ausgepr gte Badewannenkurve dar 1 siehe Abbildung D 1 Am Anfang der Gebrauchsdauer fallen in der Regel verst rkt Bauteile aus Dies sind Fr hausf lle die aber nur f r kurze Zeit dominieren Nach berschreiten der empfehlenswerten Gebrauchsdauer steigen die Ausf lle wieder an Im mittleren Bereich der blichen Gebrauchsdauer ist insbesondere bei elektronischen Bauelementen oft ein plateau hnlicher Bereich konstanter Ausfallrate zu beobachten Dieser wird durch die sogenannten Zufallsausf lle gepr gt Selbst st rker von Ver schlei als von Zufallsausf llen dominierte Bauteile z B elektro mechanische oder pneumatische lassen sich oft im Rahmen ihrer Gebrauchsdauer durch die Annahme einer zur sicheren Seite hin abgesch tzten konstanten Ausfallrate beschreiben blicherweise werden Fr hausf lle verna
108. nicht reali sierbar Diese Fehlerausschl sse sind abge sehen von wenigen physikalisch begr ndeten Einzelf llen jeweils ein Kompromiss zwischen den sicherheitstechnischen Erfordernissen ei nerseits und den technischen und wirtschaftli chen M glichkeiten andererseits Gr nde f r Fehlerausschl sse sind insbesondere die physikalische Unm glichkeit einer be stimmten Fehlerart Beispiel starke Zu nahme der Kondensatorkapazit t oder Ver gr erung des Volumenstroms einer Konstantpumpe ohne Anderung der Be triebs und Antriebsparameter allgemein anerkannte anwendungsunab h ngige technische Regeln oder Erfahrun gen Beispiel Zwangsf hrung bei Relais oder pl tzlicher Bruch eines Ventil Schie berkolbens in viele Einzelst cke technische und wirtschaftliche Aspekte die anwendungsabh ngig und damit abh ngig vom konkreten Risiko der Anwendung sind Beispiel Leitungsschluss bei extern ver legten Kabeln oder selbstst ndiges Schal ten eines Ventils ohne Ansteuerung bei An wendungen mit relativ geringem Risiko Die beiden erstgenannten Gr nde f r einen Fehlerausschluss stellen den Regelfall dar Dennoch sind in bestimmten Anwendungen weitergehende Fehlerausschl sse m glich Diese zus tzlichen Fehlerausschl sse richten sich insbesondere nach der Auftrittswahr scheinlichkeit dieser Fehler Sie l sst sich durch konkrete Ausfallraten belegen oder von entsprechenden betrieblichen Erfahrungen ablei
109. niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 85 Punkte Trennung 15 Diversit t 20 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der pneumatischen Steuerungselemente entspricht Kategorie 3 mit hoher MTTF pro Kanal 71 Jahre und niedrigem mu 75 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 21 10 Stunde Dies entspricht PL d Nach Hinzuf gen weiterer sicherheitsbezogener Steuerungsteile als Subsysteme zur Vervollst ndigung der Sicherheitsfunktion wird der PL unter Umst nden geringer Die verschlei behaftete Bremse 271 sollte nach jeweils ca drei Jahren T oq ausgetauscht werden 127 8 2 15 Schutzeinrichtung und SPS gesteuerte Hydraulik Kategorie 3 PL d Beispiel 15 gefahrbringende Bewegung Laserscanner s1 FE e O Eing nge Sicherheits 1V3 INES Abbildung 8 26 Schutzfeld Uberwachung durch Laserscanner mit elektrohydraulischer Abschaltung der gefahr bringenden Bewegung Sicherheitsfunktion O Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Ein Eindringen in das Schutzfeld des Laser scanners fuhrt zu einem Stillsetzen der gefahrbringenden Bewegung Funktionsbeschreibung O Der Laserscanner F1 berwacht mit seinem Schutzfeld den Bereich in dem die Bewegung des Zylinders 1A f r den Bediener gef hrlich werden kann Das Ausgangssig
110. oder nur widerspr chliche Angaben zur Ausfallartenverteilung von Bauelementen vor Daher bietet sich der in Abbildung B 3 beschrittene pragmatische Weg an nur zu pr fen welcher der drei folgenden F lle bei einem Bau element vorliegt a Alle Ausfallarten f hren zum Ausfall des Funktionsblocks in dessen sichere Richtung oder haben keine Auswirkung auf sein Verhalten b Es gibt mindestens eine Ausfallart die den Funktionsblock in dessen sichere Richtung ausfallen l sst und mindestens eine Ausfallart die ihn in seine gef hrliche Richtung ausfallen l sst c Alle Ausfallarten f hren zum Ausfall des Funktionsblocks in dessen gef hrliche Richtung Im Fall a wird die komplette Ausfallrate A der Ausfallrate A in die sichere Richtung zugewiesen Beispiel Infrarot LED P1 Entsprechend wird im Fall c die gesamte Ausfallrate der Ausfallrate A in die gef hrliche Richtung zugerechnet Beispiel Kondensator C1 Im Fall b weist man die Gesamtausfallrate A je zur H lfte A und A zu Beispiel Transistor K2 Abbildung B 3 Sinnvolle Ausf hrungsform einer FMEA Tabelle f r den Funktionsblock Lichtschranke aus Abbildung B 2 Bezeichnung des Funktionsblocks Lichtschranke Gef hrliche Ausfallrichtung des Anliegen einer Ausgangsspannung gr er als Null bei Nichtbeleuchtung des Fototransistors K1 Funktionsblocks Datenquelle f r Ausfallraten XYZ Datenbank Basis Ausfall Rate FIT Relev Bauelem Temp
111. r hydraulische Bauteile ersatzweise an Wegeventilen in Schieberbauweise ermittelt Die wichtigsten Ergebnisse dieser Untersuchung werden im Folgenden kurz vorgestellt Die Grundlage f r die Absch tzung eines MTTF Wertes bilden in erster Linie die Ausfallraten von hydraulischen Wege Schieberventilen die im Rahmen einer Untersuchung in den Instandhaltungsabteilungen zweier gro er Hydraulikanwender ermittelt wurden im Folgenden Anwender A bzw B genannt Dies erfolgte durch Auswertung von EDV Daten Neubeschaf fungsmengen von hydraulischen Wegeventilen in Schieber bauweise und Reparaturberichten und Mitwirkung bei Instand haltungsarbeiten Zus tzlich zu den Ausfalldaten der Ventile wurden die Einsatzbedingungen ber cksichtigt Somit ist die Vergleichbarkeit der bei den jeweiligen Hydraulikanwendern ermittelten MTTF Werte gegeben Zur Absicherung und Best tigung dieser Daten wurden dar ber hinaus durch eine Umfrage unter Ventilherstellern zus tzliche Ausfalldaten gesammelt Bei Anwender A wurden die Ausfallraten der Wegeventile in der Instandhaltungsabteilung der Getriebefertigung erfasst Verf g bar waren die Daten aller ausgefallenen Wegeventile ber einen Zeitraum von 38 Monaten in dem es 143 Ausf lle von Wege ventilen gab In den Maschinen der Getriebefertigung gr ten teils Werkzeugmaschinen waren ungef hr 8 050 Wegeventile unterschiedlichen Alters im Einsatz Wenn in dieser Zeitspanne eine konstante Ausf
112. sicheren Seite und zugleich eine Arbeitsersparnis weil die genauen elektrischen Betriebswerte f r die Bauelemente nicht alle einzeln ermittelt werden m ssen Sobald jedoch bekannt ist dass die Last bestimmter Bauelemente ber der Referenzbelastung liegt sollten die relevanten Anpassungsfaktoren ber cksichtigt werden Wenn die Basisausfallrate einzelner Bauelemente innerhalb des Funktionsblocks dominiert was beispielsweise f r Prozessoren und Leistungshalbleiter oft zutrifft dann ist eine genaue Betrach tung und ggf Ber cksichtigung aller erforderlichen Anpas sungsfaktoren f r diese Bauelemente geboten Als n chstes wird die Gesamtausfallrate A jedes Bauelementes in die Anteile A safe bzw sichere Richtung und A dangerous bzw gef hrliche Richtung aufgeteilt wozu u a die gef hrliche Ausfallrichtung des Funktionsblocks bekannt sein muss s o Nach der reinen Lehre m sste dies in zwei Schritten geschehen Die Gesamtausfallrate wird zuerst auf die verschiedenen Ausfall arten z B Unterbrechung Kurzschluss Drift Funktions nderung verteilt Im zweiten Schritt werden die auf jede Ausfallart ent fallenden Ausfallratenanteile A oder A zugewiesen je nachdem ob die betreffende Ausfallart den Funktionsblock in dessen sichere oder gef hrliche Richtung ausfallen l sst Das unver nderte Weiterfunktionieren wird dabei wie ein Ausfall in die sichere Richtung gewertet In der Praxis liegen oft keine
113. sicherheitsrelevanter Anwendungssoftware SRASW m ssen 1 0 Tests sicherstellen dass die sicherheitsbezogenen Ein gangs und Ausgangssignale korrekt verwendet werden F r PL d und e wird bei der Validierung auch eine erweiterte Testfallaus f hrung auf der Basis von Grenzwertanalysen empfohlen Hierbei wird auch die Reaktion auf vorher analytisch bestimmte und im Test durchgef hrte Fehlerf lle beobachtet um so die Fehler erkennung und beherrschung durch die Software zu testen Einzelne Softwarefunktionen die als Sicherheits Funktionsbau steine bereits zertifiziert oder qualit tsgesichert validiert wurden m ssen nicht nochmals gepr ft werden Allerdings ist die bereits erfolgte Validierung zu belegen Sobald aber mehrere dieser Sicherheits Funktionsbausteine projektspezifisch zusammen geschaltet werden ist die resultierende gesamte Sicherheitsfunk tion zu validieren F r sicherheitsbezogene Embedded Software SRESW muss f r das Erreichen des PL berpr ft werden ob die erforderlichen konstruktiven Ma nahmen zur Softwarerealisierung gem Abschnitt 6 3 korrekt umgesetzt und implementiert wurden Im besonderen Fall von SRESW die in SRP CS mit PL e eingesetzt und nicht diversit r f r beide Kan le entwickelt wurde m ssen die SIL 3 Anforderungen nach Abschnitt 7 der DIN EN 61508 3 32 vollst ndig erf llt werden Dies schlie t die darin gefor derten V amp V Aktivitaten ein Bei einer sp teren Modifikation der si
114. sssssssssssssssceeeecccccececeeceeeeaeeeeessssseseseeeeseeceeeeeeeeeas SS PI SOMWATESDEZ yl Es ON OOO e e RE E ESO O SOMWATE WERKZEUG ai ee ee nn O e PO Ro SO E ee Speicher und CUTE rasos dpto o een een nie SRASW Safety Related Application Software SRESW Safety Related Embedded Software SRP CS gt sicherheitsbezogener Teil der Steuerung Sare POP OI TIC UNE ee Steuerstromkreis geerdeter geerdeter Steuerstromkreis Steuerung elektromechanische elektromechanische Steuerung Steuerung elektronische und programmierbar elektronische Steuerung elektronische und programmierbar elektronische Steuerung Steuerungskomponente mechanische gt mechanische Steuerungskomponente Sereni ING GaN UPRRERSEEERRERSDERTEREREREREERREEELSUHEREERELEOERERERERINUEREEEUESEREIUGERKEUELTERESELTERFERELEETERLERTEN AA een nn ee O aesR Symmetrisierung symmetrisierte MTTF 7 Ta Weile E E E PP A AEE AA EAA E O a E E A S SEO AAA PPP ee Test der Sicherheitsfunktion in A As E e e E PE A Te Str UM OKC aia are A l eeren EE EE AOE EE A PI E E A E PA IP E A E EI ee O Transportfahrzeug fahrerloses fahrerloses Transportfahrzeug TOMO rosarina ee ee ee 258 systematischer Alstallauassseesesenie reellen SVSIEMOBSTAl IN na re ee ne Seite 49 134 ff 172 ff 174 ff 180 ff 184 ff 15 37 N 51 66 69 205 ff 229 23 ff 67 247 15 f 57 66 f 229 224 ff 128 ff 22 72 247 58 ff 74 ff 24 63
115. symmetrisierter MTTF Wert pro Kanal von 88 Jahren hoch Dove DC 99 f r 1V4 ergibt sich durch die direkte berwachung in K1 mithilfe der Stellungs berwachung 153 Wegen der engen Kopplung von 1V3 und 1V4 wird 1V3 dadurch mit einem DC von 99 indirekt mit berwacht DC 60 f r 1V5 gr ndet sich auf die Fehlererkennung im Prozess bei zyklischer Ansteuerung Durch Mittelung ergibt sich damit ein De von 86 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 90 Punkte Trennung 15 Diversit t 20 FMEA 5 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der Steuerungselemente im hydraulischen Teil entspricht Kategorie 3 mit hoher MTTF pro Kanal 88 Jahre und niedrigem De 86 Damit ergibt sich f r die Hydraulik eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 6 2 10 Stunde Insgesamt betr gt die mittlere Wahrscheinlichkeit gef hrlicher Ausf lle 3 0 1 5 0 62 1077 5 12 10 Stunde Dies entspricht PL d Weiterf hrende Literatur B mer T Hinweise zum praktischen Einsatz von Laserscannern In BGIA Handbuch Sicherheit und Gesundheitsschutz am Arbeitsplatz Kennzahl 310 243 36 Lfg XII 99 Hrsg BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfall versicherung Sankt Augustin Erich Schmidt Berlin 1985 Losebl Ausg www bgia handbuchdigital de 310243 129 8 2 16 Erdbaumaschinen
116. te Displays und Anzeigen optische Gefahrensignale und die Softwareergonomie von Bedienoberfl chen Eine Konstruktions hilfe bei der nutzergerechten Gestaltung von Bediensystemen f r Maschinen bietet z B die VDI VDE Richtlinie 3850 24 6 2 Quantifizierung der Ausfallwahrscheinlichkeit Die von der Norm zur Ermittlung des PL geforderte zahlen m ige Bestimmung der Ausfallwahrscheinlichkeit oft auch in anderen Normen vereinfacht Quantifizierung genannt kann streng genommen niemals exakt sondern nur mithilfe statis tischer Methoden oder anderer Absch tzungen n herungsweise erfolgen Zwar sind die Haupteinflussgr en genannt die bei dieser Bestimmung ber cksichtigt werden sollen die Wahl der Methode zur Ermittlung der Ausfallwahrscheinlichkeit aus diesen Einflussgr en bleibt aber frei Hier ist grunds tzlich jede abgesicherte und anerkannte Methode erlaubt wie z B Zuverl ssigkeits Blockdiagramme Fehlerbaum Methode Markov Modellierung oder Petri Netze Je nachdem wer die Ausfallwahrscheinlichkeit bestimmt sei es der Steuerungs hersteller der Maschinenanwender oder eine Pr fstelle bestehen unter Umst nden unterschiedliche Vorlieben f r und Erfahrungen mit verschiedenen Methoden und daher wird hier ausdr cklich jede geeignete Methode erlaubt Andererseits besteht f r diejenigen die bisher mit der Quanti fizierung der Ausfallwahrscheinlichkeit unerfahren sind sicherlich Bedarf nach mehr oder wenig
117. tze f r Gestaltung und Auswahl 07 07 Beuth Berlin 2007 DIN EN 13906 1 Zylindrische Schraubenfedern aus runden Dr hten und St ben Berechnung und Konstruktion Teil 1 Druckfedern 07 02 Beuth Berlin 2002 Neu ffnen ME Speichern Es Schlie en Mil Bibliothek E 2 Drucken Hite F Wizard K i a T te Eingabemasken Ta Zusammenfassung E PR 19 Verriegelungseintichtung mit Zuhaltur a El Kein Entiegeln der Zuhaltung bei Di Sub syste in BG IA Y x SB Ansteuerung des Magneten E CH Kanall Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke H BL Tachogenerator G1 H BL Hifsschutz K1 2 BE evel nn E CH Kanal fl BL Hifssch tz K2 E Hinzufiigen _ Name Dcfel MTTEdiall TE Festtana BL Tachogenerator G1 60 Low 30 High SB Magnet Feder und Mechanik ch L L schen BL Hiissch tz K1 39 High 347 22 F Werhindem eines unerwarteten Anla Bearbeiten SB berwachung der Schutzt r CH Kanal 1 1 Bibliothek BL Positionsschalter B1 H BL Sch tz Q1 A LA CP Inhalte der Kan le vertauschen Kanal 2 em d E l jT _ e nu Roca AL h Hinzuf gen _ Name Del MTTFatal PFH EAU 83 7 79 L schen BLA Meca O None 257 731 E Bearbeiten 3 Bibliothek Soop BS ll Abbildung 8 33 None 7
118. und 10 Minuten Zykluszeit ist f r diese Komponenten Nap 35 040 Zyklen Jahr und die MTTF betr gt 285 Jahre f r B1 bzw 142 Jahre f r B2 F r die Ventile 1V4 und 1V5 wird jeweils eine MTTF von 150 Jahren N angenommen Daraus ergibt sich ein gek rzter MTTF Wert pro Kanal von 100 Jahren hoch f r beide Subsysteme 181 DC g DC 99 f r B1 und B2 beruht auf der Plausibilit ts berwachung beider Schaltzust nde in K2 Der DC von 99 f r beide Ventile beruht auf der direkten berwachung der Schaltzust nde durch die SPS K1 Dies ergibt einen Dee von 99 hoch f r beide Subsysteme Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 75 Punkte f r beide Subsysteme Trennung 15 bew hrte Bauteile 5 FMEA 5 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Der elektromechanische und der hydraulische Teil der Steuerung entsprechen Kategorie 4 mit hoher MTTF pro Kanal 100 Jahre und hohem DE 99 Damit ergibt sich jeweils eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 2 47 10 Stunde F r die komplette Sicherheitsfunktion ergibt sich durch Addition inklusive K2 eine mittlere Wahrschein lichkeit gef hrlicher Ausf lle von 5 16 10 pro Stunde Dies entspricht PL e Abbildung 8 54 PL Bestimmung mithilfe von SISTEMA 182 Neu gt ffnen W Speicher CE Schlie en l i Bibliothek Drucken Hille FP Wizard R an m gt
119. und des Rates vom 22 Juni 1998 zur An gleichung der Rechts und Verwaltungsvorschrif BGIA Handbuch 48 Lfg V 2006 ten der Mitgliedstaaten f r Maschinen ABl EG Nr L 207 1998 2 B rner F Kreutzkampf F Unf lle und St rf lle verursacht durch das Versagen von Steuerun gen Sicherheitstechnisches Informations und Arbeitsblatt 330 250 In BGIA Handbuch 22 Lfg VI 94 Hrsg Berufsgenossenschaftliches Institut f r Arbeitsschutz BGIA Erich Schmidt Berlin 1985 Losebl Ausg 3 DIN EN ISO 13849 2 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Teil 2 Validierung Beuth Berlin Dezember 2003 4 DIN EN 954 1 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Teil 1 Allgemeine Gestaltungsleits tze Beuth Berlin M rz 1997 DIN EN 61496 1 Sicherheit von Maschinen Ber hrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforderungen und Pr fun gen Beuth Berlin Januar 2005 DIN EN 60947 5 3 Niederspannungsschaltge r te Teil 5 3 Steuerger te und Schaltelemente Anforderungen f r N herungsschalter mit defi niertem Verhalten und Fehlerbedingungen PDF Beuth Berlin Februar 2000 7 DIN EN 61508 Funktionale Sicherheit sicher heitsbezogener elektrischer elektronischer pro grammierbarer elektronischer Systeme Teil 2 Anforderungen an sicherheitsbezogene elektri sche elektronische programmierbare elektroni
120. und kann nicht mehr sinnvoll durch eine konstante Ausfallrate beschrieben werden D1 2 Klasseneinteilung und Begrenzung Die Annahme einer MTTF f r jedes sicherheitsrelevante Bauteil wenn kein Fehlerausschluss begr ndet werden kann ist Voraussetzung f r die nachfolgenden Schritte die zun chst auf Block und dann auf Kanalebene zur sogenannten MTTF jedes Kanals f hren Auf Kanalebene schl gt DIN EN ISO 13849 1 die Einteilung in drei typische MTTF Klassen vor Tabelle D 1 Diese Klassen sollen kleine Unterschiede in den errechneten MTTF Werten nivellieren die ohnehin innerhalb der statistischen Unsicherheit untergehen Auch soll damit die Gleichwertigkeit mit den anderen Parametern f nf Kategorien vier DC Stufen gewahrt bleiben und die notwendige Vereinfachung f r die Dar stellung im S ulendiagramm erreicht werden lle E N lt aD O am aB DN je Q Sas _ 40 Qu aD DN Qu O aD a Sas ge Qu N Abbildung D 2 Illustration der MTTF 222 10 Tabelle D 1 Klasseneinteilung der MTTF f r Kan le die die Sicherheitsfunktion Bezeichnung der Bereich der MTTF f r jeden Kanal MTTF f r jeden Kanal Gew nschte Nebeneffekte dieser Klassenbildung sind die Zur ckweisung von MTTF Werten jedes Kanals lt 3 Jahre und die Beschr nkung h herer MTTF Werte jedes Kanals auf maximal 100 Jahre Abbildung D 2 macht deutlich dass bei einer MTTF von drei Ja
121. version largement r vis e de 2007 et explique son application l aide de nombreux exemples issus des secteurs de l lectrom canique la fluidique l lectro nique et l lectronique programmable mais aussi des comman des de technologies diverses On y montre le lien existant entre la norme et les exigences de s curit de base contenues dans la directive Machines et certaines proc dures d valuation des risques y sont pr sent es A partir de ces informations le rapport permet de s lectionner le niveau de performance required Performance Level PL n cessaire pour les fonctions de s curit de technique de commande On y explique en d tails comment d terminer le niveau de performance PL vraiment atteint On y aborde dans les d tails les exigences en matiere d obtention du niveau de performance et ses cat gories respectives la fiabilit des composants la couverture du diagnostic la s curit des logiciels et les mesures contre les d faillances systematiques ainsi que les d faillances de cause commune S y ajoutent des informations g n rales concernant l application des exigences dans la pratique de la technique des commandes De nombreux exemples de montages montrent en allant jusqu au niveau des composants comment appliquer techniquement le niveau de performance a a e avec les cat gories B a 4 dans les technolo gies respectives Ils donnent ainsi des indications concernant les principes de s curit
122. werden Die Bew hrtheit eines Bauteils ist abh ngig von seiner Anwen dung und bedeutet nur dass ein gefahrbringender Ausfall unwahrscheinlich ist Entsprechend ist die zu erwartende gefahrbringende Ausfallrate gr er Null und geht als MTTF in die PL Bestimmung ein Demgegen ber wird bei der Annahme eines Fehlerausschlusses siehe Abschnitt 6 2 10 eine unendliche hohe MTTF unterstellt die nicht in die Berechnung eingeht Wegen der erwarteten h heren Bauteilzuverl ssigkeit muss die MTTF des in Kategorie 1 nur einfach vorhandenen Kanals hoch sein an DC und CCF werden aber wie in Kategorie B keine Anforderungen gestellt Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion f hren Jedoch ist die MTTF des Kanals in Kategorie 1 gr er als in Kategorie B Folglich ist der Verlust der Sicherheitsfunktion weniger wahrscheinlich und der maximale PL der mit Kategorie 1 erreicht werden kann ist PL c Die vorgesehene Architektur f r Kategorie 1 ist die gleiche wie f r Kategorie B siehe Abbildung 6 5 da die Unterschiede in der Bauteilzuverl ssigkeit und nicht in der Struktur liegen 6 2 5 Kategorie 2 Zus tzlich zu den Anforderungen f r Kategorie B z B Verwen dung grundlegender Sicherheitsprinzipien m ssen SRP CS der Kategorie 2 bew hrte Sicherheitsprinzipien verwenden und so gestaltet sein dass ihre Sicherheitsfunktionen in angemessenen Zeitabst nden durch die Maschinensteuerung getestet werd
123. werden Eine Hilfestellung zu dieser Sch tzung bietet Tabelle E 2 in der g ngigen Testverfahren DC Werte von 0 kein 60 niedrig 90 mittel und 99 hoch zugemessen werden Bei der Zuweisung eines DC zu einem Bauelement muss auch beachtet werden dass die Bewertung als erkennbar nur dann erfolgen darf wenn das System tats chlich in der Lage ist die vorgesehene sicherheitsgerichtete Aktion auszuf hren So ist beispielsweise eine schaltungsinterne Ausfallerkennung nutzlos wenn sie wegen eines bereits ausgefallenen Abschaltpfades unwirksam ist Im vorliegenden Beispiel brauchen die Bauelemente R1 R6 bis R9 und P1 nicht unter dem Diagnoseaspekt betrachtet zu werden weil sie keine Ausf lle des Funktionsblocks Lichtschranke in dessen gef hrliche Ausfallrichtung verursachen k nnen Ihr Ausfallanteil in die gef hrliche Richtung ist jeweils 0 Der Ausfall der Elemente R2 bis R5 K1 bis K3 und X1 in die gef hrliche Richtung wird von Test 1 in diesem Beispiel der einzige Test vollst ndig erkannt d h bei zu Testzwecken abgeschalteter LED P1 detektiert der Test eine Ausgangsspannung von gt 0 Daher wird diesen Elementen der bauelementbezogene DC Wert von 1 zuerkannt Anders beim Kondensator C1 der zur Unter dr ckung von regelm ig aber nicht st ndig vorkommenden elektromagnetischen St rungen dient Annahme bei diesem Beispiel Driftausf lle begrenzte Kapazit ts nderun
124. wurden sind die berechneten Ergebnisse sogleich sichtbar Praktisch f r den Benutzer Jede Parameter nderung wird in ihrer Aus wirkung auf das Gesamtsystem ber die Programmoberfl che direkt angezeigt Das umst ndliche Nachschlagen in Tabellen und Ausrechnen von Formeln Bestimmung der MTTF nach dem Parts Count Verfahren Symmetrisierung der MTTF f r jeden Kanal Absch tzung des DC ug Ermittlung von PFH und PL etc wird durch die Software bernommen und entf llt daher weitest gehend Dies erm glicht es dem Benutzer Parameterwerte zu variieren um so die Auswirkungen von nderungen zu beur PR Projekt SF Sicherheitsfunktion teilen ohne dabei gro en Aufwand zu treiben Die Resultate k nnen schlie lich in einem bersichtsdokument ausgedruckt werden H2 Wie wird SISTEMA verwendet SISTEMA verarbeitet sogenannte Grundelemente aus insgesamt sechs Hierarchiestufen das Projekt PR die Sicherheitsfunktion SF das Subsystem SB der Kanal CH Testkanal TE der Block BL und das Element EL Deren Zusammenhang ist im Folgenden kurz dargestellt Abbildung H 1 Der Benutzer er ffnet zun chst ein Projekt und kann darin die Maschine bzw die Gefahrenstelle die weiter betrachtet werden soll definieren Dem Projekt werden schlie lich alle erforder lichen Sicherheitsfunktionen zugewiesen Diese k nnen durch den Benutzer festgelegt und dokumentiert sowie mit einem PL belegt werden Der tats chlich
125. 02 Beuth Berlin 2002 DIN EN 61131 3 Speicherprogrammierbare Steuerungen Teil 3 Programmiersprachen 12 03 Beuth Berlin 2003 34 35 36 37 38 39 40 41 42 43 44 45 46 47 Schaefer M Gnedina A Bomer T Bullesbach K H Grigulewitsch W Reu G Reinert D Programmierre geln f r die Erstellung von Software f r Steuerungen mit Sicherheitsaufgaben Schriftenreihe der Bundesanstalt f r Arbeitsschutz und Arbeitsmedizin Dortmund Fb 812 Wirt schaftsverlag NW Bremerhaven 1998 vergriffen auszugs weise unter www dguv de bgia Webcode d3250 MISRA Development Guidelines for Vehicle Based Software Hrsg The Motor Industry Software Reliability Association www misra org uk SN 29500 Ausfallraten Bauelemente Erwartungswerte Hrsg Siemens AG Center for Quality Engineering M nchen 1994 bis 2005 DIN EN 574 Sicherheit von Maschinen Zweihandschal tungen Funktionelle Aspekte Gestaltungsleits tze 02 97 Beuth Berlin 1997 DIN EN 60947 5 1 Niederspannungsschaltger te Teil 5 1 Steuerger te und Schaltelemente Elektromechanische Steuerger te 02 05 Beuth Berlin 2005 Norm Entwurf DIN IEC 61508 2 VDE 0803 2 2006 07 Funk tionale Sicherheit sicherheitsbezogener eletrischer elektro nischer programmierbarer elektronischer Systeme Teil 2 Anforderungen an sicherheitsbezogene elektrische elek tronische programmierbare elektroni
126. 0387 Kurzfassung Funktionale Sicherheit von Maschinensteuerungen Anwendung der DIN EN ISO 13849 Die Norm DIN EN ISO 13849 Sicherheit von Maschinen Sicher heitsbezogene Teile von Steuerungen macht Vorgaben f r die Gestaltung von sicherheitsbezogenen Teilen von Steuerungen Dieser Report stellt die wesentlichen Inhalte der Norm in ihrer stark berarbeiteten Fassung von 2007 vor und erl utert deren Anwendung an zahlreichen Beispielen aus den Bereichen Elektromechanik Fluidtechnik Elektronik und programmierbarer Elektronik darunter auch Steuerungen gemischter Technologie Der Zusammenhang der Norm mit den grundlegenden Sicher heitsanforderungen der Maschinenrichtlinie wird aufgezeigt und m gliche Verfahren zur Risikoabsch tzung werden vorgestellt Auf der Basis dieser Informationen erlaubt der Report die Aus wahl des erforderlichen Performance Level PL f r steuerungs technische Sicherheitsfunktionen Die Bestimmung des tats ch lich erreichten Performance Level PL wird detailliert erl utert Auf die Anforderungen zum Erreichen des jeweiligen Perfor mance Level und seine zugeh rigen Kategorien auf die Bauteil zuverl ssigkeit Diagnosedeckungsgrade Softwaresicherheit und Ma nahmen gegen systematische Ausf lle sowie Fehler gemein samer Ursache wird im Detail eingegangen Hintergrundinfor mationen zur Umsetzung der Anforderungen in die steuerungs technische Praxis erg nzen das Angebot Zahlreiche Schaltungs be
127. 1 17 4 Report und Norm im berblick Dieses Kapitel stellt f r den Leser die Querbez ge zwischen der Prozess zur Gestaltung der sicherheitsbezogenen Teile von Steue Norm und den weiteren Kapiteln und Anh ngen dieses Reports rungen und orientiert sich dabei an Abbildung 4 1 die Bild 3 der her Gleichzeitig gibt es einen berblick ber den iterativen Norm entspricht Von Risikoanalyse DIN EN ISO 12100 Identifizieren der Sicherheitsfunktionen SF Festlegen der Eigenschaften jeder SF Bestimmen des erforderlichen PL PL Realisieren der SF Identifizieren der SRP CS Ermitteln des PL der SRP CS aus Kategorie MTTF DC CCF Software und systematische Fehler Abbildung 4 1 Iterativer Prozess Verifikation zur Gestaltung der PL gt PL sicherheitsbezogenen Teile von Steuerungen SF Sicherheitsfunktion PL Performance Level PL erforderlicher Performance Level AN SRP CS Safety Related Va lidi erung Parts of Control Systems Anforderungen erreicht sicherheitsbezogene Teile der Steuerung MTTF Mean Time to Dangerous Failure Erwartungswert der mitt leren Zeit bis zum gefahr bringenden Ausfall Alle SF 9 fall DC ug average iert ana Iysiert Diagnostic Coverage mittlerer Diagnose ur deckungsgrad Zur Risikoanalyse CCF Common Cause DIN EN ISO 12100 Failure Ausf lle infolge gemeinsamer Ursache 19 4 1 Identifikation von Sicherheitsfunktionen und ihren Eigens
128. 2 Die entsprechenden Signale k nnen in einer SPS verarbeitet werden Bei einer Fehlererkennung kann z B die Energie abgeschaltet werden F r das Ventil 2V2 ist keine Fehlererkennung vorhanden Die Funktion dieses Ventils sollte regelm ig berpr ft werden Die Anh ufung unentdeckter Fehler kann zum Verlust der Sicherheitsfunktion f hren O Kann durch eingesperrte Druckluft eine weitere Gef hrdung auftreten sind weitere Ma nahmen erforderlich 166 Konstruktive Merkmale O Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten O 1V1 ist ein pneumatischer Positionsschalter mit zwangl ufiger Bet tigung durch die bewegliche trennende Schutzeinrich tung entsprechend DIN EN 1088 O Ein stabiler Aufbau der Schutzeinrichtung zur Bet tigung der Positionsschalter ist sichergestellt O Die sicherheitsgerichtete Schaltstellung der Wegeventile 1V2 und 2V2 wird durch Wegnahme der Steuersignale erreicht Berechnung der Ausfallwahrscheinlichkeit O MTTF F r Ventil 1V1 wird ein Fehlerausschluss angenommen da eine zwangl ufige Bet tigung durch die beweglich trennende Schutzeinrichtung gegeben ist und da das Ventil als Positionsschalter mit Personenschutzfunktion ausgelegt ist in Anlehnung an DIN EN 60947 5 1 F r die Ventile 2V1 1V2 und 2V2 werden B10 Werte von 20000000 Zyklen N angenom men Bei 240 Arbeitstagen 16 Arbeitstunden und 30 Sekunden Zykluszeit ist Nop 460 800 Zy
129. 2 Umrechnung von B in MTTF Da der MTTF Wert in Jahren angegeben wird muss der als Anzahl von Zyklen angegebene B Wert entsprechend umgeformt werden Folgende Parameter sind f r die Bestim mung des MTTF Wertes notwendig O Nop mittlere Betriebszeit in Stunden h je Tag O dop mittlere Betriebszeit in Tagen je Jahr tic mittlere Zeit zwischen dem Beginn zweier aufein anderfolgender Zyklen des Bauteils z B Schalten eines Ventils in Sekunden s je Zyklus Aus diesen Parametern kann die mittlere Anzahl jahrlicher Betatigungen ae in Zyklen pro Jahr ermittelt werden S op n 3 600 3 a 3 Zyklus 0 226 Setzt man den n Wert in Gleichung 4 ein ergibt sich die MTTF f r das betrachtete Bauteil in Jahren _ 10d 4 MTTF 0 1 Nop Dabei wird die Betriebszeit des Bauteils auf den sogenannten To Wert Zeit bei der 10 der betrachteten Bauteile gefahr lich ausgefallen sind begrenzt Dieser T Wert kann wie folgt ermittelt werden 10d B 10d 5 hea Th 5 Dies bedeutet dass die betrachteten Bauteile vor Erreichen des Tig Wertes ausgewechselt werden sollten Die Umrechnung des B 4 Wertes in einen MTTF Wert unter Zuhilfenahme von n und der Begrenzung durch 7 beruht auf einer N herung Das reale von Verschlei effekten gepr gte Ausfallverhalten das gut durch eine Weibull Funktion beschrie ben wird wird durch eine Exponentialverteilung mit konstanter
130. 3 eeueeeeeesseessssnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnn 180 8 2 34 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 4 PL e Beispiel 34 184 8 2 35 Zweihandschaltung Kategorie 4 PL e Beispiel 35 mini nn 186 8 2 36 Verarbeitung von Signalen einer Lichtschranke Kategorie 4 PL e Beispiel 36 ooonnnnnnnccccnnnncccnnnnnnnnnnnnnnnnnnnns 190 8 2 37 Planschneidemaschine mit programmierbar elektronischer Logiksteuerung kategorie Ga PLe Beispiel 37 opa 194 9 A ee ne E IEEE I ee 199 Seite Anhang Anhang A Beispiele zur RisikobenrtellUNE sepesma aN AENOR EEA EEEN EAN a E ARNESES 201 Anhang B Sicherheitsbezogenes Blockdiagramm und FMEA aiii 205 Anhang C Fehlerlisten Fehlerausschl sse und Sicherheitsprinzipien ccccccccccccccccccsceesssssssssseeseececcccccecesseesaueeeeessssseseeeeeeeeceeeeeeeeeeas 213 Anhang D Mean Time to Dangerous Failure MTTF 4 nn en 221 Anhang E Bestimmung des Diagnosedeckungsgrades DC ssssssseseseeceeccccccceceeaueesssssssssseeeesescccececeeeesssseaueesssssseseeeeeeeeeeeeeeeeeeeas 231 Anhang F Ausf lle infolge gemeinsamer Ursache CCF ccceeeeeeeseseesesessensnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnsnsssssnsssnnnn 239 Anhang G Was steckt hinter dem S ulendiagramm in Bild 5 der DIN EN ISO 13849 1 eeeeeeeeeeesssssssssnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnsnnnnnnnnn
131. 3 3 Beispiele f r grundlegende Sicherheitsprinzipien in der Elektrik O Richtige Schutzleiterverbindung Eine Seite des Steuerstromkreises eine Klemme jedes elek tromagnetisch bet tigten Ger ts oder eine Klemme anderer elektrischer Ger te ist mit einem Schutzleiter verbunden Diese Seite des Ger ts wird also nicht benutzt um z B die Abschaltung einer gefahrbringenden Bewegung herbei zuf hren Ein Fehler durch Masseschluss kann daher nicht dazu f hren dass ein Abschaltpfad unbemerkt ausf llt O Unterdr ckung von Spannungsspitzen Eine Einrichtung zur Unterdr ckung von Spannungsspitzen RC Glied Diode Varistor wird parallel zur Last nicht parallel zu den Kontakten geschaltet C3 4 Beispiele f r grundlegende Sicherheitsprinzipien in der Rechnertechnik Software DIN EN ISO 13849 2 beschreibt keine grundlegenden Sicherheits prinzipien f r den Einsatz von programmierbaren Systemen bzw Software Als solche k nnen jedoch die sogenannten Basisma nahmen f r SRESW und SRASW nach den Abschnitten 4 6 2 und 4 6 3 der Norm verstanden werden siehe hierzu auch Abschnitt 6 3 Erg nzend wirkt die berwachung des Programm ablaufs um eine fehlerhafte Reihenfolge von Befehlen bzw Softwaremodulen zu erkennen die trotz aller Sorgfalt bei der Verifikation und Validierung auftreten k nnen Umgesetzt wird diese Ma nahme in der Regel mithilfe eines externen zyklisch retriggerten Watchdogs der die SRP CS bei fehlerhaftem
132. 4 vorgesehen Der Ausfall jedes der bei den Wegeventile wird erkannt nach einem Fehler wird das Einleiten der n chsten gefahrbringenden Bewegung verhindert 178 1V3 1V4 153 154 Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten e Die Wegeventile 1V3 und 1V4 haben eine Sperr Mittelstellung mit ausreichender positiver berdeckung Federzentrierung bzw r ckstellung sowie eine elektrische Stellungs berwachung Die sicherheitsgerichtete Schaltstellung wird jeweils durch Wegnahme des Steuersignals erreicht Die Signalverarbeitung der elektrischen Stellungs berwachung erf llt entsprechende Anforderungen zur Beherrschung von Ausf llen Berechnung der Ausfallwahrscheinlichkeit O MTTF F r die Wegeventile 1V3 und 1V4 wird eine MTTF von 150 Jahren angenommen N Dies ist gleichzeitig der MTTF Wert pro Kanal der auf 100 Jahre hoch gek rzt wird DC ug DC 99 f r die Wegeventile 1V3 und 1V4 beruht auf der direkten berwachung der Schaltzust nde Durch Mitte lung ergibt sich damit ein DC vg von ebenfalls 99 hoch Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen ber spannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der hydraulischen Steuerungselemente entspricht Kategorie 4 mit hoher MTTF 100 Jahre und hohem DE 99 Damit ergibt
133. 500 35 ermittelt was unter Berechnung der Ausfallwahrscheinlichkeit durch das K rzel D gekennzeichnet wird siehe Abschnitt 7 6 Die Validierung wird in der Fortsetzung dieses Beispiels in Abschnitt 7 6 n her beschrieben Da gleiche Elemente mehrfach auftreten k nnen dritte Spalte wird in der vierten Spalte die Gesamtausfallrate f r Jeden Elementtyp errechnet Durch die globale N herung dass nur die H lfte der Ausf lle gefahrbringend ist ergibt sich der halbierte Wert in Spalte 5 Durch einfache Summation ergibt sich schlie lich die Gesamtrate gefahrbringender Ausf lle f r den Block K1 Spalte 6 zeigt die zugeh rigen MTTF Werte in Jahren die sich als Kehrwerte der gefahrbringenden Ausfallraten aus Spalte 5 nach Umrechnung von Stunden in Jahre ergeben F r den Block K1 betr gt dieser Wert gerundet 806 Jahre Da die verwendete Datenbank f r den Mikrocontroller und den ASIC gleiche Ausfallraten nennt und die Beschaltung hnlich ist gilt f r den Block K2 der gleiche MTTF Wert von 806 Jahren F r die Bl cke 1 S2 und K3 bis K6 werden Herstellerdaten K rzel H verwendet Da Zuverl ssigkeitsdaten nur f r S1 S2 insgesamt Bet tigungsmechanik plus ffner und Schlie erkontakt verf gbar sind k nnen diese Werte als Absch tzung zur sicheren Seite f r jeden der Kan le verwendet werden obwohl in jeden Kanal neben der Bet tigungsmechanik nur die Schlie erkontakte z B S1 13 14 oder die ffnerkontakte
134. 6 17 Die tabellarischen Werte in Anhang K der Norm oder die darauf basierende PLC Drehscheibe des BGIA 16 liefern folgendes Ergebnis durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde 9 54 10 Stunde PLe rundet 30 Jahre Abbildung 6 17 PL Bestimmung mithilfe des S ulendiagramms 72 C Sehr viel mehr Komfort bei der Verwaltung Dokumentation und Berechnung aller Zwischenergebnisse bietet die vom BGIA kostenlos zur Verf gung gestellte Software SISTEMA siehe Anhang H Alle bisher dargestellten quantitativen Anforderungen zur PL Bestimmung lassen sich damit einfach erfassen und alle Rechenschritte inklusive der rechnerischen PL Bestimmung sind automatisiert Als besondere Option ist eine Berechnung mit den genauen DE ie und MTTF Werten m glich F r DC ve wird mit dem genauen hier schlechteren Wert 98 6 gerechnet statt die 5 Toleranz zu DC noch auszunutzen und gerun dete 99 anzusetzen f r die Toleranzen bei DC und MTTF vgl Anmerkungen 2 in den Tabellen 5 und 6 der Norm Die noch innerhalb des Toleranzbereichs liegende Unterschreitung der 99 Marke f r Kategorie 4 wird von SISTEMA allerdings mit einem Warnhinweis quittiert Die Rechnung mit dem genauen MTTF Wert von 31 4 Jahren bringt hingegen eine leichte Ver besserung gegen ber dem abgerundeten Wert von 30 Jahren f r MTTF hoch Damit ergibt sich eine durchschnittliche Wahr scheinlichkeit eines ge
135. 7 Jahren F r K3 und Q1 ergibt sich bei einem B Wert von 400 000 Zyklen N und bei 240 Arbeitstagen 16 Arbeitsstunden und 3 Minuten Zykluszeit eine N p 76 800 Zyklen Jahr und jeweils eine MTTF von 52 Jahren Diese Werte ergeben eine symmetrisierte MTTF des Kanals von 21 Jahren mittel DC Fehlererkennung durch den Prozess bei Ausfall der Ansteuerung der Bremsrampe f hrt auf DC 30 f r K5 F r T1 ergibt sich DC 60 ebenfalls aus der Fehlererkennung durch den Prozess K1 und K2 zeigen DC 99 durch in K4 integrierte Fehlererkennung und K3 DC 99 wegen Fehlererkennung durch K5 F r C1 gilt DC 60 durch Testung des Zeitglieds bei spannungsfreiem FU F r Q1 folgt DC 99 durch direkte berwachung in K5 Die Mittelungsformel f r Dee ergibt 63 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 75 Punkte Trennung 15 Diversit t 20 FMEA 5 und Umgebungsbedingungen 25 10 113 O Die zweikanalige Kombination der Steuerungselemente entspricht Kategorie 3 mit mittlerer MTTF pro Kanal 21 Jahre und niedrigem DC vg 63 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 04 10 Stunde Dies entspricht PL c Die Gesamtausfallwahrscheinlichkeit wird durch Addition der Wahrscheinlichkeit gef hrlicher Ausf lle von K4 ermittelt und betr gt 1 34 10 Stunde Dies entspricht dann ebenfalls PL c O Die verschlei behafteten Elemen
136. 9973 Pneumatik Bewertung der Zuverl ssigkeit von Bauteilen durch Pr fung zugrunde gelegt werden Diese Norm besteht zurzeit aus vier Teilen Teil 1 Allgemeine Verfahren Teil 2 Ventile Teil 3 Zylinder mit Kolbenstange Teil 4 Druckregler Weibull Verteilung F t F t l 25 F t 1 expl F Wahr schein lichkeit eines gef hr lichen Austalls Begrenzung 0 0 1 0 2 0 3 00 5 0 6 0 7 0 8 0 9 1 Zyklen bzw Zeit t T Betriebszeit gt 10 gef hrlich ausgefallen Weibull Ausfallrate A t t 1 Zyklus bzw 1 Zeit gef hr liche Austall rate Begrenzung Betriebszeit gt t b i 0 0 1 0 2 0 3 0 4 f0 5 0 6 0 7 0 8 0 9 1 By bzw T Zyklen bzw Zeit t T Abbildung D 3 Illustration der Umrechnung VON B py in MTTF 225 Bei der Ermittlung der Zuverl ssigkeit von Pneumatikventilen wird die Lebensdauer B Wert bzw B Wert in Zyklen bis zum Ausfall angegeben Die nominale Lebensdauer B in einigen Literaturangaben auch t ist die mittlere Zahl von Schaltspielen bzw Schaltzyklen nach der bis 10 der betrachteten Menge ausgefallen sind Da das Ausfallkriterium Verf gbarkeit bei Ventilen auch nicht sicherheitsrelevante Ausf lle beinhaltet z B Leckage ber dem definiertem Schwellwert wurde nor mativ vereinbart dass der ermittelte Wert f r die nominale Lebensdauer B mit zwei multipliziert den B Wert engl dangerous nominale
137. Antriebs im Notfall erfolgt nach Bet tigung von 53 54 zuerst durch Deaktivierung des Not Halt Sicherheitsschaltger tes K4 einhergehend mit dem Entregen der Hilfssch tze K1 und K2 Das ffnen des Schlie erkontaktes K1 am Eingang l4 der SPS K5 bewirkt ber den SPS Ausgang 02 die R cknahme des Start signals am Frequenzumrichter FU T1 Redundant zur Kette K1 K5 T1 startet mit dem ffnen des Schlie erkontaktes K2 vor dem abfallverz gerten Hilfssch tz K3 eine Bremszeitvorgabe nach deren Ablauf die Ansteuerung f r das Netzsch tz Q1 unterbrochen wird Die Zeitvorgabe ist so gew hlt dass unter ung nstigen Betriebsbedingungen der Stillstand der Maschi nenbewegung erreicht wird noch bevor das Netzsch tz 01 abf llt Das funktionsgem e Stillsetzen des Antriebs nach einem Stopp Befehl wird mit dem ffnen der beiden ffnerkontakte der Stopp Taste S1 eingeleitet Analog zum Stillsetzen im Notfall erfolgt zun chst die Abfrage durch die SPS K5 ber Eingang 10 und die Absteuerung des FU mit dem R cksetzen des SPS Ausgangs 02 Redundant dazu wird das Hilfssch tz K3 abfall verz gert mithilfe des Kondensators C1 entregt und nach Ablauf der Bremszeitvorgabe wird die Ansteuerung f r das Netz sch tz Q1 unterbrochen Bei einem einzelnen Versagen der SPS K5 des Umrichters T1 des Netzsch tzes Q1 der Hilfssch tze K1 K2 oder des abfall verz gerten Hilfssch tzes K3 wird jeweils das Stillsetzen des Antriebs sichergestellt weil immer zwei vo
138. Architekturen und bis zu PL e alle Architekturen und bis zu PL e komplexe Elektronik z B programmierbar bis zu PL e PL e ohne Diversit t Entwicklung nach DIN EN 61508 3 Abschnitt 7 Embedded Software SRESW Anwendungssoftware SRASW bis zu PL e Kombination verschiedener Technologien Beschr nkungen wie oben Entscheidende Argumente f r die Wahl von DIN EN ISO 13849 als Basis zur Realisierung funktionaler Sicherheit im Maschinen bereich k nnen also aus Sicht des Anwenders der technologie bergreifende Ansatz und der vereinfachte Quantifizierungsansatz unter Verwendung der vorgesehenen Architekturen sein Dies schlie t die detaillierte Betrachtung von nichtelektrischen und elektromechanischen Bauteilen ein Nat rlich werden insbeson dere Hersteller von in gro er Anzahl hergestellten Sicherheits komponenten z B einer speicherprogrammierbaren Steuerung SPS f r Sicherheitsanwendungen weltweit auch andere M rkte als den Maschinenbereich bedienen wollen und daher neben DIN EN ISO 13849 auch DIN EN 61508 als Basis einer Entwicklung heranziehen DIN EN 62061 nicht enthalten alle Architekturen und bis zu SIL 3 bis zu SIL 3 bei Entwicklung nach DIN EN 61508 Entwicklung nach DIN EN 61508 3 bis zu SIL 3 Beschr nkungen wie oben nichtelektrische Teile nach DIN EN ISO 13849 1 Abbildung 3 3 Angepasste Empfehlung zur Anwendung von DIN EN ISO 13849 1 und DIN EN 6206
139. Ausf lle von 2 47 10 Stunde Die mittlere Wahrscheinlichkeit gef hrlicher Ausf lle der Sicherheitsfunktion ergibt sich durch Addition der Anteile des MFST der Logiksteuerung und des hydraulischen Teils Die Summe betr gt 3 98 10 Stunde Dies entspricht PL d Weiterf hrende Literatur 132 ISO 15998 Earth moving machinery Machine control systems MCS using electronic components Performance criteria and tests Normentwurf 11 03 Beuth Berlin 2003 DIN EN 61784 3 Industrielle Kommunikationsnetze Profile Teil 3 Funktional sichere bertragung bei Feldbussen Allgemeine Regeln und Profilfestlegungen IEC 61784 3 2007 11 08 Beuth Berlin 2008 Pr fgrunds tze Bussysteme f r die bertragung sicherheitsrelevanter Nachrichten GS ET 26 Hrsg Fachausschuss Elektro technik K ln 2002 www dguv de Webcode d14884 153 154 Neu ffnen MB cosche s Schieten FA Bibliothek lt Q Drucken hito Wizard NP anoa s a El PR 16 Erdbaumaschinensteuerung mit Buss E SF Verhinderung unerwarteter Bewegur W SB MFST S1 E CH Kanal Eingabemasken 3 Zusammenfassung Subsystem BGIA W Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke SS Se Hinzuf gen _ Mame DC JT TFa fal AR BL KI 99 High 11415 53 J L schen BL K3 60 Low 878126 BL K5 90 Medium 456621 4 Bearbeiten BL RI 90 Medium 228310 5
140. Ausfallwahrscheinlichkeit Bei S1 52 53 handelt es sich um handels bliche Not Halt Ger te nach DIN EN ISO 13850 Es erfolgt jeweils ein Fehler ausschluss f r den zwangs ffnenden Kontakt und die Mechanik sofern die in Tabelle D 2 dieses Reports angegebene Anzahl der Bet tigungen nicht berschritten wird Die Ausfallwahrscheinlichkeit des fertigen Sicherheitsbausteins K1 wird am Ende der Berechung addiert 2 31 10 Stunde H geeignet f r PL e F r das Subsystem K2 K3 wird die Ausfallwahrscheinlichkeit im Folgenden berechnet MTTF F r die Hilfssch tze K2 und K3 entspricht bei induktiver Last AC3 der B Wert der elektrischen Lebensdauer von 1000000 Schaltspielen H Bei Annahme von 50 gefahrbringenden Ausf llen ergibt sich der B Wert durch Verdoppe lung des B Wertes Bei j hrlich drei Anforderungen der Not Halt Funktion und 24 Startbefehlen ist ne el Zyklen Jahr und MTTF betr gt 740 740 Jahre Dies ist gleichzeitig die symmetrisierte MTTF f r den Kanal die auf 100 Jahre hoch gek rzt wird DC DC 90 f r K2 und K3 beruht auf der Testung durch den Sicherheitsbaustein K1 Dies ist gleichzeitig DE al mittel Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 70 Punkte Trennung 15 bew hrte Bauteile 5 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Das Subsystem K2 K3 entspricht Kategorie 3 mit hoher MTTF 100 Jahre und mittlerem DC u
141. B og 20000 000 Sch tze mit nominaler Last Tabellen D 1 und D 2 IEC 60947 Bigg 2000 000 Positionsschalter unabh ngig von der Last Positionsschalter mit separatem Bet tiger Zuhaltung unabh ngig von der Last Positionsschalter und Taster bei ohmscher Last und berdimensionierung lt 10 der maximalen Last bezogen auf die elektrischen Kontakte Positionsschalter und Taster bei berdimensionierung nach Tabelle D 2 DIN EN ISO 13849 2 2003 bezogen auf die elektrischen Kontakte Not Halt Ger te bei Einsatz unter geringer umwelttechnischer Belastung z B in Laboren Tabellen D 1 und D 2 Tabellen D 1 und D 2 Tabellen D 1 und D 2 IEC 60947 Bigg 20 000 000 EN 1088 Tabellen D 1 und D 2 IEC 60947 Bog 2000 000 EN 1088 B Tabellen D 1 und D 2 IEC 60947 EN 1088 iog 1000 000 IEC 60947 EN 1088 Bog 100000 Fehlerausschluss bis 100 000 Zyklen sofern IEC 60947 ISO 13850 Herstellerbestatigung vorliegt Not Halt Ger te bei Einsatz unter normaler Tabellen D 1 und D 2 IEC 60947 Fehlerausschluss umwelttechnischer Belastung z B an Maschinen ISO 13850 bis 6 050 Zyklen Zustimmungsschalter 3 stufig unabh ngig von der Last a falls Fehlerausschluss f r Zwangs ffnung m glich ist Tabellen D 1 und D 2 IEC 60947 Fehlerausschluss bis 100 000 Zyklen b f r Schlie erkontakte und f r ffnerkontakte falls Fehlerauschluss f r Zwangs ffnung nicht m glich ist
142. BL Frequenzurmichter TlalS 30 Medium 100 High SB Mikrocontrollersteuerung 2 Bearbeiten H CH Kanal CH Kanal 2 Bibliothek r E F aait TEET gt QQ Inhalte der Kan le vertauschen Sicherheitsbezogene Stoppfunktion 551 Sic Kanal E Hinzuf gen GH _ Name obcfel MTIFdla e BL Drehgeber G2 75 High _ L schen BL Mikrocontroller K2 60 Low 878 121 3 eS BL Frequenzumnchter T1b si 60 Low 1000 4 Beatbeiten BL Hillsschiitz K3 99 High 10958 9 1 3 Bibliothek BL Haltebremse 01 30 None 50 High Abbildung 8 41 aba ez Low Tr PL Bestimmung mithilfe 70 erful von SISTEMA 159 8 2 24 Tippbetrieb mit sicher begrenzter Geschwindigkeit an einer Druckmaschine Kategorie 3 PL d bzw c Beispiel 24 Abbildung 8 42 Tippbetrieb mit sicher begrenzter Geschwindigkeit an einer Druckmaschine durch eine zweikanalige Rechnersteuerung Nach DIN EN 1010 ist nur ein Positionsschalter B1 vorgesehen blicherweise werden zwei Positionsschalter gefordert Funktions berwachungs YO Modul YO Modul Funktions Bus F requenz p umrichter berwachungs Bus mit sicherer Impulssperre Funktions SPS berwachungs SPS En Sicherheitsfunktionen Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Beim ffnen der Schutzt r soll der Antrieb anhalten SS1 Sicherer Stopp 1 Sicher begrenzte Geschwindigkeit SLS Bei ge ffneter Schutz
143. Berlin Birolini A Qualit t und Zuverl ssigkeit technischer Systeme Theorie Praxis Management 3 Aufl Springer Berlin 1991 DIN EN 61508 2 Funktionale Sicherheit sicherheits bezogener elektrischer elektronischer programmierbarer elektronischer Systeme Teil 2 Anforderungen an sicher heitsbezogene elektrische elektronische programmierbare elektronische Systeme 12 02 Beuth Berlin 2002 DIN EN 61508 6 Funktionale Sicherheit sicherheitsbezo gener elektrischer elektronischer programmierbarer elek tronischer Systeme Teil 6 Anwendungsrichtlinie f r IEC 61508 2 und IEC 61508 3 06 03 Beuth Berlin 2006 Pr fgrunds tze Bussysteme f r die bertragung sicher heitsrelevanter Nachrichten GS ET 26 Hrsg Fachausschuss Elektrotechnik K ln 2002 www dguv de bgia Webcode d14884 DIN EN 61784 3 Industrielle Kommunikationsnetze Profile Teil 3 Funktional sichere bertragung bei Feld bussen Allgemeine Regeln und Profilfestlegungen IEC 61784 3 2007 11 08 Beuth Berlin 2008 Reinert D Schaefer M Sichere Bussysteme f r die Auto mation H thig Heidelberg 2001 Huckle T Kleine BUGs gro e GAUs Vortrag zum Thema softwarefehler und ihre Folgen http www5 in tum de huckle bugsn pdf DIN EN 61508 3 Funktionale Sicherheit sicherheits bezogener elektrischer elektronischer programmierbarer elektronischer Systeme Teil 3 Anforderungen an Software IEC 61508 3 1998 und Corrigendum 1999 12
144. C Chip Widerstand MS Chip Widerstand MS Referenz Bauelement Art bezeich nung Tempe ratur faktor in sichere Richtung in gef hrl Richtung ul ul ul CTO CC en CT e ul ul Transistor SMD Transistor SMD Steckverb 5 polig Leiterpl mit 36 L tst o ul o 5 5 Re Re E rm lt E ul ul o ul 0 5 0 5 0 5 0 5 0 5 0 5 0 5 0 5 1 8 1 1 2 5 3 4 3 2 3 2 15 1 8 o ul 2 2 ma 2 ul ul ul ul ul ul i a ie E EM a Anmerkungen 1 0 29 0 29 0 2 0 2 0 2 0 0 29 0 88 0 88 nn 29 29 29 29 1 76 3 06 95 Summen Da aa oo oe Bei Unterbrechung und hoher Umgebungstemperatur flie t durch K1 unter Umst nden ein zu hoher Dunkelstrom 2 Bei Unterbrechung wird die Schaltung gegen ber EM St rungen empfindlich Erkennbarkeit nicht gesichert 3 Kurzschl sse innerhalb von X1 k nnen einen Ausfall in die gef hrliche Richtung verursachen Aufteilung dd du wie die durchschnittliche Aufteilung von allen brigen Elementen Die vereinfachte Vorgehensweise im Fall b ist normalerweise bei Bauelementen mit einem kleinen Beitrag zur Gesamtausfallrate des Funktionsblocks gerechtfertigt wenn dieser viele solche Elemente enth lt Einzelne Bauelemente mit einem berdurch schnittlichen Beitrag zur Gesamtausfallrate des Funktionsblocks sind ggf gesondert zu betrachten Bei komplexen integrierten Schaltungen
145. C 61131 3 definiert ist Es gelten dann die Anforderungen aus Abschnitt 4 6 3 der DIN EN ISO 13849 1 Sobald aber SRASW in FVL z B eine SPS in der Hochsprache C programmiert wird m ssen die Anforderungen f r SRESW Abschnitt 4 6 2 der Norm erf llt werden Muss in diesem Fall die SRASW einen Performance Level von e erf llen so verweist DIN EN ISO 13849 1 am Ende des Abschnitts 4 6 2 ein einziges Mal aber mit Ausnahmen auf die Anforderungen der Norm IEC 61508 3 1998 6 3 1 Software ohne Fehler gibt es in der Praxis leider nicht Fehler in der Software ent stehen nicht wie bei der Hardware durch zuf llige Bauteilaus f lle sondern haben systematische Ursachen Umso mehr muss bei der Entwicklung von sicherheitsbezogener Software die ja zur Risikominimierung beitragen soll alles Angemessene getan werden um Fehler zu vermeiden Was angemessen ist orientiert sich einerseits am erforderlichen Performance Level PL Ande rerseits ist bekannt in welchen Phasen der Softwareentwicklung sich sicherheitskritische Fehler bevorzugt und mit besonders gravierender Wirkung einschleichen und solange unentdeckt bleiben bis sie beim Betrieb zum Ausfall f hren Gemeint sind die Phasen Spezifikation Gestaltung und Modifikation Daher zielen die Anforderungen der DIN EN ISO 13849 1 und die Erl uterungen in diesem Abschnitt besonders auf die Fehler vermeidung in diesen Phasen Leider werden in der Praxis diese Phasen der An
146. Diagnosefunktionen und module zu identifizieren und deren Wirksamkeit einzusch tzen Zus tzlich sollten Tests zum Verhalten der SRP CS im Fehlerfall Ausfalleffektpr fung bzw Test durch Fehlereinbau zeigen dass durch die Diagnosefunktionen eine korrekte Fehleraufdeckung gegeben ist 7 3 4 Validieren der Ma nahmen gegen CCF Zur Validierung der ausgew hlten Ma nahmen gegen Aus f lle infolge gemeinsamer Ursache CCF Common Cause Failure enth lt Anhang F ein m gliches Verfahren basierend auf einem Punkteschema Neben dem Erreichen der Gesamtpunktzahl wird untersucht ob die ausgew hlten Ma nahmen in den entspre chenden Dokumenten hinreichend beschrieben sind Durch Analyse bzw Pr fung ist zu zeigen dass die Ma nahmen tats ch lich umgesetzt wurden Zu den hierzu typischen V amp V Aktivit ten z hlen die statische Hardwareanalyse und die Funktionspr fung unter Umgebungsbedingungen Grenzbedingungen 7 3 5 Verifizieren und Validieren der Ma nahmen gegen systematische Ausf lle Als Verifikation der Ma nahmen zur Vermeidung systematischer Ausf lle sollen die Entwicklungsdokumente dahingehend inspi ziert werden ob die in Abschnitt 6 1 2 beschriebenen erforder lichen Konstruktionsma nahmen umgesetzt wurden Ein ent sprechender Nachweis erfolgt typischerweise durch O Ausfalleffektpr fung bzw Test durch Fehlereinbau zu den Versorgungseinheiten z B Spannungsversorgung Takt Druck Oo Pr fung der St rfestigkei
147. Ereig nis f r die Einleitung des sicheren Zustands des nachgeord neten Subsystems geeignet sein Bei hintereinander geschalteten zweikanaligen Systemen k nnen bei der Addition der Subsystem PFH Werte geringe Rechenfehler zur unsicheren Seite auftreten Streng genommen m ssten die beiden Ausg nge des ersten Subsystems zus tzlich ber Kreuz in die Eing nge des zweiten Subsystems eingelesen und verglichen werden Oft erfolgt die kreuzweise Verdoppelung der Eingangs informationen allerdings bereits intern auf der Eingangsebene Um den Verkabelungsaufwand nicht unn tig in die H he zu treiben ist die geringf gige PFH Untersch tzung bei der Addition tolerabel Mit den bisher beschriebenen Regeln lassen sich Subsysteme bereits viel flexibler kombinieren als dies vor der Revision der DIN EN ISO 13849 1 auf der Basis der Kategorien m glich war Diese Subsysteme k nnen sehr unterschiedlicher Natur sein z B hinsichtlich Technologie oder Kategorie aber auch nach anderen Normen f r sicherheitsbezogene Teile von Maschinensteuerungen entwickelt die sich statt auf einen PL auf einen SIL beziehen vgl Abbildung 3 2 66 In verkn pften Subsystemen kann es vorkommen dass sich zweikanalige und getestete einkanalige Teile abwechseln Abbildung 6 14 zeigt beispielhaft ein Logik Subsystem z B eine Sicherheits SPS an das zweikanalige Eingangs und Ausgangs elemente angeschlossen sind Da im sicherheitsbezogenen Blockdiagramm bereits
148. Gefahrstelle dar die Gef hrdung wiederholt sich zyklisch Nicht explizit dargestellt ist der Antrieb des Messers durch einen Exzenterantrieb dessen Energie aus einer kontinuierlich laufenden Schwungmasse entnommen wird Der Pressbalken wird linear durch eine Hydraulik angetrieben deren Pumpe an den Antrieb der Schwungmasse gebunden ist Mit Dr cken der Taster 51 52 ZHS werden die Signalwechsel beiden Mikrocontrollern K1 und K2 zugef hrt Erf llen diese Signale die Anforderungen an die Gleichzeitigkeit nach Norm DIN EN 574 Typ III C und erf llen alle peripheren Signale eine Startbedingung setzen K1 und K2 die Ausg nge f r eine g ltige Schnittanforderung ber die Hilfssch tze K3 bis K6 kontrolliert jeder Mikrocontroller beide gefahrbringenden Bewegungen ber zwei hydraulische Ventile 2V1 und 2V2 kann die Schlie bewegung des Pressbalkens 1A unterbunden werden Die Ansteuerung der Brems Kupplungskombination BKK 01 kann ber K3 und K5 unterbunden werden Eine geeignet dimensionierte mechanische Konstruktion einer Messersiche rung Q2 muss zus tzlich zyklisch von K2 freigegeben werden Bei erkannten Fehlern in Q1 kann damit sp testens im Folge zyklus der Messerdurchlauf verhindert werden Fehler in den Schaltern 51 52 oder in den Hilfssch tzen K3 bis K6 mit zwangsgef hrten R cklesekontakten werden durch einen Kreuzvergleich in den Mikrocontrollern erkannt Die Funktion von 2V1 2V2 wird mithilfe des Druckschalters 251 ber wac
149. Hardware zu zeigen O Verifizieren und Validieren der Ma nahmen gegen systematische Ausf lle Die Einhaltung grundlegender und bew hrter Sicherheitsprin zipien wirkt stark gegen systematische Ausf lle Die Aktivit ten zur Validierung der Kategorie beinhalten ebenfalls die ber pr fung der Einhaltung beider Sicherheitsprinzipien Somit k nnen die Ergebnisse der dort durchgef hrten Analysen und Pr fungen auch in diesem Abschnitt zur Beurteilung heran gezogen werden Neben den Pr fungen erfolgt entwicklungsbegleitend eine Inspektion der Dokumentation in der die angewandten grund legenden und bew hrten Sicherheitsprinzipien und die Ma nahmen zur Beherrschung und Vermeidung systematischer Ausf lle nach Abschnitt 6 1 2 dieses Reports und Anhang G der Norm beschrieben sind Dies dient der Beurteilung ob die Prinzipien und Ma nahmen im Entwicklungsprozess hinreichend ber cksichtigt werden Als Beispiel der Beherrschung systematischer Ausf lle enth lt die sicherheitsrelevante Software eine berwachung des Programmablaufs um eine fehlerhafte Abarbeitung des Pro gramms erkennen zu k nnen Die Wirksamkeit der Ablauf ber wachung wird durch eingebrachte Fehler berpr ft Um die Best ndigkeit der SRP CS gegen die festgelegten Um gebungsbedingungen zu zeigen finden Pr fungen unter allen erwarteten und vorhersehbar widrigen Bedingungen f r u a Temperatur Feuchte und elektromagnetische Beeinflussung statt Dies i
150. IN EN 60947 5 1 entsprechen Fehler in S1 S2 und in K2 K3 mit ffnerkontakten im R ckf hrkreis werden in K1 erkannt und f hren zum dauerhaften Abschalten ber K2 und K3 Alle Einzelfehler werden bei oder vor der n chsten Anforderung der Sicherheitsfunktion erkannt Eine h ufige Bet tigung der elektromechanischen Elemente sorgt f r eine ausreichend hohe Testrate Dynamisierung 186 51 13 14 52 21 22 S2 13 14 S1 21 22 Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in Abschnitt 8 1 beschrieben sind vorgesehen Die Stellteile S1 und S2 der Zweihandschaltung entsprechen DIN EN 60947 5 1 Fehler in den Anschlussleitungen von S1 und S2 werden in der Logikeinheit erkannt W re dies nicht m glich so m ssten die Bedingungen f r einen Fehlerausschluss f r Leitungskurzschl sse nach DIN EN ISO 13849 2 Tabelle D 4 eingehalten werden Wegen der geringen Str me werden Taster mit Goldauflage empfohlen Zum Anbau der Taster und zu Ma nahmen zur Vermeidung von versehentlicher Bet tigung und von Umgehen siehe DIN EN 574 Abschnitt 8 Der Abstand zum Gef hrdungsbereich muss ausreichend gro sein Die Logikeinheit K1 entspricht Typ III C gem DIN EN 574 mit Selbst berwachung und Erkennung interner Fehler K1 ist ein gepr ftes Sicherheitsbauteil f r den Einsatz in Kategorie 4 und PL e
151. Integration von SRP CS Verifikation und Validierung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL ennnnneen Verifizieren des erreichten PL ssssssssssssesseneseeneeees Validieren der sicherheitsbezogenen Anforderungen Pr fung ob alle Sicherheitsfunktionen analysiert wurden 54 55 56 57 58 58 59 60 60 60 60 61 62 62 63 64 67 67 67 67 69 70 72 72 74 74 75 75 71 71 78 78 79 79 79 79 80 80 80 80 81 81 81 81 81 82 82 82 82 82 82 84 8 SCHAULUNOSDEISDIEIE TUE SIRE CS zen see 85 8 1 Grundlegende technologiebezogene Bemerkungen zu den Steuerungsbeispielen ooooonoccccccccncnnnnnnncnnnnnnnnnnnnnnnnns 86 8 1 1 Elektromechanische Steuerungen een nee ine 86 8 1 2 Fluidtechnische Steuerungen ssssssssssseesecceeecccceccecccaueeessssssssseseeeeeccececeeeeessseeaeeesassssseeeeeeceeeeceeeeseeeeeeeeeeaaaesessees 86 8 1 3 Elektronische und programmierbar elektronische Steuerungen oooonnnnncccnnnncncnnnnnonononononnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnonnnnnnnns 88 Ba ScHAlt nesbeispilie stilo tabs 89 8 2 1 Stellungs berwachung beweglicher trennender Schutzeinrichtungen mittels N herungsschalter Kategorie B PL b Beispiel 1 oooooooooooooccnnccnnnnncnnnnnnononononononononnnnnnnnnnnnnnnncnnnnnnoss 92 8 2 2 Pneumatisches Ventil Subsystem Kategorie 1 PL c f r PL b Siche
152. Jenseits von T y ergeben sich jedoch durch das Eintreten in die Verschlei phase starke Abweichungen D2 5 Verfahren guter ingenieurm iger Praxis Sind keine Herstellerangaben f r die Zuverl ssigkeit von Bauteilen verf gbar schl gt die Norm als erste Alternative vor Datenbankwerte zu verwenden Als Unterst tzung liefert sie f r mechanische hydraulische und pneumatische Komponenten sowie f r h ufig in der Praxis eingesetzte elektromechanische Sicherheitsbauteile typische Werte mit Diese Werte sind als MTTF Werte B Werte oder Fehlerausschl sse in Tabelle D 2 aufgef hrt Dieser B Wert den der Bauteilhersteller durch Pr fung ermittelt gibt die mittlere Anzahl von Zyklen an bei der 10 der Bauteile gefahrbringend ausgefallen sind Mithilfe dieses Wertes ist es m glich den MTTF Wert abzusch tzen Die Verwendung der Werte aus der Tabelle D 2 ist allerdings an verschiedene Voraussetzungen gebunden O Der Hersteller des Bauteils best tigt die Verwendung von grundlegenden Sicherheitsprinzipien nach DIN EN ISO 13849 2 2003 oder der entsprechenden Norm siehe Tabelle D 2 f r die Konstruktion des Bauteils Best tigung im Datenblatt des Bauteils Der Hersteller eines Bauteils das in einer Steuerung der Kategorie 1 2 3 oder 4 verwendet werden soll best tigt die Verwendung bew hrter Sicherheitsprinzipien nach DIN EN ISO 13849 2 2003 oder der entsprechenden Norm sie he Tabelle D 2 f r die Konstruktion d
153. Kennzahl 330 228 22 Lfg V 94 Hrsg BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Sankt Augustin Erich Schmidt Berlin 1985 Losebl Ausg www bgia handbuchdigital de 330228 DIN EN 61496 1 Sicherheit von Maschinen Ber hrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforde rungen und Pr fungen 01 05 Beuth Berlin 2005 DIN CLC TS 61496 2 Sicherheit von Maschinen Ber hrungslos wirkende Schutzeinrichtungen Teil 2 Besondere Anforde rungen an Einrichtungen welche nach dem aktiven opto elektronischen Prinzip arbeiten 02 08 Beuth Berlin 2008 DIN IEC 62046 Sicherheit von Maschinen Anwendung von Schutzeinrichtungen zum Erkennen von Personen Norment wurf 08 06 Beuth Berlin 2006 DIN EN 999 Sicherheit von Maschinen Anordnung von Schutzeinrichtungen im Hinblick auf Ann herungsgeschwindig keiten von K rperteilen 12 98 Beuth Berlin 1998 Neu D lfnen IB Spsichen Schie en A Biblothek gt Drucken Hite wizad N aola sl El PR 09 Getestete Lichtschranken Kategorie E SF Stillsetzen bei Eingriff in Lichtschranl E SB Lichtschranken B CH Kanal E BL Lichtschranke Fi BL Lichtschranke F2 BL Lichtschranke F3 He BL Hilfsschutz K2 CH Aaaa El TE Testkanal W BL SPSK3 i E BL Entkopplungsdiode Az SB Hauptsch tz G CH Kanal 1 H BL Hauptschiitz Q1 F E 1 LA gt Stillsetzen bei Eingriff i
154. Leitungen und sogar f r mechanische Stoel usw Somit gelten alle Anforderungen der Norm auch f r diese Verbindungsmittel Unter dem Aspekt der Fehlerbetrach tung ist also z B ein Leitungskurzschluss ein anzunehmender Fehler Wie aber sieht es mit dem Einsatz von Bussystemen zur bertragung von sicherheitsrelevanten Informationen aus Nat rlich kann es nicht Gegenstand der Norm sein ein solch komplexes Thema detailliert zu beleuchten zumal es bereits berufsgenossenschaftliche Pr fgrunds tze GS ET 26 28 und eine Norm DIN EN 61784 3 29 zu diesem Thema gibt Bus systeme die den in diesen Publikationen beschriebenen Anforde rungen gen gen lassen sich ohne Weiteres auch unter dem Dach der DIN EN ISO 13849 1 einsetzen Auf dem Markt gibt es bereits mehrere Bussysteme die f r den sicherheitstechnischen Einsatz geeignet sind In den oben erw hnten Publikationen wird ein spezielles Fehler modell verwendet um dem Einsatz eines Black Box Kanals f r die sicherheitsrelevante Daten bertragung Rechnung zu tragen d h an diesen bertragungskanal selbst werden z B keine speziellen Anforderungen zur Fehleraufdeckung gestellt Das Modell nimmt als Fehlerm glichkeiten die Wiederholung den Verlust die Einf gung falsche Abfolge Verf lschung und die Verz gerung sicherheitsrelevanter Nachrichten sowie die Kopplung von sicherheitsrelevanten und nicht sicherheits relevanten Nachrichten an Weitere Aspekte k nnen Fehler sein
155. Messe 3 Bibliothek BL Hifsschutz K6 Ansteuerung BL Hydraud kventil 21 BL Messersicherung 02 39 High 39 High 90 Medium 39 High 39 High 99 High 99 High 173 81 4 173 61 878 12 1736 11 1736 11 150 607 64 197 9 Literatur 1 2 3 4 5 6 7 8 9 10 11 Richtlinie 98 37 EG des Europ ischen Parlaments und des Rates vom 22 Juni 1998 zur Angleichung der Rechts und Verwaltungsvorschriften der Mitgliedstaaten f r Maschinen ABI EG Nr L 207 1998 S 1 ge nd durch Richtlinie 98 79 EG ABI EG Nr L 331 1998 S 1 http eur lex europa eu DIN EN ISO 12100 1 Sicherheit von Maschinen Grund begriffe allgemeine Gestaltungsleits tze Teil 1 Grund s tzliche Terminologie Methodologie 04 04 Beuth Berlin 2004 DIN EN ISO 12100 2 Sicherheit von Maschinen Grund begriffe allgemeine Gestaltungsleits tze Teil 2 Technische Leits tze 04 04 Beuth Berlin 2004 DIN EN ISO 14121 1 Sicherheit von Maschinen Risikobeurteilung Teil 1 Leits tze 12 07 Beuth Berlin 2007 ISO TR 14121 2 Sicherheit von Maschinen Risiko beurteilung Teil 2 Praktische Anleitung und Verfahrens beispiele 12 07 Beuth Berlin 2007 DIN EN ISO 13849 1 Sicherheit von Maschinen Sicher heitsbezogene Teile von Steuerungen Teil 1 Allgemeine Gestaltungsleits tze 07 07 Beuth Berlin 2007 DIN EN ISO 13849 2
156. N EN 61508 oder ein PL nach DIN EN ISO 13849 1 verbunden mit der Angabe einer durchschnittlichen Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde bzw PFH Wert nach DIN EN 61508 genannt wird Falls solche Komponenten nur in einem Kanal des SRP CS verwendet werden kann die ange gebene Ausfallwahrscheinlichkeit pro Stunde PFH als Ersatzwert f r die Ausfallrate in die gef hrliche Richtung betrachtet wer den wobei komponenteninterne Merkmale wie Redundanz und Eigendiagnose bereits ber cksichtigt sind _ 1 Black Box Komponenten mit PFH 6 PFH innerhalb eines Kanals Du Parts Count Verfahren Sind die MTTF Werte aller sicherheitsrelevanten Komponenten bekannt so muss hieraus zun chst die MTTF jedes Blocks berechnet werden Dieser Schritt l sst sich zwar per FMEA Ausfalleffektanalyse sehr detailliert durchf hren siehe Anhang B allerdings m ssen dazu im Idealfall die unterschied lichen Ausfallarten jeder sicherheitsrelevanten Komponente und ihre Wirkung f r den Block analysiert werden Dieser Ansatz lohnt sich gemessen am Aufwand daher meist nur f r Kom ponenten mit einer hohen Ausfallrate d h einem kleinen MTTF Wert Als schnelle Alternative die im Mittel auch nicht auf viel schlechtere Werte f hrt bietet DIN EN ISO 13849 1 das sogenann te Parts Count Verfahren an Im Wesentlichen handelt es sich dabei um eine Summation mit drei Hauptannahmen O Fur alle Ausfallarten ei
157. O Betriebsarten O Ansprechzeiten O Mutings zeitweiliges Aufheben der Sicherheitsfunktionen Grenzen f r den Betrieb einschlie lich Umgebungsbedingungen Schnittstellen O Anzeigen und Alarme sicheren Montage und Inbetriebnahme ggf des sicheren Parametrierens und Programmierens Instandhaltung inklusive daf r geeigneter Checklisten O Wartungs und Wechselintervalle Zug nglichkeit und Ersatz interner Teile Mittel und Verfahren zur leichten und sicheren Fehlersuche 7 5 Validieren der Kombination und Integration von SRP CS Die einzelnen SRP CS sind vor der Kombination separat zu pr fen Um systematische Fehler w hrend der Kombination bzw Integration von SRP CS zu vermeiden sind folgende V amp V Akti vit ten durchzuf hren 82 O Inspektion der Konstruktionsdokumente die insgesamt die Sicherheitsfunktion beschreiben O Abgleich der Kenndaten der Schnittstellen zwischen den SRP CS z B Spannungen Str me Dr cke Informations daten Signalpegel O FMEA bezogen auf die Kombination bzw Integration Funktionstest Black Box Test O erweiterter Funktionstest Kontrolle der vereinfachten Bestimmung des Gesamt PL aus den PLs der einzelnen SRP CS wie in Abschnitt 6 4 beschrieben 7 6 Verifikation und Validierung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL e Begleitend zur allgemeinen Beschreibung der Verifikation und Validierung von Si
158. O Die Sicherung einer Gefahrenstelle erfolgt mit einer beweglichen trennenden Schutzeinrichtung Schutzgitter Das ffnen des Schutzgitters wird durch zwei Positionsschalter B1 B2 in ffner Schlie er Kombination erfasst und in einem zentralen Sicherheitsbaustein K1 ausgewertet Dieser steuert zwei Sch tze Q1 und Q2 an durch deren Abfallen gefahrbringende Bewegungen oder Zust nde unterbrochen bzw verhindert werden Die Positionsschalter werden zur Fehlererkennung in K1 auf Plausibilit t berwacht Fehler in Q1 und Q2 werden durch eine Anlauftestung in K1 erkannt Ein Start Befehl ist nur erfolgreich wenn Q1 und Q2 vorher abgefallen waren Es ist keine Anlauftestung durch ffnen und Schlie en der Schutzeinrichtung erforderlich 184 Die Sicherheitsfunktion ist auch erf llt wenn ein Bauteilausfall auftritt Fehler werden w hrend des Betriebs oder beim Bet tigen ffnen und Schlie en der Schutzeinrichtung durch Abfall von Q1 Q2 und Betriebshemmung erkannt Eine Fehlerh ufung von mehr als zwei Fehlern zwischen zwei aufeinander folgenden Bet tigungszeitpunkten kann zum Verlust der Sicherheitsfunktion f hren Konstruktive Merkmale O Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen O Ein stabiler Aufbau der Schutzeinrichtungen zur Bet tigung der Posit
159. Q1 und Q2 entspricht bei induktiver Last AC3 der B Wert der elektrischen Lebensdauer von 1300 000 Schaltspielen H Bei Annahme von 50 gefahrbringenden Ausf llen ergibt sich der B Wert durch Verdoppelung des B Wertes Mit dem oben angenommenen Wert f r n ergibt sich f r Q1 und Q2 eine MTTF von 4 452 Jahren F r die SPS wird ein MTTF Wert von 15 Jahren H angesetzt aus dem sich durch Verdoppelung ein MTTF Wert von 30 Jahren ergibt Die Kombination von B1 und 02 ergibt MTTF 1 236 Jahre f r den ersten Kanal B2 K1 und Q2 tragen zur MTTF 28 Jahre im zweiten Kanal bei Insgesamt ergibt sich ber beide Kan le ein symmetrisierter MTTF Wert pro Kanal von 70 Jahren hoch DC ug DC 99 f r B1 und B2 beruht auf der Plausibilit ts berwachung beider Schaltzust nde in der SPS K1 DC 99 f r die Sch tze Q1 und Q2 ergibt sich aus der R cklesung ber zwangsgef hrte Kontaktelemente ebenfalls in K1 F r K1 wird wegen der m glichen Fehlererkennung durch den Prozess DC 60 angenommen Durch Mittelung ergibt sich damit ein DE re von 62 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen ber spannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der Steuerungselemente entspricht Kategorie 3 mit hoher MTTF 70 Jahre und niedrigem DC 62 avg Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf l
160. Review wird auch verifiziert ob die Anfor derungen der Softwarespezifikation erf llt sind Nun beginnt die eigentliche Codierung unter Ber cksichtigung der Programmierrichtlinie Die Programmierrichtlinie schreibt neben Regeln f r die bessere Lesbarkeit des Codes u a auch die eingeschr nkte Verwendung von kritischen Sprachkonstrukten vor Die Einhaltung der Programmierrichtlinie wird mitlaufend zur Codierung durch entsprechende Tools gew hrleistet F r die semantische inhaltliche Verifikation des fertigen Codes gegen das Pflichtenheft f hrt der Programmierer mit Kollegen ein Walk Through durch bei dem gleichzeitig der Programmablauf und der Datenfluss von kritischen Signalen analysiert werden Mit den blichen Modultests werden die Funktionen und Schnitt stellen einerseits auf Korrektheit und andererseits auf berein stimmung mit der Modulgestaltung gepr ft Es folgt die Integra tion der Software und der Tests gemeinsam mit der Hardware des Mikrocontrollers K1 Danach wird K1 zusammen mit dem ASIC Kanal K2 verschaltet um die Synchronisierung den Daten austausch und die Fehlererkennung beider Kan le gemeinsam zu testen Alle Tests werden dokumentiert Bei diesem Integrationstest k nnte sich ergeben dass der Mikro controller nicht so leistungsf hig ist wie vorher angenommen In diesem Fall m sste die Softwarearchitektur konkret die zeitliche Einplanung der Tasks und auch die Zuordnung von Funktionen zu den Tasks ge n
161. STEMA 150 8 2 22 Muting einer Schutzeinrichtung Kategorie 3 PL d Beispiel 22 N Sensoren F1 F4 1 011 010 01 1 St rungs beseitigung S4 Band vorw rts F4 2 manuell R autom R3 ca a mn Sy lt 2y Muting K2 a K3 ES P1 RI 4 Anzeigen Abbildung 8 38 Uberbriickung einer Schutzeinrichtung FREIGABE Muting Muting manuell Bandantrieb automatisch im St rungsfall am Auslauf einer Palettierstation SPS gesteuerten Palettieranlage Sicherheitsfunktion e Mutingfunktion Zeitlich begrenzte prozessabh ngige berbr ckung einer Schutzeinrichtung Weitere Sicherheitsfunktionen wie zum Beispiel die Absicherung des Zugangs zur Palettieranlage oder die Anlauf Wiederanlaufsperre sind im Folgenden nicht detailliert behandelt 152 Funktionsbeschreibung O Der Zugang am Auslauf der Palettieranlage wird durch eine dreistrahlige Lichtschranke BWS F5 des Typs 4 nach DIN EN 61496 abgesichert Diese enth lt die zus tzlichen Funktionen Anlaufsperre und Wiederanlaufsperre die mithilfe von zwei antivalenten Eing ngen realisiert sind Das Aufheben der Anlaufsperre der Lichtschranke ist an den Startbefehl des Band antriebs bzw an das Einschalten der Palettierstation gekoppelt und wird ausgel st durch den Anzug und nachfolgenden Abfall des Hilfssch tzes K1 entsprechend dem Bet tigen und Loslassen des Starttasters S1 Voraussetzung f r einen g ltigen Startbefehl ist das Abgefallensein der
162. Schaltungen die nachein ander verschiedene Schritte der Signalverarbeitung ausf hren zu einem Funktionsblock zusammengefasst werden Bei anders angeordneten Bl cken sollte die Zusammenfassung sinniger weise nur so weit gehen dass Redundanzen wie z B getrennte Abschaltpfade und die gegenseitige Diagnose von Funktions bl cken noch zum Ausdruck kommen Am Ende der Schaltungs analyse muss ein Blockdiagramm stehen das all jene Strukturen widerspiegelt die sicherheitstechnisch bedeutsam sind einfach vorhandene oder parallele Signalpfade Kan le die zur Ausf hrung der Sicherheitsfunktion dienen O Signalpfade die im Fehlerfall eine sicherheitsgerichtete Ersatzfunktion ausf hren O Schaltungen zur Ausfallerkennung Diagnose Wenn Hilfsschaltungen die f r die Ausf hrung der Sicher heitsfunktion oder f r eine andere sicherheitsgerichtete Aktion ben tigt werden z B Netzteile Oszillatoren nur einen Kanal beeinflussen k nnen so sollten sie dem oder den Funktions bl cken dieses Kanals zugeordnet werden Wirken diese Hilfs schaltungen auf mehrere Kan le dann bilden sie im sicherheits bezogenen Blockdiagramm einen separaten einkanaligen Teil Funktionsblock Entsprechendes gilt f r Schaltungen die durch eine bestimmte Art ihres Ausfalls die Ausf hrung der Sicherheits funktion einer anderen sicherheitsgerichteten Aktion oder der Diagnose verhindern k nnen z B Schaltungen zum Anw hlen einer sicheren Betrieb
163. Steuer ger te 02 05 Beuth Berlin 2005 Abbildung 8 61 PL Bestimmung mithilfe von SISTEMA Neu ffnen 8 Speichern Schie en Fij Bibliothek lt gt Drucken Hite F Wizard A E PR 37 Planschneidemaschine mit programm amp SF ala Ortsbindung der H nde des Bediene SB Pressen und Schneiden CH Kanal 1 HH BL Schlie erkontakt des T H BL linerkontakt des Taste H BL Mikrocontroller K1 H BL Hilfsschutz K3 fur die Mi E BL Hilfsschutz K4 Ansteuer BL Hydraudikventil 22 W BL Brems Kupplungskomb CH Kanal 2 H BL Schlie erkontakt des T BL linerkontakt des Taste BL Mikrocontroller K2 E a i Hu MN U ed di Dara fel se 54 Medium cr Jena y Zusammenfassung amp Ebena Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke An Kanal 1 Hinzuf gen _ EN BL SchheBerkontakt des Taster 39 High C L schen BL ffnerkontakt des Tasters 2 99 High BL Mikrocontroller K1 90 Medium L Bearbeiten BL Hilfssch tz K3f r die Messe 99 High BL Hifsschutz K4 Ansteuerung 99 High Lal Bib iothek BL Hydrauikventil2V2 39 High _ BL Brems Kupplungskombinati 93 High P Inhalte der Kan le vertauschen Kanal 27 Hinzuf gen D ARTO IET ee BL SchleBerkontakt des Taster _ L schen BL ffnerkontakt des Tasters 51 BL Mikrocontroller K2 4 Bearbeiten BL Hilfssch tz K5 fur die
164. Stunde re F r das Subsystem Hauptsch tz wird angenommen B oq 2000000 Zyklen N mit Nop 76800 Zyklen Jahr Dies f hrt zu einer MTTF von 260 4 Jahren die nach Norm auf 100 Jahre begrenzt wird Die Struktur entspricht Kategorie 1 daher sind DC und Ausf lle infolge gemeinsamer Ursache nicht relevant Es ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 14 10 Stunde Die Addition der mittleren Wahrscheinlichkeit gef hrlicher Ausf lle beider Subsysteme ergibt 3 0 10 Stunde Dies entspricht PL c Ist abzusehen dass die Sicherheitsfunktion h ufiger als f r die vorgesehene Architektur der Kategorie 2 zugrunde gelegt angefordert wird das Verh ltnis 100 1 wird unterschritten d h h ufiger als einmal in 5 Stunden so kann dies gem Anhang G bis zu einem Verh ltnis von 25 1 mit einem Zuschlag von 10 ber cksichtigt werden Im vorliegenden Fall mit drei Lichtschranken erreicht das Subsystem Lichtschranken noch eine Ausfallwahrscheinlichkeit von 2 04 10 Stunde Die mittlere Gesamtwahrscheinlichkeit gef hrlicher Ausf lle von 3 18 10 Stunde erreicht allerdings nur noch PL b Um PL c zu erreichen m ssten z B die Anzahl der Lichtschranken reduziert oder Komponenten h herer MTTF eingesetzt werden Weiterf hrende Literatur 110 Grigulewitsch W Reinert D Lichtschranken mit Testung In BGIA Handbuch Sicherheit und Gesundheitsschutz am Arbeits platz
165. TF wird der entsprechende Summand im Z hler und im Nenner weggelassen Alle Bl cke die Sicherheitsfunktionen in den verschiedenen Steuerungskan len ausf hren werden ber cksichtigt Bl cke die nur allein der Testung dienen werden nicht ber cksich tigt F r Kategorie 2 Strukturen bedeutet dies dass Bl cke des berwachungskanals TE und OTE nicht mitgez hlt werden In Kategorie 3 und 4 wird der Mittelwert direkt ber beide Kan le hinweg gebildet eine gesonderte Symmetri sierung wie bei der MTTF pro Kanal entf llt F r eine detaillierte Analyse des Einflusses der Tests auf die Ausfallwahrscheinlichkeit des Gesamtsystems sind neben dem DC weitere Gr en zu ber cksichtigen Dazu z hlt neben der Testrate z B die Ausfallrate der Testeinrichtung selbst In mehrkanaligen Systemen hat allerdings die H ufigkeit eines Tests nur geringe Auswirkungen da die dabei relevanten Zeiten in aller Regel sehr viel kleiner sind als die MTTF Werte der Kan le Bevor also die Beeintr chtigung eines Tests f r das System relevant wird m ssen erst mehrere Kan le ausfallen was sehr unwahrschein lich ist solange die Testzyklen sehr viel kleiner bleiben als die MTTF eines Kanals Grunds tzlich anders sieht dies in Kategorie 2 Strukturen aus Der Ausfall der Testeinrichtung macht hier aus einem einkanalig getesteten System ein einkanalig ungetestetes System das beim n chsten Ausfall die Sicherheitsfunktion nicht mehr
166. Wegmesssystems 153 in geeig neten Zeitabst nden und beim Anfordern der Schutzfunktion Das Erkennen des Ausfalls von 1V3 f hrt zum Abschalten der Hydraulikpumpe 1M bzw 1P mittels Leistungssch tz Q1 120 Das Unterbrechen der gefahrbringenden Bewegung ber die Hydraulikpumpe ergibt in der Regel einen verl ngerten Nach laufweg Der Abstand zum Gefahrenbereich muss auf den verl ngerten Nachlaufweg ausgelegt sein Durch den Ausfall des Wegeventils darf die Testfunktion nicht beeintr chtigt werden Ein Ausfall der Testfunktion darf nicht zu einem Ausfall des Wegeventils f hren Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Bei 1V3 handelt es sich um ein Wegeventil mit Sperr Mittelstellung ausreichender positiver berdeckung und Feder zentrierung Die sicherheitsgerichtete Schaltstellung wird durch Wegnahme des Steuersignals erreicht Die Testung erfolgt z B durch berpr fung des Weg Zeitverhaltens Wegmesssystem 153 der gefahrbringenden Bewegungen in Verbindung mit dem Schaltzustand des Wegeventils mit Auswertung in einer SPS K1 In geeigneten Zeitabst nden z B t glich wird zur Verhinderung eines systematischen Ausfalls die bergeordnete Abschaltfunktion in diesem Beispiel auf die Hydraulikpumpe wirkend berpr ft F r den Einsatz in Anwendungen mit seltenem Eingriff in den Gefahrbereich vorgesehen Damit kann die Anforderung
167. _ Name Dell MTTFd a E BL Hilfssch tz K2 99 High 16666 67 L schen BL Hifssch tz K3 99 High 52 08 High BL Kondensator Ci 60 Low 45662 Z Bearbeiten BL Leistungssch tz 01 99 High 52 08 High 3 Bibliothek Abbildung 8 19 TER 121 66 Medium PL Bestimmung mithilfe 63 07 Low ST von SISTEMA 75 erful 114 8 2 11 Getestetes pneumatisches Ventil Subsystem Kategorie 2 PL d f r PL c Sicherheitsfunktionen Beispiel 11 151 x i gefahrbringende Bewegung a Mell AT b 1 weitere Verbraucher und Steuerungen 7 HN K1 0Z i Abbildung 8 20 Pneumatisches Ventil mit elektronischer Testung zur Steuerung von gefahr bringenden Bewegungen Sicherheitsfunktionen O Sicherheitsbezogene Stoppfunktion Stillsetzen einer gefahrbringenden Bewegung und Verhinderung des ungewollten Anlaufs aus der Ruhelage Hier ist nur der pneumatische Steuerungsteil als Subsystem gezeigt F r die komplette Sicherheitsfunktion sind weitere sicherheitsbezogene Steuerungsteile z B Schutzeinrichtungen und elektrische Logik als Subsysteme hinzuzuf gen 116 Funktionsbeschreibung Gefahrbringende Bewegungen werden durch ein Wegeventil 1V1 gesteuert Der Ausfall des Wegeventils 1V1 zwischen den Funktionstests kann zum Verlust der Sicherheitsfunktion f hren Der Ausfall h ngt von der Zuverl ssigkeit des Wegeventils ab Es erfolgt eine zwangsweise Testung der Sicherheitsfunkti
168. a Sicheres Stilsetzen durch BWS 551 H e SB BWS K3 SB Redundantes Stilsetzen CH Kanal 1 CH Kanal 2 rH a a EEN DH 76 32 None 85 erfullt al Schlie en i i Bibliothek Eingabemasken subsystem Dokumentation PL rKanal 1 Hinzuf gen t L schen 2 Bearbeiten Bibliothek rkanal 2 Hinzuf gen L schen 4 Bearbeiten 3 Bibliothek Drucken HHille Wizard R Zusammenfassung Kategorie MTTFd DCavg CCF BGIA VW Blocke a a Sp High 30 Medium 100 High 4 Inhalte der Kan le vertauschen GLI Name pcg MT TFG fal BL HifeschutzK2 BL Hiissch ltz K1 BL Kondensator Ci BL Tib 99 High 16665 67 99 High 208 33 1 60 Low 456821 60 Low 1000 a 8 2 21 Sicher begrenzte Geschwindigkeit f r Tippbetrieb Kategorie 3 PL d Beispiel 21 Abbildung 8 36 Tippbetrieb mit sicher begrenzter Geschwindig keit bei ge ffneter Schutz t r mit Soll Ist Vergleich und Drehzahl Grenzwert Frequenz schutztir umrichter K1 10 0 10 1 11 0 11 1 12 0 121 13 0 13 1 Impulssperre Eingange Start Stopp Sicherheits SPS Ausgange aij vorgabe innerhalb einer fi Darstellung in bet tigter Stellung Sicherheits SPS Sicherheitsfunktion e Sicher begrenzte Geschwindigkeit SLS Bei ge ffneter Schutzt r wird das berschreiten eine
169. a die physika lischen Eigenschaften einer Maschine und die m gliche Reaktion des Bedieners von Bedeutung Muss z B ein Einrichtbetrieb an laufender Maschine mit begrenzter Geschwindigkeit erfolgen so wird bei geringen Beschleunigungswerten der Einrichtung der Parameter P1 die richtige Wahl sein Der Bediener hat bei langsam auftretenden Gef hrdungen die M glichkeit sich bei ausreichendem Bewegungsraum aus dem Gefahrenbereich zu entfernen P2 ist zu w hlen wenn schnell gr ere Geschwin digkeiten erreicht werden k nnen und die Chance den Unfall durch Ausweichen des Bedieners zu vermeiden praktisch nicht gegeben ist Bei dieser Bewertung ist nur die Begrenzung durch das physikalisch M gliche und nicht die Begrenzung durch steuerungstechnische Komponenten zu ber cksichtigen denn diese k nnten im Fehlerfall versagen So ist beispielsweise bei Walzen die sich in Richtung der Hand des Bedieners bewegen im st rungsfreien Betrieb ein Einzug nicht m glich Im Fehlerfall der Steuerung kann sich die Drehrichtung allerdings ndern und die Hand w rde im ung nstigsten Falle eingezogen Auf die sich anschlie ende Gestaltung der Sicherheitsfunktionen geht Kapitel 6 ein 5 4 2 bergang von einer erforderlichen Kategorie nach DIN EN 954 1 zu einem PL F r die Anwendung der DIN EN IS013849 1 2007 ist es notwen dig den PL zu kennen Wie im vorherigen Abschnitt beschrieben ist zu dessen Bestimmung eine Risikoeinsch tzung erforderl
170. a en beschreiben Beim Loslassen mindestens eines der beiden Stellteile S1 und S2 wird die gefahrbringende Bewegung von Pressbalken und Messer unterbrochen und sowohl Messer als auch Pressbalken kehren durch Federkraft in ihre Ausgangslage zur ck Ein Neustart wird solange verhindert bis beide Stellteile losgelassen wurden und ein neuer Zyklus durch die Zweihandschaltung eingeleitet wird Zur Ortsbindung der H nde werden zwei Stellteile verwendet die zum Start der Maschine synchron bet tigt werden m ssen f r Details z B zur Manipulationssicherheit siehe DIN EN 574 Die elektrischen Signale m ssen zeitlich und logisch ausgewertet werden wozu sich z B eine programmierbare Elektronik anbietet die in der Regel auch die Bewegung des Pressbalkens und Messers steuert Diese werden hier wegen der erforderlichen hohen Kr fte hydraulisch angetrieben Im Sinne des Kapitels 5 siehe Abschnitt 5 3 2 enth lt die Sicherheitsfunktion beide Aktoren Pressbalken und Messer da sie sich an derselben Gefahren stelle befinden Abbildung 6 15 siehe Seite 68 zeigt in einem elektrohydraulischen Prinzipschaltplan wie die sicherheits relevanten Steuerungsteile konkret realisiert werden Die hier wie auch im Kapitel 8 gew hlte Darstellung als Prinzipschaltplan muss aus Gr nden der bersichtlichkeit nat rlich viele Details unterschlagen Neben dem Gro teil der funktionalen Steuerungs teile die f r ein prozessgerechtes Funktionieren der Maschin
171. achung ausgef hrt da 1V3 nicht zyklisch geschaltet wird Die sicherheitsgerichtete Schaltstellung wird jeweils durch Wegnahme des Steuersignals elektrisch bzw hydraulisch erreicht O Die Signalverarbeitung der elektrischen Stellungs berwachung erfolgt z B in einer einkanaligen SPS Berechnung der Ausfallwahrscheinlichkeit O MTTF F r die Wegeventile 1V3 1V5 und 2V1 wird eine MTTF von 150 Jahren angenommen N Nach K rzen des zweiten Kanals 1V3 auf 100 Jahre ergibt sich ein symmetrisierter MTTF Wert von 88 Jahren hoch DC DC 99 f r 1V3 beruht auf der direkten berwachung des Schaltzustandes durch 153 DC 60 f r die Wege ventile 1V5 bzw 2V1 beruht auf der indirekten berwachung durch den Prozess Durch Mittelung ergibt sich damit ein DC ve von 73 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen ber spannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der hydraulischen Steuerungselemente entspricht Kategorie 3 mit hoher MTTF 88 Jahre und niedrigem DC ve 73 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 9 35 10 Stunde Dies entspricht PL e Nach Hinzuf gen weiterer sicherheitsbezogener Steuerungsteile als Subsysteme zur Vervollst ndigung der Sicherheits funktion wird der PL in der Regel geringer 169 8 2 28 Stellungs berwachung beweglicher trennender Sc
172. alculator 16 der das S ulendiagramm in Form einer Dreh scheibe mit der der PL jederzeit einfach und genau ermittelt werden kann detailliert darstellt Weiterf hrende Hilfen und Literatur finden sich auf den Internetseiten des BGIA unter der Adresse www dguv de bgia 13849 22 5 Sicherheitsfunktionen und ihr Beitrag zur Risikominderung Der vorliegende BGIA Report besch ftigt sich mit Sicherheits funktionen und ihrem Beitrag zur Risikominderung an Gefahren stellen von Maschinen Solche Sicherheitsfunktionen zu gestalten ist Teil eines Prozesses zur Realisierung von sicheren Maschinen Dieses Kapitel geht daher zun chst auf die Anforderungen der Maschinenrichtlinie ein bevor die Festlegung von Sicher heitsfunktionen und ihrer Eigenschaften beschrieben wird In Abschnitt 5 7 wird anschlie end die Umsetzung am praktischen Beispiel einer Planschneidemaschinensteuerung gezeigt 5 1 Anforderungen der EG Maschinenrichtlinie Die EG Maschinenrichtlinie 1 ist in Deutschland im Rahmen des Ger te und Produktsicherheitsgesetzes in nationales Recht umgesetzt und legt grundlegende Sicherheits und Gesundheits anforderungen f r Maschinen fest Der allgemeine Charakter der Maschinenrichtlinie wird durch Normen konkretisiert Hierbei ist insbesondere die Normenreihe DIN EN ISO 12100 2 3 Sicher heit von Maschinen Grundbegriffe allgemeine Gestaltungsleit s tze hervorzuheben Dem Maschinenkonstrukteur wird eine Methode vorges
173. alle Technologien angemessen und vor allem praktikabel zu klassifizieren wurden die Kategorien erfolgreich in das umfassendere Konzept des Performance Level eingebettet 1 Fr her Berufsgenossenschaftliches Institut f r Arbeitssicherheit BIA Dem Normensetzer ist es nicht zuletzt durch die intensive Mit wirkung erfahrener Experten des BGIA gelungen die Nach folgenorm DIN EN ISO 13849 1 so zu gestalten dass sie bei aller Komplexit t der Materie praktisch anwendbar bleibt Sie liegt seit Mai 2007 harmonisiert vor Ein Positionspapier siehe Anhang Seite 249 des Verbandes Deutscher Maschinen und Anlagenbau e V VDMA unterst tzt ausdr cklich ihre Anwendbarkeit im deut schen Anlagen und Maschinenbau Deshalb ist nun der richtige Zeitpunkt f r einen neuen vollst ndig berarbeiteten BGIA Report zu sicherheitsrelevanten Steuerungen von Maschinen gekommen Mit den zunehmend komplexeren Technologien in der Sicherheitstechnik ndern sich auch die Anforderungen und Erwartungshaltungen an Anwendunsshilfen Der vorliegende Report und auch die im BGIA entwickelte Software SISTEMA Sicherheit von Steuerungen an Maschinen versuchen die Br cke zwischen alter und neuer Norm zu schlagen Sie bieten dem Leser bzw Anwender einen einfachen Einstieg in die neuen Methodiken Ein Team von 20 Autoren hat die Texte und vor allem die so wichtigen Schaltungsbeispiele erarbeitet diskutiert und validiert und f hrt den Leser so Sch
174. allrate unterstellt wird l sst sich aus den Daten f r Anwender A eine MTTF von 178 Jahren als Kehrwert der Ausfallrate errechnen Bei diesem Anwender wurden die Ein satzbedingungen an den Hydraulikanlagen weitgehend nach den Vorgaben der Hersteller eingehalten Da es sich vorwiegend um neue Fertigungsstra en handelte wurde eine zustandsorientierte Instandhaltung durchgef hrt Bei Anwender B wurden die Ausfalldaten f r die Wegeventile ebenfalls in der Instandhaltungsabteilung der Getriebeferti gung aufgenommen Hier waren ungef hr 25 000 Wegeventile unterschiedlichen Alters im Einsatz Verf gbar waren die Daten aller ausgefallenen Wegeventile in einem Zeitraum von vier Jahren 2000 bis 2003 Im Gegensatz zum Anwender A waren die Ausfalldaten f r jedes Jahr einzeln abrufbar somit war es m glich eine MTTF f r jedes einzelne Jahr zu bestimmen Dabei stieg die MTTF von 195 Jahren im Jahre 2000 auf 300 im Jahre 2003 Es zeigte sich ein signifikanter Zusammenhang zwischen Ventilausf llen und Einsatz bzw Umgebungsbedingungen denn Anwender B hat seine Instandhaltungsma nahmen und Einsatzbedingungen im Laufe der Jahre kontinuierlich verbessert Des Weiteren wurden gegen ber Anwender A die Einsatzbedin gungen durch zus tzliche Ma nahmen verbessert z B ber 223 wachung der ltemperatur gr ere ltanks meist au erhalb der Maschine untergebracht feinere R cklauffilter Abzugsanlagen zur Minderung der Verunreinigungen
175. allraten aus was eine Idealisierung darstellt Durch entsprechende Dimensionierung und notfalls vorbeu genden Austausch kann erreicht werden dass die Bauelemente w hrend der Gebrauchsdauer Ty Mission Time noch nicht in die Verschlei phase mit stark ansteigender Ausfallrate geraten Als schnell verf gbare Quelle f r zumeist konservativ pessimis tisch abgesch tzte Ausfallraten bietet sich DIN EN ISO 13849 1 Anhang C an Hier wird insbesondere ein Weg gewiesen auf dem f r zyklisch arbeitende elektromechanische fluidtech nische und mechanische Einzelkomponenten Ausfallraten aus den sogenannten B Werten abgeleitet werden k nnen siehe Tabelle D 2 dieses Reports Sofern keine konservative Absch tzung der Ausfallrate vorliegt muss bei jedem Bauelement darauf geachtet werden dass der verwendete Wert unter den im konkreten Anwendungsfall gege benen Einsatzbedingungen Temperatur Strom Spannung Ver lustleistung gilt Auch die Eigenerw rmung ist zu ber cksich tigen G ngige Datenquellen z B 3 bis 6 bieten M glichkeiten die unter definierten Referenzbedingungen geltenden Basisaus fallraten in Werte umzurechnen die unter davon abweichenden Bedingungen gelten Geeignete Umrechnungsformeln jedoch keine Basisausfallraten findet man in 7 B2 4 Erstellung einer funktionsblockweisen FMEA f r Quantifizierungszwecke Bei der FMEA werden die Bauelemente des Funktionsblocks zun chst einzeln bewertet und daraus die
176. alter B2 ist bet tigt Damit sind die ffnerkontakte von B1 geschlossen ebenso die Schlie erkontakte von B2 Ihre Reihenschaltung gibt die Ansteue rung f r die Motorsch tze Q1 und Q2 frei Das sicherheitsbezogene Blockdiagramm f r die Sicherheitsfunktion Verhindern eines unerwarteten Anlaufs aus dem Stillstand bei geoffneter Schutzt r hier nicht dargestellt besteht daher bei Verein fachung zur sicheren Seite aus zwei redundanten Kan len B1 Q1 und B2 02 Alternativ kann B1 Q2 und B2 Q1 gew hlt werden Ergeben sich aus diesen beiden Modellen unterschiedliche Werte der MTTF pro Kanal kann f r die Bestimmung der Ausfallwahrscheinlichkeit der h here MTTF Wert verwendet werden e Das ffnen der Schutzt r w hrend der gefahrbringenden Bewegung ist durch die Einbindung je eines ffnerkontaktes Spiegelkontaktes der Sch tze Q1 Q2 und des auf der Drehzahlinformation des Tachogenerators G1 basierenden Stillstands w chters K1 sowie des Schlie erkontaktes des anzugsverz gerten Sch tzes K2 im Ansteuerkreis des Magneten F1 einfehler sicher verhindert e Ein ffnen der Schutzt r w hrend des Austrudelns des Motors nach Bet tigen des Stopptasters S2 und des Entriegelungs tasters S1 ist durch die Einbindung des ffnerkontaktes des Stillstandsw chters K1 basierend auf der Drehzahlinformation von G1 und des Schlie erkontaktes des anzugsverz gerten Sch tzes K2 im Ansteuerkreis des Magneten F1 einfehlersicher verhindert siehe siche
177. ammierbar f Darstellung in bet tigter Stellung elektronisch Sicherheitsfunktion O Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Das ffnen der beweglichen trennenden Schutzeinrichtung Schutzgitter leitet die Sicherheitsfunktion STO Sicher abgeschaltetes Moment ein Funktionsbeschreibung e Das ffnen der beweglichen trennenden Schutzeinrichtung z B Schutzgitter wird durch zwei Positionsschalter B1 und B2 in ffner Schlie er Kombination erfasst Der Positionsschalter B1 mit zwangs ffnendem Kontakt steuert ein Sch tz Q2 an durch dessen Abfallen gefahrbringende Bewegungen oder Zust nde unterbrochen bzw verhindert werden Der Positions schalter B2 mit Schlie erkontakt wird von einer Standard SPS K1 eingelesen die ber die Ansteuerung eines zweiten Sch tzes Q1 die gleiche Abschaltreaktion bewirken kann Beim Auftreten eines Bauteilausfalls bleibt die Sicherheitsfunktion erhalten Die Schaltstellung von B1 wird ber einen Schlie erkontakt ebenfalls in die SPS K1 eingelesen und auf Plausibilitat mit der Schaltstellung von B2 verglichen Die Schaltstellung der Sch tze Q1 und Q2 wird ebenfalls ber zwangsgef hrte R cklese kontakte in K1 berwacht Bauteilausf lle in B1 B2 Q1 und Q2 werden durch K1 erkannt und f hren durch das Abfallen von 01 und Q2 zur Betriebshemmung Fehler in der SPS K1 werden nur ber die Funktion erkannt Fehlererkennung durch den Prozess 138 Konstru
178. an le Beta Faktor Verh ltnis der CCF Rate zur Ausfallrate eines Kanals CCF Rate A Abbildung F 1 Illustration des Ausfalls infolge gemeinsamer Ursache CCF anhand des Beta Faktor Modells 239 Bei Die Die Rechenregeln f r das Punkteschema wurden auf zwei Schritte zusammengefasst Jede Ma nahme kann nur voll erf llt volle Punktzahl oder nicht erf llt sein Punktzahl Null anteilige Punktzahlen f r unvollst ndig erf llte Ma nahmen werden nicht angerechnet Wenn Ma nahmen z B Diversit t Verwendung bew hrter Bauteile nur in einzelnen SRP CS als Subsysteme komplett erf llt werden k nnen subsystemweise unterschiedliche Ma nahmenb ndel gegen CCF wirken Die Mindestpunktzahl von 65 Punkten muss f r die Kategorien 2 3 und 4 erf llt werden um die vereinfachte Methode zur Bestimmung des Performance Levels anwenden zu k nnen Maximal k nnen 100 Punkte erreicht werden der Bewertung der Ma nahmen ist Folgendes zu beachten Die Ma nahmen sind mit besonderem Schwerpunkt auf ihre Wirksamkeit gegen CCF zu bewerten Beispielsweise fordern die Produktnormen ohnehin Unempfindlichkeit gegen ber Umwelteinfl ssen und elektromagnetischen St rungen Dar ber hinaus ist zu beurteilen ob diese Einwirkungen als Ursachen f r gemeinsame Fehler wirksam minimiert wurden Je nach Steuerungstechnologie unterscheiden sich die phy sikalischen Gegenma nahmen z B sind unter Umweltein fl ssen bei elektri
179. an le in Kategorie 2 3 diversit re SRESW oder diversit re Technologie Bonus durch die Diversit t der SRESW oder der Technologien Es gelten die Basisma nahmen f r PLa bis b Zwei Alternativen a Best tigung durch Hersteller b abgedeckt durch qualit tssichernde Entwicklung nach relevanten Produktstandards dann ist keine Herstellerbest tigung ber die Einhaltung der Anforderungen nach DIN EN ISO 13849 1 erforderlich Zwei Komponenten f r zwei Kan le in Kategorie 2 3 SRESW homogen Kein Bonus durch Diversit t Es gelten die Basisma nahmen f r PL a bis b und zus tzliche Ma nahmen f r PL c bzw d Eine Herstellerbest tigung ber die Einhaltung aller Anforderungen nach DIN EN ISO 13849 1 ist erforderlich 63 Zusammenfassend wird der Einsatz von elektronischen programmierbaren Standardkomponenten in SRP CS hinsichtlich der Anforderungen an die SRESW wie folgt beurteilt O PLe kann nach heutigem Stand der Technik durch eine Realisierung mit softwaregest tzten Standardkomponenten im Allgemeinen nicht erreicht werden PLc d kann bei Diversit t der SRESW bzw bei diversitarer Technologie zweier Kan le mit reduzierten Anforderungen hinsichtlich der Anforderungen an SRESW realisiert werden Zwar wird der Nutzen von Diversit t in der Norm nicht explizit formuliert ist aber g ngige Praxis und wird auch in der zuk nftigen zweiten Fassung der DIN EN 61508 hnlich dar gestellt O PLa b k nnen mit geeigneten S
180. ance Level PL Niedriges Risiko Ausgangs punkt zur Einsch tzung der Risiko minderung Hohes Risiko S2 ernste irreversible Verletzung F1 seltene Exposition oder kurze Dauer P1 Vermeidung der Gef hrdung m glich P2 Vermeidung der Gef hrdung kaum m glich 1 Schlie kantensicherungen fielen bisher unter die Bauproduktrichtlinie Da die eingesetzten Schaltleisten jedoch Sicherheitsbauteile nach der Maschinenrichtlinie sind werden auch Schlie kantensicherungen nach dieser Richtlinie bewertet 201 Beispiel 2 Fahrerloses Transportfahrzeug An fahrerlosen Transportfahrzeugen wird f r den Auffahrschutz die Sicherheitsfunktion SF1 Stillsetzen des Transportfahrzeugs eingesetzt Da sich ein fahrerloses Transportfahrzeug unter Umst nden mit tonnenschwerer Last bewegt ist eine schwere irreversible Verletzung bei einer Kollision mit dem Fahrzeug wenn sie bei voller Geschwindigkeit stattfindet wahrscheinlich S2 Die Fahrwege des Fahrzeugs sind f r Personen frei zug ng lich deshalb muss mit einem relativ h ufigen Aufenthalt von Personen im Gefahrenbereich gerechnet werden F2 Da das Fahrzeug mit recht niedriger Geschwindigkeit f hrt in der Regel 3 bis 5 km h hat ein Fu g nger bei Herannahen eines solchen Fahrzeugs meist die M glichkeit auszuweichen P1 F r SF1 ergibt sich damit ein erforderlicher Performance Level PL d siehe Abbildung A 2 202 Abbildung A 2 Risikobeurteilung f r d
181. ance Level realisieren H ufig werden etwa unterschiedliche Technologien in der Sen sor bzw Logikebene z B Elektronik in Kategorie 3 gegen ber der Antriebsebene z B Hydraulik in Kategorie 1 verwendet oder zugekaufte Ger te werden verkettet z B Lichtgitter elektronische Steuerung und pneumatische Ventilebene wie in Abbildung 6 13 dargestellt Einer der gro en Vorteile des PL Konzepts gegen ber den Kategorien ist es dass nun ein Verfahren existiert um Subsysteme verschiedener Kategorien aber hnlichen Perfor mance Level zu einem Gesamtsystem gemischter Kategorien aber mit definiertem Gesamt PL kombinieren zu k nnen In der Praxis k nnen verschiedene Konstellationen auftreten deren Behand lung im Folgenden n her erl utert wird Fluidischer Aktuator Elektronische Steuerungs i logik Fluidische Steuerung Kategorie 3 Kategorie 1 O Gesamte Steuerung in einer Kategorie keine Subsysteme F r diesen Fall gelten die oben angef hrten Erl uterungen z B hinsichtlich der vorgesehenen Architekturen o Teilsteuerung Subsystem in einer Kategorie F r diesen Fall gelten ebenfalls die oben angef hrten Erl uterungen z B hinsichtlich der vorgesehenen Architekturen allerdings ist die genaue Definition des Anteils an der Sicherheitsfunktion und der Schnittstellen notwendig an die weitere Subsysteme angeschlossen werden k nnen um die Sicherheitsfunktion zu komplettieren siehe unten O Reihenschaltung von S
182. ang Impulssperre T1b an T1 deaktiviert und die Bremse Q2 f llt ein Der erste Abschaltpfad wird also ber die SPS K4 unmittelbar realisiert wohingegen der zweite Abschaltpfad verz gert kontaktbehaftet abschaltet Die Zeitvorgaben f r 02 im SPS Programm und f r K1 sind so gew hlt dass auch unter ung nstigen Betriebsbedingungen der Stillstand der Maschinenbewegung erreicht wird Steht ein Eingang Schnellhalt mit besonders kurzer Geschwindigkeitsabsteuerung am FU zur Verf gung k nnen Not Halt Ger t und BWS optional wie im Schaltbild gekennzeichnet eingebunden werden Diese Variante wird im Folgenden nicht weiter betrachtet Bei einem einzelnen Versagen der SPS K4 der Umrichtereing nge T1a T1b des abfallverz gerten Hilfssch tzes K1 oder des Hilfssch tzes K2 wird jeweils das Stillsetzen des Antriebes sichergestellt weil immer zwei voneinander unabh ngige Ab schaltpfade vorhanden sind Das Nichtabfallen der Hilfssch tze K1 oder K2 wird wegen der vorhandenen R ckf hrung der zwangsgef hrten ffnerkontakte in die SPS Eing nge 13 und l4 sp testens vor einem erneuten Ingangsetzen der Maschinen bewegung aufgedeckt 144 Konstruktive Merkmale O Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Durch die Verwendung eines Frequenzu
183. aratur wirken sich die absoluten Gr en von Anforderungsrate und Reparaturrate Kehrwert der mittleren Reparaturzeit nur in vernachl ssigbar kleinem Ma auf die so verstandene PFH aus Lediglich bei der f r Katego rie 2 vorgesehenen Architektur muss gefordert werden dass die Testung sehr viel h ufiger erfolgt als die Anforderung der Sicherheitsfunktion vgl DIN EN ISO 13849 1 Abschnitt 4 5 4 Ausnahme Testintervall und die Zeit f r die sicherheitsgerichtete Reaktion sind zusammen k rzer als die spezifizierte System reaktionszeit Die Norm schl gt dazu eine mindestens 100 mal gr ere Testrate im Vergleich zur Anforderungsrate vor Aber selbst bis hinunter zu einem Verh ltnis von 25 1 erh ht sich die PFH lediglich um ca 10 Aus hnlichem Grund gelten die per Diagramm ermittelten PFH Werte mit der Einschr nkung bei der Kategorie 2 Architektur f r beliebige Anforderungsraten und beliebige mittlere Reparaturzeiten Bei weniger als einer Anforderung pro Jahr liefert das S ulendiagramm eine Absch t zung zur sicheren Seite Die S ulen f r Kategorie B und 1 in Abbildung G 3 wurden mit hilfe eines Modells berechnet das die Anforderung der Sicher heitsfunktion und die Reparatur ber cksichtigt Die PFH Werte bei diesen Kategorien lassen sich aber auch sehr gut durch die einfache Beziehung PFH A 1 MTTF ann hern Dies bedeutet nichts anderes als dass die PFH des einkanaligen ungetesteten Systems DC 0 prak
184. as Auftreten eines Fehlers kann zum Verlust der Sicherheits funktion zwischen den Tests f hren Der Verlust der Sicherheits funktion wird durch den Test erkannt Wenn ein einzelner Fehler auftritt bleibt die Sicherheits funktion immer erhalten Einige aber nicht alle Fehler werden erkannt Eine Anh ufung von unerkannten Fehlern kann zum Verlust der Sicherheits funktion f hren Wenn ein einzel ner Fehler auf tritt bleibt die Sicherheits funktion immer erhalten Die Erkennung von Fehleranh ufun gen reduziert die Wahrscheinlich keit des Verlustes der Sicherheits funktion hoher DC ve Die Fehler werden recht zeitig erkannt um einen Verlust der Sicherheits funktion zu verhindern Prinzip zum Erreichen der Sicherheit MTTF jedes Kanals berwiegend niedrig bis hoch durch die Struktur charakterisiert berwiegend niedrig bis hoch durch die Struktur charakterisiert berwiegend durch die Struktur charakterisiert niedrig bis mittel niedrig bis mittel hoch einschlie lich der Fehleranh ufung Ma nahmen erforderlich siehe Anhang F Ma nahmen erforderlich siehe Anhang F Ma nahmen erforderlich siehe Anhang F 47 Bei der Fehlerbetrachtung ist es notwendig abzuw gen welche Bauteilfehler unterstellt werden m ssen und welche begr ndet ausgeschlossen werden k nnen Hinweise auf die in Betracht zu ziehenden Fehler werden in Anhang C gegeben In den
185. at die Revision der DIN EN ISO 13849 1 den Balanceakt gewagt sowohl den deterministischen Ansatz der Kategorien als auch den Aspekt der sicherheits technischen Zuverl ssigkeit mit der Definition des Performance Level PL zu vereinen siehe auch 15 Zahlenm ig gibt es dabei korrespondierende Klassen siehe Abbildung 3 2 die im praktischen Alltag schnell erste Absch tzungen erlauben Schon im Entwurfsstadium der beiden Normen DIN EN ISO 13849 1 und DIN EN 62061 wurde von Mitgliedern der Normenkomitees eine Information zur empfohlenen Anwendung erarbeitet und nahezu wortgleich in den Einleitungen der Normen ver ffentlicht Zentrales Element ist dabei eine Tabelle die dem Leser eine Hilfestellung zur Auswahl der passenden Norm f r seinen Anwendungsfall geben soll Diese bersicht muss jedoch als veraltet gelten da sie in Bezug auf DIN EN ISO 13849 1 den Stand des Entwurfs wiedergibt Die genannten Einschr nkungen sind f r die aktuelle Fassung der Norm nicht mehr g ltig Faktisch gibt es keine Beschr nkungen mehr lediglich muss sicherheits bezogene Embedded Software SRESW bei Nichtvorliegen vollst ndiger Diversit t dem Abschnitt 7 der DIN EN 61508 3 2002 entsprechen siehe auch Abschnitt 6 3 dieses Reports Auch sind die vorgesehenen Architekturen im Sinne der Norm eher ein Angebot vereinfachter Ansatz als eine Verpflichtung Sie sind jedoch als zentrales Element der Vereinfachung des nun in DIN EN ISO 13849 implementierten p
186. aufverhaltens und Wiederanlaufverhaltens 5 5 Leistungsdaten Zykluszeiten Reaktionszeiten usw 5 6 Verhalten des SRP CS bei Bauteilausf llen und fehlern Erreichen und Aufrechterhalten des sicheren Zustandes einschlie lich Zeitverhalten 5 7 Zu ber cksichtigende Ausfallarten von Bauteilen Baugruppen oder Bl cken und ggf Begr ndung f r Fehlerausschl sse 5 8 Konzept zur Umsetzung der Erkennung und Beherrschung von zuf lligen und systematischen Ausf llen Selbsttests Testschaltungen berwachungen Vergleiche Plausibilit tspr fungen Fehlererkennung durch den Prozess usw 5 9 Quantitative Aspekte 5 9 1 Zielwerte f r MTTF und DE vr 5 9 2 Schalth ufigkeit verschlei behafteter Bauteile 5 9 3 H ufigkeit von Ma nahmen zur Fehleraufdeckung 5 9 4 Gebrauchsdauer falls abweichend von der Berechnungsgrundlage der vorgesehenen Architekturen 20 Jahre 5 10 Betriebs und Grenzdaten Betriebs und Lagertemperaturbereich Feuchteklasse IP Schutzart Schock Vibrations EMV St rfestigkeitswerte Versorgungsdaten mit Toleranzen usw IP International Protection EMV elektromagnetische Vertr glichkeit 5 11 Anzuwendende Grundnormen f r die Konstruktion zur Ausr stung zum Schutz gegen elektrischen Schlag gef hrliche K rperstr me zur St rfestigkeit gegen Umgebungsbedingungen usw 5 12 Technische und organisatorische Ma nahmen f r einen gesicherten Zugriff auf sicherheitsrelevante Parameter bzw SRP CS Eigen schaften Manipu
187. aus der FMEA Tabelle Verwendung finden B3 Parts Count Verfahren Zur Arbeits und Zeitersparnis kann anstelle einer FMEA ein einfacheres Verfahren angewandt werden Verzichtet man auf die detaillierte Analyse des Schaltungsverhaltens bei den verschie denen Ausfallarten der einzelnen Bauelemente gelangt man zum sogenannten Parts Count Verfahren vgl Anhang D dieses Reports Es stammt urspr nglich aus dem MIL Handbook 217F vel 6 und wird in einer Variante in DIN EN ISO 13849 1 Anhang D 1 beschrieben Bei gleichzeitiger Annahme verh lt nism ig konservativer hoher Ausfallraten kann eine Anpas sung der Ausfallraten an die realen Betriebsbedingungen ent fallen Zus tzlich wird h ufig bei vielen Elementen von 50 Ausfallanteil in die bezogen auf den Funktionsblock gef hr liche Richtung ausgegangen So entsteht aus der FMEA Tabelle wenn man nicht ben tigte Spalten f r die Gewichtung und Aufspaltung der Ausfallraten wegl sst eine einfachere Tabelle Verglichen mit FMEA Ergebnissen liefert das Parts Count Verfahren normalerweise schlechtere kleinere MTTF Werte weil tendenzm ig h here Ausfallraten einflie en und auch Bauelemente ber cksichtigt werden die ausschlie lich Funk tionsblockausf lle in die sichere Richtung verursachen k nnen Wendet man das Parts Count Prinzip auf das oben behan delte Beispiel Lichtschranke an und geht man dabei von den temperaturangepassten Aus
188. ausf hren kann Daher gelten f r die vereinfachte Beur teilung der Ausfallwahrscheinlichkeit von Kategorie 2 Systemen neben Anforderungen zum DC weitere Voraussetzungen O Alle Testraten sollten mindestens 100 mal gr er sein als die Anforderungsrate der Sicherheitsfunktion Damit soll gew hrleistet werden dass ein Ausfall von einem Test bemerkt werden kann bevor eine Anforderung der Sicher heitsfunktion nicht bedient werden kann siehe auch Anhang G O Die MTTF der testenden Einheit TE sollte mindestens halb so gro sein wie die MTTF der zu testenden Einheit L Durch diese Annahme wird sichergestellt dass die Ausfall wahrscheinlichkeit der Testeinrichtung nicht unangemessen hoch ist L sst sich der Funktionskanal nicht auf die Bl cke I Lund O bzw der Testkanal auf die Bl cke TE und OTE abbilden kann die obige Bedingung so interpretiert werden dass die MTTF des gesamten Testkanals mindestens halb so gro sein soll wie die MTTF des Funktionskanals Ist diese Bedingung verletzt auch nach Begrenzung der MTTF des Funktionskanals auf 100 Jahre so ist es nat rlich zul ssig die Ausfallwahrscheinlichkeit mit einer MTTF des Funktionskanals zu berechnen die rechnerisch auf die doppelte MTTF des realisierten Testkanals reduziert wird Literatur 1 DIN EN 61508 2 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer programmierbarer elektronischer Systeme Teil 2 Anforderungen an sicherhei
189. ausgefallenen Funktionsbl cke mit einem nachgestellten D f r Dangerous das den Ausfall des Blocks in dessen gef hrliche sicherheitstechnisch ung nstige Ausfallrichtung symbolisiert Durch Ausf lle von Funktions bl cken abgebildet durch Pfeile werden Folgezust nde erreicht Zust nde in denen das System die Sicherheitsfunktion nicht mehr ausf hren kann sind grau dargestellt Wo immer eine Erkennung des Ausfalls m glich ist und als Folge sicherheits gerichtet reagiert werden kann gibt es einen bergang in den links dargestellten Zustand Betriebshemmung Von den 32 Ausfallkombinationen sind zur Modellvereinfachung die jenigen zusammengefasst in denen das System in gef hrlicher Richtung und f r sich selbst unerkennbar ausgefallen ist Dieser Sammelzustand mit der Bezeichnung System DU Dangerous Undetectable ist rechts dargestellt Er kann aus verschiedenen Zust nden durch den Ausfall von Funktionsbl cken erreicht werden In Abbildung G 2 ist unten der Zustand Gef hrliche Situation Schaden zu sehen In ihn gelangt das System nur aus gef hrlichen grau dargestellten Vorzust nden und zwar immer dann wenn die Sicherheitsfunktion angefordert wird Wie der Zustand Betriebshemmung so wird auch dieser Zustand durch Reparatur in Richtung OK Zustand verlassen Zus tzliche ber gangspfeile z B von OK nach System DU ergeben sich durch gleichzeitige Ausf lle mehrerer Funkt
190. auteile Siemens AG wird unregelm ig aktualisiert www pruefinstitut de O IEC TR 62380 Reliability data handbook Universal model for reliability prediction of electronics components PCBs and equipment identisch zu RDF 2000 Reliability Data Handbook UTE C 80 810 Union Technique de l Electricit et de la Communication www ute fr com O Reliability Prediction of Electronic Equipment MIL HDBK 217F Department of Defense Washington DC 1982 mittlerweile fortgef hrt als 217Plus System Reliability Assessment Tool Reliability Information Analysis Center 6000 Flanagan Road Suite 3 Utica New York 13502 1348 theRIAC org Reliability Prediction Procedure for Electronic Equipment Telcordia SR 332 Issue 01 May 2001 telecom info telcordia com Bellcore TR 332 Issue 06 O EPRD Electronic Parts Reliability Data RAC STD 6100 Reliability Information Analysis Center 6000 Flanagan Road Suite 3 Utica New York 13502 1348 theRIAC org NPRD 95 Nonelectronic Parts Reliability Data RAC STD 6200 Reliability Information Analysis Center 6000 Flanagan Road Suite 3 Utica New York 13502 1348 theRIAC org eo British Handbook for Reliability Data for Components used in Telecommunication Systems British Telecom HRD5 last issue O Chinese Military Standard GJB z 299B Neben diesen Datensammlungen gibt es auf dem Markt eine Reihe von Hilfsprogrammen die diese oder andere Datenbanken per Software zug nglich mac
191. auteilen anwenden zu k nnen ist es erforderlich dass diese Komponenten zus tzlich zu den obigen Voraussetzungen die Bedingungen f r bew hrte Bauteile erf llen Naturgem handelt es sich bei diesen Ans tzen um starke Vereinfachungen der komplexen realen Zusammenh nge So kann zum Beispiel insbesondere ein sehr geringer Laststrom bei seltener Bet tigung zu einem Kaltverschwei en elektrischer Kontakte f hren Diese Effekte sollen aber durch die geforderte Anwendung grundlegender bzw bew hrter Sicherheitsprinzipien vermieden werden zu denen auch die Eignung und Angepasst heit der mechanischen wie der elektrischen Bauteileigenschaften an die zu erwartende Belastung geh ren D2 6 MITTF elektronischer Steuerungskomponenten Wie bereits erw hnt ist die Angabe der Ausfallraten A bzw A z B als FIT Werte Failures In Time d h Ausf lle in 10 Bau teilstunden f r elektronische Bauteile schon seit L ngerem blich Daher ist die Chance recht hoch ber den Hersteller an Zuverl ssigkeitsinformationen zu kommen Unter Umst nden m ssen diese Angaben noch in MTTF Werte umgerechnet werden z B mithilfe der vereinfachenden Annahme dass nur 50 aller Ausf lle gefahrbringend sind Sind trotzdem keine Herstellerangaben erh ltlich so kann eine Reihe von bekannten Datensammlungen herangezogen werden von denen Folgende in DIN EN ISO 13849 1 beispielhaft zitiert werden O Siemens Standard SN 29500 Ausfallraten f r B
192. bei SRP CS die schon l nger und meist ohne durch Software fehler bedingte Ausf lle betrieben wurden was auch bedeuten k nnte dass ein vorhandener versteckter Fehler nur noch nicht wirksam wurde Dies kann sich aber nach einer Modifikation ndern wenn die Software z B nicht ausreichend strukturiert wurde und einzelne Module Funktionen somit untereinander nicht vollst ndig r ckwirkungsfrei sind In den beschriebenen Situationen zeigt sich oft Murphys Gesetz Das Programm wurde schon vor etlichen Jahren geschrieben der urspr ngliche Programmierer hat dringendere Aufgaben oder ist bereits in einem anderen Unternehmen t tig Hier zahlt es sich f r die Sicherheit aber auch Wirtschaftlichkeit der Maschinen oder Maschinenanlage aus wenn die Software die oben genann ten Merkmale aufweist Lesbarkeit Struktur Verst ndlichkeit und auch das Merkmal einfach und fehlervermeidend modifi ziert werden zu k nnen unabh ngig vom jeweils verf gbaren Programmierer Im Prinzip muss man nach einer Modifikation wieder dort im Entwicklungsprozess also im V Modell einsteigen wo etwas ge ndert wurde Abbildung 6 11 z B O Bei ge nderter Codierung sind Modul und Integrationstest sowie die Validierung erneut durchzuf hren Musste gar die Spezifikation ge ndert werden ist diese eben falls erneut zu verifizieren z B durch Review Gegenlesen eines r Kollegen in damit sich keine Fehler an anderer Stelle der Spezifikation
193. bensdauerkennwertes Bog Mit im Labor oder eventuell auch bei Felduntersuchungen ermittelten Werten kann die Ausfallh ufigkeit z B mithilfe der Weibull Statistik bestimmt werden 4 Die zweiparametrige Weibull Verteilungsfunktion in Abbildung D 3 ist flexibler als die Exponentialverteilung die sie als Spezialfall b 1 enth lt Ein Ansteigen der Ausfallrate bei Erreichen der Verschlei phase l sst sich durch b Parameter gt 1 gut beschreiben Der T Parameter beschreibt die charakteristische Lebensdauer bei der 63 2 der betrachteten Bauteile ausgefallen sind Als Methode zur Bestim mung der Weibull Parameter kann die Lineare Regression XY angewendet werden Bei unvollst ndigen Daten d h wenn z B nicht schadhafte Teile ber cksichtigt werden sollen sind auch andere Methoden anwendbar Als Ergebnis k nnen aus den Diagrammen die Kennwerte f r die Parameter b und Tabgelesen werden Daraus l sst sich dann die nominale Lebensdauer B bestimmen bei der 10 der betrachteten Bauteile ausgefallen sind Der MTTF Wert wird mit der nominalen Lebensdauer B ermittelt F r eine Zuverl ssigkeitsanalyse mithilfe der Weibull Statistik ist entsprechende Software auf dem Markt erh ltlich Die sicherheitstechnischen Zuverl ssigkeitskennwerte f r fluid technische und elektromechanische Komponenten sind vom Hersteller dieser Bauteile anzugeben F r die Ermittlung der Zuverl ssigkeit von pneumatischen Komponenten kann die Norm ISO 1
194. ber in der Betriebsanleitung mitgeteilt Konstruktive Merkmale O Die Anforderungen von Kategorie B grundlegende und bew hrte Sicherheitsprinzipien werden eingehalten Durch diversit r redundante Verarbeitungskan le Mikrocontroller und ASIC f hrt ein einzelner Fehler nicht zum Verlust der Sicherheitsfunktion und systematische Fehler werden weitgehend vermieden Die sicherheitsgerichtete Schaltstellung wird jeweils durch Wegnahme des Steuersignals erreicht Die Signalverarbeitung aller elektrischen Signale auch die der Drucksensoren erfolgt in einer mehrkanaligen Steuerung Die Stellteile S1 und S2 der Zweihandschaltung entsprechen DIN EN 60947 5 1 K3 bis K6 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L 38 Die zugeh rigen ffner Kontakte zur berwachung der Schlie er Kontakte werden im jeweiligen Nachbarkanal berwacht Alle Signal f hrenden Anschlussleitungen sind entweder getrennt oder gegen mechanische Besch digung gesch tzt verlegt Die Programmierung der Software SRESW erfolgt entsprechend den Anforderungen f r PL d herabgestuft wegen Diversit t und den Hinweisen in Abschnitt 6 3 Fehlervermeidende Ma nahmen bei der ASIC Entwicklung sind gem ASIC Entwicklungs Lebenszyklus V Modell des Norm entwurfs DIN IEC 61508 2 2006 39 durchgef hrt O Validieren der DC Werte F r K1 und K2 wird ein DC von 90 aufgrund von Selbst diagnose nachvollzogen Hierzu
195. betr gt W hrend der angenommenen Gebrauchs dauer von 20 Jahren ndern sich alle Zustandswahrscheinlich keiten allm hlich Ausgehend vom OK Zustand verteilen sie sich entlang den bergangspfeilen um Die Summe der Zustands wahrscheinlichkeiten bleibt konstant Eins Dabei ergibt sich auch ein zeitabh ngiger Zufluss in den Zustand Gef hrliche Situation Schaden dessen zeitlicher Mittelwert w hrend der 20 j hrigen Gebrauchsdauer die PFH darstellt d h die durchschnittliche Wahrscheinlichkeit eines gefahrbringenden Ausfalls des Systems je Stunde Anstofung _ R cklesung Testreaktion von O nachweis Funktions Abbildung G 1 Vorgesehene Architektur f r Kategorie 2 nach DIN EN ISO 13849 1 Abschnitt 6 2 5 Abbildung G 2 Zustandsgraph des Markov Modells zur vorgesehenen Architektur f r Kategorie 2 f r die Ermittlung der PFH ON c 5 w N Q w Fer w amp Gef hrliche Situation Schaden 243 Diese PFH ist auf der vertikalen Achse des S ulendiagramms f r die verschiedenen vorgesehenen Architekturen nach Abschnitt 6 2 der Norm vgl Abschnitte 6 2 3 bis 6 2 7 dieses Reports aufgetragen wobei die Kategorien 2 und 3 noch nach dem durchschnittlichen Diagnosedeckungsgrad DC unterteilt wurden Die S ulen entstehen indem f r eine Kombination aus Architektur bzw dem zugeordneten Markov Modell und DC die MTTF d h die mittlere Zeit bis zum Ausfall des bzw eines Funk
196. bildung 8 5 Pneumatisches Ventil zur Steuerung von gefahr bringenden Bewegungen 94 1V1 Sicherheitsfunktionen Sicherheitsbezogene Stoppfunktion Stillsetzen der gefahrbringenden Bewegung und Verhinderung des ungewollten Anlaufs aus der Ruhelage Hier ist nur der pneumatische Steuerungsteil als Subsystem gezeigt F r die komplette Sicherheitsfunktion sind weitere sicherheitsbezogene Steuerungsteile z B Schutzeinrichtungen und elektrische Logik als Subsysteme hinzuzuf gen Funktionsbeschreibung Gefahrbringende Bewegungen werden durch ein sicherheitstechnisch bew hrtes Wegeventil 1V1 gesteuert Der Ausfall des Wegeventils kann zum Verlust der Sicherheitsfunktion f hren Der Ausfall h ngt von der Zuverl ssigkeit des Wegeventils ab Es sind keine Ma nahmen zur Fehlererkennung vorgesehen Wenn durch eingesperrte Druckluft eine weitere Gef hrdung auftreten kann sind weitere Ma nahmen erforderlich Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Bei 1V1 handelt es sich um ein Wegeventil mit Sperr Mittelstellung ausreichender positiver berdeckung Federzentrierung und dauerfesten Federn Die sicherheitsgerichtete Schaltstellung wird durch Wegnahme des Steuersignals erreicht Die Best tigung f r das Wegeventil als sicherheitstechnisch bew hrtes Bauteil ausreichend hohe Zuverl ssigkeit erfolgt bei Bedarf durch den Hersteller A
197. bringenden Ausfall MTIF Begrenzung A sas iinei oiadi tiatia asas sehen 229 MTTE Ermittlung anne 70 Ao A ee een eier 131 ff MU ee ee ers 152 ff N N gt Normangaben f r B und MTTF Werte Nap gt Mittlere Anzahl j hrlicher Bet tigungen N herungssch llen a anne 92 ff 227 Nicht Sicherheitsfunktionen ccccccccssscccccesccccsseecceeseccceeecsssesuceseeeueseseeesssecesseueesseeuessseeesssseaesseees 44 Mioceno eae 65 Normangab n tur Ba Und MT LE Werte N lesionado ici 86 ff IO TOTES IGE FS PPP o o o Er e A 142 NotHal Gerdt ette 29 102 ff 112 ff 135 ff 144 ff 172 ff 227 0 REE Schlie Ber Kombin a onen er 135 f 138 f 148 f 186 BRIOKODDIET ee 89 ORDI UNE ee een 67 ODE ea ee Reel ee 45 P e AA o O nee EES EEE AREARE 152 ff Parae ena ses 51 65 ff lao lea lr Lea y AA APA Pi Po o A 53 70 211 229 Parlormanc e Level PL a een ee ee ee 16 37 55 Performance Level Calculator Planea 22 72 244 PFH durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls pro Stunde PIanschneldemaschine erinnere ee 52 ff 67 ff 82 ff 194 io EA SON UNO ren A O 196 PL Performance Level PLC Performance Level Calculator Pl niedrig T ro A y 65 A A ee Eee ende Ne Eee 44 PPP O O PO OO RO nn 87 ff 256 P Fortsetzung pneumatischer Positionsschalter pneumatisches Ventil Positionsschalter Positionsschalter pneumatischer gt pneumatische
198. cccccccccnnnnnononononcncncnncnnnnnnnnnnnnnononnnnnnnnnnnnos 152 8 2 23 Kar ssellt rstelier ng Kategorie 3 PL d Beispiel 23 nach 156 8 2 24 Tippbetrieb mit sicher begrenzter Geschwindigkeit an einer Druckmaschine Kategorie 3 PL d bzw c Beispiel 24 nacer idad 160 8 2 25 Pneumatische Ventilsteuerung Subsystem Kategorie 3 PL e f r PL d Sicherheitsfunktionen Beispiel 25 164 8 2 26 Pneumatische Ventilsteuerung Kategorie 3 PL e Beispiel 26 cccccccccccnnnnconnononnnnnnnnnannnnnnnnnnnnnncnnnnnnnnnnnnnnnnns 166 8 2 27 Hydraulische Ventilsteuerung Subsystem Kategorie 3 PL e f r PL d Sicherheitsfunktionen Beispiel 27 168 8 2 28 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 4 PL e Beispiel 28 170 8 2 29 Kaskadierung von Not Halt Ger ten mittels Sicherheitsbaustein Kategorie 3 PL e Beispiel 29 eeeeeeeeeeeeeeeennne 172 8 2 30 Sch tz berwachungsbaustein Kategorie 3 PL e Beispiel 30 ccccccccncccccnnncnnnonnnonnnnnncccnnnncnnnnnnnnnnnnnnnnnnonnnnnnnos 174 8 2 31 Pneumatische Ventilsteuerung Subsystem Kategorie 4 PL e Beispiel 31 ooooooncncnncnccnnononcncncnnnnnnnnnnonnnanos 176 8 2 32 Hydraulische Ventilsteuerung Subsystem Kategorie 4 PL e Beispiel 32 oooooooocccnccnccccnnnnnnnnnnnoncnnnnnnonononos 178 8 2 33 Elektrohydraulische Pressensteuerung Kategorie 4 PL e Beispiel 3
199. ch ein Not Halt Ger t installiert sein F r die Anschlussleitungen von S1 m ssen die Bedingungen eines Fehlerausschlusses f r Leitungskurzschl sse nach DIN EN ISO 13849 2 Tabelle D 4 eingehalten werden Fehler in den Anschlussleitungen von B1 werden durch eine Anti valenz berwachung des ffner und Schlie erkontaktes in K1 und K2 erkannt Die programmierbaren Komponenten K1 bis K4 erf llen die normativen Anforderungen gem Abschnitt 6 3 G1 liefert redundante Positionsinformationen z B Sin Cos Geber und ist in den Regelkreis eingebunden Gewinnung der Kommutierung T1 besitzt eine sichere Impulssperre T1b deren erfolgreiche Anwahl durch einen zwangsgef hrten ffnerkontakt zur ck gelesen wird Der Einsatz der Standardkomponenten G1 und T1 erfolgt entsprechend den Hinweisen aus Abschnitt 6 3 10 Der Einsatz der Bussysteme Funktionsbus berwachungsbus erfolgt entsprechend den Hinweisen aus Abschnitt 6 2 17 161 Bemerkungen Anwendung z B zur Absicherung von Einzugsstellen an Rotationsdruckmaschinen Die Anwendung der DIN EN 1010 1 erfordert f r nicht zyklischen Eingriff in den Gefahrenbereich d h weniger als einen Eingriff pro Stunde nur einen Positionsschalter f r die Stellungs berwachung der trennenden Schutzeinrichtung Das Kriterium der Fehlertoleranz f r Kategorie 3 erfordert f r vergleichbare Maschinensteuerungen blicherweise die Verwendung von zwei Positionsschaltern z B ein ffner ein Schlie
200. ch mechanisch realisierter Fehlererkennung mit integriertem R ckschlagventil in der P Leitung Die sicherheitsgerichtete Schaltstellung wird durch Wegnahme der Steuersignale erreicht Das entsperrbare R ckschlagventil 1V2 ist m glichst im Zylinder eingeschraubt Die Fehlererkennung innerhalb der Ventilkombination erf llt entsprechende Anforderungen an den Fehlerfall Berechnung der Ausfallwahrscheinlichkeit Die Ventilkombination1V1 besteht aus zwei Ventilkan len mit jeweils drei verbundenen Ventilen Diese sind im Blockschaltbild bezeichnet mit 2V1 2V2 und 2V3 sowie 3V1 3V2 und 3V3 MTTF F r jedes der Ventile der Ventilkombination 1V1 wird ein B Wert von 20000000 Zyklen N angenommen Bei 240 Arbeitstagen 16 Arbeitsstunden und 10 Sekunden Zykluszeit ist Nop 1382400 Zyklen Jahr und MTTF 144 Jahre Dies ergibt einen MTTF Wert pro Kanal von 48 Jahren hoch DC a DC 99 f r 1V1 ergibt sich ber eine Zwangsfuhrung der beiden Ventilkan le bei gleichzeitigem internen Kreuz vergleich des Steuerdruckes Steuerdruck berwachung Damit ergibt sich ein Der von ebenfalls 99 hoch Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen ber spannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der pneumatischen Steuerungselemente entspricht Kategorie 4 mit hoher MTTF 48 Jahre und hohem DE 99 Damit ergibt sich eine mittlere Wahrsche
201. ch wenn es noch keine Herstellerangaben gibt lassen sich typische Bei spielwerte aus etablierten Datensammlungen siehe Anhang D ermitteln Da dort allerdings meist nicht zwischen ungef hrlichen und gefahrbringenden Ausf llen unterschieden wird kann als einfache N herung davon ausgegangen werden dass im Mittel nur die H lfte aller Ausf lle gefahrbringend ist Im Bewusstsein der Verf gbarkeitsproblematik f r Zuverl ssigkeitswerte listet DIN EN ISO 13849 1 einige typische Werte auf die allerdings sehr konservativ abgesch tzt sind und daher nur sinnvoll verwendet werden k nnen wenn die vorgenannten Datenquellen nicht verf gbar sind Neben MTTF Werten f r mechanische hydrau lische und elektronische Komponenten finden sich hier B 4 Werte f r pneumatische und elektromechanische Komponenten Einzelheiten dazu sind in Anhang D beschrieben 6 2 13 FMEA versus Parts Count Verfahren Sind die MTTF Werte aller sicherheitsrelevanten Bauteile zusammengetragen helfen einige simple Regeln daraus den MTTF Kennwert der Steuerung zu berechnen Dabei gibt es verschiedene Methoden aufwendig durch eine genaue Ausfalleffektanalyse FMEA Failure Modes and Effects Analysis oder schnell und einfach nach dem Parts Count Verfahren mit ein paar Absch tzungen zur sicheren Seite Dies beginnt schon bei dem kleinen Unterschied zwischen MTTF und MTTF Wie gro ist der gef hrliche Anteil der Ausf lle eines bestimmten Bauele
202. chaden zu vermeiden oder zu begrenzen Die Eintrittswahrscheinlichkeit eines Schadens als Funktion des Eintritts eines Gef hrdungsereignisses wird an dieser Stelle nicht bewertet da hierf r im Folgenden der Worst case angenommen wird Risikobewertung Unter Ber cksichtigung aller Betriebsbedingungen und aller Eingriffsm glichkeiten ist festzustellen dass eine Risikominde rung erforderlich ist Inh rent sichere Konstruktion Die dynamische Presskraft des Pressbalkens und die Energie des Messers zu reduzieren ist nicht m glich da dies die Funktion der Maschine einschr nken w rde Auch eine Anordnung und Gestaltung der Maschine die verhindert dass der Bediener in den Gefahrenbereich eingreifen kann ist nicht m glich da er die Papierstapel genau dort ausrichten muss Folgende Ma nahmen k nnen jedoch ergriffen werden 1 Alle Zug nge zum Gefahrenbereich mit Ausnahme der Bedienseite verdecken 2 Scharfe Kanten und Ecken vermeiden 3 F r eine angemessene Arbeitsposition und Zug nglichkeit der Bedienteile sorgen 4 Maschine ergonomisch gestalten 5 Elektrische Gef hrdungen verhindern 6 Gef hrdungen durch die hydraulische Ausr stung vermeiden 5 7 3 Notwendige Sicherheitsfunktionen Unter Ber cksichtigung aller Betriebsarten und aller manuellen Eingriffe sind folgende Sicherheitsfunktionen erforderlich SF1 STO Safe Torque Off Sicher abgeschaltetes Moment zur Vermeidung eines unerwarteten Anlaufs
203. chaften Als bew hrtes Konzept steht die Definition einer oder mehrerer Sicherheitsfunktion en SF am Anfang des Gestaltungs und Bewertungsprozesses Dieses Vorgehen ist in Abbildung 4 1 durch die Bl cke 1 bis 3 dargestellt und wird im Kapitel 5 ausf hrlicher beschrieben Die Frage lautet Wie sieht der Beitrag der sicher heitsbezogenen Teile der Steuerung zur Reduzierung des Risikos einer Gef hrdung an einer Maschine aus Eine Maschine soll zun chst derart gebaut sein dass f r den Nutzer keine Gef hrdung mehr auftreten kann inh rente Sicherheit Zweiter Schritt ist anschlie end das Risiko f r jede noch auftretende Gef hrdung zu reduzieren Dies kann man durch Schutzma nahmen erreichen die heute meistens von der Steuerung durchgef hrt werden Damit diese Schutzma nahmen man spricht bei der technischen Umsetzung auch von Schutz einrichtungen abh ngig vom Risiko eine bestimmte Qualit t erreichen ist die Risikobeurteilung ein wesentlicher Schritt Die Schutzeinrichtung f hrt dann als sicherheitsbezogener Teil einer Steuerung die Sicherheitsfunktion vollst ndig oder zumindest teilweise aus Sie kann zum Beispiel den unerwarteten Anlauf verhindern wenn ein Bediener einen Gefahrenraum betritt Da es an einer Maschine durchaus mehrere Sicherheitsfunktionen geben kann z B f r Automatik und Einrichtbetrieb ist eine sorgf ltige Betrachtung jeder einzelnen Gef hrdung und der mit ihr verbundenen Sicherheitsfunktion sehr w
204. che Klassen eingeteilt Tabelle 6 3 Tabelle 6 3 Klasseneinteilung der MTTF jedes Kanals MTTF f r jeden Kanal Bezeichnung Bereich 10 Jahre lt MTTF lt 30 Jahre a parra me 100 Jahre lt MTTF nicht zul ssig Weniger als drei Jahre mittlere nicht garantierte Lebensdauer wird f r Komponenten der Sicherheitstechnik als nicht ange messen betrachtet Mehr als 100 Jahre d rfen nicht in Rechnung gestellt werden um die Bauteilzuverl ssigkeit gegen ber den anderen wichtigen Einflussgr en wie Struktur oder Tests nicht berzubewerten Ergeben sich tats chlich f r einen Kanal weni ger als drei Jahre sollten die Bauteile durch solche mit h herer Zuverl ssigkeit ausgetauscht werden da sonst noch nicht einmal PL a erreicht werden kann Mehr als 100 Jahre mittlere Lebens dauer sind nicht un blich tragen aber wegen der Kappung nicht mehr zum PL bei da in der Bauteilzuverl ssigkeit bereits der H chstwert von 100 Jahren in Rechnung gestellt wird Sind mehrere Kan le an einer Steuerung beteiligt so ist zun chst nicht klar welcher Wert stellvertretend f r das ganze System herangezogen werden soll Nat rlich k nnte man hier vorsich tigerweise den kleineren Wert nehmen zu immer noch sicheren aber besseren Ergebnissen f hrt allerdings folgende Mittelungs formel C1 und C2 bezeichnen hierbei die beiden Kan le die symmetrisiert werden 2 1 MTTF MTTF MTTR 7 2 MTTF i
205. che Steuerung entspricht Kategorie 1 mit hoher MTTF 100 Jahre Damit ergibt sich eine mittlere Wahr scheinlichkeit gef hrlicher Ausf lle von 1 14 10 Stunde Dies entspricht PL c Damit ist der PL b bertroffen Weiterf hrende Literatur Grunds tze f r die Pr fung und Zertifizierung von Holzbearbeitungsmaschinen GS HO 01 Ausg 12 2007 www dguv de bgia Webcode d14898 99 8 2 5 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 1 PL c Beispiel 5 Abbildung 8 9 Stellungs berwachung beweglicher trennender Schutzeinrichtungen zur Verhinderung von gefahrbringenden Bewegungen STO Sicher abgeschaltetes Moment Sicherheitsfunktion O Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Das ffnen der beweglichen trennenden Schutzeinrichtung leitet die Sicherheitsfunktion STO Sicher abgeschaltetes Moment ein Funktionsbeschreibung e Das ffnen der beweglichen trennenden Schutzeinrichtung z B Schutzgitter wird durch einen Positionsschalter B1 mit zwangs ffnendem Kontakt erfasst der ein Sch tz Q1 ansteuert Durch das Abfallen von Q1 werden gefahrbringende Bewegungen oder Zust nde unterbrochen bzw verhindert Die Sicherheitsfunktion l sst sich nicht bei allen Bauteilausf llen aufrechterhalten und h ngt von der Zuverl ssigkeit der Bauteile ab Es sind keine Ma nahmen zur Fehlererkennung vorgesehen O Ein Entfernen der Schutzeinrichtung wird ni
206. chen Regeln Unfallverh tungsvorschriften und Normen formulierten Sicherheitsanforderungen h ngen sehr stark von der jeweiligen Anwendung ab Sie reichen im einfachsten Fall von organisatorischen Ma nahmen wie regelm ige willensabh n gige Funktionspr fungen ber automatische Testschaltungen bis hin zu so genannten selbst berwachten Steuerungen bei denen sich Fehler selbstt tig bemerkbar machen Der Begriff Fehlerbetrachtung bezeichnet die Gesamtheit der berlegungen die notwendig sind um das sicherheitstechnische Verhalten einer Einrichtung im Fehlerfall zu beschreiben und auch praktisch zu berpr fen Eine der wichtigsten Fragen im Rahmen der Fehlerbe trachtung ist welche Fehler an Bauelementen unterstellt werden m ssen Eine solche Feh lervereinbarung ist notwendig um dem Ent wickler verbindliche Kriterien f r den Entwurf seines steuerungstechnischen Sicherheits konzepts zu liefern Andererseits soll mit die ser Fehlervereinbarung gew hrleistet werden dass verschiedene Pr fstellen und Pr fer beim gleichen Pr fobjekt nicht zu unterschied lichen Ergebnissen gelangen BGIA Handbuch 48 Lfg V 2006 Welche Fehler sind nun in eine solche Fehler liste aufzunehmen W rde man alle theore tisch denkbaren Fehler eines Bauelementes bei der Fehlerbetrachtung unterstellen so g be dies nicht nur einen extrem hohen Pr f aufwand teilweise w re die Pr fung ber haupt nicht mehr durchf hrbar Hinweise a
207. cherheitsbezogenen Soft ware ist in jedem Fall deren Validierung in geeignetem Umfang zu wiederholen 81 7 3 7 Kontrolle der Absch tzung des PL Die Kontrolle der korrekten Absch tzung des PL f r jeden SRP CS besteht insbesondere aus dem Nachvollziehen der richtigen Anwendung des eingesetzten Absch tzungsverfahrens einschlie lich der korrekten Berechnungen Zum Beispiel beinhalten Abschnitt 6 2 11 und Anhang D vereinfachte Verfahren zur Bestimmung der MTTF der durchschnittliche Diagnose deckungsgrad DC ve kann mit der Formel in Anhang E nachvoll zogen werden Wurde das vereinfachte Verfahren zur Absch tzung des PL ange wandt l sst sich anhand Abbildung 6 10 kontrollieren ob aus der zuvor best tigten Kategorie bzw den best tigten MTTF und DC vg Werten der richtige PL ermittelt wurde 7 4 Pr fen der Benutzerinformation Wichtige Informationen zur sicheren Verwendung der SRP CS sind dem Benutzer in Form von Betriebsanleitungen Montage anleitungen und Typenschild an die Hand zu geben Diese gesamtheitlich Benutzerinformationen genannten Dokumente sollten daraufhin gepr ft werden ob sie alle in Abschnitt 11 der Norm genannten Inhalte enthalten Dazu z hlen u a verst nd liche Beschreibungen der des O bestimmungsgem en Verwendung Einsatz und Anwendungsbereich Information zum Performance Level und der Kategorie sowie die datierte Verweisung auf die Norm Sicherheitsfunktionen und Standardfunktionen
208. cherheitsfunktionen werden in diesem Abschnitt die V amp V Aktivit ten am praktischen Beispiel einer Planschneidemaschine das schon in den Abschnitten 5 7 und 6 5 beschrieben wurde erl utert 7 6 1 Verifizieren des erreichten PL siehe auch Block 6 in Abbildung 7 1 Anhand einer Risikoanalyse wurde ermittelt dass f r die aus zuf hrende Sicherheitsfunktion SF2 ein erforderlicher Perfor mance Level PL e gilt In der Berechnung der Ausfallwahr scheinlichkeit unter Ber cksichtigung aller quantifizierbarer Aspekte wird dieser erreicht Auch werden alle Anforderungen an die qualitativen Aspekte wie das Verhalten der Sicherheitsfunk tion unter Fehlerbedingungen sicherheitsbezogene Software systematische Ausf lle und das Verhalten unter Umgebungs bedingungen f r PL e hinreichend erf llt 7 6 2 Validieren der sicherheitsbezogenen Anforderungen siehe auch Block 7 in Abbildung 7 1 Fehlerlisten Bei der PL Bestimmung werden die Fehlerlisten nach DIN EN 13849 2 7 zugrunde gelegt Dokumente Wie bereits genannt bilden Schaltpl ne St cklisten Spezifikation und Funktionsbeschreibung die Grundlage f r die Analyse bzw Pr fung Dokumentation Alle Analyse und Pr fergebnisse bed rfen der Dokumentation in schriftlicher Form Validieren der Sicherheitsfunktion Zur berpr fung der funktionalen Anforderungen an die Sicher heitsfunktion wird ein Funktionstest durchgef hrt erg nzt um einen erweiterten Funktionste
209. chl ssigt da Komponenten mit ausge pr gten Fr hausf llen den Verf gbarkeitsanforderungen an eine Maschinensteuerung nicht gerecht werden und daher im Markt Abbildung D 1 Badewannenkurve der Ausfallrate Verschlei ausf lle Zufalls ausf lle Fr h ausf lle Gegenmittel Voralterung Prozess optimierung Gegenmittel Dimensionierung vorsorglicher Austausch Ausfall rate Gebrauchsdauer T bzw T 10d nur eine geringe Rolle spielen Geeignete Ma nahmen zur Reduktion von Fr hausf llen sind Voralterung Burn In Selektion und Optimierung der Herstellungsprozesse Im Sinne der Einfachheit wird daher in DIN EN ISO 13849 1 grunds tzlich innerhalb der Gebrauchsdauer von konstanten Ausfallraten ausgegangen Diese Annahme hat den Vorteil dass sich damit die weitere mathematische Betrachtung stark vereinfacht und sie ist Grundlage f r die hinter dem S ulendiagramm bzw dem vereinfachten Verfahren der DIN EN ISO 13849 1 stehen de Markov Modellierung der vorgesehenen Architekturen Aus einer konstanten Ausfallrate folgen mathematisch eine mit der Einsatzzeit exponentiell abfallende Kurve der Zuverl ssigkeit und ein Erwartungswert der Zeit bis zum Ausfall MTTF der dem Kehrwert der Ausfallrate entspricht d h MTTF 5 1 d Bei konstanter Ausfallrate ist also die Angabe der MTTF der Angabe einer Ausfallrate gleichwertig ist aber viel illustrativer W hrend die praktische Bedeutung
210. cht bemerkt Konstruktive Merkmale O Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Als grundlegendes Sicherheitsprinzip wird das Ruhestromprinzip verwendet Die Erdung des Steuerkreises ist als bew hrtes Sicherheitsprinzip zu betrachten Der Schalter B1 ist ein Positionsschalter mit zwangs ffnendem Kontakt entsprechend DIN EN 60947 5 1 Anhang K und wird daher als bew hrtes Bauteil angesehen Der ffnerkontakt unterbricht den Stromkreis mechanisch zwangl ufig wenn die Schutzeinrichtung sich nicht in Schutzstellung befindet Das Sch tz 01 ist ein bew hrtes Bauteil unter Ber cksichtigung der zus tzlichen Bedingungen nach Tabelle D 4 der DIN EN 13849 2 Die Stellungs berwachung erfolgt durch einen Positionsschalter Ein stabiler Aufbau der Schutzeinrichtung zur Bet tigung des Positionsschalters ist sichergestellt Die Bet tigungselemente des Positionsschalters sind gegen Lagever nderung gesichert Es werden nur starre mechanische Teile keine Federelemente in Wirkrichtung der Bet tigungskraft verwendet Der Bet tigungshub f r den Positionsschalter erfolgt nach Herstellerangabe 100 Berechnung der Ausfallwahrscheinlichkeit MTTF F r B1 kann ein Fehlerausschluss f r den zwangs ffnenden elektrischen Kontakt erfolgen F r den mechanischen Tei
211. chtigen 5 4 Bestimmung des erforderlichen Performance Level PL F r jede vorgesehene Sicherheitsfunktion muss ein erforderlicher Performance Level PL festgelegt werden im technischen Sinne der Sollwert Die Anforderungen ergeben sich aus der notwendigen Risikominderung bei deren Festlegung u a ein ggf bekanntes Unfallgeschehen zu ber cksichtigen ist ISO DTR 14121 2 beschreibt Verfahren um das erforderliche Ma der Risikominderung zu bestimmen In DIN EN ISO 13849 1 wird hiervon die Methode des Risikographen angewendet 5 4 1 Risikograph Das Diagramm im Anhang A der Norm f hrt direkt zum erforder lichen Performance Level PL und wird im Folgenden erl utert siehe Abbildung 5 9 Weitere Beispiele zur Bestimmung des PL finden sich in Anhang A Beginnend am Ausgangspunkt werden die Risikoparameter O S Schwere der Verletzung O F H ufigkeit und oder Dauer der Gef hrdungsexposition o P M glichkeit zur Vermeidung der Gef hrdung oder Begrenzung des Schadens bewertet Der Risikograph f hrt dadurch zum erforderlichen PL Diese Analyse ist f r jede Sicherheitsfunktion und ohne Ber ck sichtigung der hierdurch erreichten Risikominderung durchzu f hren Sofern andere technische Ma nahmen bestehen die unabh ngig von der Steuerung realisiert sind z B eine mecha nisch trennende Schutzeinrichtung oder zus tzliche Sicherheits funktionen so k nnen diese bei der Bestimmung des PL als wirksam vorausgesetzt we
212. cnnanananonanonananonananonanananonos 5 5 Erg nzende Schutzma nahmen s sssseneeeesssssssssssssssseeeeeceeeeesssssssssssssssseeeeeeeeeeesessssssssssssseeeeeeeeeeeereseesssssssssseeseseeeeeeereeee 56 email VORA IAS CHIME aras E E O 5 7 Risikominderung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL cccncccccnccccccnoncnnnononnnonnccncnncnncnccnnnononnnnnnnn 5 7 1 Festlegung der Grenzen der Maschine nennen 5 7 2 Identifizierung der Gef hrdungen euuseeeseeesssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnssnnnssssnsssssnssnnnnnnnnn 5 7 3 Notwendige Sicherheitstunktionen nun Eee 5 1 4 Bestimmung des eriorderlichen Perlormance Level PL een 5 7 5 Erg nzende Schutzma nahmen seria een 6 Gestaltung sicherer Steuerungen uueeseesessssssssssssssssnssnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnssnsssnnsssnnnsnssnsssssnnnnssnsensnsnnnnnnne 61 EINEN UNG sica nit LE SENIWICKLUNESSD AUT sac nicas 6 12 Syelemalsche Alstalle taa nd a daa BL ENTORNO WIE ai aio 6 2 Quantifizierung der Ausfallwahrscheinlichkeit ococccccccconononononnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnonnnnnonnnncnnnnnnnnnnnnnnnnnnnnnnnnnns 642 1 Vorgesehene Architekturen ns nee 0 22 UNA Rate One ee en ee ee ee A en OE E O A Ba ANS SOFIE EEE Eee 025 Klee 2 ee e E CO E PI PU SP ee B26 ANOS OVS LN E en rita A Bed ANCES Ue ee ee arena ia 62 8 A see ee a neuerer 6 2
213. d Dauer der Gef hrdungsexposition werden bewertet mit O F1 selten bis weniger h ufig und oder die Dauer der Gef hrdungsexposition ist kurz F2 h ufig bis dauernd und oder die Dauer der Gef hrdungsexposition ist lang Eine feste Grenze zur Auswahl zwischen F1 und F2 kann leider nicht angegeben werden Die Norm gibt in einer Anmerkung den nicht normativen Hinweis dass bei Eingriffen die h ufiger als einmal pro Stunde erfolgen F2 gew hlt werden sollte sonst F1 Dieser Hinweis passt aber in der Regel auf alle in der Praxis vor kommenden F lle Bei der Bewertung ist ein durchschnittlicher Wert der Gef hrdungsexposition im Verh ltnis zur gesamten Nutzungszeit einer Maschine zu ber cksichtigen Eindeutige F lle liegen jedoch vor z B bei einer manuell beschickten Presse in der Metallbearbeitung bei der zyklisch zwischen die Werkzeuge der Maschine gegriffen werden muss F2 F r ein Bearbeitungs zentrum hingegen das einmal j hrlich eingerichtet wird und dann automatisch produziert wird sicherlich F1 gew hlt Bei der Bewertung der H ufigkeit und Dauer ist es nicht zul ssig zu unterscheiden ob dieselbe oder unterschiedliche Personen der Gef hrdung ausgesetzt werden M glichkeit zur Vermeidung der Gef hrdung P1 und P2 An dieser Stelle soll bewertet werden ob die Vermeidung einer Gefahrdungssituation P1 m glich unter bestimmten Bedingungen O P2 kaum m glich ist Bei der Festlegung dieses Parameters sind u
214. d vom Maschinenhersteller dass Bel sti gung Erm dung und psychische Belastungen der Maschinen bediener unter Ber cksichtigung ergonomischer Prinzipien be reits bei der Konzeption der Maschine auf ein Minimum zu reduzieren sind Dies gilt daher auch f r die Schnittstellen zwi schen dem Bediener einer Maschine Maschinenanlage und den SRP CS Darunter fallen sowohl konkrete Schutzeinrichtungen wie z B eine Schutzt r mit Positionsschalter als auch die Bedienung einer Sicherheitsfunktion z B ber Taster oder sogar ber eine daf r geeignete Softwareoberfl che eines Displays Welche Bedeutung ergonomische Prinzipien f r SRP CS haben und dass nicht immer jede bestimmungsgem e Verwendung oder vorhersehbare Fehlanwendung von SRP CS bei der Konstruktion einer Maschine ber cksichtigt wird das zeigt der HVBG Report Manipulation von Schutzeinrichtungen an Maschinen 22 auf DIN EN ISO 13849 1 fordert daher die Verwendung ergono mischer Prinzipien und listet dazu in Abschnitt 4 8 eine F lle hilf reicher Normen auf Damit Maschinenkonstrukteure die Gestal tung der Mensch Maschine Schnittstelle der SRP CS berpr fen k nnen wurde im BGIA die Checkliste Ergonomische Maschi nengestaltung entwickelt Im Oktober 2006 wurden diese Check liste und weitere Dokumente als BG Informationen BGI 5048 1 und BGI 5048 2 ver ffentlicht 23 Konkreter behandelt werden u a handbediente Stellteile Tastaturen Tasten und Eingabe ger
215. danter Daten z B Flags Merker Konstanten Timer und Kreuzvergleich dieser Daten Varianter Speicher Test der Lesbarkeit und der Beschreib barkeit der verwendeten Speicherzellen Varianter Speicher RAM berwachung mit modifiziertem Hammingcode oder RAM Selbsttest z B Galpat oder Abraham Verarbeitungseinheit Selbsttest durch Software Verarbeitungseinheit Kodierte Verarbeitung Redundanter Abschaltpfad ohne berwachung des Aktors X mit berwachung eines der Aktoren entweder durch die Logik oder durch X eine Testeinrichtung mit berwachung der Aktoren durch die Logik und Testeinrichtung Ma nahmen Beschreibung alle Bauteile der Logik erfordern eine Zustands nderung EIN AUS EIN wenn die Sicherheitsfunktion angefordert wird 1 Zum Beispiel zu ermitteln ber eine FMEA durch Bildung des Quotienten der erkannten gefahrbringenden Ausf lle zu allen gefahrbringenden Ausf llen 2 PL e erfordert in der Regel zwei Kan le Daher sollte mindestens der komplemant re Block des redundanten Kanals eine andere DC Ma nahme umsetzen deren DC mindestens so gro sein sollte wie der angenommene DC durch den Prozess 234 typische Realisierung in verschiedenen Technologien Hydraulik Elektrik Programmierbare Elektronik Verriegelungsschal Verriegelungsschal tungen in Pneumatik tungen in Relaistechnik nicht relevant siehe Ma nahmenbeschreibung nicht relevant siehe Ma nahmenbeschreibung n
216. dar Diese gemischten Schaltungs beispiele sind von der Idee getragen dass eine Sicherheitsfunk tion unabh ngig von der Technologie nach dem Verst ndnis der Norm immer ber Erfassen Verarbeiten und Schalten erfolgt 86 8 1 Grundlegende technologiebezogene Bemerkungen zu den Steuerungsbeispielen 8 1 1 Elektromechanische Steuerungen In elektromechanischen Steuerungen werden in erster Linie elektromechanische Bauteile in Form von Schaltern bzw Befehlsger ten z B Positionsschalter Wahlschalter Taster und Schaltger ten Steuersch tze Relais Leistungssch tze ein gesetzt Diese Ger te besitzen eindeutige Schaltstellungen Ohne Bet tigung von au en oder elektrische Ansteuerung ndern sie in der Regel ihren Schaltzustand nicht Bei bestimmungsgem er Verwendung und entsprechender Auswahl sind sie weitgehend unempfindlich z B gegen ber elektrischen und elektromagne tischen St reinfl ssen Das unterscheidet sie zum Teil erheblich von elektronischen Betriebsmitteln Durch geeignete Auswahl Dimensionierung und Anordnung kann auf die Haltbarkeit und das Ausfallverhalten Einfluss genommen werden Das gilt auch f r die verwendeten Leitungen bei entsprechender Verlegung innerhalb und au erhalb der elektrischen Einbaur ume Aus vorstehenden Gr nden entsprechen die elektromechanischen Bauteile in den meisten F llen den grundlegenden Sicher heitsprinzipien und sind auch in vielen F llen als
217. das Transportgut zu erfolgen hat Die Zeitvorgabe T2 wird mit dem Wiederfreiwerden des Sensors F2 gestartet Sie muss so gew hlt werden dass K1 bei wieder frei gewordenem Schutzfeld der Lichtschranken erregt und wieder entregt wird noch bevor Sensor F3 durch das Transportgut deaktiviert wird und damit die berbr ckungsfunktion beenden wird Das Nichtabfallen der Sch tze K2 und K3 wird wegen der vorhandenen R ckf hrung der zwangsgef hrten ffnerkontakte in den SPS Eingang 11 1 sp testens vor einem erneuten Ingangsetzen des Bandantriebs bzw der Palettieranlage aufgedeckt Ein Versagen von K1 wird mit dem n chsten Auslass einer Palette aufgedeckt Ein selbstt tiger unbeabsichtigter Anlauf des Bandantriebs bzw der Palettieranlage bei einem Energieausfall mit anschlie ender Wiederkehr oder bei einem Versagen der Standard SPS wird durch die Funktion der Anlauf bzw Wiederanlauf sperre verhindert Die SPS kann die Wiederanlaufsperre nur direkt nachdem die Palette die Lichtschranke passiert hat also bei noch aktivierten Sensoren F3 und F4 aufheben Das Versagen einzelner berbr ckungssensoren wird vom Programm der SPS entweder unmittelbar aufgedeckt wegen berwachung auf korrekten Ablauf von Aktivierung und Deaktivierung oder macht sich w hrend des Palettendurchlaufs betriebshemmend bemerkbar Ein Versagen des Totmann Tasters S4 der nur zur St rbeseitigung verwendet wird Muting manuell unterliegt einer unmittelbaren Erkenn
218. demaschinensteuerung siehe Abschnitt 6 5 erl utert Bei der Bestimmung des DC einer Komponente oder eines Blocks sind verschiedene Randbedingungen zu beachten O Die Erkennung eines gefahrbringenden Ausfalls ist nur der Anfang Zum erfolgreichen Abschluss eines Tests ist die Einleitung eines sicheren Zustands aus dem heraus keine Gef hrdung mehr besteht erforderlich Dazu geh rt ein wirksamer Abschaltpfad was z B bei einkanalig getesteten Systemen Kategorie 2 dazu f hrt dass ein zweites Abschalt element vorhanden sein muss Dieses ist n tig um den sicheren Zustand einzuleiten bzw aufrechtzuerhalten wenn der Test ein Versagen des regul ren Abschaltelements Block O im sicherheitsbezogenen Blockdiagramm fest gestellt hat 54 Sowohl das Ausl sen eines Tests dessen Ausf hrung als auch die erforderliche Abschaltung sollten bevorzugt auto matisch von SRP CS durchgef hrt werden Nur in Aus nahmef llen erscheint es angeraten hier auf eine manuelle Intervention z B des Maschinenbedieners angewiesen zu sein Denn die Praxis zeigt leider oft dass die erforderlichen Ma nahmen aus Bequemlichkeit wegen Arbeitsdrucks oder fehlerhafter Information bzw Organisation nicht ausreichend umgesetzt werden Hier sind ein hoher organisatorischer Aufwand und Disziplin n tig um manuelle Tests wirksam umzusetzen Gleichwohl ber cksichtigt die Bestimmung des DC f r zweikanalige Systeme Fehleraufdeckung bei Anfor derung de
219. den Unterbrechungen Erdschl sse und Querschl sse im aktivierten Zustand der Lichtschranke unmittelbar bemerkt u a durch Ansprechen der Sicherung F1 Ein Kurzschluss der die berbr ckung eines einzelnen Ausgangs bewirkt wird sp testens nach dem Unterbrechen des Lichtstrahls der Lichtschranke beim erneuten Bet tigen der Starttaste aufgedeckt Daher ist gemeinsame F hrung der Ausgangssignale innerhalb eines Kabels zul ssig Die Lichtschranke entspricht dem Typ 4 gem DIN EN 61496 1 und DIN CLC TS 61496 2 sowie PLe Bemerkungen Wird die Schaltung in Anwendungen eingesetzt bei denen die Lichtschranke sehr selten schaltet so muss die M glichkeit des Verlustes der Sicherheitsfunktion durch Fehlerh ufung zwei einzeln unbemerkte Fehler betrachtet werden Periodische Pr fungen k nnen einem solchen Verlust entgegenwirken Angaben des Herstellers zur maximalen Schalth ufigkeit der Lichtschranke sind zu ber cksichtigen Berechnung der Ausfallwahrscheinlichkeit Es wird die Ausfallwahrscheinlichkeit der sicherheitsbezogenen Stoppfunktion die auch im sicherheitsbezogenen Block diagramm dargestellt ist berechnet Werden die Kontakte der Freigabepfade x und y steuerungstechnisch weiterverarbeitet so m ssen diese zus tzlichen Steuerungsteile z B Leistungssch tze bei der Berechnung der Ausfallwahrscheinlichkeit ber ck sichtigt werden Die Lichtschranke F2 liegt als handels bliches Sicherheitsbauteil vor Die Ausfallwahrscheinl
220. der Bremse f hren Kann durch eingesperrte Druckluft eine weitere Gef hrdung auftreten sind weitere Ma nahmen erforderlich Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Das Wegeventil 1V1 hat eine Sperr Mittelstellung mit ausreichender positiver berdeckung und Federzentrierung Die sicherheitsgerichtete Schaltstellung wird jeweils durch Wegnahme des Steuersignals erreicht Die Signalverarbeitung der Druck berwachung 251 und des Wegmesssystems 151 erfolgt z B in der vorgeschalteten elek trischen Logik Berechnung der Ausfallwahrscheinlichkeit MTTF F r die Wegeventile 1V1 und 2V1 werden B Werte von 40 000 000 Zyklen G angenommen Bei 240 Arbeitstagen 16 Arbeitsstunden und 10 Sekunden Zykluszeit ist n 1382400 Zyklen Jahr F r 1V1 und 2V1 ergibt sich damit eine MTTF 289 Jahre F r die mechanische Bremse an der Kolbenstange 2Z1 wird ein B Wert von 5000000 Schaltspielen H ein gesetzt Das ergibt f r die mechanische Bremse MTTF 36 Jahre Insgesamt ergibt sich ein symmetrisierter MTTF Wert pro Kanal von 71 Jahren hoch DC yg DC 99 f r das Ventil 2V1 ergibt sich aus der Druck berwachung des Steuersignals f r die Bremse DC 60 f r das Ventil 1V1 aus der Fehlererkennung ber den Prozess DC 75 f r 2Z1 folgt aus einer Anlauftestung der mecha nischen Bremse Durch Mittelung ergibt sich damit ein DE ve von 75
221. der Telegramme in den Mikrokontrollern K3 und K4 DC 60 f r K3 und K4 durch Kreuzvergleich und Selbsttests einfacher Wirksamkeit durch Software DC 90 f r die restlichen Bauteile durch Fehlererkennung in K4 mittels Weg Messsystem 154 Die Mittelungsformel f r DC u ergibt 74 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen ber spannung 15 und Umgebungsbedingungen 25 10 Die Logiksteuerung entspricht Kategorie 3 mit hoher MTTF pro Kanal 100 Jahre und niedrigem uT 74 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 7 36 10 Stunde MTTF des hydraulischen Teils der Steuerung F r das Proportionalventil 1V4 und das Wegeventil 1V3 wird eine MTTF von 150 Jahren N angesetzt Nach K rzen ergibt dies einen symmetrisierten MTTF Wert von 100 Jahren DC u des hydraulischen Teils der Steuerung DC 99 f r 1V4 und 1V3 durch direkte berwachung der Stellung ber 154 bzw 153 in K4 Die Mittelungsformel f r DC ve ergibt 99 hoch Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 70 Punkte Trennung 15 Verwendung bew hrter Bauteile 5 Schutz gegen berdruck 15 und Umgebungsbedingungen 25 10 Der hydraulische Teil der Steuerung entspricht Kategorie 3 mit hoher MTTF pro Kanal 100 Jahre und hohem Dove 99 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher
222. der vorgesehenen Architektur f r Kategorie 2 n mlich Testung sehr viel h ufiger als Anforderung der Sicherheitsfunktion vgl Anhang G erf llt werden Der Einsatz der Standardkomponente K1 erfolgt entsprechend den Hinweisen in Abschnitt 6 3 10 Die Programmierung der Software SRASW erfolgt entsprechend den Anforderungen f r PL b herabgestuft wegen Diversit t und den Hinweisen in Abschnitt 6 3 Berechnung der Ausfallwahrscheinlichkeit MTTF des Funktionskanals F r das Wegeventil 1V3 wird eine MTTF von 150 Jahren angenommen N Dies ist gleichzeitig der MTTF Wert f r den Funktionskanal der zun chst auf 100 Jahre gek rzt wird MTTF des Testkanals F r das Wegmesssystem 153 wird ein MTTF Wert von 150 Jahren G angenommen F r die SPS K1 wird ein MTTF Wert von 50 Jahren G angenommen F r das Leistungssch tz Q1 gilt ein B Wert von 2 000 000 Zyklen N Bei t glichem Einschalten an 240 Arbeitstagen ergibt sich ein MTTF Wert f r Q1 von 83333 Jahren Damit betr gt die MTTF des Testkanals 37 5 Jahre Die MTTF des Funktionskanals muss deshalb nach dem zugrunde liegenden Berechungsmodel auf 75 0 Jahre gek rzt werden DC ee DC 60 f r 1V3 gr ndet sich auf den Vergleich des Weg Zeitverhaltens der gefahrbringenden Bewegung in av Verbindung mit dem Schaltzustand des Wegeventils Dies ist gleichzeitig der DC niedrig Ce Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 85 Punkt
223. dert werden Die Spezifikation der Software sicherheitsanforderungen w rde sich dadurch nicht ndern aber die System und Modulgestaltung m sste angepasst und erneut einem Review unterzogen werden um die bereinstimmung mit der Spezifikation zu gew hrleisten Dies w re ein Beispiel daf r wie notwendige technische nderungen w hrend der Entwick lung zu einem erneuten Durchlauf des V Modells f hren k nnen damit die nderungen qualit tsgesichert umgesetzt werden Die nderungen w rden codiert und die Modul sowie Integrations tests m ssten erneut durchgef hrt werden F r den Fall dass die Firmware nach Auslieferung der ersten Serienprodukte noch ge ndert werden m sste sollten entspre chende Ma nahmen wie Einflussanalyse der nderungen und angemessene Entwicklungsaktivit ten nach V Modell bereits in der Entwicklungsorganisation festgelegt werden 6 5 10 Kombination von SRP CS Da die gesamten SRP CS durchg ngig in einer Kategorie struk turiert sind und keine Subsysteme kombiniert werden ist eine diesbez gliche Betrachtung nach Abschnitt 6 4 nicht notwen dig Gleichwohl m ssen die verschiedenen Komponenten bzw Technologien an den Schnittstellen nat rlich zueinander passen Validierungsaspekte zur Integration werden in Kapitel 7 ange sprochen 6 5 11 Weitere Erl uterungen Da auch in diesem ausf hrlichen Schaltungsbeispiel viele sicher heitsrelevante Designaspekte nur angerissen werden k nnen ist hier
224. digital de 320100 DIN EN 61800 5 2 VDE 0160 105 2 Elektrische Leistungs antriebssysteme mit einstellbarer Drehzahl Teil 5 2 Anforderungen an die Sicherheit Funktionale Sicherheit 04 08 Beuth Berlin 2008 DIN EN 60204 1 Sicherheit von Maschinen Elektrische Ausr stung von Maschinen Teil 1 Allgemeine Anforderun gen 06 07 Beuth Berlin 2007 199 21 22 23 24 25 26 27 28 29 30 31 32 33 200 Interpretationen zu Vorschriften Wesentliche Ver nderung von Maschinen Hrsg Berufsgenossenschaft der chemi schen Industrie 06 2005 www bgchemie de webcom show article php c 781 nr 2 1 html Apfeld R Huelke M L ken K Schaefer M et al Mani pulation von Schutzeinrichtungen an Maschinen Hrsg Hauptverband der gewerblichen Berufsgenossenschaften HVBG Sankt Augustin 2006 www dguv de bgia Webcode d6303 Berufsgenossenschaftliche Information BGI 5048 1 und 2 Ergonomische Maschinengestaltung Checkliste Auswer tungsbogen und Merkheft 10 2006 Carl Heymanns K ln 2006 www dguv de bgia Webcode d3443 VDI VDE 3850 Blatt 1 Nutzergerechte Gestaltung von Bediensystemen von Maschinen 5 2000 Blatt 2 Nutzer gerechte Gestaltung von Bediensystemen von Maschi nen Interaktionsger te f r Bildschirme 11 2002 Blatt 3 Nutzergerechte Gestaltung von Bediensystemen f r Maschinen Dialoggestaltung f r Touchscreens 3 2004 Beuth
225. dung 6 5 Vorgesehene Architektur f r Kategorie B und Kategorie 1 0 Ausgang gt Verbindung 6 2 4 Kategorie 1 Zusatzlich zu den Anforderungen fir Kategorie B z B Verwen dung grundlegender Sicherheitsprinzipien m ssen SRP CS der Kategorie 1 unter Verwendung sicherheitstechnisch bew hrter Bauteile und Prinzipien gestaltet und gebaut werden Ein bew hrtes Bauteil f r eine sicherheitsbezogene Anwendung ist ein Bauteil das entweder O in der Vergangenheit weit verbreitet mit erfolgreichen Ergebnissen in hnlichen Anwendungen verwendet oder O unter Anwendung von Prinzipien die seine Eignung und Zuverl ssigkeit f r sicherheitsbezogene Anwendungen zeigen hergestellt und verifiziert wurde In Anhang C wird eine bersicht ber bekannte sicherheitstech nisch bew hrte Bauteile verschiedener Technologien gegeben Neuentwickelte Bauteile und die Anwendung der Sicherheits prinzipien k nnen als gleichwertig bew hrt betrachtet werden wenn sie die zweite oben genannte Bedingung erf llen Die Ent scheidung ein bestimmtes Bauteil als bew hrt zu akzeptieren h ngt von der Anwendung ab Komplexe elektronische Bauteile z B speicherprogrammierbare Steuerungen SPS Mikroprozes soren oder anwendungsspezifische integrierte Schaltungen ASIC d rfen nicht als gleichwertig bew hrt betrachtet werden Als Konsequenz daraus k nnen einfache elektronische Bauteile wie Transistoren Dioden usw als bew hrt angesehen
226. dung und beherrschung erfordern kommen zus tzliche Aspekte hinzu die Zuverl ssigkeit der Einzelkomponenten das Verhalten im Fehlerfall und die Fehlererkennung durch automatische Diagnosema nahmen betreffen Die Grundlage hierzu liefern Fehlerlisten und Sicherheitsprinzipien siehe Anhang C Neben der klassischen FMEA Failure Mode and Effects Analysis Ausfalleffektanalyse werden in DIN EN ISO 13849 1 vereinfachte Rechenmethoden wie z B das Parts Count Verfahren ange boten Eine detaillierte Beschreibung dieser Thematik findet sich in Anhang B Tabelle 4 1 Deterministische und probabilistische Merkmale der Kategorien Erg nzungen nach der Revision der Norm sind grau hinterlegt Merkmal Gestaltung gem zutreffender Normen zu erwartenden Einfl ssen standhalten Grundlegende Sicherheitsprinzipien Bew hrte Sicherheitsprinzipien Bew hrte Bauteile Mean Time to Dangerous Failure MTTF Kategorie BEE niedrig hoch niedrig niedrig hoch bis mittel bis hoch bis hoch 1 2 3 4 px pa x x B X X Berucksichtigung von Fehlerakkumulation DEE EEE EEE EEE EEE bis mittel bis mittel Haupts chlich charakterisiert durch Bauteilauswahl Eine der meistgestellten Fragen zur Ausfallwahrscheinlichkeit betrifft die Beschaffung zuverl ssiger Ausfalldaten der MTTF Werte Mean Time to Dangerous Failure f r die sicherheits bezogenen Komponenten Hier ist der Bauteile oder Kompo nentenhersteller mit s
227. durchgef hrt werden wenn die alleinige Begutachtung durch Analyse nicht ausreichend ist um zu zeigen dass die Anforderungen erf llt werden Das Pr fen muss systematisch geplant und in logischer Weise ausgef hrt werden zumeist anhand real ausf hrbarer Entwicklungsstufen wie z B Prototypen Funktionsmuster oder Software Code Die Pr fungen m ssen so nah wie m glich an der vorgesehenen Betriebskonfiguration durchgef hrt werden unter welchen Umgebungsbedingungen ist vorher festzulegen Eine manuelle oder automatische Durchf hrung ist m glich Die Messunsicherheiten bei der Validierung durch Pr fung m ssen angemessen sein DIN EN ISO 13849 2 gibt Hinweise auf einzuhaltende Grenzen Zu den Analyse und Pr faktivit ten geh rt jeweils auch ein Review aller f r den Abschnitt relevanten Unterlagen Falls negative Pr fergebnisse festgestellt wurden sind Verfahren und Ma nahmen erforderlich um diese Ergebnisse in der Entwick lung der SRP CS entsprechend zu behandeln 79 7 1 7 Dokumentation der V amp V Aktivit ten Alle Analyse und Pr faktivit ten m ssen inklusive ihrer Ergeb nisse erfolgreich oder nicht bestanden dokumentiert werden In den folgenden Abschnitten werden die Schritte zur Validierung der Sicherheitsfunktionen der SRP CS sowie f r Teilaspekte wie u a PL Kategorie MTTF DC und CCF beschrieben Wurden nicht alle in der Spezifikation der SRP CS festgelegten Anforderungen erfullt muss man auch an d
228. e MFST Multifunktionsstellteil MTTF Mittlere Zeit bis zum gefahrbringenden Ausfall Mean Time to Dangerous Failure n m Mittlere Anzahl j hrlicher Bet tigungen Number of Operations PFH Durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde Probability of a Dangerous Failure per Hour Performance Level PL Erforderlicher Performance Level Required PL RAM Arbeitsspeicher variabler Speicher Random Access Memory ROM Festwertspeicher invariabler Speicher Read Only Memory SLS Sicher begrenzte Geschwindigkeit Safely Limited Speed siehe Tabelle 5 2 Un Un Speicherprogrammierbare Steuerung SRASW Sicherheitsbezogene Anwender Software Safety Related Application Software SRESW Sicherheitsbezogene eingebettete Software Safety Related Embedded Software SRP CS Sicherheitsbezogener Teil einer Steuerung WN un Ea Sicherer Stopp 1 Safe Stop 1 siehe Tabelle 5 2 UN Un N Sicherer Stopp 2 Safe Stop 2 siehe Tabelle 5 2 STO Sicher abgeschaltetes Moment Safe Torque Off siehe Tabelle 5 2 Lae Mittlere Zeit nach der bis zu 10 der betrachteten Einheiten gefahrlich ausgefallen sind ZHS Zweihandschaltung Ne oO 8 2 1 Stellungs berwachung beweglicher trennender Schutzeinrichtungen mittels N herungsschalter Kategorie B PL b Beispiel 1 Motor starter Abbildung 8 3 Stellungs berwachung beweglicher trennender Schutzeinrichtungen
229. e Trennung 15 Diversit t 20 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der Steuerungselemente entspricht Kategorie 2 mit hoher MTTF 75 0 Jahre und niedrigem a 60 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 7 31 10 Stunde Dies entspricht PL d Nach Hinzuf gen weiterer sicherheitsbezogener Steuerungsteile Subsysteme zur Vervollst ndigung der Sicherheitsfunktion wird sich in der Regel PL c f r die komplette Sicherheitsfunktion ergeben 121 8 2 13 Unterlast Erkennung f r Leuchtenh nger Kategorie 2 PL d Beispiel 13 CES Watchdog Trigger KIG Ke 3 fe au ee K19 Schlaffseilerfassung j K3 K17 E Spannungs z berwachung Hs o Kad K18 Sm 2 rag K1 D a RESET K21 K13 eo K19 Mikro Y a controller Abbildung 8 23 Kombinierte elektro Schlaffseilerfassung mechanische und programmierbare elektronische Steuerung zur Verhinderung der Unterlast von Leuchtenh ngern Sicherheitsfunktion Unterlast bzw Schlaffseilerkennung Bei Erkennung der Unterlast eines Leuchtenhangers schlaffes Tragmittel Seil wird die Abw rtsbewegung gestoppt STO sicher abgeschaltetes Moment Funktionsbeschreibung O In der Studio und B hnentechnik werden zahlreiche elektromotorisch betriebene Leuchtenh nger eingesetzt Bei der Abw rtsbewegung besteht die Gefahr dass Unterlast d h das Tragmittel wird
230. e Normennutzer auf den ersten Blick nur unbefriedigend sein Sowohl DIN EN ISO 13849 1 als auch DIN EN 62061 sind unter der Maschinenrichtlinie harmonisierte Normen Die Teile 1 bis 4 der DIN EN 61508 haben zwar unter IEC Aspekten den Status von Sicherheits Grundnormen Ausnahme einfache Systeme jedoch kann diese Normenreihe auch als europ ische Norm nicht unter der Maschinenrichtlinie harmonisiert werden In dieser Situation dr ngen sich zum Beispiel folgende Fragen auf O Welche Norm en sollte n zur Erf llung der Maschinenricht linie angewendet werden O Liefern die Normen soweit sich die Anwendungsbereiche berschneiden gleichwertige Ergebnisse O Sind die Klassifizierungsschemata der Normen wie Kate gorien Performance Level PL und Sicherheits Integrit ts level SIL kompatibel O K nnen Ger te die unter Ber cksichtigung einer der beiden Normen entwickelt wurden im Rahmen der Reali sierung einer Sicherheitsfunktion nach einer anderen Norm eingesetzt werden 1 IEC International Electrotechnical Commission 16 a 7 Absicherung niedriger Risiken 10 310 a bo d 10 Absicherung hoher Risiken Um eine maximale Kompatibilit t zur IEC Welt zu erreichen sowie m glicherweise auf langfristige Sicht eine Zusammenlegung beider Normenwelten zu erm glichen und au erdem die Vorteile des Wahrscheinlichkeitsansatzes zu nutzen ohne die bew hrten Kategorien ber Bord zu werfen h
231. e das Verhalten der Sicherheitsfunktion unter Fehlerbedingungen sowie sicherheitsbezogene Software systematische Ausf lle und das funktionale Verhalten unter Umgebungsbedingungen Im Anschluss an die Beurteilung der Einzelaspekte wird beschrie ben wie die Absch tzung des PL kontrolliert werden kann 7 3 1 Validieren der Kategorie Ziel der Kategorievalidierung ist die Best tigung aller gestellten Anforderungen an die durch die SRP CS realisierte Kategorie siehe Abschnitt 6 2 Dazu notwendige Dokumente sind insbe sondere O Spezifikationen der SRP CS O Konstruktionsbeschreibungen Blockdiagramme bzw Strukturbeschreibungen O Schaltpl ne O Fehlerlisten Um eine Aussage dar ber treffen zu k nnen ob die Anforde rungen erf llt wurden sollten folgende typische Teilpr fungen durchgef hrt werden O Tests zum Verhalten der SRP CS im Fehlerfall mit Ausfall effektpr fung bzw Test durch Fehlereinbau O Tests zum Verhalten der SRP CS bei fehlerhaften Zust nden von Eingangssignalen und fehlerhaften Abl ufen Eingaben bei der Bedienung mit sogenannten erweiterten Funktions tests Diese Teilpr fungen sollten durch folgende Analysen erg nzt werden Struktur Signalpfadanalyse O Inspektion zur Einhaltung grundlegender Sicherheits prinzipien O Inspektion zur Umsetzung bew hrter Sicherheitsprinzipien ab Kategorie 1 O Inspektion zum Einsatz bew hrter Bauteile nur Kategorie 1 O Bewertung der in Fehlerliste
232. e notwendig sind werden auch sicherheitsrelevante Details wie Schutzbeschaltungen Sicherungen EMV oder Peripherie Energieversorgung Takt usw f r den Logikteil ausgelassen Wegen der notwendigen Einfehlersicherheit bzw Toleranz gegen ber Anh ufung unerkannter Fehler sind in der Praxis z B auch Entkopplungselemente zwischen den verbundenen Eing ngen beider Logikkan le erforderlich damit ein fehlerhafter Eingang eines Kanals nicht auch den anderen Kanal st rt Es ist daher wichtig zu verstehen dass ein solcher Prinzipschaltplan keine direkte Vorlage zum Nachbau ist sondern die sicherheitstech nische Struktur illustrieren soll 6 5 3 Funktionsbeschreibung Um den Schaltplan zu verstehen ist eine Funktionsbeschreibung die Schaltungsstruktur und Signalpfade erl utert unumg ng lich Dadurch soll es m glich sein den funktionalen Ablauf bei der Ausf hrung der Sicherheitsfunktion unter Umst nden in verschiedenen Kan len und die realisierten Testma nahmen zu erkennen 67 Abbildung 6 15 Prinzipschaltplan der elektronischen Ansteuerung eines hydraulischen Messerantriebes und eines hydraulischen Pressbalkens wesentliche Bauelemente Pressbalken Messerantrieb 1A ii AAN 2A MA AAN nn gefahrbringende gefahrbringende Bewegung a Bewegung ira IAN ara IAN 153 Y 251 14 K 1V3 va IAN K5 1v2 F As Lg ded od 1V1 D y ES HER AAA AAA E T Mikr
233. e Ansteuerung von Q1 durch K1 und 01 1 gesperrt 108 Konstruktive Merkmale O Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Es werden spezielle Lichtschranken mit ausreichenden optischen Eigenschaften optischer ffnungswinkel Fremdlicht sicherheit usw nach DIN CLC TS 61496 2 verwendet O Mit nur zwei SPS Eing ngen und einem Relais bzw Hilfssch tz k nnen mehrere Lichtschranken kaskadiert und berwacht werden O Die Hilfssch tze K1 und K2 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Das Sch tz 01 besitzt einen Spiegelkontakt entsprechend DIN EN 60947 4 1 Anhang F O Der Einsatz der Standardkomponenten F1 bis Fn und K3 erfolgt entsprechend den Hinweisen in Abschnitt 6 3 10 O Die Programmierung der Software SRASW erfolgt entsprechend den Anforderungen f r PL b herabgestuft wegen Diversit t und den Hinweisen in Abschnitt 6 3 O Die Start Taste S2 muss au erhalb des Gefahrenbereiches und mit Einblick in den Gefahrenbereich bzw in die Gefahrstelle angeordnet sein O Die Anzahl Anordnung und H he von Lichtstrahlen muss DIN EN 999 und DIN IEC 62046 entsprechen Ist bei der Absicherung von Gefahrbereichen ein Hintertreten m glich sind weitere Ma nahmen wie z B eine Wieder anlaufsperre erf
234. e Bewertung des Bauelementausfalls die Anwesenheit der St rbeaufschlagung ber cksichtigen Das gilt auch f r die Beurteilung der Ausfallerkennbarkeit bei diesen Bauelementen durch Diagnosema nahmen 209 Der n chste Arbeitsschritt besteht in der Ber cksichtigung der Diagnose Es wird ausschlie lich diejenige Diagnose ber ck sichtigt die sich auf Ausf lle in die bezogen auf den Funktions block gef hrliche Richtung bezieht Daher muss nur bei solchen Bauelementen bei denen es einen Ausfallanteil in diese gef hr liche Richtung gibt gepr ft werden ob ein Test oder ggf meh rere Tests in der Lage sind diese Ausf lle ganz oder teilweise zu erkennen In entsprechenden Spalten werden der jeweils wirksame Test sowie der bauelementbezogene Diagnose deckungsgrad DC Diagnostic Coverage eingetragen der den erkennbaren Anteil der Ausf lle in die gef hrliche Richtung angibt Handelt es sich um diskrete Bauelemente wie im Bei spiel aus Abbildung B 2 so kann dem gef hrlichen Ausfall eines einzelnen Elementes oft einer der DC Werte 0 f r nicht erkennbar oder 1 f r erkennbar zugewiesen werden Bei komplexen integrierten Bauelementen und bei diskreten Ele menten deren Ausfall ein solches komplexes Bauelement in der Funktion beeintr chtigen kann muss der bauelementbezogene DC unter Ber cksichtigung sowohl der gef hrlichen Ausfallart als auch des zur Verf gung stehenden Testverfahrens gesch tzt
235. e Fehlerbetrachtung f r Q2 mit Spiegelkontakten und f r das interne Relais des Sch tz berwachungsbausteins F1 erfolgt wie bei zwangsgef hrten Kontakten Bemerkung O Die Reaktionszeit durch den Sch tz berwachungsbaustein F1 hinsichtlich des Abfalls von Q1 ist zu ber cksichtigen Berechnung der Ausfallwahrscheinlichkeit Die Sicherheitsfunktion l sst eine Aufteilung in zwei Subsysteme zu Das Subsystem aus Schutzeinrichtung und Sicherheits baustein K1 wird in diesem Beispiel nicht ber cksichtigt MTTF F r den Sch tz berwachungsbaustein F1 betr gt die MTTF 125 Jahre bei maximaler Nop 350 400 Zyklen Jahr H Bei induktiver Last AC3 ergibt sich f r Q1 ein B Wert von 10000 Schaltspielen und f r 02 ein B Wert von 1300000 Schaltspielen Bei einer angenommenen t glichen Bet tigung an 365 Arbeitstagen ist f r Q1 App 365 Zyklen Jahr und MTTF betr gt 274 Jahre Bei 365 Arbeitstagen 16 Arbeitsstunden und 1 Minute Zykluszeit ist fur Q2 App 350 400 Zyklen Jahr und die MTTF betr gt 37 Jahre F r den aus F1 und Q1 bestehenden Kanal folgt eine MTTF von 85 Jahren Insgesamt ergibt sich ein symmetrisierter MTTF Wert pro Kanal von 64 Jahren hoch DC e DC 99 f r Q2 beruht auf der Testung ber den Sch tz berwachungsbaustein F1 DC 99 f r F1 wird durch Fehler erkennende Ma nahmen innerhalb des Sch tz berwachungsbausteins realisiert Der Leistungsschalter wird ber die zu implementierende manuelle Pr
236. e PL Bestimmung mithilfe A Lancom yon SISTEMA 143 8 2 20 Sicheres Stillsetzen eines SPS gesteuerten Antriebs Kategorie 3 PL d Beispiel 20 NOT HALT Eing nge SPS Ausg nge Schnellhalt Frequenz umrichter 1 Abschaltpfad Start Stopp 2 Abschaltpfad verz gert e Impulssperre Abbildung 8 34 Sicheres Stillsetzen eines SPS gesteuerten Frequenzumrichter Antriebs nach einem Stopp oder Not Halt Demo 3 ara Befehl oder nach dem Ansprechen einer Schutz optional einrichtung hier BWS Sicherheitsfunktion Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Nach einem Stopp oder Not Halt Befehl oder nach dem Ansprechen einer Schutzeinrichtung wird der Antrieb angehalten SS1 Sicherer Stopp 1 Funktionsbeschreibung O Die gefahrbringende Bewegung wird redundant unterbrochen falls entweder die Stopp Taste S1 oder die Schutzeinrichtung K3 im Schaltbild als ber hrungslose wirkende Schutzeinrichtung BWS dargestellt aktiviert wird Das Stillsetzen des Antriebs im Notfall erfolgt nach Bet tigung des Not Halt Ger tes S4 In allen drei F llen wird ber den Ausgang 03 der SPS K4 durch Deaktivierung des Eingangs Start Stopp T1a am Frequenzumrichter FU T1 die erste Bremszeitvorgabe reali siert Redundant dazu wird als zweite Bremszeitvorgabe ber das Entregen des Hilfssch tzes K1 abfallverz gert mithilfe des Kondensators C1 der Eing
237. e Testeing nge T1 und T2 zun chst ber die dann angezogenen Hilfssch tze K1und K2 miteinander verbunden K2 kann nur bei zun chst abgefallenen Hilfssch tzen K3 K4 zum Anzug mit Selbsthaltung kommen Bei geschlossener Lichtstrecke erfolgt dann auch der Anzug von K3 und K4 K4 gelangt nur ber den Schlie erkontakt von K2 zum Anzug mit Selbsthaltung Mit dem Anzug von K3 und K4 ist bei noch bet tigter Starttaste auch die Aktivierung des Lichtschrankensenders mit Selbsthaltung erfolgt sodass die Starttaste losge lassen werden kann und mit dem Abfallen von K1 und K2 auch die Freigabepfade x und y geschlossen sind Die Funktion der Anlaufsperre Wiederanlaufsperre verhindert ein g ltiges Freigabesignal nach einer Lichtstrahlunterbrechung oder nach einem Spannungsausfall mit darauf folgender Spannungswiederkehr so lange bis nach einer erneuten Bet tigung der Starttaste K3 und K4 wieder zum Anzug gelangen Je ein Schlie er von K3 und K4 ist sowohl in beiden Freigabepfaden als auch im Eingangskreis zur Aktivierung des Licht schrankensenders Testeing nge T1 T2 eingebunden Mit dem Verbinden der Testeing nge erfolgt intern im Ger t eine Anlauftestung z B durch eine definierte kurzzeitige Austastung des Lichtstrahls die auf der Empfangsseite erwartungs gem nur innerhalb eines engen Zeitfensters als g ltig bewertet wird Bei erfolgreichem Anlauftest werden die Licht schrankenausg nge frei geschaltet im St rungs bzw Fehlerfall oder bei unte
238. echanische Besch digung gesch tzt verlegt Die Software der homogen redundanten Rechnerstruktur entspricht den Anforderungen der DIN EN 61508 3 Abschnitt 7 f r SIL 3 F r den Fehler vollst ndiges Versagen der Brems Kupplungskombination d h Nicht Auskuppeln bei zur ckgezogener Schnittfreigabe nach ausgel stem Schnitt erfolgt ein Fehlerausschluss Dieser begr ndet sich in langj hriger Erfahrung und den konstruktiven Merkmalen der Brems Kupplungs Kombination mit der M glichkeit einen Bremsenverschlei fr hzeitig zu bemerken Die Bauteile B1 und B2 B3 werden ben tigt um die in DIN EN 1010 3 geforderten Ma nahmen zu Messerstillstand und Messernachlauf umzusetzen Berechnung der Ausfallwahrscheinlichkeit Die vorgesehene Architektur f r Kategorie 4 f r die Ansteuerung des Messerantriebs und des Pressbalkens wird wie beschrieben durch zwei unabh ngige Kan le realisiert Da die Kan le nahezu identisch aufgebaut sind und mit gleichen Zahlenwerten berechnet werden ist eine Symmetrisierung nicht erforderlich Zur Vereinfachung wird die Ansteuerung von Q1 nur einkanalig angenommen Die berechnete Ausfallwahrscheinlichkeit ist daher in der Realit t geringf gig kleiner Da S1 und S2 unabh ngig voneinander beim Loslassen eine Abschaltung ausl sen m ssen sind sie logisch in Reihe geschaltet Dazu wurde je ein Schlie erkontakt 13 14 und ein ffnerkontakt 21 22 einem Steuerungskanal zugeordnet Das sicherheitsgerichtete Bl
239. ef hrliche Ausfall eines beliebigen Blocks in der Kette der Bl cke die einen Kanal darstellt auch als gef hrlicher Ausfall des Kanals zu werten ist Da unter Umst nden aber durch nachgeordnete Bl cke ein gef hrlicher Ausfall von davor angeordneten Bl cken bemerkt werden kann bildet diese Annahme eine Absch tzung zur sicheren Seite In dieser Phase der MTTF Bestimmung greift die Kappungsregel der DIN EN ISO 13849 1 Jeder MTTF Wert eines Kanals der rechnerisch gt 100 Jahre ist wird regelgem auf den H chstwert von 100 Jahren reduziert Durch diese Regel wird die berbewertung der Bauteilzuverl ssigkeiten gegen ber den anderen f r den PL relevanten Gr en wie Architektur Tests und Ausf lle infolge gemeinsamer Ursache vermieden D6 Symmetrisierung bei mehreren Kan len Sobald zwei Kan le in einer Steuerung vorhanden sind dies ist in der Regel bei Kategorie 3 und 4 der Fall stellt sich die Frage welcher der MTTF Werte f r jeden Kanal bei der Bestimmung des PL mithilfe des S ulendiagramms verwendet werden soll Auch f r diese Frage h lt DIN EN ISO 13849 1 eine einfache Formel als Antwort bereit zZ MTTF 2 1 MITE MITE q MITE 2 8 MTTF c 229 Die mittlere MTTF pro Kanal ergibt sich also durch eine Mitte lungsformel aus den MTTF Werten beider redundanter Kan le C1 und C2 diese Formel l sst sich mathematisch herleiten indem der MTTF Wert f r ein zweikanaliges System oh
240. egelkreis Verwendung f r die Kommutierung gem Kategorie 3 eingebunden Mit 30 Jahren MTTF pro Kanal G und 90 DC durch Plausibilit tspr fung und Fehlererkennung im Prozess ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 2 65 10 Stunde MTTF Es werden 100 Jahre G f r K1 und K2 50 Jahre G f r K4 und 30 Jahre G f r K3 in Rechnung gestellt Au er dem werden 30 Jahre G f r Tla und 1000 Jahre G f r T1b angesetzt Damit ergibt sich insgesamt ein symmetrisierter MTTF Wert pro Kanal von 24 Jahren mittel DC yg DC 99 f r K1 und K2 ergibt sich durch den direkten Vergleich der bereitgestellten Zustandsinformationen in K4 DC 99 f r K3 gr ndet sich auf der parallelen Verarbeitung aller sicherheitsrelevanter Informationen in K4 und den dortigen direkten Vergleich mit den von K3 gebildeten Zwischenergebnissen und Ausgangssignalen Die in K4 umgesetzten Selbsttests plus partielle berwachung durch die von K3 zur ckgelesene Impulssperre f hren f r K4 auf einen DC von 60 DC 99 f r T1a basiert auf dem Soll Ist Wert Vergleich der Achsposition in K4 F r T1b ergibt sich bei Annahme eines Fehlerausschlusses f r den internen Optokoppler durch R cklesung der Impulssperrenanwahl ein DC von 60 Durch Mitte lung ergibt sich damit ein DE von 91 mittel Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 70 Punkte Trennung 15 FMEA 5 Schutz gegen
241. egen indirekter und direkter berwachung durch elektrische Druck berwachung bei h u figem Signalwechsel Ein Verschlei der Kupplung f hrt zu einem ge nderten Schnittverhalten Dieses Verhalten wird mess technisch erfasst und daher fur Q1 ein DC 99 angenommen Ein Ausfall von Q2 wird infolge der zyklischen Bet tigung und den berwachungselementen B1 und B3 sofort bemerkt Damit wird ein DC 99 begr ndet Diese Werte ergeben einen Dove von 98 5 im Toleranzbereich von hoch Ausreichende Ma nahmen gegen Fehler gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen Uberspannung usw 15 und Umgebung 25 10 F r Kategorie 4 ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 6 47 10 Stunde Dies ent spricht PL e Unter Ber cksichtigung der oben aufgef hrten Absch tzung zur sicheren Seite ergibt sich f r die verschlei behafteten Elemente S1 und 52 ein Wert von ber 17 Jahren T f r den vorgesehenen Austausch Weiterf hrende Literatur 196 DIN EN 1010 3 Sicherheit von Maschinen Sicherheitsanforderungen an Konstruktion und Bau von Druck und Papier verarbeitungsmaschinen Teil 3 Schneidemaschinen 12 02 Beuth Berlin 2002 DIN EN 574 Sicherheit von Maschinen Zweihandschaltungen Funktionelle Aspekte Gestaltungsleits tze 02 97 Beuth Berlin 1997 DIN EN 60947 5 1 Niederspannungsschaltger te Teil 5 1 Steuerger te und Schaltelemente Elektromechanische
242. egt Kate gorie 4 nahe Der konkrete Nachweis hierzu erfolgt als Verifika tionsschritt in Kapitel 7 ebenso wie die berpr fung der quan titativen Anforderungen an MTTF DC und CCF siehe unten Bei der Umsetzung in das sicherheitsbezogene Blockdiagramm sind die Erl uterungen in Abschnitt 6 2 8 und 6 2 9 hilfreich Es hat sich bew hrt dazu den Signalpfad beginnend an der Aktor seite zu verfolgen indem man sich fragt Wie wird die gefahr bringende Bewegung angesteuert bzw unterbunden und dann ber die Logik bis zu den Sensoren zu gelangen In diesem Beispiel ist zu beachten dass die Stellteile S1 und S2 nicht zuein ander redundant sind auch wenn dies auf den ersten Blick so erscheinen mag denn jeder Taster sch tzt unabh ngig eine Hand des Bedieners Die Redundanz beginnt vielmehr in jedem Taster durch Verwendung von elektrischen ffner Schlie er Kombinationen Jeder Steuerungskanal berwacht beide H nde bzw Stellteile durch Auswertung mindestens je eines elek trischen Schaltkontakts Im sicherheitsbezogenen Blockschaltbild ist daher in jedem Kanal ein Schlie erkontakt z B S1 13 14 und ein ffnerkontakt z B S2 21 22 enthalten Das sicherheits gerichtete Blockdiagramm unterscheidet sich hier deutlich vom funktionalen Schaltplan Aus der konkreten Realisierung der Sicherheitsfunktion ergeben sich unter Umst nden Einschr nkungen oder Empfehlungen f r die Anwendung Zum Beispiel ist die Wirksamkeit einer F
243. egungen Sicherheitsfunktionen O Sicherheitsbezogene Stoppfunktion Stillsetzen der gefahrbringenden Bewegung und Verhinderung des ungewollten Anlaufs aus der Ruhelage O Hier ist nur der hydraulische Steuerungsteil als Subsystem gezeigt F r die komplette Sicherheitsfunktion sind weitere sicherheitsbezogene Steuerungsteile z B Schutzeinrichtungen und elektrische Logik als Subsysteme hinzuzuf gen Funktionsbeschreibung Oo Gefahrbringende Bewegungen werden durch ein sicherheitstechnisch bew hrtes Wegeventil 1V3 gesteuert Der Ausfall des Wegeventils kann zum Verlust der Sicherheitsfunktion f hren Der Ausfall h ngt von der Zuverl ssigkeit des Wegeventils ab O Es sind keine Ma nahmen zur Fehlererkennung vorgesehen 96 1V3 Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten e Bei 1V3 handelt es sich um ein Wegeventil mit Sperr Mittelstellung ausreichender positiver berdeckung Federzentrierung und dauerfesten Federn Die sicherheitsgerichtete Schaltstellung wird durch Wegnahme des Steuersignals erreicht Die Best tigung f r das Wegeventil als sicherheitstechnisch bew hrtes Bauteil erfolgt bei Bedarf durch den Hersteller Anwender Als gezielte Ma nahmen zur Erh hung der Zuverl ssigkeit des Wegeventils sind ein Druckfilter 123 vor dem Wegeventil und geeignete Ma nahmen gegen Schmutzeinzug durch die Kolbenstange am Zylinder z B
244. ehenen Sub systemen als Block in einem SRP CS dar Hier kann als grobe Regel ohne Ansehen der inneren Struktur des Subsystems der Kehrwert der durchschnittlichen Wahrscheinlichkeit eines gef hr lichen Ausfalls je Stunde als Block MTTF angesetzt werden Da alle unter Umst nden intern realisierten Diagnosema nahmen des Subsystems bereits in der Ausfallwahrscheinlich keit ber cksichtigt sind k nnen f r die DC des Blocks nur zus tz liche von au en auf das Subsystem wirkende Diagnosema nahmen herangezogen werden Eine weitere Frage die sich in diesem Zusammenhang stellen k nnte betrifft die Zuordnung einer Kategorie f r ein Gesamt system das aus Subsystemen realisiert ist die nur eine Angabe zur durchschnittlichen Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde mitbringen Hier fehlen neben Angaben zur inneren Struktur auch Angaben zur MTTF jedes Kanals und zu DC f r die je nach Kategorie Mindestanforderungen gelten Daher gilt dasselbe wie f r die Parallelschaltung Als Alternative zu einer sehr groben Absch tzung bleibt nur die Neubewertung unter Umst nden unter Verwendung von Zwischenergebnissen 6 5 PL Bestimmung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL e In diesem Abschnitt wird begleitend zur allgemeinen Beschrei bung illustriert wie man den PL in der Praxis ermittelt Damit ist dieses ausf hrlich beschriebene Beispiel gl
245. ehler erkennung durch den Arbeitsprozess naturgem sehr eng mit der Anwendung verbunden Bemerkungen O Anwendung z B an Planschneidemaschinen DIN EN 1010 3 Abbildung 6 16 Sicherheitsbezogenes Blockdiagramm zum SRP CS f r die ausgew hlte Sicherheitsfunktion SF2 an der Planschneide maschine 69 6 5 5 Eingangsgr en zur quantitativen Bewertung des erreichten PL An dieser Stelle sind alle Basisinformationen f r die Bewertung des erreichten PL vorhanden Mit Kenntnis der Kategorie und des sicherheitsbezogenen Blockdiagramms k nnen f r die einzelnen Bl cke zun chst MTTF und DC bestimmt und au erdem die Ma nahmen gegen CCF f r vorhandene Redundanzen bewertet werden Daran schlie en sich die rechnerischen Schritte zur Bestimmung der MTTF jedes Kanals des Dove und schlie lich des PLan Berechnung der Ausfallwahrscheinlichkeit O MTTF Bei 240 Arbeitstagen Jahr 8 Arbeitsstunden Tag und 80 Sekunden Zykluszeit betr gt Nop 86 400 Zyklen Jahr Fur 51 und 52 sowie K3 bis K6 ergibt sich bei einem B Wert von 2000000 Zyklen H eine MTTF von 232 Jahren F r den Mikrocontroller alleine wird eine MTTF von 1142 Jahren ermittelt D Der gleiche Wert wird auch f r den ASIC eingesetzt D Zusammen mit der zugeh rigen Beschaltung ergibt sich f r die Bl cke K1 und K2 jeweils eine MTTF von 806 Jahren F r die Ventile 1V3 1V4 2V1 und 2V2 wird eine MTTF von jeweils 150 Jahren N angenom
246. eichzeitig eine Br cke zu Kapitel 8 in dem eine gro e Anzahl von Schal tungsbeispielen verschiedener PL verschiedener Kategorien und unterschiedlicher Technologie pr sentiert wird Die im Folgenden grau unterlegten Textk sten entsprechen der Kurzbeschreibung im Stil von Kapitel 8 Dar ber hinaus werden zus tzliche Erl uterungen gegeben deren Erw hnung bei jedem Schaltungsbeispiel in Kapitel 8 den Rahmen sprengen w rde 6 5 1 Sicherheitsfunktionen Das Steuerungsbeispiel einer Planschneidemaschine in Abschnitt 5 7 wird hier wieder aufgegriffen Von den sieben dort genannten Sicherheitsfunktionen wird exemplarisch die Realisierung von SF2 beschrieben f r die ein erforderlicher Performance Level PL e ermittelt wurde Da die verschiedenen Sicherheitsfunktionen unter Umst nden auf dieselben Kompo nenten zur ckgreifen sind alle Sicherheitsfunktionen bei der Realisierung zu ber cksichtigen So fordert z B die Produktnorm f r Planschneidemaschinen DIN EN 1010 3 f r die Absicherung an der Bedienseite zus tzlich zu einer Zweihandschaltung ZHS z B im Hinblick auf die Sicherheitsfunktion SF3 eine hier nicht gezeigte ber hrungslos wirkende Schutzeinrichtung BWS Sicherheitsfunktion SF2 Ortsbindung der H nde des Bedieners au erhalb des Gef hr dungsbereiches w hrend einer gefahrbringenden Bewegung 6 5 2 Realisierung Realisiert als Zweihandschaltung l sst sich diese Sicherheitsfunk tion folgenderm
247. eien zu den Schaltungsbeispielen aus Kapitel 8 heruntergeladen werden Zuk nftige Erweiterungen sollen dem Anwender stets aktuelle Hilfen zur Verf gung stellen Pr fung Zerine ung Publicationen gt Prasshlten gt Maschinensteuerungen Rreicograph und Suena arm zur Ermittlung des geforderten und erreichten Performance Levels Ex BLA Ansprechpartner BGA Insti f r Arbeitsschutz der Deutschen Geseizichen Unlalversicherung Fachbereich 5 r CD ROM Kahlschmeerst ffe ir Dr rer nat Michael Schaefer e Spalermodel zur Ersstzstoltsuche Ake Heerstrafie 111 53757 Sanki Augustin Checkitte Maochinenergononme Fax 02241 231 2234 Raniise buren E Med Ken Staub beim Abtiden und Gasilazchentrareportsyziem Tolo Performance Level Calculator CCal Abbildung 2 1 Sicherhelscheck f r PLC y Arbed plate Die Internetseite saas Drehscheibe www dguv de L rmquelen der Eiserl m Melsllraursire bgia 13849 bietet Links zu allen Praxishilfen Flurf rderzeugpe in Schmalg ngen Sofwan Zur Sicherhell won Maschinensteenungen x zur Sicherheit von Maschinensteuerungen Sicherheit von Maschinensteuerungen Die Sicherheit des Bedieners h ngt insbesondere bei komplexen Maschinen von der Zuverl ssigkeit der Steuerung ab Grundlage der Bewertung der Sicherheit komplexer Maschinenstauerungen ist die Nonm DIN EN 150 13849 1 Das BGIA stellt f r deren Anwendung zum Download zur Ver
248. eine solche Zerlegung nicht so muss f r das gegebene sicherheitsbezogene Blockdiagramm ein eigenes Modell zur quantitativen Bestimmung der sicherheitsbezogenen Zuverl ssig keit erstellt werden Eine Einf hrung in geeignete Modellierungs techniken findet man beispielsweise in 1 B2 Zweck und Eigenart einer FMEA f r die Quantifizierung F r den quantitativen Nachweis des PL muss die durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde PFH abgesch tzt werden Dies kann mithilfe eines eigens f r das vor liegende System erstellten Rechenmodells z B Markov Modell geschehen L sst aber das sicherheitsbezogene Blockdiagramm wie im Beispiel aus Abbildung B 1 formal die Gestalt einer der vorgesehenen Architekturen gem Abschnitt 6 2 3 bis 6 2 7 erkennen so kann das oben erw hnte Verfahren dieser Norm zur quantitativen Bestimmung des PL angewendet werden In beiden F llen muss von den Funktionsbl cken des sicherheitsbezo genen Blockdiagramms jeweils die Ausfallrate in die gef hrliche sicherheitstechnisch ung nstige Richtung bzw ihr Kehrwert die MTTF Mean Time to Dangerous Failure mittlere Zeit bis zum Ausfall in die gef hrliche Richtung und der DC Diagnostic Coverage Diagnosedeckungsgrad bekannt sein Zur Ermittlung dieser Daten dient die FMEA in einer speziellen Auspragungsart die Bauelementausfallraten als quantitative Gr en einbezieht Darin unterscheidet sich die hier verwendete beso
249. einem technischen Datenblatt allen ande ren Quellen vorzuziehen Viele Komponentenhersteller auch im Bereich der Pneumatik haben bereits signalisiert dass solche Daten k nftig erh ltlich sein werden Aber auch wenn es noch wenig Herstellerangaben gibt lassen sich typische Beispielwerte aus etablierten Datensammlungen z B SN 29500 oder IEC TR 62380 ermitteln Die Norm und Anhang D dieses Reports listen ebenfalls einige realistische Werte aus der Praxis auf Die Wirksamkeit der Diagnose als Wert des mittleren Diagnose deckungsgrades Dove average Diagnostic Coverage ermittelt sich sehr einfach F r jeden Block werden die Testma nahmen zusammengestellt die den Block berwachen F r jede dieser Testma nahmen wird einer von vier typischen DC Werten aus einer Tabelle in der Norm ermittelt und schlie lich berechnet Weitere Informationen liefern Abschnitt 6 2 14 sowie Anhang E Eine nur scheinbar komplexe aber trotzdem einfache Mittelungs formel hilft daraus die Kenngr e DC u zu berechnen Sehr einfach wird es schlie lich bei der letzten Kenngr e CCF Common Cause Failure Abschnitt 6 2 15 Hier wird unterstellt dass eine Ursache z B Verschmutzung bertemperatur oder Kurzschluss unter Umst nden mehrere Folgefehler verursachen kann die z B beide Steuerungskanale gleichzeitig au er Kraft setzen kann Zur Beherrschung dieser Gefahrenquelle muss f r Systeme der Kategorien 2 3 und 4 nachgewiesen werden dass aus
250. einer Inspektion durch an einem Projekt Unbeteiligte Vor teile hat d rfte auf der Hand liegen Wird sicherheitsrelevante Software eingesetzt so muss aus einer solchen Spezifikation der Sicherheitsanforderungen eine eigenst ndige Softwarespezifika tion abgeleitet werden siehe Abschnitt 6 3 2 Mit der Spezifikation ist das erste Dokument im Ablauf der Gestaltung von SRP CS entstanden Grunds tzlich hat die Doku mentation einen hohen Stellenwert im Sinne einer nachvoll ziehbaren Entwicklung Man sollte beachten dass ein Produkt unter Umst nden von jemand anderem als dem Entwickler weiter gepflegt wird Details zur erforderlichen Dokumentation im Rahmen des iterativen Gestaltungsprozesses von SRP CS finden sich im Abschnitt 6 3 8 zu Software und in den Abschnit ten 7 1 4 ff Erw hnt sei an dieser Stelle dass Dokumente ein deutig identifizierbar sein m ssen eine sogenannte Versions verwaltung ist also ein Muss F r die korrekte Umsetzung von Sicherheitsfunktionen wird nicht zuletzt der Inhalt der Benut zerinformationen ma geblich sein DIN EN ISO 13849 1 enth lt in Kapitel 11 eine Liste der Informationen die in der Benutzer information mindestens enthalten sein m ssen Der Inhalt der herstellerinternen technischen Dokumentation von SRP CS wird in Kapitel 10 der Norm aufgelistet Auch der Gesetzgeber erteilt Auflagen zur Dokumentation Kasten 6 2 siehe Seite 42 zeigt den Inhalt der erforderlichen technischen Unterlagen f r Masc
251. ektur entspre chend gew hlt wurde Abbildung 6 7 siehe Seite 50 Eine rein logische Zweikanaligkeit z B durch redundante Software auf einkanaliger Hardware wird allerdings in der Regel nicht ein fehlersicher gegen Hardwareausf lle sein 49 Abbildung 6 7 Vorgesehene Architektur f r Kategorie 3 gestrichelte Linien kennzeichnen 01 Ausgang 02 Ausgang berwachung angemessene Fehlererkennung vern nftigerweise durchf hrbare Fehlererkennung 12 Eingang Verbindung Kreuzvergleich angemessene Fehlererkennung 6 2 7 Kategorie 4 Zus tzlich zu den Anforderungen f r Kategorie B z B Verwen dung grundlegender Sicherheitsprinzipien m ssen SRP CS der Kategorie 4 bew hrte Sicherheitsprinzipien verwenden und so gestaltet werden dass O ein einzelner Fehler nicht zum Verlust der Sicherheitsfunktion f hrt und O der einzelne Fehler bei oder vor der n chsten Anforderung der Sicherheitsfunktion erkannt wird z B unmittelbar beim Einschalten oder am Ende eines Maschinenzyklus Ist diese Erkennung nicht m glich dann darf die Anh ufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunk tion f hren in der Praxis kann die Betrachtung einer Fehler kombination f r zwei Fehler ausreichend sein Da es sich um die Kategorie mit der h chsten Widerstandsf hig keit gegen Fehler handelt h chster Beitrag zur Risikoreduzie rung m ssen sowohl die MTTF jedes Kanals als auch der DC hoch sein u
252. en einer Schlie kantensicherung dargestellt Mit der Bewegung kraftbet tigter Fenster T r und Torfl gel siehe Abbildung A 1 ist in der Regel die Bildung von Quetsch und Scherstellen verbunden Diese Gefahrstellen bestehen im Allgemeinen nur dann wenn sich der Fl gel seinen Endstellungen n hert Verletzungen von Personen an derartigen Gefahrstellen lassen sich z B durch Schlie kantensicherungen vermeiden Schlie kantensicherungen z B Schaltleisten werden auf die Schlie kanten der Fl gel gesetzt Bei Erkennung eines Hindernisses wird die Schlie bewegung unterbrochen und eine r ckl ufige Bewegung eingeleitet Quetsch und Scherstellen k nnen an kraftbet tigten Fenster T r und Torfl geln Ursache f r schwere unter Umst nden t dliche Verletzungen sein sodass als Schadensausma S2 angenommen werden muss Personen halten sich im Bereich der zeitlich begrenzt auftretenden Quetsch und Scherstellen nur selten und auch nur f r kurze Zeit auf F1 Normalerweise haben gef hrdete Personen die M glichkeit sich aus dem vom bewegten Fl gel gebildeten Gefahrenbereich zu entfernen P1 damit ergibt sich ein erforderlicher Performance Level PL c Bei Schnelllauftoren ist diese M glichkeit eingeschr nkt P2 und es ergibt sich ein erforderlicher Performance Level PL d Abbildung A 1 Risikobeurteilung f r die Schlie kantensicherungen an kraftbet tigten Fenstern T ren und Toren Erforderlicher Perform
253. en Die Sicherheitsfunktion en muss m ssen getestet werden O beim Anlauf der Maschine und O vor dem Einleiten einer Gefahrdungssituation z B Start eines neuen Zyklus Start anderer Bewegungen und oder perio disch w hrend des Betriebs wenn die Risikobeurteilung und die Betriebsart zeigen dass dies notwendig ist Diese Tests k nnen automatisch eingeleitet werden Jeder Test der Sicherheitsfunktion en muss entweder O den Betrieb zulassen wenn keine Fehler erkannt wurden oder O einen Ausgang f r die Einleitung geeigneter Steuerungs ma nahmen erzeugen wenn ein Fehler erkannt wurde Wann immer m glich muss dieser Ausgang einen sicheren Zustand einleiten Dieser muss aufrechterhalten bleiben bis der Fehler behoben ist Ist die Einleitung eines sicheren Zustandes nicht m glich z B durch Verschwei en des Kontaktes eines Schaltgliedes muss der Ausgang die Warnung vor der Gef hrdung bereitstellen F r die vorgesehene Architektur der Kategorie 2 Abbildung 6 6 ber cksichtigt die Berechnung der MTTF und DC nur die Bl cke des Funktionskanals d h I Lund 0 und nur indirekt die MTTF der Bl cke des Testkanals d h TE und OTE F r die MTTF des Funktionskanals sind Werte von niedrig bis hoch erlaubt DC muss mindestens niedrig sein Ausreichende Ma nahmen gegen CCF m ssen angewendet werden siehe Abschnitt 6 2 15 und Anhang F Der Test darf selbst nicht zu einer Gef hrdungssituation f hren z B aufgrund ei
254. en wieder verwendete Funktionen und ihre Identifi kation Programmierrichtlinie O Welche Programmversionen sind in welchen SRP CS geladen Diese und weitere notwendige Informationen sowie alle rele vanten Entwicklungsdokumente sind f r eine sp tere Nutzung z B bei einer Modifikation nach f nf Jahren Betrieb zu doku mentieren und geeignet zu archivieren 6 3 9 Software ist st ndig im Fluss Modifikation Erfahrungsgem wird auch eine zun chst getestete SRASW noch w hrend der Inbetriebnahme einer Anlage Maschine eifrig erweitert und angepasst Diesen Vorgang nennt man Modifi kation Oft gehen diese nderungen so weit dass nicht nur die Codierung sondern auch die urspr ngliche Spezifikation nicht mehr passt Sie m sste eigentlich berarbeitet werden Durch ge nderte Sicherheitsfunktionen an der einen Seite der Anlage Maschine k nnen auch die anderen zun chst nicht modifizierten Sicherheitsfunktionen betroffen sein Oder es ergeben sich durch die Modifikationen L cken im Sicherheitskonzept Dies gilt es zu berpr fen und gegebenenfalls die notwendigen Phasen des V Modells zu wiederholen Die Praxis zeigt aber dass auch an einer installierten Maschine oder Maschinenanlage immer mal ein Not Halt oder eine Schutz t r erg nzt werden muss Oft wird auch der Bearbeitungsprozess optimiert Das Sicherheitskonzept ist ebenfalls anzupassen Die existierende Software muss modifiziert werden Wohl gemerkt
255. en Anforderungen der Maschinenrichtlinie an Maschinen und Sicherheitsbauteile finden sich im Anhang der Richtlinie Neben den allgemeinen Grunds tzen f r die Integration der Sicherheit gibt es in diesem Anhang eigene Abschnitte zu Steuerungen und Befehlseinrichtungen von Maschinen und den Anforderungen an Schutzeinrichtungen Die grundlegenden Sicherheitsanforderungen bei der Gestal tung von Maschinen und Sicherheitsbauteilen verpflichten den Hersteller eine Gefahrenanalyse vorzunehmen um alle mit der Maschine verbundenen Gefahren zu ermitteln Drei Grunds tze werden genannt um die mit den einzelnen Gef hrdungen verbundenen Unfallrisiken auf ein akzeptables Ma zu redu zieren O Beseitigung oder Minimierung der Gefahren durch die Konstruktion selbst O Ergreifen der notwendigen Schutzma nahmen gegen nicht zu beseitigende Gefahren und O Unterrichtung der Benutzer ber Restgefahren Nach Artikel 5 l sst die Einhaltung harmonisierter europ ischer Normen deren Fundstelle im Amtsblatt der EU ver ffentlicht wor den ist Listung die bereinstimmung mit den grundlegenden Sicherheitsanforderungen der Maschinenrichtlinie vermuten Mehrere europ ische Normentw rfe und inzwischen harmoni sierte europ ische Normen vertiefen bzw konkretisieren die im Anhang der Maschinenrichtlinie zugrunde gelegte Philosophie zur Erreichung der Arbeitssicherheit an Maschinen Die Normen reihe DIN EN ISO 12100 2 3 behandelt z B Grundbeg
256. en Auffahrschutz an einem fahrerlosen Flurf rderzeug o Erforderlicher Niedriges Performance Risiko Level PL Ausgangs punkt zur Einsch tzung der Risiko minderung Risiko S2 ernste irreversible Verletzung F2 h ufige Exposition oder lange Dauer P1 Vermeidung der Gef hrdung m glich Beispiel 3 Webmaschine Abbildung A 3 Risikobeurteilung f r eine Webmaschine Webmaschinen werden zum vollautomatischen Weben von Stoffen eingesetzt Die wesentliche Gef hrdung besteht in der Quetschung zwischen Webblatt und Breithalter Bei Kettfaden br chen muss der Weber bei stehender Maschine in die Gefah renstelle eingreifen um die Kettfadenenden wieder zu verbinden Zur Verhinderung des unerwarteten Anlaufs wird die Sicherheits funktion Breithalter O SF1 Sicher abgeschaltetes Moment eingesetzt Bei einem Maschinenanlauf kann der Weber Finger quetschungen und br che davontragen S2 Die H ufigkeit bzw Dauer der Gef hrdungsexposition kann mit selten bezeichnet werden F1 Befindet sich der Weber mit den H nden bereits im Gefahrenbereich w hrend es zu einem unerwarteten Anlauf kommt ist diese Bewegung so schnell dass ein Ausweichen kaum m glich ist P2 Damit ergibt sich f r SF1 ein erforderlicher Performance Level PL d siehe Abbildung A 3 o Erforderlicher Niedriges Performance Risiko Level PL Ausgangs punkt zur Einsch tzung der Risiko minderung Hohes Risiko S2 ernste irreversib
257. en verf gt Das ffnen einer der T ren f hrt zum Stillsetzen Im Hinblick auf die sp tere Bestim mung des PL ist jede T r Bestandteil einer eigenen Sicherheits funktion SF1 bis SF5 die sich aus folgenden Bl cken zusammen setzt Stellungs berwachung Schutzt rx x 1 2 5 einschlie lich mechanischer Komponenten O Logik O Antrieb Abbildung 5 7 zeigt das funktionale Schaltbild und die Bl cke der Sicherheitsfunktion SF3 Abbildung 5 6 Stillsetzen beim ffnen der Schutzt r Stellungs berwachung der Schutzt r Abbildung 5 7 Stillsetzen beim ffnen der Schutzt r 3 Stellungs berwachung Schutzt r 1 Stellungs berwachung Schutzt r 2 Stellungs berwachung Schutzt r 3 Stellungs berwachung Schutzt r 4 Stellungs berwachung Schutzt r 5 Beispiel 3 Sicherheitsfunktion Not Halt einer Gesamtmaschine siehe Abschnitt 5 5 An einer gr eren Maschine sind 20 Not Halt Ger te installiert deren Bet tigung alle 50 Antriebe schnellstm glich stillsetzt Wel che Komponenten sind in diesem Fall bei der Realisierung der Sicherheitsfunktion zu ber cksichtigen Es ist nicht vorhersehbar welches Not Halt Ger t zum Ausl sen der Sicherheitsfunktion bet tigt wird Da der Bediener immer nur ein Not Halt Ger t bet tigt werden die Sicherheitsfunktionen SF1 bis SF20 definiert Der jeweilige Standort einer gef hrdeten Person beim Ausl sen des Not Halts ist nicht bekannt aber wo auch imm
258. endung bew hrter Sicherheitsprinzipien nach DIN EN ISO 13849 2 2003 Tabellen B 2 oder D 2 f r die Konstruktion des Bauteils Best tigung im Datenblatt des Bauteils O Der Hersteller des Bauteils legt die geeignete Anwendung und Betriebsbedingungen f r den Anwender fest Der Anwender ist ber seine Verantwortung zu informieren die grundlegenden Sicherheitsprinzipien nach DIN EN ISO 13849 2 2003 Tabellen B 1 oder D 1 f r die Implementie rung und den Betrieb des Bauteils zu erf llen F r Kate gorie 1 2 3 oder 4 ist der Anwender ber seine Verant wortung zu informieren die bew hrten Sicherheitsprinzipien nach DIN EN ISO 13849 2 2003 Tabellen B 2 oder D 2 f r die Implementierung und den Betrieb des Bauteils zu erf llen Die hinter den grundlegenden und bew hrten Sicherheits prinzipien stehenden konkreten Ma nahmen hneln denjenigen die oben f r hydraulische Bauelemente ausf hrlicher beschrie ben sind Der MTTF Wert ist definiert als die mittlere Zeit bis zum gefahr bringenden Ausfall Um diese Zeit f r ein Bauteil bestimmen zu k nnen m ssen entsprechende Lebensdauermerkmale festgelegt werden Dies k nnen zur ckgelegte Strecken f r Pneumatikzylin der Bet tigungsh ufigkeiten f r Ventile oder elektromechanische Bauteile sowie Lastwechsel bei mechanischen Komponenten sein In der Regel wird die Zuverl ssigkeit f r pneumatische oder elektromechanische Bauteile im Labor bestimmt D2 4 1 Bestimmung des Le
259. er F r den Tippbetrieb unter der Voraussetzung bereits gew hrleisteter sicher begrenzter Geschwindigkeit kann unter bestimmten Bedingungen von der M glichkeit zur Vermeidung der Gef hrdung ausgegangen werden Berechnung der Ausfallwahrscheinlichkeit Die Sensorebene B1 S1 und G1 liegt au erhalb der redundanten Logik und Aktorebene und wird daher separat betrachtet F r B1 kann ein Fehlerausschluss f r den zwangs ffnenden Kontakt erfolgen F r den mechanischen Teil wird ein B a Wert von 20000000 Zyklen N angenommen Bei w chentlich 10 facher Bet tigung ist Nop 520 Zyklen Jahr und MTTF 384615 Jahre Dies entspricht rechnerisch einer mittleren Wahrscheinlichkeit gef hrlicher Ausf lle von 2 97 10 1 Stunde Um den Besonderheiten der DIN EN 1010 1 Rechnung zu tragen wird dieser Wert auf den oberen Eckwert 1 00 10 Stunde f r PL d zur ckgestuft statt wie blich die MTTF f r einen Kanal auf 100 Jahre zu begrenzen S1 besitzt einen B Wert von 100000 Zyklen H Bei w chentlich 10 facher Bet tigung ist Nop 520 Zyklen Jahr und MTTF 1 923 Jahre Wegen Zwangsdynamisierung und Anlaufwarnung wird ein DC von mindestens 60 angenommen ein H ngenbleiben nach wiederholtem Tippen wird aber nicht erkannt S1 erreicht damit durch die Einbindung in eine Kategorie 2 Struktur eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 5 28 10 Stunde G1 ist durch Auswertung der Sin Cos Signale und Nutzung im R
260. er te und Schaltelemente Elektromechanische Steuer ger te 02 05 Beuth Berlin 2005 DIN EN 61496 1 Sicherheit von Maschinen Ber hrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforde rungen und Pr fungen 01 05 Beuth Berlin 2005 DIN CLC TS 61496 2 Sicherheit von Maschinen Ber hrungslos wirkende Schutzeinrichtungen Teil 2 Besondere Anforde rungen an Einrichtungen welche nach dem aktiven opto elektronischen Prinzip arbeiten 02 08 Beuth Berlin 2008 DIN EN 61800 5 2 VDE 0160 105 2 Elektrische Leistungsantriebe mit einstellbarer Drehzahl Teil 5 2 Anforderungen an die Sicherheit Funktionale Sicherheit 07 07 Beuth Berlin 2007 Neu D ffnen Ml Speichen E Schlie en Hl Bibliothek Drucken Hilfe Wizard R jj 1 mm o E Eingabemasken Zusammenfassung Projekte Ze E PR 23 Karussellt rsteuerung Kategorie 3 PL BG A w gt Ej Sicherheitsbezogene Stoppfunktion 5E S u N Sy 6 Ll SB Schaltleiste und Auswertegerat B1 Dokumentation PL Kategorie MITE dl DCavg CCF Bl cke E SB Mikrocontrollersteuerung Kanal 1 ja an Kanal 1 CH Kanal 2 TE askana Hinzuf gen bone _ beBll MTTFd a B SF Sicher legendis Geschwindigkeit SLS FT L sche BL Mikrocontroller K1 60 Low 8781 121 W SB Lichtschranke und Auswerteger t E __ L schen
261. er Fehlerab deckungsgrad desto geringer ist das Risiko unter Umst nden gef hrliche Fehlerarten zu bersehen 340 220 Sicherheit technischer Arbeitsmittel Materialdaten Dokumentation Durchf hrbarkeit Je komplexer ein Bauelement desto gr er ist die Vielfalt der m glichen Fehler So ent hielt beispielsweise der Entwurf allgemeiner Richtlinien f r signaltechnisch sichere Schal tungen und Einrichtungen der Elektronik allein f r einen Transistor bereits 51 Fehlerarten bei einfachen integrierten Schaltkreisen ergibt sich schon eine astronomisch hohe Zahl unterschiedlicher Fehlerm glichkeiten Zur Durchf hrung der Fehlerfallpr fung m ssen deshalb die theoretisch m glichen Fehlerarten eingeschr nkt werden Gleichzeitig muss ge w hrleistet sein dass trotzdem ein hoher Feh lerabdeckungsgrad hinsichtlich der Fehleraus wirkung erreicht wird Dies erreicht man zum Beispiel durch die Annahme eines worst case Fehlers bei einem Bauteil oder auch bei einer ganzen Baugruppe Worst case Fehler be deutet dass an den Ausg ngen des Bauele mentes oder der Baugruppe der sicherheits technisch ung nstigste Fehler unterstellt wird M glichkeit des Fehlereinbaus Nach M glichkeit sollten Fehler unterstellt werden die in die zu pr fende Originalschal tung auch eingebaut werden k nnen Dies ist nicht immer m glich denkt man beispiels weise an bestimmte interne Driftvorg nge in Halbleiter Bauelementen oder an die Mi
262. er Grad dieser Diversit t so weit dass der Code die Gestaltung und sogar die Spezifikation unterschiedlich erstellt wurden kann diese Software auch entsprechend den Anforderungen f r PL d der DIN EN ISO 13849 1 entwickelt werden Dabei ist es unerheb lich ob die SRP CS nun verschiedene oder zwei identische Hardwarekan le haben 6 3 7 Passende Softwarewerkzeuge Keine Software ohne Werkzeuge Dies gilt besonders f r sicher heitsbezogene Software Daher sind Auswahl und G te dieser Werkzeuge f r die Fehlervermeidung und somit die Qualit t der Sicherheitsfunktion entscheidende Faktoren In DIN EN ISO 13849 1 werden vier Elemente betont O Entwicklungswerkzeuge Zur Entwicklung sind geeignete und f r den Einsatz bew hrte Werkzeuge gefordert In der Regel werden f r SRASW zerti fizierte Werkzeuge f r Sicherheitskomponenten eingesetzt Merkmale wie die Vermeidung und Aufdeckung von seman tischen Fehlern Einhaltung von Sprachteilmengen oder berwachung von Programmierrichtlinien entlasten den Programmierer und erh hen die Softwarequalit t 61 o Bibliotheken mit Softwarefunktionen Die Systemgestaltung sollte vorhandene oder mitgelieferte Bibliotheken ber cksichtigen und validierte Funktionen soweit praktikabel einsetzen Es gilt Je mehr das Pro gramm auf bereits validierten oder sogar zertifizierten Funk tionen basiert umso weniger projektspezifische Softwareteile sind vom Inbetriebnehmer oder einer externen Or
263. er Hilfestellung seitens DIN EN ISO 13849 1 Dieser Tatsache wurde Rechnung getra gen indem ein vereinfachter Ansatz erarbeitet wurde der trotz wissenschaftlich fundierter Grundlagen Markov Modellierung Schritt f r Schritt eine einfache M glichkeit der Quantifizierung beschreibt Zwar werden dort an einigen Stellen Absch tzungen zur sicheren Seite getroffen die den gesch tzten Zahlenwert der Ausfallwahrscheinlichkeit gegen ber exakteren Methoden verschlechtern k nnen daf r ist die Methode aber auch f r Nicht Mathematiker praktikabel und das Verfahren ist weitgehend eindeutig und damit nachvollziehbar Im Folgenden wird dieses vereinfachte Verfahren ausf hrlich im Allgemeinen und anhand eines durchgerechneten praktischen Beispiels siehe Abschnitt 6 5 vorgestellt Weitere Details zu einzelnen Spezial themen k nnen in den Anh ngen nachgelesen werden 6 2 1 Vorgesehene Architekturen Die Struktur oder Architektur einer Sicherheitssteuerung bestimmt die Toleranz gegen ber Fehlern Fehlertoleranz und stellt das Ger st dar auf dem alle anderen quantifizierbaren Aspekte aufbauen um schlie lich den PL der sicherheitsbezo genen Teile von Steuerungen zu bilden Die Erfahrungen des BGIA mit der Industrie seit 1985 best tigen dass es nur wenige Grundtypen von Sicherheitssteuerungen im Maschinenbau gibt auf die sich der berwiegende Teil aller realisierten Steuerungen zur ckf hren l sst bzw auf Kombinationen dieser Grund
264. er Steuerung f r diese Sicherheitsfunktion insgesamt 4 94 10 Stunde Dies entspricht PL d Schaltleiste amp B1 Berechnung der Ausfallwahrscheinlichkeit f r die Sicherheitsfunktion Sicher begrenzte Geschwindigkeit SLS Fur diese Berechnung muss zus tzlich G1 im ersten Kanal ber cksichtigt werden Daf r wird eine MTTF von 75 Jahren G angesetzt Der DC von 99 ergibt sich aufgrund der Fehleraufdeckung durch den Prozess sowie den Vergleich mit G2 ber K2 und K1 Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache wurden analog zur ersten Beispiel berechnung gew hlt Mit 34 9 Jahren MTTF und 70 DC ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 4 46 10 Stunde Nach Hinzuf gen der Sensoreinheit hier bestehend aus Lichtschranke und Auswerteger t B2 mit einem Wert von 2 00 10 Stunde G betr gt die mittlere Wahrscheinlichkeit gef hrlicher Ausf lle der Steuerung f r diese Sicherheitsfunktion insgesamt 6 46 10 Stunde Dies entspricht ebenfalls PL d Weiterf hrende Literatur DIN EN 1760 2 Sicherheit von Maschinen Druckempfindliche Schutzeinrichtungen Teil 2 Allgemeine Leits tze f r die Gestaltung und Pr fung von Schaltleisten und Schaltstangen 07 01 Beuth Berlin 2001 DIN 18650 1 Schl sser und Baubeschl ge Automatische T rsysteme 12 05 Beuth Berlin 2005 DIN EN 60947 5 1 Niederspannungsschaltger te Teil 5 1 Steuerg
265. er sich diese Person befindet stellen nicht alle 50 Antriebe eine Gef hrdung dar Daher sollte stellvertretend f r alle denkbaren Situationen der ung nstigste Fall betrachtet werden Dieser ist bestimmt durch den schlechtesten PL ist also u a abh ngig von der Anzahl der Antriebe in der Sicherheitskette die am ung nstigsten Standort gefahrbringende Bewegungen erzeugen sowie den jeweiligen einzelnen PL Das zugeh rige Blockschaltbild ist in Abbildung 5 8 siehe Seite 30 dargestellt 1 Fehlerm glichkeiten der elektrischen Installation werden den jeweiligen Bl cken zugeordnet 29 Abbildung 5 8 Not Halt der Gesamtmaschine ung nstigster Fall Not Halt Ger t 01 Antrieb 21 Not Halt Ger t 02 Not Halt Ger t 03 Antrieb 35 Not Halt Ger t 04 Antrieb 47 Bei der sp teren Bestimmung des PL f r die Sicherheits funktion m ssen die PL Werte der folgenden Bl cke z B nach Tabelle 6 6 ber cksichtigt werden Not Halt Ger t 03 O Logik O Antrieb 21 O Antrieb 35 O Antrieb 47 Die Beispiele zeigen dass sich bei der Definition einer Sicher heitsfunktion eine lokale Sichtweise empfiehlt bei der ber ck sichtigt wird O An welchem Ort befinden sich zum betrachteten Zeitpunkt Personen Oo Welche Bewegungen stellen am Standort der Person en Gef hrdungen dar O Welche Schutzeinrichtungen m ssen die Sicherheitsfunktion ausl sen Ggf sind mehrere alternativ benutzbare Schutzein richtungen zu ber cksi
266. er sichere Zustand eingeleitet Alternativ muss ein Fehlerausschluss f r Leitungskurzschl sse nach DIN EN ISO 13849 2 Tabelle D 4 m glich sein Bei dem Laserscanner F1 und der Sicherheits SPS K1 handelt es sich um gepr fte Sicherheitsbauteile f r den Einsatz in PL d die der Kategorie 3 und den jeweiligen Produktnormen entsprechen Das Wegeventil 1V5 hat eine Sperr Mittelstellung mit ausreichender positiver berdeckung und Federzentrierung 1V4 ist mit elektrischer Stellungs berwachung ausgef hrt da 1V4 nicht zyklisch geschaltet wird Die Programmierung der Software SRASW erfolgt entsprechend den Anforderungen f r PL d und den Hinweisen in Abschnitt 6 3 Es wird davon ausgegangen dass die Ausg nge der Sicherheits SPS jeweils von beiden Verarbeitungskan len der SPS angesteuert werden Sollte dies nicht der Fall sein werden die Ausg nge die 1V3 und 1V4 ansteuern von einem Kanal und der Ausgang der 1V5 ansteuert von dem anderen Kanal der SPS angesteuert Berechnung der Ausfallwahrscheinlichkeit Da der Laserscanner F1 und die Sicherheits SPS K1 als k ufliche Sicherheitsbauteile vorliegen werden deren Ausfallwahr scheinlichkeiten am Ende der Berechnung addiert F1 3 0 10 Stunde G K1 1 5 10 Stunde G F r den hydrau lischen Steuerungsteil wird die Ausfallwahrscheinlichkeit im Folgenden berechnet MTTF F r die Ventile 1V3 bis 1V5 werden Werte von 150 Jahren N angenommen Damit ergibt sich insgesamt ein
267. erechnung der Ausfallwahrscheinlichkeit wird basie rend auf dem aus dem Prinzipschaltplan abgeleiteten sicherheits bezogenen Blockdiagramm die rechnerische Bestimmung des PL durch die Parameter Kategorie MTTF DC und CCF gezeigt Die Festlegung der Kategorie leitet sich aus der Funktionsbeschrei bung und den konstruktiven Merkmalen ab Die in den Berechnungen verwendeten MTTF Werte sind als Herstellerwerte Kennzeichnung H f r Hersteller typische Werte aus Datenbanken Kennzeichnung D f r Datenbank oder als Werte aus der Norm DIN EN ISO 13849 1 Kennzeich nung N f r Norm markiert Die Norm sieht eine Priorisierung von Herstellerdaten vor F r einige Komponenten z B Drehgeber oder Frequenzumrichter waren zum Zeitpunkt der Erstellung des Reports weder verl ssliche Herstellerangaben noch Daten bankwerte zu erhalten Hier wurden Hersteller gezielt ange sprochen oder das Parts Count Verfahren zu Hilfe genommen um typische Beispielwerte abzusch tzen Kennzeichnung G f r gesch tzt Die MTTF Werte in diesem Kapitel sind daher teilweise eher als Sch tzwerte zu betrachten Die Darstellung der angenommenen Ma nahmen zur Diagnose DC und gegen Ausf lle infolge gemeinsamer Ursache CCF beschr nkt sich auf allgemein gehaltene Angaben Konkrete Werte h ngen f r beide Kriterien von Realisierung Anwendung oder auch vom Hersteller ab Es kann daher vorkommen dass f r hnliche Kompo
268. erh ht Die Zuleitungen zu Sender und Empf nger sind getrennt oder gesch tzt verlegt W hrend des ersten Anlaufs der T rdrehbewegung werden Einschalttests durchgef hrt Dabei werden unter anderem die Bl cke der Mikrocontroller Mikroprozessor Arbeits und Festwertspeicher getestet Ein und Ausgangstests durchgef hrt sowie die Ansteuerung des Motors ber den Frequenzumrichter berpr ft u a Test der Reglerfreigabe der Schnellstopp funktionalit t sowie der Impulssperre Ebenfalls findet ein Bremsentest statt bei dem der Frequenzumrichter gegen die eingefallene Haltebremse arbeiten muss Im Rahmen des Datenvergleichs zwischen den beiden Controllern erfolgt der Austausch von Sollwerten und Zwischen ergebnissen unter Einbeziehung der zyklisch durchgef hrten Selbsttests Durch die Verwendung eines Frequenzumrichters mit sicherer Impulssperre ist der Einsatz eines Sch tzes zum Abschalten der Versorgungsspannung nicht mehr erforderlich Der Frequenzumrichter ist zum Antreiben und Bremsen geeignet K3 besitzt zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Die Schaltstellung des ffner kontaktes wird vom Mikrocontroller K2 zur Fehleraufdeckung berwacht 157 Bei dem Beispiel wird davon ausgegangen dass zur Bremsung der Karussellt r die Regelung ber den Frequenzumrichter T1 hinreichend ist Nach Erreichen des Stillstandes wird die Impulssperre aktiviert und die Reglerfreigabe weggenommen zur Vermeidung d
269. erheitsbezogener Software Software ohne Fehler aa ansiosas Schnittstelle zur Gesamtsicherheit Softwarespezifikation 66 System und Modulgestaltung f r das sicherheitsbezogene Pflichtenheft ooooononcnonoonacnnoncncnnnnnnnnonnnnnnnnnnnnnns Endlich programmieren src Pr fe was sich ewig bindet Modultest Integrationstest und Validierung ccccccccccccccccesceeeseessssseeseeeeeeeceeeeeeeeeeas Struktur der normativen Anforderungen cccccncncnccccncn Passende Softwarewerkzeuge oooonccnccccncccccnonononnnnnnnnnnnns Ungeliebt aber wichtig Dokumentation und Konfigurationsmanagement ccccccccccccccsccceeeeeessssseseesceeeesceeeeeeeeeeas Software ist st ndig im Fluss Modifikation Anforderungen an die Software von Standardkomponenten in SRP CS 0 sssssessessssseececeeccccecseseeeeeeeassesseeseeeeees Kombination von SRP CS als Subsysteme cccccccccnnnnnnnnnn PL Bestimmung am Beispiel einer Planschneidemaschine mit diversit rer Redundanz in der Logiksteuerung Kategorie 4 PL eeccccccsesssnsssssesessnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn PPP Realisierung ies Funktionsbeschreibung oooooococcccccncncncnnnnnnnnnononnnnnnnnnnnns Sicherheitsbezogenes Blockdiagramm ooccccccccccnon s Eingangsgr en zur quantitativen Bewertung des erreichten PL eeeeesssssssssnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnn
270. erheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Das Wegeventil 1V1 hat eine Sperr Mittelstellung mit ausreichender positiver berdeckung und Federzentrierung Die Sperrventile 2V2 und 2V3 sind m glichst im Zylinder eingeschraubt und vorgesteuert ber das Ventil 2V1 Die sicherheitsgerichtete Schaltstellung wird jeweils durch Wegnahme des Steuersignals erreicht Die Signalverarbeitung der Druck berwachung 251 erfolgt z B in einer einkanaligen SPS Berechnung der Ausfallwahrscheinlichkeit MTTF F r die Ventile 1V1 und 2V1 werden B Werte von 40 000 000 Zyklen G angenommen F r die Ventile 2V2 und 2V3 werden B Werte von 60000000 Zyklen G angenommen Bei 240 Arbeitstagen 16 Arbeitsstunden und 10 Sekunden Zykluszeit ist Nop 1382 400 Zyklen Jahr Damit betr gt die MTTF f r 1V1 und 2V1 289 Jahre und f r 2V2 und 2V3 434 Jahre Nach K rzen beider Kan le auf 100 Jahre ergibt sich ein symmetrisierter MTTF Wert pro Kanal von 100 Jahren hoch Dee DC 99 f r 2V1 ergibt sich aus der Druck berwachung des Steuersignals f r die Sperrventile DC 60 fur 1V1 ergibt sich aus der Fehlererkennung ber den Prozess und DC 60 f r 2V2 bzw 2V3 aus der regelm igen berpr fung der Funktion Durch Mittelung ergibt sich damit ein DC ve von 71 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 85 Punkte Trennung 15 Diversit t 20 Schutz gegen berspan
271. erkannt ber die Druckschalter 153 und 251 werden Ausf lle der Ventile 1V3 1V4 und 2V1 2V2 bemerkt Ein Ausfall der Ventile oder ein H ngenbleiben im offenen Zu stand von 1V4 bzw 2V2 wird durch eine stark verz gerte R ckzug geschwindigkeit der Hydraulikzylinder bemerkt Durch geeignete Auswertung der Drucksignale Druckabfallzeit erfolgt dies auch steuerungstechnisch Ein Ausfall der Ventile oder ein H ngenbleiben im offenen Zu stand von 1V3 bzw 2V1 wird unmittelbar durch die berwachung des Signalwechsels der Druckschalter 153 bzw 251 bemerkt Denn dann w rde ein Druck signalisiert obwohl kein Druck anstehen d rfte Alle Maschinenzust nde werden durch beide Verarbeitungskan le berwacht Durch den zyklischen Ablauf eines Schnittes werden alle Systemzust nde ebenfalls zyklisch durchlaufen und Fehler k nnen somit aufgedeckt werden 6 5 4 Sicherheitsbezogenes Blockdiagramm Die Schaltungsbeschreibung in Verbindung mit dem Schaltplan und ggf weiteren beschreibenden Dokumenten ausf hrliche Spezifikation erm glicht die Bestimmung einer Steuerungs kategorie und die Abbildung der realen Schaltung auf ein abstra hiertes sicherheitsbezogenes Blockdiagramm Abbildung 6 16 In diesem Beispiel wird sehr schnell deutlich dass die Sicherheits funktion zweikanalig abgearbeitet wird daher kommt Kategorie 3 oder 4 in Betracht Wegen der hochwertigen Testma nahmen die auch Fehlerkombinationen beherrschbar machen li
272. erlich in die Phase der Gestaltung und Realisierung zur ckzukehren Anderenfalls gelangt man in die zweite Raute Block 7 zu Redesign Iteration und erneuter weitere PL Ermittlung SF Abb 6 1 Abb 5 5 nein Abbildung 7 1 V amp V Aktivit ten Ausschnitt aus Abbildung 4 1 71 Zur Planung der dort erforderlichen Schritte kann der Ablauf in Abbildung 7 2 herangezogen werden Abbildung 7 2 stammt aus Teil 2 der 2003 ver ffentlichten DIN EN ISO 13849 und wurde grafisch aufbereitet um die V amp V Aktivit ten deutlicher heraus zustellen Die wichtigsten Aspekte des Ablaufes der Verifikation und der Validierung werden nachfolgend kurz erl utert 7 1 1 Leits tze f r die Verifikation und Validierung Verifikation und Validierung sollen die Konformit t der Gestal tung der SRP CS mit der Maschinenrichtlinie sicherstellen Da DIN EN ISO 13849 1 als Sicherheitsnorm f r Maschinen steuerungen unter der Maschinenrichtlinie gelistet ist m ssen die V amp V Aktivit ten zeigen dass jedes sicherheitsbezogene Teil und jede seiner ausgef hrten Sicherheitsfunktionen die Anforde rungen der DIN EN ISO 13849 1 erf llt sofern die Vermutungs wirkung der Norm beansprucht werden soll Diese Aktivit ten sollten so fr h wie m glich w hrend der Entwicklung begonnen werden sodass Fehler rechtzeitig erkannt und behoben werden k nnen Die Pr fungen sollten nach M glichkeit von Personen durchgef hrt werden die nicht in den Ges
273. erreicht werden 74 Der Entwicklungsprozess f r die Firmware orientiert sich am V Modell in Abbildung 6 11 und ist in das zertifizierte Quali tatsmanagement des Herstellers eingebettet Auf der Basis der Spezifikation der gesamten sicherheitsbezogenen Steuerung wird zun chst die Spezifikation der Softwaresicherheitsanforderungen f r die Firmware das Lastenheft geschrieben Dieses Dokument beschreibt den Anteil den die Firmware zu den Sicherheits funktionen der Maschine beitr gt geforderte Reaktionszeiten bezogen auf K1 Reaktionen bei erkannten Fehlern Schnittstellen zu anderen Subsystemen Abh ngigkeiten von Betriebsarten usw Zus tzlich werden alle nach Abschnitt 6 3 2 der Norm f r PLc oder d geforderten fehlervermeidenden Ma nahmen festgelegt Die Spezifikation wird dann z B vom Projektleiter Sicherheit gegengelesen Review und gegebenenfalls werden nderungen eingepflegt Nach Freigabe der Spezifikation kann die System gestaltung beginnen Zur Softwarearchitektur Der Mikrocontroller erh lt kein Betriebssystem sondern es werden mehrere Tasks definiert die per Timerinterrupt durch eine einfache Taskverwaltung gesteuert in definierten Zeitabst nden zur Ausf hrung kommen Einige niederpriorit re Tasks sind f r die Standardfunktionen der Planschneidemaschine reserviert w hrend die hochpriorit ren Tasks die oben spezifizierten sicherheitsbezogenen Funktionen ausf hren Die Determiniertheit dieser Taskaufr
274. erreichte PL des parametrierten SRP CS wird automatisch aus den Subsystemen ermittelt die in Serie geschaltet die Sicherheitsfunktion ausf hren Den Subsystemen liegt jeweils in Abh ngigkeit von der gew hlten Kategorie eine sogenannte vorgesehene Architektur aus der Norm zugrunde Aus der Architektur bestimmt sich unter anderem ob die Steuerung einkanalig einkanalig getestet oder redundant ausgelegt ist und ob bei der Auswertung ein spezieller Testkanal zu ber cksichtigen ist Jeder Kanal kann sich wiederum in beliebig viele Bl cke unterteilen f r die der Benutzer ent weder direkt einen MTTF Wert und einen DC Wert eintr gt oder aber auf der niedrigsten Hierarchieebene die Werte f r die einzelnen Elemente eintr gt aus denen sich der Block zusammensetzt BL Block Abbildung H 1 In SISTEMA betrachtete Hierarchieebenen 24 Komfortable Bibliotheksfunktionen runden den Leistungsumfang von SISTEMA ab Die mitgelieferten Bibliotheken enthalten einige Standardelemente Bl cke und komplette Subsysteme lassen sich jedoch durch den Benutzer beliebig erweitern Optional k nnen weitere Bibliotheksmodule nachinstalliert werden falls diese von Herstellern f r ihre Komponenten verf gbar sind H3 Die Benutzerschnittstelle von SISTEMA Die Programmoberfl che von SISTEMA gliedert sich in vier Bereiche siehe Abbildung H 2 Den gr ten Anteil der Fl che nimmt der Arbeitsbereich in der Mitte ein Er enth lt je nach
275. es Bauteils Best tigung im Datenblatt des Bauteils Tabelle D 2 Der Hersteller des Bauteils legt die geeignete Anwendung und Betriebsbedingungen f r den Anwender fest und informiert ihn ber seine Verantwortung die grundlegenden Sicherheitsprinzipien nach DIN EN ISO 13849 2 2003 f r die Implementierung und den Betrieb des Bauteils zu erf llen Der Anwender erf llt die grundlegenden und oder bew hr ten Sicherheitsprinzipien nach DIN EN ISO 13849 2 2003 f r die Implementierung und den Betrieb des Bauteils Typische Zuverl ssigkeitskennwerte die bei guter ingenieurm iger Praxis als erreicht angenommen werden k nnen Grundlegende und bew hrte Andere Sicherheitsprinzipien nach DIN EN ISO 13849 2 2003 Mechanische Bauteile Hydraulische Bauteile Pneumatische Bauteile Relais und Hilfssch tze mit vernachl ssigbarer Last Relais und Hilfssch tze mit maximaler Last N herungsschalter mit vernachl ssigbarer Last Tabellen D 1 und D 2 Typische Werte relevante Normen MTTF Jahre Big Zyklen bzw Fehlerausschluss vbelenatunda2 Mm ETE MITE 10 Tabellen D 1 und D 2 EN 50205 IEC 61810 IEC 60947 Bog 20000000 Bog 400 000 EN 50205 IEC 61810 IEC 60947 Tabellen D 1 und D 2 IEC 60947 B og 20 000 000 EN 1088 N herungsschalter mit maximaler Last Tabellen D 1 und D 2 IEC 60947 B og 400000 EN 1088 Sch tze mit vernachl ssigbarer Last Tabellen D 1 und D 2 IEC 60947
276. es unerwarteten Anlaufes Bremszeit und Bremsweg werden von der Steuerung berwacht Die Bremse 01 ist im Fehlerfall erforderlich damit es nach einem Fehler wenn z B T1 die spezifizierte Funktion nicht mehr ausf hren kann zu keiner Gef hrdung durch eine ungewollte Bewegung kommen kann Q1 arbeitet nach dem Ruhestromprinzip Programmierung der Software SRESW in K1 und K2 entsprechend den Anforderungen f r PL d nach Abschnitt 6 3 Die Standardkomponenten G1 G2 soweit f r die Drehgeber zutreffend und T1 werden entsprechend den Hinweisen in Abschnitt 6 3 10 eingesetzt F r die Sicherheitsfunktion Sicher begrenzte Geschwindigkeit wird ein Fehlerausschluss f r den Fehler Geberwellenbruch G1 G2 angenommen Einzelheiten zur M glichkeit eines Fehlerausschlusses siehe z B IEC 61800 5 2 Tabelle D 16 Bemerkungen Das Schaltungsbeispiel ist einsetzbar zur Realisierung der Sicherheitsfunktionen Sicherheitsbezogene Stoppfunktion und Sicher begrenzte Geschwindigkeit in einer Steuerung f r drei und vierfl gelige Karussellt ren mit Break Out Funktion T rfl gel k nnen im Notfall von Hand geklappt werden f r den Einsatz im ffentlichen und gewerblichen Bereich Eine regelm ige manuelle berpr fung der Schaltleiste ist erforderlich Zum einen muss die Funktionsf higkeit ber pr ft werden und zum anderen ist eine optische Begutachtung der Schaltleiste notwendig um Besch digungen fr hzeitig erkennen zu k nnen
277. estaltungsdokument vorgegeben werden 6 3 8 Ungeliebt aber wichtig Dokumentation und Konfigurationsmanagement Bevor der Hersteller die EG Konformit tserkl rung f r eine Maschine ausstellt muss er eine technische Dokumentation ausarbeiten In Bezug auf die sicherheitsbezogene Software sind damit zun chst die Spezifikation der realisierten Sicherheits funktionen Lastenheft das Gestaltungsdokument Pflichten heft sowie das gut kommentierte Programm gemeint Zus tz lich sind die benutzten zertifizierten oder selber validierten Bibliotheksfunktionen mit ihrer Identifikation Versionsnummer Autor Datum usw aufzulisten Die Anwendung von eigenen Programmierrichtlinien und Sprachteilmengen ist ebenfalls zu dokumentieren Falls das Werkzeug diese bereits beinhaltet gen gt ein entsprechender Hinweis auf diese Merkmale Bleibt noch die Dokumentation der Testaktivit ten Oft werden Integra tionstest und Validierung der Sicherheitsfunktionen zusammen durchgef hrt Diese Tests sind selbstverst ndlich zu planen und mit Testergebnissen zu dokumentieren Was ist mit Konfigurationsmanagement gemeint Besonders bei sicherheitsbezogener Software ist verst ndlich und daher zu fordern dass deren Entwicklung f r alle Beteiligten und sp tere Pr fungen nachvollzogen werden kann O Wer hat wann spezifiziert programmiert in Betrieb genommen verifiziert validiert 62 O Womit wurde entwickelt z B Werkzeuge und ihre Ein stellung
278. etzen der gefahrbringenden Bewegung und Verhinderung des ungewollten Anlaufs aus der Ruhelage O Hier ist nur der hydraulische Steuerungsteil als Subsystem gezeigt F r die komplette Sicherheitsfunktion sind weitere sicher heitsbezogene Steuerungsteile z B Schutzeinrichtungen und elektrische Logik als Subsysteme hinzuzuf gen Funktionsbeschreibung O Gefahrbringende Bewegungen werden durch zwei Aktoren 1A und 2A in demselben Gefahrenbereich ausgef hrt Ein Still setzen beider Bewegungen kann entweder durch die beiden Wegeventile 1V5 und 2V1 oder bergeordnet durch das Wege ventil 1V3 erfolgen O Der alleinige Ausfall eines der genannten Ventile f hrt nicht zum Verlust der Sicherheitsfunktion O 1V5 und 2V1 werden zyklisch im Prozess angesteuert 1V3 schlie t nur bei Anforderung der Sicherheitsfunktion jedoch mindestens einmal pro Schicht 168 1V5 2V1 1V3 153 O Eine technische Ma nahme zur Fehlererkennung ist nur an 1V3 vorgesehen Stellungs berwachung 153 An den nicht berwachten Ventilen werden einige Fehler im Arbeitsprozess erkannt Die Anh ufung unentdeckter Fehler kann zum Verlust der Sicherheitsfunktion f hren Konstruktive Merkmale O Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten O Die Wegeventile 1V5 und 2V1 haben eine Sperr Mittelstellung mit ausreichender positiver berdeckung und Feder zentrierung 1V3 ist mit elektrischer Stellungs berw
279. euerungselementen Stellungs berwachung Stellungs berwachung direkt am Ventilschieber durch zwangsgef hrte Signal berwachung durch R ck ber den gesamten Hub R cklesekontakte anti lesung z B mittels Optokopplern valente ffnerkontakte Stellungs berwachung direkt am berwachten Steuerungselement Versagen der Prozessregelung die sich durch Fehlfunktion Besch digung von Werkst ck oder Maschinenteilen Prozessunterbrechung oder verz gerung funktional bemerkbar macht ohne sofort eine Gef hrdung darzustellen berwach Antwortzeiten Signalst rke analoger Signale berwachung von Antwortzeiten Signalst rke analoger Signale ee a a cal z B Widerstand Kapazitat nicht relevant Zeitglied als Watchdog mit Trigger signalen im Programm der Logik nicht relevant durch einen Watchdog wobei die Testeinrichtung Plausibilitatstests des Verhaltens der Logik durchf hrt Erkennung z B Erkennung verborgener Fehler in verschwei ter Kontakte Programm und Datenspeicher durch Ansteuerung Eingangs Ausgangsanschl ssen und R cklesung Schnittstellen Testung der Reaktionsm glichkeit des Watchdogs 233 Tabelle E 2 Fortsetzung Ma nahme haupts chlich relevant f r ESAS Dynamische Prinzipien Speicher und CPU Tests Invarianter Speicher Signatur einfacher Wortbreite 8 Bit Invarianter Speicher Signatur doppelter Wortbreite 16 Bit Varianter Speicher RAM Test durch Verwendung redun
280. eutlich eingeschr nkter eingesetzt werden als elektromecha nische Bauelemente Zus tzlich gibt es Umgebungseinfl sse die beim Einsatz elektromechanischer Schaltelemente fast bedeu tungslos aber in Elektroniksystemen ein zentrales Problem sind alle elektromagnetischen St reinfl sse die ber Leitungen oder ber elektromagnetische Felder in Elektroniksysteme eingekop pelt werden Teilweise ist ein erh hter Aufwand erforderlich um eine f r die Praxis ausreichende St rfestigkeit zu erzielen Fehlerausschl sse sind bei elektronischen Bauelementen kaum m glich Dies hat zur Folge dass grunds tzlich nicht die Konstruktion eines bestimmten Bauelementes die Sicherheit gew hrleisten kann sondern nur bestimmte Schaltungskonzepte sowie die Anwendung entsprechender Ma nahmen zur Fehler beherrschung 88 unter Umst nden relevant f r die Einhaltung der grundlegenden und bew hrten Sicherheitsprinzipien Wartungseinheit Nach den Fehlerlisten zu elektrischen elektronischen Kom ponenten und Bauteilen nach DIN EN ISO 13849 2 werden im Wesentlichen die Fehlerannahmen Kurzschluss Unterbrechung Ver nderung eines Parameter oder Kennwertes und sogenannte Stuck at Fehler unterstellt Dies sind durchweg Fehlereffekte die als bleibend angenommen werden Transiente sporadisch auf tretende Fehler wie z B sogenannte Soft Errors bei denen durch hochenergetische Teilchen wie z B o Teilchen eine Kondensa torumladung innerhalb e
281. f gung den EGIA Repar 22008 Funktionale Sicherheil von Maschinensteuerungen Anwendung der DIN EN 50 13849 17 den Software Assistenten SISTEMA eine PLC Drenscheibe zur Ermittlung von Performance Levels f r Steuerungen E BGIA Report 22008 Die praktische Report 22008 Amrendung d Nathsg EDEN M schi Yiele a erforde sendung der Norm steht im Mittelpunkt des BGL Yonale Sicherheit von Maschinensteuerungen 150 13840 Er ist als Lehrbuch und BGIA Re p ort bhe der 2 2008 en die einzelnen nicht i der Entwicklung und in meroma P der Praxis erarbeitete Erweiterungen und Hilfen erg nzen die ausf hrliche Aufbereitung der Norminhalte 37 detailliert beschriebene und mit SISTEMA berechnete Beispiele unferschiedlichsier Sieuerungsanwendungen vervollst ndigen den Report unterst tzt durch SISTEMA Maschinen Rechervara leer die der Param intuitive miuno der Ausfallwahrscheinlichkeit von Daten hinterlegt ichliger A bietet eine onen erleichtern PLE Drehischeibe Zur Bestimmung des Performance Levels PL von DSU Kontakt Stemap English www dguv de bgia 13849 Go mle Custom Search Los oouv Websuche Webcode Los So gehi s Weitere Informationen und Downloads BOL Report 22000 Software Assisiend SISTEMA a PL Drehscheibe Weiterf hrende Literatur Hai M Schaeler M heitsnant m nern Y Revisi n der EN 954 1 acher
282. f hrlichen Ausfalls je Stunde von 9 7 1078 Stunde siehe Abbildung 6 18 was nur geringf gig von dem oben ermittelten Wert abweicht Es schlie t sich nun die Bewertung der nicht quantifizierbaren qualitativen Aspekte bei der PL Bestimmung an zun chst f r systematische Ausf lle 6 5 7 Systematische Ausf lle Der gew hlte Entwurf der Steuerung verwendet mit einem diversit ren Ansatz f r die Logiksteuerung eine h chst wirksame Ma nahme gegen den Einfluss systematischer Ausf lle Selbst verst ndlich m ssen im Zuge der Realisierung weitere Ma nahmen implementiert werden um z B die Auswirkungen von Spannungsausfall Spannungsschwankungen berspannung und Unterspannung zu beherrschen Einige der erforderlichen Ma nahmen sind schon in dem gew hlten Entwurf zu erkennen u a of dangerous false per hair 1 m mn LA aos ds N Car 3 00 midum ap Probability Ll h PEI Calculator PLC Ai ap de bee Wer vb e bla Weptode aT Seas J EN ISO 13849 1 Kat 2 Kat 2 Kat 3 Kat 3 DC DC DC DC avg avg avg avg niedrig mittel niedrig mittel O Verwendung des Ruhestromprinzips hierdurch ist sicher e berwachung des Programmablaufs der ASIC wird z B gestellt dass der energielose Zustand nicht zu einem genutzt um den Programmablauf des Mikrocontrollerkanals Ansteuersignal f hren kann z B bei einem Drahtbruch zu berwachen O Ausfallerkennung durch automatische Tests hier werden in
283. f hrlicher Ausf lle von 2 93 10 Stunde Dies entspricht PL e Damit ist der PL d bertroffen was bei erforderlicher zweikanaliger Ausf hrung der Hardware mit wenigen Bauteilen der Verwendung von B Werten nach Norm einem DC von hoch sowie einer moderaten Schalth ufigkeit nahezu immer der Fall sein wird 10d Das verschlei behaftete Element B2 sollte nach jeweils ca 8 Jahren 7 ausgetauscht werden Weiterf hrende Literatur Reudenbach R Ma nahmen gegen das Umgehen von Verriegelungseinrichtungen an Schutzt ren die BG 2003 Nr 7 5 215 281 www diebg info download reudenbach pdf L ken K et al Manipulation von Schutzeinrichtungen an Maschinen HVBG Report Hrsg Hauptverband der gewerblichen Berufsgenossenschaften HVBG Sankt Augustin 2006 www dguv de bgia Webcode d6303 GS ET 19 Grunds tze f r die Pr fung und Zertifizierung von Verriegelungseinrichtungen mit elektromagnetischen Zuhal tungen 4 04 www dguv de Webcode d14884 BGI 575 Merkblatt fur die Auswahl und Anbringung elektromechanischer Verriegelungseinrichtungen f r Sicherheits funktionen Carl Heymanns K ln 2003 DIN EN 1088 Sicherheit von Maschinen Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinrichtungen Leits tze f r Gestaltung und Auswahl 02 96 Beuth Berlin 1996 DIN EN 1088 A1 Sicherheit von Maschinen Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinrichtungen Leits
284. fallraten aus Abbildung B 3 sowie bei allen Elementen von generell 50 gef hrlichen Ausf llen aus so erh lt man einen MTTF Wert von 7 310 8 Jahren Verglichen mit dem FMEA Ergebnis ist dieser Wert um ca 26 schlechter Die Verschlechterung ist bei diesem Beispiel allein dem Verzicht auf die Schaltungsanalyse geschuldet Wird ein DC Wert f r den Funktionsblock ben tigt so muss wie bei der FMEA der bau elementbezogene DC f r jedes Element oder z B in Anlehnung an Anhang E der DC des gesamten Funktionsblocks gesch tzt werden Grunds tzlich ist die in diesem Anhang des Reports am Beispiel einer elektronischen Schaltung vorgestellte FMEA Variante f r Quantifizierungszwecke als Methode auf andere Technologien bertragbar Sie kann also in formal gleicher Weise z B f r mechanische hydraulische und pneumatische Systeme ange wendet werden Literatur 1 Goble W M Control systems safety evaluation and reliability 2 ed Hrsg Instrumentation Systems and Automation Society ISA Research Triangle Park North Carolina 1998 2 eel DIN EN 60812 Analysetechniken f r die Funktionsf higkeit von Systemen Verfahren f r die Fehlzustandsart und auswirkungsanalyse FMEA 11 2006 Beuth Berlin 2006 IEC 60812 2006 Analysis techniques for system reliability Procedure for failure mode and effects analysis FMEA 3 ZZ SN 29500 Ausfallraten Bauelemente Erwartungswerte Hrsg Siemens AG Center
285. fallwahrscheinlichkeit zu den Performance Level Performance Level Durchschnittliche PL Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde PFH in ht ee IET ee INE IEC IAN von PL Bestimmung Abb 5 5 Realisieren der SF Identifizieren der SRP CS Ermitteln des PL der SRP CS aus Kategorie MTTF DE ESE Software und systematische Fehler zu Verifikation und Validierung Abb 7 1 Abbildung 6 1 Ermittlung des erreichten PL in der Realisierungs phase der SRP CS als Ausschnitt aus R cksprung wenn V amp V nicht erfolgreich Abb 7 1 dem iterativen Gestaltungsprozess siehe Abbildung 4 1 37 Das Verfahren zum Nachweis der Ausfallwahrscheinlichkeit steht grunds tzlich frei z B Markov Berechnungen Petri Netz Verfahren es sollen aber immer folgende Kriterien ber ck sichtigt werden O quantifizierbare Aspekte Struktur Bauteilzuverlassigkeit Diagnose in Form von Selbsttests Ausf lle infolge gemein samer Ursache und O nicht quantifizierbare qualitative Aspekte die das Verhalten der SRP CS beeinflussen Verhalten der Sicherheitsfunktion unter Fehlerbedingungen sicherheitsbezogene Software systematische Ausf lle und Umgebungsbedingungen F r beide Gruppen schl gt DIN EN ISO 13849 1 praxisorien tierte Verfahren vor die wissenschaftlich fundiert zu einer guten Absch tzung des erreichten PL f hren F r jeden Teilaspekt kann der Nachweis nach Bedarf vergr bert oder verfe
286. fner Schlie er Kombinationen in der SPS K3 DC 99 f r die Sch tze Q1 und Q2 ergibt sich aus der berwachung bei jedem Einschalten von K1 Die genannten DC Werte entsprechen dem DE f r das jeweilige Subsystem Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache in den Subsystemen B1 B2 und 01 02 70 Punkte Trennung 15 bew hrte Bauteile 5 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Subsysteme B1 B2 und 01 02 entsprechen jeweils Kategorie 4 mit hoher MTTF 100 Jahre und hohem DE se 99 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von jeweils 2 47 10 Stunde Nach Hinzuf gen des Subsystems K1 betr gt die mittlere Wahrscheinlichkeit gef hrlicher Ausf lle 5 16 10 Stunde Dies entspricht PL e 171 8 2 29 Kaskadierung von Not Halt Ger ten mittels Sicherheitsbaustein Kategorie 3 PL e Beispiel 29 Abbildung 8 48 Kaskadierung von Not Halt Ger ten mittels Sicherheitsbaustein Not Halt Funktion STO Sicherheitsfunktion Not Halt Funktion STO durch Bet tigung eines Not Halt Ger tes Funktionsbeschreibung Gefahrbringende Bewegungen oder Zust nde werden durch Bet tigung eines Not Halt Ger tes unterbrochen bzw verhin dert Entsprechend Beispiel 3 in Abschnitt 5 3 2 l st jedes Not Halt Ger t eine eigene Sicherheitsfunktion aus Stellvertretend wird im Folgenden nur S1 betrachtet Die Auswertung von S1 erfolgt i
287. for Quality Engineering M nchen 1994 2005 4 ni IEC TR 62380 ehemals UTE C 80 810 Reliability data handbook Universal model for reliability prediction of elec tronics components PCBs and equipment Hrsg Inter national Electrotechnical Commission IEC Genf 2004 5 li Telcordia SR 332 Issue 2 Reliability Prediction Procedure for Electronic Equipment Hrsg Telcordia Technologies Inc Piscataway New Jersey 6 i 217Plus Nachfolgeprodukt fur das MIL Handbook 217F Hrsg Reliability Information Analysis Center RIAC Utica New York 2006 7 Ly DIN EN IEC 61709 Bauelemente der Elektronik Zuverl ssig keit Referenzbedingungen f r Ausfallraten und Beanspru chungsmodelle zur Umrechnung 1 1999 Beuth Berlin 1999 8 i DIN EN 61508 6 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer programmierbarer elektronischer Systeme Teil 6 Anwendungsrichtlinie f r DIN EN 61508 2 und DIN EN 61508 3 Anhang C 6 2003 Beuth Berlin 2003 211 Anhang C Fehlerlisten Fehlerausschl sse und Sicherheitsprinzipien C1 Fehlerlisten Die bei der Validierung von SRP CS anzunehmenden Fehler und m gliche Fehlerausschl sse f r mechanische pneumatische hydraulische und elektrische Bauteile finden sich in DIN EN ISO 13849 2 1 Anhang A bis D in sogenannten Fehlerlisten In ein zelnen Produktnormen z B DIN EN 61496 1 2 Anhang B oder DIN EN 60947 5 3 3 Anhang
288. ftwareteilen Programm Funktionsbaustein Funktion Anweisung u berschrieben werden d rfen Verkn pfungen beider Welten sind zwar zul ssig jedoch nur unter Einhaltung festgelegter Konventionen Dabei m ssen sicherheitsrelevante Signale und Funktionen immer die Priorit t behalten So ist eine ODER Verkn pfung beispielsweise keinesfalls erlaubt Inzwischen unterst tzen Softwareentwicklungswerkzeuge solche Ans tze und haben vorgegebene Funktionen und automatisch kontrol lierende Regeln implementiert in den Editoren und Compilern Verkn pfungsfehler die sich eventuell nur in unvorhersehbaren Betriebssituationen auswirken bzw mit angemessenem Aufwand zur Abnahme Inbetriebnahme nicht aufzudecken sind k nnen so sehr anwenderfreundlich verhindert werden Eine vollst ndige Analyse der Einfl sse funktionaler Standard teile einer Steuerung auf die sicherheitsrelevanten Teile bri gens auch f r Sicherheitsfunktionen untereinander wird dem Konstrukteur also nicht erspart bleiben Doch ist die Analyse wo technisch und wie funktional solche Einfl sse m glich sind durch den Einsatz o g Entwicklungswerkzeuge ungleich einfacher und schneller auszuf hren Zu der noch wesentlicheren Frage Wie sollen festgestellte Einfl sse abgestellt vermieden oder beherrscht werden muss man ggf gar nicht erst bergehen 6 1 3 Ergonomie Die europ ische Maschinenrichtlinie 98 37 EG MRL fordert im Anhang Abschnitt 1 1 2
289. ganisation noch selbst zu validieren Der Systemintegrator ist gut bera ten f r typische wiederkehrende Funktionen entsprechende Bausteine Module mit dem notwendigen Aufwand nach DIN EN ISO 13849 1 selbst zu entwickeln sodass sie auch von unabh ngigen Personen regelm ig und ohne Fehler wieder verwendbar bzw pr fbar sind Auch einzelne Bibliotheksfunktionen erfordern Spezifikation Gestaltung Testplan Validierung usw O Geeignete Programmiersprachen F r SRASW werden applikationsorientierte Sprachen z B gem DIN EN 61131 3 33 empfohlen Selbst diese Sprachen sind bereits ber das notwendige Ma hinaus sehr umfangreich und enthalten teilweise fehlertr chtige Konstrukte Daher sollte der Programmierer die Syntax nur eingeschr nkt einsetzen Entsprechende Sprachteil mengen werden meist durch das Werkzeug vorgegeben O Programmierrichtlinien Zur Codierung der Softwarefunktionen sind geeignete Programmierrichtlinien zu beachten 34 35 Dies sollten bestehende und akzeptierte Regeln einer anerkannten Orga nisation sein Alternativ kann ein Unternehmen selbst pas sende Programmierregeln aufstellen sofern diese praktisch oder theoretisch fundiert sind Programmierrichtlinien regeln die Benutzung kritischer Sprachkonstrukte den Umfang und die Schnittstelle von Softwarefunktionen die Formatierung und Kommentierung des Codes symbolische Namen von Funktionen und Variablen usw Diese Werkzeuge und Richtlinien sollten im G
290. geh ren ein Kreuzvergleich von Eingangssignalen und Zwischenergebnissen von Mikrocontroller und ASIC eine zeitliche und logische Programmlauf ber wachung und die Erkennung von statischen Ausf llen und Kurz schl ssen Des Weiteren geh ren im Kanal mit dem Mikro controller ein CPU Test in dem alle verwendeten Befehle getestet werden sowie qualitativ ausreichende Tests von Arbeitsspeicher RAM und Festwertspeicher ROM dazu Im zweiten Kanal ASIC finden qualitativ vergleichbare Tests wie im Parallelkanal statt Durch Pr fungen muss gezeigt werden dass die beschriebenen Ma nahmen in hinreichendem Ma e umgesetzt wurden K3 K4 K5 und K6 wird eine DC von 99 zugemessen Dies ist aufgrund von Plausibilit tspr fungen ber zur ckgelesene zwangsgef hrte Kontakte der Hilfssch tze angemessen Die im Rahmen der Validierung der Kategorie bereits kontrollierten Plausibilit tspr fungen dienen auch an dieser Stelle als Nach weis der korrekten Funktion 83 O Validieren der Ma nahmen gegen CCF Mit 65 Punkten f r Ma nahmen gegen Ausf lle infolge gemein samer Ursache werden die Mindestanforderungen erf llt Zus tzlich wirken in Teilen der Steuerung weitere Ma nahmen F r die Umsetzung der Ma nahme physikalische Trennung zwischen den Signalpfaden werden 15 Punkte ber cksichtigt Die richtige Umsetzung der Ma nahme ist anhand der Analyse von Entwicklungsunterlagen wie z B Schaltpl nen und durch Pr fungen an der
291. gehen aufgrund der vor handenen R ckstellfedern in die Sperr Mittelstellung 1V4 bzw in die Sperr Stellung 1V5 Dabei wird der lr ckfluss von der Kolbenunterseite des Zylinders zum Tank durch die beiden Ventile gleichzeitig unterbrochen Bei Ventil 1V5 handelt es sich um ein Sitzventil das aufgrund seiner Konstruktion den Volumenstrom leckagefrei absperrt Ventil 1V4 das auch die Bewegungsrichtung des Zylinders steuert ist ein Wegeventil in Schieberbauweise das auch in der Sperr Mittelstellung eine gewisse Leckage aufweist O Der Ausfall eines Ventils f hrt nicht zum Verlust der Sicherheitsfunktion Beide Ventile werden zyklisch angesteuert O An beiden Ventilen ist jeweils eine Stellungsabfrage 154 bzw 155 zur Fehlererkennung vorgesehen Der Ausfall jedes der beiden Ventile wird in der herk mmlichen SPS K1 erkannt die nach einem Fehler das Einleiten der n chsten gefahr bringenden Bewegung verhindert O Ein einzelner Fehler in einer sicherheitstechnischen Komponente f hrt nicht zum Verlust der Sicherheitsfunktion Dar ber hinaus werden einzelne Fehler bei oder vor der n chsten Anforderung erkannt Eine Anh ufung von unerkannten Fehlern f hrt nicht zum Verlust der Sicherheitsfunktion Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B werden eingehalten Schutzbeschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehe
292. gen sind unkritisch aber ein Kurzschluss f hrt dazu dass der Ausgang Anschluss X1 2 nicht abgeschaltet werden kann gef hrliche Ausfallrichtung des Funktionsblocks Ein Kurzschluss von C1 wird durch Test 1 erkannt Bei Unterbrechung von C1 pflanzt sich die elektromagnetische St rung ber K2 und K3 bis zum Ausgang des Funktionsblocks fort Dabei ist unklar wie die nachfolgende Schaltung dieses hochfrequente Wechselsignal interpretiert und ob das St rph nomen auch w hrend des Tests vorliegt Ung nstigstenfalls verhindert die nicht unterdr ckte St rung dass das mit St rungen berlagerte Ausgangssignal bei nicht beleuchtetem Fototransistor K1 von der nachfolgenden Schaltung als Anforderung der Sicherheitsfunktion interpretiert wird gef hrlicher Ausfall des Funktionsblocks Lichtschranke Wenn die St rung zum Testzeitpunkt nicht vorliegt kann Test 1 die Kondensatorunterbrechung nicht erkennen Da keine verl ssliche Ausfallartenverteilung f r den Kondensator bekannt ist wird unter Vernachl ssigung der unkritischen Driftausf lle angenommen dass Kurzschl sse und Unterbrechungen je 50 der Ausf lle ausmachen Beide Ausfallarten f hren zum gef hr lichen Funktionsblockausfall sicher erkennbar sind jedoch nur die Kondensatorkurzschl sse d h die gesch tzte H lfte aller gef hrlichen Kondensatorausf lle Somit wird der bauelement 210 bezogene Diagnosedeckungsgrad mit 50 bzw 0 5 abgeschatzt Die Leite
293. gezeigt Fur die komplette Sicherheitsfunktion sind weitere sicherheitsbezogene Steuerungsteile z B Schutzeinrichtungen und elektrische Logik als Subsysteme hinzuzufugen 176 Funktionsbeschreibung Gefahrbringende Bewegungen werden durch eine selbst berwachte Ventilkombination 1V1 gesteuert in Verbindung mit einem entsperrbaren R ckschlagventil 1V2 bei Ausfall der Druckluft und u eren Kr ften von Bedeutung Ein Bauteilausfall innerhalb der Ventilkombination f hrt nicht zum Verlust der Sicherheitsfunktion Beide in 1V1 enthaltenen Vorsteuerventile der Ventilkombination werden getrennt angesteuert Nach Wegnahme mindestens eines Steuersignals erfolgt immer eine Reversierung der Bewegung Der einzelne Fehler innerhalb der Ventilkombination f hrt zu einer Selbsthemmung im sicheren Zustand und wird daher im Arbeitsprozess erkannt ein Einleiten der n chsten gefahrbringenden Bewegung wird verhindert Die Ventilkombination 1V1 kann auch durch mehrere Ventile mit einer entsprechenden Verkn pfung und einer entsprechenden Stellungsabfrage der Schaltstellungen aufgebaut werden Kann durch eingesperrte Druckluft eine weitere Gef hrdung auftreten sind weitere Ma nahmen erforderlich Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten 1V1 ist eine selbst berwachte Ventilkombination mit mechanisch getrennten integrierten Vorsteuerventilen und pneumatis
294. gliederten Prozess handelt wird auch aus der Beschreibung der Norm in Abschnitt 4 deutlich Die Phase der Validierung ist wie aus Abbildung 6 3 ersichtlich durch eigene strukturierte Abl ufe gekennzeichnet die in Kapitel 7 genauer beschrieben werden Sehr ausf hrlich wird die Strukturierung in Lebens phasen durch das bei der Erstellung sicherheitsrelevanter Software verwendete V Modell gekennzeichnet Abschnitt 6 3 erl utert dies Auch wenn der Gestaltungsprozess f r SRP CS z B nicht explizit auf die Phase der Instandhaltung eingeht so wird diese Phase ber erforderliche Inhalte in der Benutzer information ber cksichtigt Maschinensteuerung CS Abbildung 6 2 SRP CS und Subsysteme innerhalb der Maschinensteuerung 38 SRP CS als Subsystem Abbildung 6 3 Lebenszyklen von Maschine und SRP CS Herstellung Verwendung Einrichten Teachen Programmieren Transport Zusammenbau und Installation oder Umr sten Betrieb Reinigung Inbetriebnahme Fehlersuche Instandhaltung Au erbetriebnahme Demontage und Lebenszyklus der sofern die Sicherheit betroffen ist Entsorgung Maschine nach DIN EN ISO 12100 1 Spezifikation der Sicherheits Validierte funktionen ee Software SAO EINE Validierun di Prozess der bezogene T Risikominderung nach i DIN EN ISO 12100 1 m pea gestaltung wenn Steuerung aac als Schutzma nahme Seis Software V Modell Abschnitt 6 3 Fehlerlisten ae deis ee sche 7 13 u
295. gt werden 6 2 9 Sicherheitsbezogenes Blockdiagramm Das sicherheitsbezogene Blockdiagramm ist dem bekannteren Zuverl ssigkeitsblockdiagramm 25 entlehnt Gemeinsam ist beiden das Prinzip dass die Sicherheits Funktion so lange ausge bt werden kann wie von links nach rechts entlang der funktionalen Verbindungslinien eine Kette nicht gef hrlich ausgefallener Bl cke besteht Das sicherheitsbezogene Block diagramm stellt aber zus tzlich Testmechanismen dar z B den Kreuzvergleich redundanter Kan le oder Tests durch separate Testeinheiten Ein allgemeines Beispiel eines sicherheitsbezoge nen Blockdiagramms ist in Abbildung 6 9 gezeigt Gem dieser Definition lassen sich folgende Regeln f r die Darstellung einer Sicherheitssteuerung als sicherheitsbezogenes Blockdiagramm aufstellen O Die Serienschaltung von Bl cken als sogenannter Kanal z B I Lund 0 bringt zum Ausdruck dass der Ausfall eines Blocks zu einem Ausfall der gesamten Kette f hren kann F llt z B eine Hardwareeinheit in einem Kanal gef hrlich aus kann der gesamte Kanal die Sicherheitsfunktion nicht weiter ausf hren O Die Parallelschaltung von Bl cken bzw Kan len symbolisiert die mehrfach redundante Ausf hrung der Sicherheitsfunktion oder entsprechender Teile davon Zum Beispiel wird eine durch mehrere Kan le ausgef hrte Sicherheitsfunktion auf rechterhalten solange mindestens ein Kanal keinen Ausfall hat O Nur f r Testzwecke verwendete B
296. handschaltung Kategorie 4 PL e Beispiel 35 Freigabe Logikeinheit Typ Ill C nach EN 574 Abbildung 8 56 Zweihandschaltung Signalverarbeitung durch eine Logikeinheit mit nachgeschalteten Hilfssch tzen Sicherheitsfunktion Ortsbindung der H nde des Bedieners au erhalb des Gef hrdungsbereiches w hrend einer gefahrbringenden Bewegung Beim Loslassen mindestens eines der beiden Taster S1 S2 wird die Freigabe aufgehoben und solange blockiert bis beide Taster entlastet und erneut synchron bet tigt werden Funktionsbeschreibung O Die Logikeinheit K1 berwacht die Bet tigung der Stellteile Taster S1 und S2 Nur wenn beide aus dem entlasteten Zustand synchron d h innerhalb einer festgelegten Zeitvorgabe bet tigt werden ziehen die Hilfssch tze K2 und K3 an und die Freigabe erfolgt Beim Loslassen mindestens eines der Taster S1 S2 heben K2 K3 die Freigabe auf Durch K2 und K3 erfolgt eine Kontaktvervielfachung Lastanpassung Die eigentliche Verhinderung der gefahrbringenden Bewegung z B durch Trennung der elektrischen oder hydraulischen Energie ist anwendungsabh ngig und hier nicht dargestellt St rungen im Bet tigungsmechanismus werden durch Verwendung von zwei prinzipverschiedenen Kontakten ffner Schlie er Kombination in S1 S2 weitestgehend erkannt Hinsichtlich mechanischer Fehler kann f r diese Anwendung ein Fehlerausschluss bzgl des Nicht ffnens des ffnerkontakts erfolgen wenn die Taster D
297. heien 0 hi 3 4247 SPP DRIVES Elekirische Automalimenung Syiieme und Komponenten 27 29 November 2007 Minibar Vordrag Weitere Information ber DIN EN 150 1339 1 in der Publkkatoradmenbark des BAA suchen 1 Beide Normteile wurden in den Fassungen DIN EN ISO 13849 1 2008 12 und DIN EN ISO 13849 2 2008 09 neu herausgegeben Die nderungen zu den Vorg ngerfassungen betreffen die Anh nge ZA und ZB um den Bezug auf die neue Maschinenrichtlinie umzusetzen 14 3 Basisnormen zur funktionalen Sicherheit von Maschinensteuerungen Neben der in diesem Report behandelten Norm DIN EN ISO 13849 gibt es alternative aber relevante Normen im Bereich der funk tionalen Sicherheit Dies sind wie in Abbildung 3 1 dargestellt die Normen der Reihe DIN EN 61508 12 und ihre Sektornorm DIN EN 62061 13 f r die Maschinenindustrie Beide sind im Anwendungsbereich auf elektrische elektronische und program mierbar elektronische Systeme beschr nkt Als Klassifizierungsschema sind in DIN EN 61508 und DIN EN 62061 sogenannte Sicherheits Integrit tslevel SIL festgelegt Diese sind ein Gradmesser f r die sicherheitsgerichtete Zuver l ssigkeit Es handelt sich um Ausfallgrenzwerte die jeweils eine Dekade umfassen In der Betriebsart mit niedriger Anforde rungsrate ist die Ma zahl die mittlere Ausfallwahrscheinlich keit der entworfenen Funktion bei Anforderung PFD Average Probability of Failure to Perform its Design Fu
298. hen In den meisten Datenbanken sind elektronische Komponenten nach Bauteilart und weiteren Kriterien z B Bauform Material Geh use katalogisiert Meist werden zun chst Basis Ausfallraten f r Referenzbedingungen genannt z B f r 40 C Bauteil Umgebungstemperatur und nomi nale Last die f r davon abweichende Beanspruchungen durch Anpassungsfaktoren auf die realen Einsatzbedingungen korrigiert werden k nnen In DIN EN ISO 13849 1 sind sogar f r einige typische elektronische Komponenten Werte aufgelistet die der Datensammlung SN 29500 entnommen und mit einem Sicher heitsfaktor von 10 versehen sind Da diese Werte eher beispiel haften Charakter haben sind sie hier nicht wiedergegeben Der Sicherheitsfaktor 10 in Anhang C 5 der Norm soll den Worst Case abdecken wenn ein sehr pauschaler Richtwert gesucht wird Bei korrekter Verwendung der Datenquellen ist ein zus tzlicher Sicherheitsfaktor in der Regel nicht erforderlich Die Anpassung an Beanspruchungen au erhalb der Referenzbedingungen wird in DIN EN ISO 13849 1 nicht explizit gefordert und sollte im Sinne der Einfachheit mit Augenma angewendet werden D3 Integration bereits zertifizierter Komponenten und Ger te In noch seltenen aber in Zukunft wohl h ufigeren F llen k nnen Hersteller ihre Komponenten bereits mit der Angabe einer MTTF im Datenblatt versehen Ein hnlicher Fall ergibt sich falls f r die Komponenten bereits in den Herstellerinformationen ein SIL nach DI
299. herungsschalters durch Umgehen auf eine vern nftigerweise vorher sehbare Art aufgehoben werden Dies kann erschwert werden z B durch besondere Einbaubedingungen wie verdeckter Einbau siehe auch DIN EN 1088 A1 Anhang Die Spannungsversorgung der gesamten Maschine wird abgeschaltet Stopp Kategorie 0 nach DIN EN 60204 1 92 Berechnung der Ausfallwahrscheinlichkeit MTTF Bei B1 handelt es sich um einen herk mmlichen N herungsschalter an einem Schutzgitter mit MTTF 40 Jahren H F r die Unterspannungsausl sung des Motorstarters Q1 entspricht der B Wert n herungsweise der elektrischen Lebensdauer von 10000 Schaltspielen H Bei Annahme von 50 gefahrbringenden Ausf llen ergibt sich der B 4 durch Verdoppelung des B10 Wertes Bei t glicher Bet tigung des N herungsschalters ergibt sich mit Nop 365 Zyklen Jahr fur Q1 eine MTTF von 548 Jahren Die Kombination von B1 und Q1 ergibt MTTF 37 Jahre f r den Kanal Dieser Wert wird auf den rechnerischen Maximalwert f r Kategorie B also auf 27 Jahre mittel gek rzt Dove und Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache sind in Kategorie B nicht relevant Die elektromechanische Steuerung entspricht Kategorie B mit mittlerer MTTF 27 Jahre Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 4 23 10 Stunde Dies entspricht PL b Weiterf hrende Literatur O DIN EN 1088 A1 Sicherheit von Maschinen Verriegelungsein
300. hinen aus der zuk nftigen neuen europ ischen Maschinenricht linie 2006 42 EG 8 die ab 29 Dezember 2009 anzuwenden ist Kasten 6 1 Allgemeines Gliederungsschema f r eine Spezifikation der Sicherheitsanforderungen 1 Allgemeine Produkt und Projektangaben 1 1 Produktidentifikation 1 2 Autor Version Datum Dokumentenname Dateiname 1 3 Inhaltsverzeichnis 1 4 Begriffe Definitionen Glossar 1 5 Versionshistorie und nderungsvermerke 1 6 F r die Entwicklung relevante Richtlinien Normen und technische Regeln 2 Funktionale Angaben zur Maschine soweit sicherheitstechnisch von Bedeutung 2 1 Bestimmungsgem e Verwendung und vern nftigerweise vorhersehbare Fehlanwendung bedienung 2 2 Prozessbeschreibung Betriebsfunktionen 2 3 Betriebsarten z B Einrichtbetrieb Automatikbetrieb Betrieb mit lokalem Bezug oder von Teilen der Maschine 2 4 Kenndaten z B Zykluszeiten Reaktionszeiten Nachlaufwege 2 5 Sonstige Eigenschaften der Maschine 2 6 Sicherer Zustand der Maschine 2 7 Wechselwirkung zwischen Prozessen siehe auch 2 2 und manuellen Aktionen Reparatur Einrichten Reinigen Fehlersuche usw 2 8 Handlungen im Notfall 3 Erforderliche r Performance Level PL 3 1 Referenz auf vorhandene Dokumentation zur Gef hrdungsanalyse und Risikobeurteilung der Maschine 3 2 Ergebnisse der Risikobeurteilung f r jede ermittelte Gef hrdung oder Gef hrdungssituation und Festlegung der zur Risikominderung jeweils erforderliche
301. hl die Zuhaltung mit dem federr ckgestellten Ent riegelungsmagneten als auch den zur Stellungs berwachung des Sperrbolzens und der Schutzt r notwendigen Positions schalter B1 O Die Feder der Zuhaltung ist eine bew hrte Feder nach DIN EN ISO 13849 2 Anhang A 3 Au erdem ist die Feder dauer sicher nach DIN EN 13906 1 Die Kriterien nach GS ET 19 Abschnitt 5 5 1 werden eingehalten Der Magnet F1 zieht ohne Spannung nicht an sodass bei gleichzeitigem Fehlerausschluss f r die Fehlerannahme Bruch des Sperrmittels f r diese Elemente insgesamt ein Fehlerausschluss in Bezug auf gefahrbringende Fehler erfolgt O Die Fehlschlie sicherung der Zuhaltung stellt konstruktiv sicher dass der Sperrbolzen bei ge ffneter Schutzt r nicht die Sperrstellung Zuhaltestellung einnehmen kann 141 In Abbildung 8 32 sind nicht gezeichnet die in einer Zuhaltung zus tzlich integrierbaren Funktionen Fluchtentriegelung und Notentsperrung zum gewollten handbet tigten ffnen der Schutzeinrichtung im Gefahrenfall ohne Hilfsmittel und unabh ngig vom Betriebszustand jeweils zwangl ufig auf das Sperrmittel wirkend siehe hierzu Pr fgrunds tze GS ET 19 Die Standardkomponente G1 wird nach den Hinweisen in Abschnitt 6 3 10 eingesetzt Berechnung der Ausfallwahrscheinlichkeit Zun chst wird die Wahrscheinlichkeit der ungewollten Aufhebung der Zuhaltung bzw der Sicherheitsfunktion Kein Entriegeln der Zuhaltung bei Drehzahl gr er Null
302. hlei Insgesamt ergibt sich ein symmetrisierter MTTF Wert pro Kanal von 64 3 Jahren hoch DC ye Fur K1 und K2 ergibt sich aufgrund der Auswahl geeigneter Testma nahmen ein DC von 60 Interne Selbsttests der Komponenten der Mikrocontroller werden durchgef hrt F r den Block Tla wird ein DC von 90 angesetzt da eine Fehleraufdeckung ber den Prozess erfolgt G2 wird mit einem DC von 90 bemessen die Fehleraufdeckung erfolgt auch hier durch den Prozess und den Vergleich mit G1 ber K1 und K2 K3 wird mit einem DC 99 bemessen aufgrund der direkten berwachung eines zur ckgelesenen zwangsgef hrten Kontaktes Aufgrund des durchgef hrten statischen Ein schalttestes wird f r T1b ein DC 60 und f r Q1 ein DC 30 angesetzt Durch Mittelung ergibt sich damit ein Dove von 62 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 70 Punkte Trennung 15 FMEA 5 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der Steuerungselemente entspricht Kategorie 3 mit hoher MTTF 64 3 Jahre und niedrigem Dog 62 F r die Kombination der Komponenten K1 und Tla im ersten Kanal sowie G2 K2 T1b K3 und Q1 im zweiten Kanal ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 94 10 Stunde Zuz glich der Sensoreinheit bestehend aus Schaltleiste und Auswerteger t B1 betr gt die mittlere Wahrscheinlichkeit gef hrlicher Ausf lle d
303. hler toleranz vertraut da inklusive des Ausfalls der Testeinrichtung insgesamt drei gefahrbringende Ausf lle notwendig sind bevor die Sicherheitsfunktion nicht mehr ausgef hrt wird Dass dieser Fall unbemerkt auftreten kann wird als extrem unwahrscheinlich und daher nicht entscheidend angesehen Bei Kategorie 2 gibt es zumindest bei der vereinfachten PL Bestimmung anhand des S ulendiagramms eine Neben bedingung die bei der Berechnung der Kategorie 2 S ulen zugrunde gelegt wurde Hier sollte die gefahrbringende Ausfallrate der Testeinrichtung nicht mehr als doppelt so hoch sein wie die gefahrbringende Ausfallrate der davon ber wachten Komponenten im Zweifel l sst sich dieser Vergleich kanalweise durchf hren sodass der MTTF Wert des gesam ten Testkanals nicht kleiner sein sollte als der halbe MTTF Wert des Funktionskanals O Die Wirksamkeit einer bestimmten Testmafsnahme z B Fehlererkennung durch den Prozess kann sehr stark von der Anwendung abh ngig sein und durchaus zwischen 0 und 99 schwanken Hier ist bei der Auswahl eines der DC Eckwerte besondere Sorgfalt notwendig O Es kann vorkommen dass Komponenten oder Bl cke durch mehrere Tests berwacht werden oder dass auf verschiedene Teile unterschiedliche Tests wirken und hieraus ein Gesamt DC f r die Komponente oder den Block ermittelt werden muss Anhang E gibt einige Hilfestellungen zu diesen Fragen O Speziell bei programmierbaren elektronischen Systeme
304. hmen sind erforderlich 1 Stillsetzen im Notfall In der Maschinensteuerung stehen bereits geeignete Sicher heitsfunktionen mit PL e zur Verf gung die f r den Not Halt verwendet werden Bei zweikanaliger Verdrahtung des Not Halt Befehlsger tes entspricht dann auch das Stillsetzen im Notfall einem PL e 2 Die Befreiung einer eingeklemmten Person erfordert eine r ckl ufige Bewegung von Messer und Pressbalken die durch Federkraft ausgef hrt wird 35 6 Gestaltung sicherer Steuerungen 6 1 Einleitung Wenn die genaue Sicherheitsfunktion und ihre geforderte Risikominderung in Form des PL feststehen schlie t sich der konkrete Entwurf der sicherheitsbezogenen Teile der Steuerung SRP CS die die Sicherheitsfunktion en ausf hren sollen an Den entsprechenden Ausschnitt aus dem iterativen Gestaltungs prozess der DIN EN ISO 13849 1 zeigt Abbildung 6 1 Die sicherheitstechnische Qualit t der SRP CS wird als einer von f nf Performance Level PL angegeben Jedem dieser PL ist ein Bereich der Wahrscheinlichkeit eines gef hrlichen Ausfalls pro Stunde zugeordnet Tabelle 6 1 Neben der durchschnitt lichen Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde die auch als PFH Probability of a Dangerous Failure per Hour bezeichnet wird sind weitere Ma nahmen z B zur Ert chtigung von Software oder gegen systematische Ausf lle notwendig um den entsprechenden PL zu erreichen Tabelle 6 1 Zuordnung der Aus
305. hren schon nach einem Jahr fast 30 gefahrbringende Ausf lle zu erwarten sind was f r eine Sicher heitssteuerung unakzeptabel erscheint Am anderen Ende des Spektrums erscheint ein statistisch abgesicherter Nachweis von Zuverl ssigkeiten gt 100 Jahre MTTF sehr fragw rdig Au erdem bleibt selbst bei beliebig hohen MTTF Zahlen eine Restwahr scheinlichkeit f r einen gefahrbringenden Ausfall innerhalb der Gebrauchsdauer der dar ber hinaus auch aus anderen Gr n den auftreten kann z B Fehlanwendung Daher erscheint die Absicherung hoher Performance Level alleine durch Verwendung hoch zuverl ssiger Bauteile nicht angemessen Im S ulen diagramm nach DIN EN ISO 13849 1 wird dies dadurch aus gedr ckt dass kein MTTF Bereich ber der hohen MTTF Klasse dargestellt wird auch wenn dies aufgrund der Wahrscheinlich keitsrechnung m glich ware Die R ckstufung h herer MTTF Werte auf den Maximalwert von 100 Jahren findet erst auf Kanal ebene statt d h f r einzelne Bauteile k nnen deutlich h here MTTF Werte in die Berechnung einflie en 15 20 Zeit Jahre D1 3 Woher kommen die Daten Ein m gliches Problem f r den Normanwender besonders zum Zeitpunkt der ersten Ver ffentlichung der revidierten DIN EN ISO 13849 1 sind fehlende MTTF Angaben f r Sicherheits bauteile 2 Grunds tzlich schl gt die Norm eine Hierarchie von Datenquellen vor die an erster Stelle Herstellerangaben nennt dann typische Zahlenwerte
306. ht Da die Mikrocontroller w hrend des Betriebs im Hintergrund zus tzlich Selbsttests ausf hren k nnen hier interne Fehler und Fehler in der Peripherie rechtzeitig erkannt werden O Alle Maschinenzust nde werden durch beide Mikrocontroller berwacht und gesteuert Durch den zyklischen Ablauf eines Schnittes werden alle Systemzust nde ebenfalls zyklisch durchlaufen und untereinander verglichen Fehler und Abwei chungen von definierten Zwischenzust nden f hren sp testens nach einem durchlaufenen Zyklus zum Stopp der Maschine Dieses Verfahren ist im Schaltbild durch R ckmeldung Messer B1 und Stellungs berwachung B2 B3 der Messersiche rung Q2 angedeutet O Die berwachung eines Verschlei es der Bremse erfolgt mithilfe von Positionsschalter B1 Schon bei minimal erh htem Nachlauf wird B1 angefahren und ein weiterer Schnitt steuerungstechnisch verhindert Konstruktive Merkmale O Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen O Die Stellteile S1 und S2 der Zweihandschaltung entsprechen DIN EN 60947 5 1 O B1 und B2 sind zwangs ffnende Positionsschalter entsprechend DIN EN 60947 5 1 Anhang K K3 bis K6 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L 195 Die Anschlussleitungen der Positionsschalter sind entweder getrennt oder gegen m
307. hter als der geforderte PL so sind mehr oder weniger gro e Nachbesserungen am Design z B Verwendung ande rer Bauteile mit besserer MTTF n tig bis der PL schlie lich ausreichend gut ist Ist diese H rde genommen so ist eine Reihe von sogenannten Validierungsschritten notwendig bei denen Teil 2 der DIN EN ISO 13849 ins Spiel kommt Diese Validierung stellt systematisch sicher dass alle funktionalen und leistungs bezogenen Anforderungen an die sicherheitsbezogenen Teile der Steuerung erreicht wurden siehe Block 7 Abbildung 4 1 Weitere Details dazu finden sich im Kapitel 7 21 4 4 K nftige Entwicklung von DIN EN ISO 13849 1 Nach Erscheinen der berarbeiteten EN ISO 13849 1 im Novem ber 2006 gibt es eine dreij hrige Ubergangsfrist in der die Vor g ngerfassung EN 954 1 parallel g ltig bleibt Damit ist einer der meistgenannten Kritikpunkte der Umfang der Neuerungen die erst ihren Weg in die K pfe der Entwickler und Anwender finden m ssen entkr ftet Dieser Prozess wird wie zuletzt durch den BIA Report 6 97 vom BGIA auch diesmal durch frei verf gbare Anwendunsshilfen unterst tzt Dies erfolgt sowohl in Form erkl render und mit Beispielen versehener Literatur als auch durch das Freeware Programm SISTEMA Sicherheit von Steue rungen an Maschinen das die Berechnung und Dokumentation von PL und PL unterst tzt siehe Anhang H Bereits kostenlos verf gbar ist der vom BGIA entworfene Performance Level C
308. hutzeinrichtungen Kategorie 4 PL e Beispiel 28 richtung 2 1 1 11 2 1 3 11 4 Eing nge K1 Sicherheits SPS baustein Ausg nge 01 0 Hilfssch tz Abbildung 8 47 Stellungs berwachung beweglicher trennender Schutzeinrichtungen zur ff Darstellung in bet tigter Stellung Verhinderung von gefahr bringenden Bewegungen Sicherheitsfunktion O Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Das ffnen einer beweglichen trennenden Schutzeinrichtung Schutzgitter leitet die Sicherheitsfunktion STO Sicher abgeschaltetes Moment ein Funktionsbeschreibung O Die Sicherung einer Gefahrenstelle erfolgt mit zwei beweglichen trennenden Schutzeinrichtungen Schutzgittern Das ffnen jedes Schutzgitters wird durch zwei Positionsschalter B1 B2 bzw B3 B4 in ffner Schlie er Kombination erfasst und in einem zentralen Sicherheitsbaustein K1 ausgewertet Dieser steuert zwei Sch tze Q1 und Q2 an durch deren Abfallen gefahr bringende Bewegungen oder Zust nde unterbrochen bzw verhindert werden O Alle Positionsschalter werden zur Fehlererkennung durch einen zweiten Kontakt in eine handels bliche SPS K3 eingelesen die haupts chlich der Funktionssteuerung dient ber ein Hilfssch tz K2 kann diese im Fehlerfall unabh ngig von K1 die Sch tze Q1 und Q2 abschalten Fehler in K2 Q1 und Q2 werden durch den Sicherheitsbaustein K1 erkannt Einige wenige Fehler werden nicht erkannt z B Nichtunte
309. ich F r Normensetzer und Maschinenhersteller w re es jedoch einfacher wenn man den PL aus einer bekannten erforderlichen Kategorie nach DIN EN 954 1 1997 ableiten k nnte Eine solche bertragung ist jedoch nur zul ssig sofern an einer Maschine gleiche Gef hrdungen mit gleichen Risiken vorliegen Kann man also den PL ohne erneute Risikoeinsch tzung ermitteln Sowohl die erforderliche Kategorie nach DIN EN 954 1 als auch der PL nach der neuen Norm werden durch eine Risikoeinsch t zung ermittelt Unterstellt man dass die erforderliche Kategorie anhand des Risikographen aus DIN EN 954 1 bestimmt wurde und bertr gt die hierbei verwendeten Parameter S Fund P siehe Abschnitt 5 4 1 auf den Risikographen der neuen Norm so stellt man fest dass es nicht f r alle erforderlichen Kategorien eine eindeutige Zuordnung zum PL gibt Weiterhin ist zu ber cksichtigen dass bei der berf hrung einer erforderlichen Kategorie nach DIN EN 954 1 in einen PL die Anforderung an die zu realisierende Struktur der SRP CS verloren geht Kapitel 6 erl utert mit welchen vorgesehenen Architekturen die Kategorien verbunden sind z B die Testung mit Kate gorie 2 und die Einfehlersicherheit mit Kategorie 3 W rde man einer erforderlichen Kategorie 3 nach DIN EN 954 1 einen PL d zuordnen so k nnte eine Sicherheitsfunktion nun auch in der Kategorie 2 realisiert werden siehe Abbildung 6 10 Die bis herige hochwertige Einfehlersicherheit der Kateg
310. icherheitsfunktion noch eine sicherheitsgerichtete Ersatzaktion ausf hren kann Andere Ausf lle erh hen die Wahrscheinlichkeit dass dies geschieht indem jetzt weniger weitere Ausf lle aus reichen um das System gef hrlich ausfallen zu lassen Gibt es f r den ausfallenden Funktionsblock keine Redundanz also keinen zweiten Kanal der seine Funktion ersetzen kann und wird nicht durch Diagnose hinreichend schnell eine Aktion ausgef hrt die einen sicheren Zustand erzeugt so f hrt der gef hrliche Ausfall des Funktionsblocks zum gef hrlichen Ausfall des Systems Aber auch dann wenn wegen vorhandener Redundanz oder einer schnellen Ausfallreaktion anderer Schaltungsteile keine der m glichen Ausfallarten des infrage stehenden Funktionsblocks einen gef hrlichen Systemausfall verursacht kann und muss seine gef hrliche Ausfallrichtung festgestellt werden Es ist diejenige Ausfallrichtung die dazu f hrt dass der Funktionsblock seinen vorgesehenen Beitrag zu einem sicheren Systemverhalten nicht mehr leistet Mitunter m ssen auch mehrere Ausfallarten die durch unterschiedliches aber gleicherma en sch dliches Blockverhalten gekennzeichnet sind ber cksichtigt werden z B dauerhaftes Einschalten und Schwingung am Ausgang Es ist daher am einfachsten die gef hrliche Ausfallrichtung durch den Verlust der sicherheitstechnisch geforderten Funktion des Funktionsblocks zu beschreiben Diagnosem glichkeiten werden erst sp ter ber cks
311. icherheitsfunktionen f r sichere Antriebssteuer ger te nach DIN EN 61800 5 2 PDS SR Power Drive Systems Safety Related 19 Diese Norm enth lt u a die h ufig angewendeten Sicherheitsfunktionen zur Verhinderung eines unerwarteten Anlaufs STO STO Safe Torque Off fr her SH Sicherer Halt zum sicheren Stillsetzen SS1 und SS2 und zur sicheren Begrenzung einer Geschwindigkeit SLS SLS Safely Limited Speed fr her SRG Sicher Reduzierte Geschwindigkeit q Bestimmen des erforderlichen PL PL Abbildung 5 5 Ausschnitt aus dem R cksprung wenn weitere SF vorliegen Abb 7 1 iterativen Prozess zur Gestaltung der sicherheitsbezogenen Teile von Steuerungen SRP CS Tabelle 5 1 Sicherheitsfunktionen aus DIN EN ISO 13849 1 Beispiel f r m gliche Anwendung Reaktion auf das Ausl sen einer funktion eingeleitet durch eine Schutzeinrichtung durch STO Schutzeinrichtung SS1 oder 552 Tabelle 5 2 Manuelle R ckstellfunktion Quittierung beim Verlassen von hintertretbaren Bereichen Start Wiederanlauffunktion Sicherheitsfunktion Sicherheitsbezogene Stopp Nur zul ssig bei steuernden trennenden Schutzeinrichtungen nach DIN EN ISO 12100 2 Steuern von Maschinenbewe gungen von einem Standort innerhalb des Gefahrenbereichs Lokale Steuerungsfunktion Zeitweises Unwirksammachen von Schutzeinrichtungen z B beim Materialtransport Mutingfunktion Einrichtung mit selbstt tiger R ckstellung Tipp
312. ichkeit 3 0 10 Stunde G wird am Ende der Berechnung addiert MTTF F r K3 und K4 gilt wegen der unbekannten Lasten B 400000 Zyklen N Bei 220 Arbeitstagen 8 Betriebsstunden Tag und 120 Sekunden Zykluszeit betr gt Nop 52800 Schaltspiele Jahr und damit die MTTF 75 Jahre Dies ist gleichzeitig die MTTF pro Kanal hoch DC E DC 99 f r K3 bis K4 ergibt sich aus der Einbindung der zwangsgef hrten ffnerkontakte in die Ansteuerung von av K2 Dies entspricht gleichzeitig DC hoch avg Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 75 Punkte Trennung 15 bew hrte Bauteile 5 FMEA 5 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 191 O Das Subsystem K3 K4 entspricht Kategorie 4 mit hoher MTTF pro Kanal 75 Jahre und hohem DC 99 Dies ergibt eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 3 37 10 Stunde Die Gesamtausfallwahrscheinlichkeit wird durch Addition der Wahrscheinlichkeit gef hrlicher Ausf lle von F2 3 0 10 Stunde ermittelt und betr gt 6 37 10 Stunde Dies entspricht PL e Unter Umst nden ist zur Komplettierung der Sicherheitsfunktion zus tzlich die Ausfallwahrscheinlich keit nachgeordneter Leistungselemente zu addieren O Die verschlei behafteten Elemente K3 und K4 sollten nach jeweils ca sieben Jahren T ausgetauscht werden Weiterf hrende Literatur O DIN EN 60204 1 Sicherheit vo
313. icht bet tigt wird Die Sicherheitsfunktion bei Einbringung eines einzelnen Fehlers in die SRP CS muss stets gew hrleistet sein Ein einzelner Fehler muss bei oder vor der n chsten Ausf hrung der Sicherheitsfunktion erkannt wer den Kann der Fehler nicht erkannt werden darf eine Anh ufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunk tion f hren Das Einhalten des Ruhestromprinzips als ein Beispiel f r grund legende Sicherheitsprinzipien wird durch Einbringen von Unter brechungen und Bewertung der Reaktion darauf nachweisbar F llt z B die Versorgungsspannung aus werden der Pressbalken und das Messer ber Federkraft zur ck in die Ausgangsposition gefahren Plausibilit tskontrollen seien hier als Beispiel f r die Umset zung bew hrter Sicherheitsprinzipien genannt Zwangsgef hrte Kontakte der Hilfssch tze K3 bis K6 werden durch beide Kan le zur ckgelesen Pr fungen werden durchgef hrt um die korrekte Funktion der R cklesung zu zeigen O Validieren der MTTF Werte Beispielhaft f r die Validierung der MTTF Werte wird hier der f r die Ventile 1V3 1V4 2V2 und 2V1 angesetzte Wert von 150 Jahren aus Tabelle C 1 der DIN EN ISO 13849 1 6 berpr ft siehe Tabelle D 2 dieses Reports Es wurde der richtige Wert ausgew hlt und er entstammt einer zuverl ssigen Quelle Die f r die Annahme von MTTF 150 Jahre geltenden Sicherheits prinzipien z B lwechsel werden eingehalten und auch dem Betrei
314. icht relevant siehe Ma nahmenbeschreibung nicht relevant siehe Ma nahmenbeschreibung nicht relevant siehe Ma nahmenbeschreibung nicht relevant siehe Ma nahmenbeschreibung nicht relevant siehe Ma nahmenbeschreibung Zu den in Tabelle E 2 genannten Test und berwachungsma Weitere Informationen zur DC Bestimmung f r typische Testma nahmen gilt als zus tzliche Anforderung Folgendes Wird mittel nahmen finden sich z B in den Tabellen A 2 bis A 15 der DIN oder hoch als DC f r die Logik gefordert muss mindestens EN 61508 2 1 Dort sind die Eckwerte von 60 90 und 99 als je eine Ma nahme f r varianten Speicher invarianten Speicher maximaler durch die jeweilige Ma nahme zu erreichender DC und Verarbeitungseinheit mit mindestens je 60 gew hlt wer notiert Bei geeigneter uneingeschr nkter Umsetzung der den Es k nnen auch andere Ma nahmen als die in Tabelle E 2 genannten Ma nahmen kann dieser H chstwert aber in der genannten verwendet werden Regel zur Absch tzung herangezogen werden 235 Abbildung E 2 Wirken auf einen Block mehrere Tests so kann deren berlappung zu einem h heren Gesamt DC f hren links oder auch nicht rechts die schraffierten Fl chen repr sentieren den Anteil der erkannten gefahr bringenden Ausf lle die quadratische Gesamtfl che repr sen tiert alle gefahrbrin genden Ausf lle 100 HITO a RTETE HE c 60 a PPE 60 o 60 60 90
315. ichtig Die Sicherheitsfunktion kann von Teilen der Steuerung oder von zus tzlich notwendigen Komponenten bernommen werden Beides sind sicherheitsbezogene Teile von Steuerungen Auch wenn durchaus dieselbe Hardware an verschiedenen Sicherheits funktionen beteiligt sein kann kann die erforderliche Qualit t der Risikoreduzierung f r jede SF unterschiedlich sein In der Norm wird die Qualit t der Risikoreduzierung durch den Begriff Performance Level PL definiert Je nach Ergebnis der Risiko beurteilung wird f r die Sicherheitsfunktionen ein mehr oder weniger hoher Wert f r den PL gefordert Diese Vorgabe f r den Entwurf der Steuerung nennt man erforderlicher Performance Level PL der Index r steht f r required Wie kommt man nun zu diesem PL Das Risiko einer Gef hrdung an einer Maschine kann au er durch die Steuerung z B auch durch trennende Schutzeinrich tungen z B eine Schutzt r oder Pers nliche Schutzausr stung z B eine Schutzbrille verringert werden Hat man einmal fest gelegt was die Steuerung anteilig leisten muss dann hilft ein einfaches Diagramm der Risikograph bei der schnellen und direkten Bestimmung des geforderten Performance Levels PL Beispiele im Anhang A Ist die Verletzung irreversibel z B Tod Verlust von K rperteilen oder reversibel z B Quetschungen die verheilen k nnen H lt sich der Bediener h ufig und lange im Gefahrenbereich auf z B fter als einmal pro Stu
316. ichtigt und bleiben bei diesem Schritt zun chst au er Acht Beim vorliegenden Beispiel Lichtschranke Abbil dung B 2 soll die Ausgangsspannung des Funktionsblocks auf Abbildung B 2 Angenommene Schaltung einfaches Beispiel des Funktionsblocks Lichtschranke aus dem sicherheitsbezogenen Blockdiagramm nach Abbildung B 1 207 Null abfallen solange der Fototransistor K1 kein Licht von der LED P1 empf ngt denn darin besteht der Beitrag dieses Funktions blocks zur Ausf hrung der Sicherheitsfunktion Sicher abge schaltetes Moment bei unterbrochenem Lichtstrahl Somit kann die gef hrliche Ausfallrichtung des Funktionsblocks beschrieben werden als Anliegen einer Ausgangsspannung gr er als Null bei Nichtbeleuchtung des Fototransistors K1 B2 3 Bauelementausfallraten Verschiedene Datenquellen kommen f r Bauelementausfallraten infrage Beispiele f r elektronische Bauelemente sind in 3 bis 6 aufgef hrt Alle diese Quellen enthalten hersteller bergreifende Daten Auch f r mechanische pneumatische und hydraulische Bauelemente gibt es Sammlungen von Ausfallraten Bei ein zelnen Bauelementen die nicht in den einschl gigen Verzeich nissen gelistet sind wird man die Ausfallrate vom Hersteller einholen m ssen z B bei speziellen ASICs Viele g ngige Quantifizierungstechniken auch das vereinfachte Verfahren aus DIN EN ISO 13849 1 Abschnitt 4 5 4 gehen von der zeitlichen Konstanz der Ausf
317. ie gem DIN EN ISO 13849 1 Abschnitt 6 2 4 nicht als gleichwertig zu bew hrt betrachtet werden Anwendung Bei Holzbearbeitungsmaschinen oder hnlichen Maschinen bei denen das ungebremste Stillsetzen zu einem unzul ssig langen Auslaufen der gefahrbringenden Werkzeugbewegungen f hren w rde Die Steuerung muss so ausgef hrt sein dass mindestens PL b erreicht wird Pr fgrunds tze Holzbearbeitungsmaschinen GS HO 01 Berechnung der Ausfallwahrscheinlichkeit Bei S1 handelt es sich um einen Tastschalter mit zwangl ufigem Bet tigungsmodus gem DIN EN 60947 5 1 Anhang K Zwangs ffnung Beim Einsatz eines solchen Tasters als Befehlsger t kann ein Fehlerausschluss f r das Nicht ffnen des elektrischen Kontakts inklusive der Mechanik innerhalb des Tasters erfolgen MTTF F r das Sch tz Q1 wird bei nominaler Last ein B Wert von 2000000 Schaltspielen N angenommen Bei 300 Arbeitstagen 8 Arbeitsstunden und 2 Minuten Zykluszeit ist Mp 72000 Zyklen Jahr und MTTF 277 Jahre Die MTTF f r das Bremsger t K1 wurde ber die Parts Count Methode ermittelt Mit den Bauteilinformationen aus der St ckliste und den Werten aus der Datenbank SN 29500 36 ergibt sich eine MTTF 518 Jahre D Die Kombination von Q1 und K1 ergibt MTTF 180 Jahre f r den Kanal die auf 100 Jahre hoch gek rzt wird DC ve und Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache sind in Kategorie 1 nicht relevant Die elektromechanis
318. iedlichen Anwendungen in der Praxis erprobt und die Beispiele sind in zahlreichen konkreten Anwendungen technisch umgesetzt worden Der vorliegende BGIA Report hat zum Ziel die Anwendung der DIN EN ISO 13849 zu erl utern und insbesondere anhand zahlreicher L sungen die praktische Realisierung beispielhaft aufzuzeigen Weder die Erl uterungen noch die Beispiele sind als offizieller nationaler oder europ ischer Kommentar zu DIN EN ISO 13849 1 aufzufassen Vielmehr sind in diesem Report die Erfahrungen des BGIA Institut f r Arbeitsschutz der Deut schen Gesetzlichen Unfallversicherung aus fast drei igj hriger k Ld 7 F BGIA Wi Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Fechindos Laserdrucker Hopeerer Bewertungsschema f r Harn ere Gelahnenschwenpunk Frachiconlainer BGE Empiehlungen L rmarme 5sgebl lier Sofware Maschinenstevenngen Handlungshilfe zur Get hrdungsbeurtelung Pr fung der elektrischen Ausr stung won Maschinen EMY und Funktionale Sichere fur Lasiungsantriebssysterne PSA Aura Gefahrstolidalenbanken Praxichdien Die Internet Adresse www dguv de bgia 13849 bietet einen zentralen Zugang zu allen BGIA Informationen und Hilfen zur funktionalen Sicherheit von Maschinensteuerungen siehe Abbil dung 2 1 Neben der freien BGIA Software SISTEMA Sicher heit von Steuerungen an Maschinen k nnen dort auch die SISTEMA Projektdat
319. iese Komponenten Ay 5840 Zyklen Jahr und MTTF betr gt 1 712 Jahre f r B1 bzw 856 Jahre f r B2 F r die Sch tze Q1 und Q2 entspricht bei induktiver Last AC3 der B Wert der elektrischen Lebensdauer von 1000000 Schaltspielen H Bei Annahme von 50 gefahrbringenden Ausf llen ergibt sich der B Wert durch Verdoppe lung des B Wertes Mit dem oben angenommenen Wert f r n folgt f r Q1 und Q2 eine MTTF von 3 424 Jahren pro Kanal Insgesamt ergibt sich in beiden Subsystemen ein symmetrisierter MTTF Wert pro Kanal von 100 Jahren hoch Daye DC 99 f r B1 und B2 beruht auf der Plausibilitatsiberwachung der ffner Schlie er Kombinationen in K1 DC 99 f r die Sch tze Q1 und Q2 ergibt sich aus der regelm igen berwachung durch K1 beim Start Die genannten DC Werte entsprechen dem Dog f r das jeweilige Subsystem Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache in den Subsystemen B1 B2 und Q1 Q2 70 Punkte Trennung 15 bew hrte Bauteile 5 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Subsysteme B1 B2 und 01 02 entsprechen jeweils Kategorie 4 mit hoher MTTF 100 Jahre und hohem Dove 99 Damit ergibt sich jeweils eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 2 47 10 Stunde Nach Hinzuf gen des Subsystems K1 betr gt die mittlere Wahrscheinlichkeit gef hrlicher Ausf lle 5 16 10 Stunde Dies entspricht PL e 185 8 2 35 Zwei
320. ieser Stelle in den Gestaltungs und Realisierungsprozess zur ckkehren Ansonsten ist als Abschluss der V amp V Aktivit ten in der dritten Raute Block 8 von Abbildung 7 1 zu bewerten ob alle Sicher heitsfunktionen analysiert wurden Ist dies der Fall so ist die Bewertung der SRP CS nach DIN EN ISO 13849 1 abgeschlossen ansonsten muss die Pr fung mit den noch offenen Sicherheits funktionen fortgesetzt werden 7 2 Validieren der Sicherheitsfunktion Ein wichtiger Schritt ist die Validierung der realisierten Sicher heitsfunktion auf vollst ndige bereinstimmung mit den in der Spezifikation geforderten Eigenschaften und Leistungskriterien Folgende Fragen sollen dem Pr fer helfen zu beurteilen ob die Sicherheitsfunktion korrekt umgesetzt wurde O Wurde die Sicherheitsfunktion korrekt und vollst ndig definiert O Wurde die richtige Sicherheitsfunktion umgesetzt O Passen die Festlegungen der Sicherheitsfunktion zur Konstruktion O Wurden alle erforderlichen Betriebsarten ber cksichtigt O Wurden die Betriebseigenschaften der Maschine ber cksich tigt einschlie lich der vern nftigerweise vorhersehbaren Fehlanwendungen Wurden Handlungen bei Notf llen ber cksichtigt O Werden alle sicherheitsbezogenen Eingangssignale korrekt und logisch richtig zu sicherheitsgerichteten Ausgangs signalen verarbeitet O Sind die Ergebnisse der Risikobeurteilung f r jede bestimmte Gef hrdung oder Gefahrdungssituation in die Def
321. ig sind oder zumindest eine Testeinrichtung besitzen Kategorien 2 3 und 4 Ein weiterer Unterschied ist der Versuch CCF Aspekte zahlen m ig quantitativ zu betrachten wohingegen die Betrachtung nach Anhang G der Norm rein qualitativ ist Mit ausreichenden Ma nahmen gegen systematische Ausf lle nach Anhang G der Norm und Beachtung grundlegender und bew hrter Sicherheits prinzipien erscheint es nicht besonders schwierig die Anforde rungen an Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache CCF zu erf llen Ma nahmen zur Vermeidung von Ausf llen Angemessene Materialien und geeignete Herstellung Richtige Dimensionierung und Formgebung Montage Installation Richtige Auswahl Anordnung Bauteile mit kompatiblen Betriebskenndaten Festigkeit gegen festgelegte Umgebungsbedingungen Bauteile nach geeigneter Norm mit definierten Ausfallarten Funktionspr fung Projektmanagement Dokumentation Black Box Test Ma nahmen zur Beherrschung von Ausf llen nach der Inbetriebnahme z B Energieausfall schwankung umwelttechnische Einfl sse Verschlei berlastung fehlerhafte Wartung zus tzlich Prinzip der Energieabschaltung i Entwurf zur Beherrschung von Spannungseinfl ssen Entwurf zur Beherrschung umwelttechnischer Einfl sse berwachung Programmablauf bei Software sichere Datenkommunikationsprozesse Bussysteme Automatische Tests Redundante Hardware diversit re Hardware Zwangl
322. ik und Modellierung konzentrieren wurde bei der Erarbeitung der ISO Norm 13849 1 ausgehend von der deterministisch orientierten EN 954 1 ein f r den Anwender berschaubarer und begrenzter Anteil an probabilistischen Elementen zu den bekannten Elementen der EN 954 1 hinzugef gt um Aufwand und Nutzen in einem ausgewogenen Verh ltnis zu halten und auch um den Bed rfnissen des mittelst ndischen Maschinen und Steuerungsbauers zu entsprechen Damit wird dem Willen der EG Kommission entsprochen dass Normen die gesetzliche Anforderun gen konkretisieren von klein und mittelst ndischen Unternehmen in der Praxis ange wendet werden k nnen In Bezug auf die Entwicklung sicherheitsbezogener Embedded Software Firmware Sys temsoftware ab dem h chsten Anforderungslevel verweist auch die EN ISO 13849 1 auf die entsprechenden Teile der Normenreihe EN 61508 3 Ausblick Die EN ISO 13849 1 wird nach einem bergangszeitraum von 3 Jahren nach Ver ffentli chung die EN 954 1 zum 30 11 2009 abl sen Mit dem im Mai 2007 neu erschienenen Amtsblatt zur Maschinenrichtlinie ist die EN ISO 13849 1 als harmonisierte Norm unter der EG Maschinenrichtlinie gelistet und l st damit bei Anwendung die Vermutungswir kung zur Einhaltung der Richtlinie aus Die EN 62061 1995 ist bereits seit August 2006 als harmonisierte Norm unter der EG Maschinenrichtlinie gelistet Bereits im Vorfeld der Fertigstellung der Normen wurde in gemeinsamen Sitzungen bei der ve
323. in der Umgebungsluft Die Untersuchung zeigte dass die zylindrischen F hrungen der Bauteile in Ventilen z B Steuerschieber in Verbindung mit Art Qualit t und Verschmutzungsgrad der eingesetzten Druckfl s sigkeit sowie Auslegung Material und Ausf hrung der Zentrier R ckstellfeder einen wesentlichen Einfluss auf die zu erwartende Lebensdauer hydraulischer Wege Schieberventile haben Dabei wurde ein deutlicher Zusammenhang zwischen Qualit t der Ein satzbedingungen und der erreichten Lebensdauer bis zum Ausfall ber einen definierten Betrachtungszeitraum festgestellt D2 3 MTTF hydraulischer Steuerungskomponenten Aufgrund der Ergebnisse der oben genannten Untersuchung wird in DIN EN ISO 13849 1 f r hydraulische Bauteile unter bestimm ten Voraussetzungen eine MTTF von 150 Jahren vorgeschlagen Zwar wurden schwerpunktm ig Ventile in Schieberbauweise untersucht aufgrund des hnlichen Ausfallverhaltens l sst sich die ermittelte Lebensdauer MTTF aber als gute Absch tzung f r alle sicherheitsrelevanten hydraulischen Ventile verwenden Voraussetzung hierf r ist allerdings die Einhaltung der in DIN EN ISO 13849 2 aufgef hrten auf hydraulische Ventile bezogenen grundlegenden und bew hrten Sicherheitsprinzipien bei Kon struktion und Herstellung Weiterhin m ssen die ebenfalls in DIN EN ISO 13849 2 aufgef hrten anwendungsbezogenen grund legenden und bew hrten Sicherheitsprinzipien vom Ventilher steller genannt Herstelle
324. iner Druckmaschine Ki E SF Sicherheitsbezogene Stopptunktion bei E SB Positionsschalter mit Personenschu H SB Drehgeber G1 SB Logik und Aktorebene SF Sicher begrenzte Geschwindigkeit beim H SB Positionsschalter mit Personenschu H SB Drehgeber G1 H SB Logik und Aktorebene SF Tippbetrieb bei geolfneter Schutztur H SB Tipptaster 1 SB Drehgeber G1 H SB Logik und Aktorebene Sicherheitsbezogene Stoppfunktion beim Offm Ple ja PL PFH 1 h _ 6 98E 7 Logik und Aktorebene GE Dusken hite F wead N 6D Eingabemasken 3 Zusammenfassung subsystem BGIA Y Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke al BL dezentrales 1 0 Modul K1 EL Funktions SP5 K3 BL Funktionsmabrge Ansteuerung des Frequenzumnchters Inhalte der Kan le vertauschen Hinzuf gen _ Nane BL 1 0 Modul K2 BL berwachungs SPS K4 BL Sicherheitsabschaltung des Frequenzumrichters T1b 2 Abbildung 8 43 PL Bestimmung mithilfe von SISTEMA 163 8 2 25 Pneumatische Ventilsteuerung Subsystem Kategorie 3 PL e f r PL d Sicherheitsfunktionen Beispiel 25 gefahrbringende Bewegung 2V3 lie ltl tle 1V1 2V1 aa a AN L weitere Verbraucher und Steuerungen OV1 va lAN Abbildung 8 44 Getestete pneumatische Ventile zur redundanten Steuerung von gefahr
325. inert werden sodass neben einem schnellen berschlag auch ein detaillierter Nachweis m glich ist Zun chst wird unter Abschnitt 6 1 1 der Entwicklungsablauf beschrieben Dazu geh ren z B Anforderungen an Spezifika tion und Dokumentation innerhalb des SRP CS Lebenszyklus Anschlie end folgen notwendige Ma nahmen zur Beherrschung systematischer Ausf lle Abschnitt 6 1 2 sowie ergonomische Gestaltungsaspekte Abschnitt 6 1 3 In Abschnitt 6 2 werden die Kategorien und die darauf basierende vereinfachte Methode zur Bewertung der quantifizierbaren Aspekte beschrieben Abschnitt 6 3 stellt anschlie end Anforderungen an Software vor Abschlie end zeigt Abschnitt 6 4 welche quantifizierbaren Aspekte bei der Kombination von SRP CS beachtet werden m s sen Abbildung 6 2 erl utert die Notwendigkeit dieses zus tz lichen Abschnitts Die gesamte Maschinensteuerung CS Control System teilt sich in sicherheitsbezogene Teile SRP CS und die meistens deutlich umfangreicheren nicht sicherheitsbezogenen Teile auf die alleine den normalen Betriebsfunktionen dienen Die Kombination sicherheitsbezogener Teile einer Steuerung beginnt an dem Punkt an dem sicherheitsbezogene Signale erzeugt werden einschlie lich z B Bet tiger und Rolle eines Positionsschalters und endet an den Ausg ngen der Leistungs steuerungselemente einschlie lich z B Hauptkontakte eines Sch tzes Treten im energielosen Zustand keine Gef hrdun gen auf Ruhestrompri
326. ines Chips erfolgt sind in der Regel nur schwer zu entdecken und haupts chlich durch strukturelle Ma nahmen zu beherrschen Das Ausfallverhalten elektronischer Bauelemente ist h ufig schwierig zu bewerten in der Regel kann auch keine vorwie gende Ausfallart festgelegt werden Dies soll an einem Beispiel erl utert werden Wird ein Sch tz elektrisch nicht angesteuert d h wird seine Spule nicht vom Strom durchflossen gibt es kei nen Grund daf r dass sich die Kontakte des Sch tzes schlie en Das bedeutet dass ein ausgeschaltetes Relais oder Sch tz sich durch einen internen Fehler nicht selbstt tig einschaltet Anders ist das bei den meisten elektronischen Bauteilen z B einem Transistor Ist ein Transistor gesperrt d h es flie t kein ausrei chend hoher Basisstrom so ist es trotzdem nicht ausgeschlossen dass der Transistor durch einen internen Fehler pl tzlich ohne u ere Einwirkung leitf hig wird und somit unter Umst nden eine gefahrbringende Bewegung einleitet Auch dieser sicher heitstechnische Nachteil elektronischer Bauelemente muss durch ein entsprechendes Schaltungskonzept beherrscht werden Insbesondere beim Einsatz hoch integrierter Bausteine ist es teilweise nicht mehr m glich selbst zu Beginn der Gebrauchs dauer d h zum Zeitpunkt der Inbetriebnahme nachzuweisen dass ein Ger t oder eine Anlage v llig fehlerfrei ist Schon auf Bauelementebene ist ein Nachweis der Fehlerfreiheit durch die Hersteller mit
327. initionen der Sicherheitsfunktion eingeflossen Um eine Aussage dar ber treffen zu k nnen ob die funktionalen Anforderungen erf llt wurden sollten folgende typische Teil pr fungen durchgef hrt werden O Funktionstest in redundanten Systemen f r jeden Kanal Test zum Verhalten der SRP CS bei un blichen nicht erwar teten oder au erhalb der Spezifikation liegenden Eingangs signalen Bedienungsabl ufen oder Eingaben mittels soge nanntem erweiterten Funktionstest Oo Black Box Test O Leistungstests funktionale Aspekte 80 Im Fokus der in diesem Kapitel beschriebenen V amp V Aktivit ten stehen SRP CS die Sicherheitsfunktionen ausf hren Zur voll st ndigen Pr fung der Sicherheitsfunktion an der kompletten Maschine geh rt allerdings eine Reihe weiterer Aspekte wie z B die Bemessung von Nachl ufen und Sicherheitsabst nden 7 3 Validieren des PL der SRP CS Dieser Abschnitt beschreibt die Pr fung einzelner SRP CS Die Vorgehensweise zur Pr fung einer Kombination mehrerer SRP CS zu einer Sicherheitsfunktion wird in Abschnitt 7 5 erl utert F r die SRP CS muss der PL Quantifizierung der Ausfallwahr scheinlichkeit abgesch tzt werden In den folgenden Abschnitten werden die Validierungsschritte der Teilaspekte benannt die in die Berechnung des PL einflie en Dies sind zum einen quanti fizierbare Aspekte wie MTTF Werte f r einzelne Bauteile DC CCF und die Kategorie und zum anderen qualitative Aspekte wi
328. inlichkeit gef hrlicher Ausf lle von 5 60 10 Stunde Dies entspricht PL e Nach Hinzuf gen weiterer sicherheitsbezogener Steuerungsteile als Subsysteme zur Vervollst ndigung der Sicherheits funktion wird der PL unter Umst nden geringer Unter Ber cksichtigung der oben aufgef hrten Absch tzung zur sicheren Seite ergibt sich f r die verschlei behaftete Ventil kombination 1V1 ein Wert von 14 Jahren 7 f r den vorgesehenen Austausch 177 8 2 32 Hydraulische Ventilsteuerung Subsystem Kategorie 4 PL e Beispiel 32 gefahrbringende Bewegung p e 154 AM 1 A l 153 Abbildung 8 51 Getestete hydraulische Ventile zur redundanten Steuerung von gefahr bringenden Bewegungen Sicherheitsfunktionen O Sicherheitsbezogene Stoppfunktion Stillsetzen der gefahrbringenden Bewegung und Verhinderung des ungewollten Anlaufs aus der Ruhelage Hier ist nur der hydraulische Steuerungsteil als Subsystem gezeigt F r die komplette Sicherheitsfunktion sind weitere sicherheitsbezogene Steuerungsteile z B Schutzeinrichtungen und elektrische Logik als Subsysteme hinzuzuf gen Funktionsbeschreibung Gefahrbringende Bewegungen werden durch zwei Wegeventile 1V3 und 1V4 gesteuert Der einzelne Ausfall eines der genannten Ventile f hrt nicht zum Verlust der Sicherheitsfunktion Beide Wegeventile werden zyklisch angesteuert An beiden Wegeventilen ist jeweils eine direkte Stellungs berwachung 153 und 15
329. inrichtung Testeinrichtung Verbindung berwachung angemessene Fehlererkennung 6 2 6 Kategorie 3 Zus tzlich zu den Anforderungen f r Kategorie B z B Verwen dung grundlegender Sicherheitsprinzipien m ssen SRP CS der Kategorie 3 bew hrte Sicherheitsprinzipien verwenden und so gestaltet werden dass ein einzelner Fehler nicht zum Verlust der Sicherheitsfunktion f hrt Wann immer in angemessener Weise durchf hrbar muss ein einzelner Fehler bei oder vor der n chsten Anforderung der Sicherheitsfunktion erkannt werden F r die MTTF jedes Kanals sind Werte von niedrig bis hoch aus w hlbar Da nicht alle Fehler erkannt werden m ssen oder die Fehleranh ufung unerkannter gefahrbringender Fehler zu einer Gef hrdungssituation f hren kann reicht minimal ein niedriger DC Ausreichende Ma nahmen gegen Ausf lle infolge gemein av samer Ursache CCF m ssen angewendet werden Die Forderung nach Einfehlersicherheit bedeutet nicht zwangs weise eine Realisierung als zweikanaliges System da z B auch einkanalige Teile ohne gefahrbringendes Ausfallpotenzial fehler sicheres Design sicher gegen Einzelfehler sein k nnen Dasselbe gilt f r Systeme mit hochwertiger berwachung die durch einen eigenen Abschaltpfad eine Fehlerreaktion so schnell einleiten dass ein gef hrlicher Zustand vermieden wird Trotzdem wer den Kategorie 3 Systeme berwiegend zweikanalig realisiert weshalb auch die zugeh rige vorgesehene Archit
330. inrichtungen z B jeweils f r Beladung und Entnahme Das ffnen eines Schutzgitters wird durch zwei Positionsschalter B1 B2 in ffner Schlie er Kombination erfasst und in einem zentralen Sicherheitsbaustein K2 ausgewertet Dieser kann in gleicher Weise wie K1 gefahrbringende Bewegungen oder Zust nde unterbrechen bzw verhindern Die berwachung des zweiten Schutzgitters erfolgt in der gleichen Weise mit den zwei Positionsschaltern B3 B4 und einem Sicherheitsbaustein K3 der ebenfalls auf Q1 und T1 wirkt Bei Auftreten eines Bauteilausfalls bleibt die Sicherheitsfunktion erhalten Die meisten Bauteilausf lle werden erkannt und f hren zur Betriebshemmung Beide Positionsschalter an einem Schutz gitter werden im zugeh rigen Sicherheitsbaustein der auch ber interne Diagnosema nahmen verf gt auf Plausibilit t berwacht Fehler im Sch tz Q1 werden ber zwangsgef hrte Kontakte und deren R cklesung in K2 und K3 erkannt Eine zus tzliche R cklesung in K1 ist nicht erforderlich da die Not Halt Funktion viel seltener angefordert wird Ein Teil der Fehler in T1 werden durch den Prozess erkannt Einige wenige Fehler werden von der Steuerung nicht erkannt Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Ein stabiler Aufbau der Schutzeinricht
331. ionsbl cke infolge einer gemeinsamen Ursache Common Cause Failures CCF Es wird angenommen dass bei 2 der Ausf lle eines der Funktions bl cke L und TE in gef hrliche Richtung aufgrund derselben Ursache auch der jeweils andere Block gef hrlich ausf llt Dasselbe wird auch von den Funktionsbl cken O und OTE ange nommen Allen Pfeilen sind bergangsraten zugeordnet deren Gr e sich aus den jeweiligen bergangsprozessen Ausf llen Tests An forderungen Reparaturen ergibt Auch bewirkt die Ber cksich tigung von Common Cause Failures CCF an verschiedenen Stellen eine nderung der urspr nglichen Ubergangsrate Bei der Berechnung des S ulendiagramms wird der ung nstige Fall angenommen dass die im System eingesetzte Testeinrichtung selbst nicht getestet wird Darum wird einigen berg ngen in Abbildung G 2 die Rate Null zugewiesen Systeme die ihre Test einrichtung testen sind dadurch zur sicheren Seite abgesch tzt Zur vereinfachten Berechnung nach der Markov Methode wird angenommen dass alle bergangsprozesse durch exponential verteilte Zustandsverweildauern gekennzeichnet sind obwohl dies streng genommen nur f r die Zufallsausf lle mit konstanter Rate gilt Separate Betrachtungen rechtfertigen diese Verein fachung Man geht davon aus dass sich das System zu Beginn der Gebrauchszeit mit der Wahrscheinlichkeit 1 im OK Zustand befin det und die Wahrscheinlichkeit aller anderen m glichen System zust nde 0
332. ionsschalter ist sichergestellt O Der Schalter B1 ist ein Positionsschalter mit zwangs ffnendem Kontakt entsprechend DIN EN 60947 5 1 Anhang K O Die Zuleitungen zu den Positionsschaltern B1 und B2 sind getrennt oder gesch tzt verlegt O Der Sicherheitsbaustein K1 erf llt alle Anforderungen f r Kategorie 4 und PL e O Die Sch tze K2 01 02 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Bemerkung O Kategorie 4 wird nur eingehalten wenn nicht mehrere mechanische Positionsschalter verschiedener Schutzeinrichtungen hintereinander geschaltet werden keine Kaskadierung da sonst keine Fehlererkennung in den Schaltern m glich ist Berechnung der Ausfallwahrscheinlichkeit Die Schaltung l sst sich in drei Subsysteme aufteilen wie im sicherheitsbezogenen Blockdiagramm gezeigt Die Ausfall wahrscheinlichkeit des handels blichen Sicherheitsbausteins K1 wird am Ende der Berechnung addiert 2 31 10 Stunde H geeignet f r PL e F r die brigen Subsysteme wird die Ausfallwahrscheinlichkeit im Folgenden berechnet MTTF F r den Positionsschalter mit Zwangsoffnung B1 ist ein Fehlerausschluss f r den elektrischen Kontakt m glich F r den elektrischen Schlie erkontakt des Positionsschalters B2 betr gt B 1000000 Schaltspiele H F r den mechanischen Teil von B1 und B2 wird ein B Wert von 1000000 Zyklen H angegeben Bei 365 Arbeitstagen 16 Arbeitsstunden und 1 Stunde Zykluszeit ist f r d
333. ische Identifizierung der Gef hrdungen gibt es verschiedene Verfahren Beispiele finden sich in ISO DTR 14121 2 5 Dar ber hinaus sind m gliche Gef hrdungen ausf hrlich in 4 aufgelistet einen Auszug zeigt Abbildung 5 2 siehe Seite 25 1 Eine Sicherheitsfunktion wird u a mit sicherheitsbezogenen Teilen von Steuerungen realisiert Diese beginnen mit der Erfassung sicherheitsbezogener Eingangssignale z B mit der Detektion einer Schutzt rstellung durch einen Positionsschalter der Bauart 2 bei dem der an der T r befestigte getrennte Bet tiger bereits ein sicherheitsbezogener Teil ist Es schlie t sich die Signalverarbeitung an die ein Ausgangssignal erzeugt Hier k nnte es sich um ein Leistungssch tz handeln das einen Motor mit dem Netz verbindet Das Leistungssch tz ist ein sicherheitsbezogener Teil der Steuerung w hrend der Motor mit seiner Verkabelung nicht mehr dazugeh rt 23 Abbildung 5 1 Iterativer Prozess zur Risikominderung START ON Festlegung der Grenzen der Risikobeurteilung Maschine siehe 5 2 nach ISO 14121 Identifizierung der Gef hrdungen siehe 4 und 5 3 Risikoeinsch tzung siehe 5 3 unter der Einsatzbedingung getrennt durchgef hrt werden Risikobewertung siehe 5 3 Wurden Dieser iterative Prozess zur Risikominimierung muss f r jede Gef hrdung Gef hrdungssituation Wurde das Risiko hinreichend vermindert hinreichende Risikoverminderung siehe 5 5 Kann die Gef hrd
334. ispiele zeigen bis auf die Ebene der Bauteile hinunter wie die Performance Level a bis e mit den Kategorien B bis 4 in den jeweiligen Technologien technisch umgesetzt werden k nnen Sie geben dabei Hinweise auf die verwendeten Sicherheits prinzipien und sicherheitstechnisch bew hrte Bauteile Zahl reiche Literaturhinweise dienen einem tieferen Verst ndnis der jeweiligen Beispiele Der Report zeigt dass die Anforderungen der DIN EN ISO 13849 in die technische Praxis umgesetzt werden k nnen und leistet damit einen Beitrag zur einheitlichen Anwen dung und Interpretation der Norm auf nationaler und internatio naler Ebene Abstract Functional safety of machine controls Application of DIN EN ISO 13849 The DIN EN ISO 13849 standard Safety of machinery Safety related parts of control systems contains provisions govern ing the design of such parts This report describes the essential subject matter of the standard in its heavily revised 2007 edition and explains its application with reference to numerous examples from the fields of electromechanics fluidics electronics and programmable electronics including control systems employ ing mixed technologies The standard is placed in its context of the essential safety requirements of the Machinery Directive and possible methods for risk assessment are presented Based upon this information the report can be used to select the required Performance Level PL for safety functi
335. ist gleichzeitig der DC niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 85 Punkte Trennung 15 Diversit t 20 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der pneumatischen Steuerungselemente entspricht Kategorie 2 mit hoher MTTF 72 3 Jahre und nied rigem DC 60 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 7 62 10 Stunde Dies entspricht PL d Nach Hinzuf gen weiterer sicherheitsbezogener Steuerungsteile Subsysteme zur Vervollst ndigung der Sicherheitsfunktion wird sich in der Regel PL c f r die komplette Sicherheitsfunktion ergeben Das verschlei behaftete Element 1V1 sollte nach jeweils ca sieben Jahren T ausgetauscht werden 10d Neu ffnen W Speichern E Schlie en I i Bibliothek Drucken Hite F Wizard K cl El Bis E e Eingabemasken Zusammenfassung Projekte o PR 11 Getestetes pneumatisches Yentl Subsy Sub syste m BG A t x E Sicherheitsbezogene Stopptunktion une SB Pheumatische Steuerung Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke E CH Kanall El BL Ventil 1W1 EL Ventil 1V1 a eEEEESESE S SANA gt CH Ass Hinzuf gen A Name pec MtiFdfal ES e TE Tesikand Bik BL Ventil 1 1 60 Low 72 34 High H BL Wegmesssystem 151 ihn EL Wegmesssystem 153 Z Bearbeiten E
336. itet werden sollen F r den Einsatz programmierbarer Elektronik ist auch der Einfluss von Betriebssystemen u zu ber cksichtigen Ein Standard PC mit einem markt blichen Betriebssystem eig net sich nicht f r den Einsatz in einer sicherheitsrelevanten Steuerung Die erforderliche Fehlerfreiheit realistisch besser Fehlerarmut eines Betriebssystems das nicht f r sicherheits technische Anwendungen entwickelt wurde wird sich in der Regel nicht mit vertretbarem Aufwand nachweisen lassen bzw wird nicht erreichbar sein 8 2 Schaltungsbeispiele Tabelle 8 1 zeigt eine bersicht der Schaltungsbeispiele 1 bis 37 Tabelle 8 2 siehe Seite 90 nennt alphabetisch sortiert die wich tigsten in den Schaltungsbeispielen verwendeten Abk rzungen pf o gt J e IEC IEC 3 15 16 15 16 17 18 19 20 21 22 23 24 89 Tabelle 8 2 bersicht der in den Schaltungsbeispielen verwendeten Abk rzungen N Biog7 oder MTTF Werte auf der Basis von gelisteten Angaben in der Norm DIN EN ISO 13849 1 siehe z B Tabelle D 2 dieses Reports Mikrocontroller T N Ban Nominale Lebensdauer die mittlere Zahl von Schaltspielen bzw Schaltzyklen nach der bis zu 10 der betrachteten Einheiten ausgefallen sind Bigg Nominale Lebensdauer die mittlere Zahl von Schaltspielen bzw Schaltzyklen nach der bis zu 10 der betrachteten Einheiten gefahrlich ausgefallen sind E CCF Ausfall infolge gemeinsamer Ursache Common Cause Failur
337. klen Jahr und MTTF 434 Jahre Nach K rzen beider Kan le auf 100 Jahre ergibt sich ein symmetrisierter MTTF Wert pro Kanal von 100 Jahren hoch DC a DC 99 f r die Wegeventile 2V1 und 1V2 ergibt sich aus der Fehlererkennung ber die Druckschalter F r das Wege ventil 2V2 wird ein DC 0 angenommen Absch tzung zur sicheren Seite Durch Mittelung ergibt sich damit ein Dog von 66 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen ber spannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der pneumatischen Steuerungselemente entspricht Kategorie 3 mit hoher MTTF 100 Jahre und niedrigem vere 66 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 8 95 10 Stunde Dies entspricht PLe Weiterf hrende Literatur O DIN EN 60947 5 1 Niederspannungsschaltger te Teil 5 1 Steuerger te und Schaltelemente Elektromechanische Steuer ger te 02 05 Beuth Berlin 2005 167 8 2 27 Hydraulische Ventilsteuerung Subsystem Kategorie 3 PL e f r PL d Sicherheitsfunktionen Beispiel 27 gefahrbringende Bewegung gefahrbringende Bewegung ws AE an TE IT 7 183 valil w He 1Z Abbildung 8 46 151 0152 Getestete hydraulische Ventile zur redundanten Steuerung von gefahr bringenden Bewegungen Sicherheitsfunktionen O Sicherheitsbezogene Stoppfunktion Stills
338. klung falsche Auswahl falsche Dimensionierung fehlerhafte Software Irrtum bei der Integration falsche Auswahl fehlerhafte Verkabelung INTEGRATION zus tzlich es gerade bei nderungen Fehlerbehebung und bei der War tung entsprechende Sorgfalt walten zu lassen Oft sind gerade in diesen Phasen Details aus der Entwicklung nicht mehr gegen w rtig Ma nahmen zur Beherrschung von Ausf llen m ssen dagegen in ein Produkt implementiert werden und entfalten ihre Wirkung im Betrieb Neben Basisanforderungen listet die Norm auch Ma nahmen zur Auswahl auf von denen eine oder meh rere unter Ber cksichtigung der Komplexit t der SRP CS und des PL angewendet werden sollen in Abbildung 6 4 als zus tzlich gekennzeichnet Die Ma nahmen sind in der Norm gr tenteils kurz erl utert Es sei darauf hingewiesen dass Diversit t im Allgemeinen also nicht nur wie in Abbildung 6 4 f r Hardware aufgef hrt in der t glichen Praxis des BGIA ein gro er Nutzen unterstellt wird vergleiche dazu auch die Ausf hrungen zu Anforderungen an Software im Abschnitt 6 3 10 Der aufmerksame Leser dieses Reports k nnte sich im Weite ren die Frage stellen worin der Unterschied zu den Ma nah men gegen Ausf lle infolge gemeinsamer Ursache CCF siehe Abschnitt 6 2 15 liegt Solche Ausf lle sind nat rlich auch als systematische Ausf lle zu betrachten Allerdings richtet sich diese CCF Betrachtung nur auf Strukturen die mehrkanal
339. konomisch angemessene Risikoreduzierung m glich ist In den meisten F llen werden aber Schutzeinrichtungen erforderlich sein In diesem Zusammenhang werden Sicherheitsfunktionen definiert die von den SRP CS Safety Related Parts of Control Systems den sicherheitsbezogenen Teilen von Steuerungen ausgef hrt werden siehe Abbildung 5 4 Abbildung 5 4 Sicherheitsfunktionen werden von SRP CS ausgef hrt verarbeiten schalten erfassen 26 Abgedeckt von Ma nahmen ohne sicherheits relevante Steuereinrichtungen F r die Gestaltung der sicherheitsbezogenen Teile von Steue rungen ist nach 6 ein iterativer Prozess vorgesehen Abbil dung 4 1 Abbildung 5 5 zeigt den f r diesen Abschnitt des Reports relevanten Teil 5 3 1 Festlegung von Sicherheitsfunktionen Die Festlegung der notwendigen Sicherheitsfunktionen h ngt sowohl von der Anwendung als auch von der Gef hrdung ab Ist z B mit wegfliegenden Teilen zu rechnen wird ein Lichtgitter ungeeignet sein und eine Fangvorrichtung trennende Schutz einrichtung notwendig werden Eine Sicherheitsfunktion ist also eine Funktion die das Risiko das bei einer bestimmten Gef hr dung besteht durch auch steuerungstechnische Ma nahmen auf ein akzeptables Ma mindert Sofern nicht eine Typ C Norm hierzu Aussagen macht werden die Sicherheitsfunktionen durch den Konstrukteur der Maschine festgelegt z B a gesteuertes Stillsetzen der Bewegung und Einfallen der Haltebre
340. ktionale Sicherheit Nach einer bergangszeit von 3 Jahren wird Ende 2009 die ber viele Jahre im Maschi nen und Anlagenbau verwendete Norm EN 954 1 1996 Sicherheit von Maschinen Si cherheitsbezogene Teile von Steuerungen Teil 1 durch die im November letzten Jah res erschienene EN ISO 13849 1 2006 11 ISO 13849 1 2006 11 ersetzt werden Dies wird f r den Anwender einen Betrachtungswechsel weg von der Deterministik hin zur Probabilistik mit sich bringen und bei nicht wenigen Anwendern im Maschinen und An lagenbau aber auch bei Komponentenlieferanten Fragen zur praktischen Umsetzung nach sich ziehen Ebenso wie die EN ISO 13849 1 bem ht sich die bereits Ende 2005 abgeschlossene Norm EN 62061 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezoge ner elektrischer elektronischer und programmierbarer elektronischer Steuerungssyste me IEC 62061 2005 um die Vormachtstellung auf diesem Themengebiet Die EN 62061 gilt als ein sektorspezifischer Ableger der aus 8 Teilen bestehenden IEC Horizon talnorm EN 61508 2001 Funktionale Sicherheit sicherheitsbezogener elektri scher elektronischer programmierbarer elektronischer Systeme mit Ausrichtung auf den Maschinenbau l Vorbestimmtheit kausaler Zusammenhang Fi se x a aa Wahrscheinlichkeit nicht streng kausal zusammenh ngend 250 W hrend sich die IEC Normen sehr stark auf das Thema Probabilistik mit Hilfe wahr scheinlichkeits theoretischer Mathemat
341. ktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Ein stabiler Aufbau der Schutzeinrichtung zur Bet tigung der Positionsschalter ist sichergestellt B1 ist ein Positionsschalter mit zwangs ffnendem Kontakt entsprechend DIN EN 60947 5 1 Anhang K Die Zuleitungen zu den Positionsschaltern sind getrennt verlegt oder es erfolgt eine gesch tzte Leitungsverlegung St rungen im Anfahr und Bet tigungsmechanismus werden durch Verwendung von zwei prinzipverschieden bet tigten Positionsschaltern ffner und Schlie er erkannt Q1 und Q2 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Die programmierbare SPS K1 erf llt die normativen Anforderungen gem Abschnitt 6 3 Berechnung der Ausfallwahrscheinlichkeit MTTF F r den Positionsschalter B1 ist ein Fehlerausschluss f r den zwangs ffnenden elektrischen Kontakt m glich F r den elektrischen Schlie erkontakt von Positionsschalter B2 betr gt B 1 000 000 Schaltspiele H F r den mechanischen Teil von B1 und B2 wird ein B Wert von 1000 000 Zyklen H angegeben Bei 365 Arbeitstagen 16 Arbeitsstunden pro Tag und 1 Stunde Zykluszeit ist f r diese Komponenten n 5840 Zyklen Jahr und MTTF betr gt 1712 Jahre f r B1 bzw 856 Jahre f r B2 F r die Schutze
342. kungsgrad DC vg average der bei der vereinfach ten Bestimmung des PL mit dem S ulendiagramm eine wichtige Rolle spielt Wie an vielen Stellen in der Norm gibt es wieder einen genaueren aber aufwendigeren und einen einfachen Weg zur Bestimmung des DC der von einer Reihe Absch tzun gen zur sicheren Seite lebt Der genaue aufwendige Weg f hrt ber eine Ausfalleffektanalyse FMEA und orientiert sich an der DC Definition Dabei werden f r jedes Bauteil die erkennbar gefahrbringenden dd dangerous detectable bzw unerkennbar gefahrbringenden du dangerous undetectable Ausfallarten und ihr Anteil an der Gesamtausfallrate des Bau teils bestimmt Durch Summation und Verh ltnisbildung ergibt sich schlie lich der DC Wert der entsprechenden Betrachtungs einheit ZA La 5 DC ___ ZA FLA A d Der von DIN EN ISO 13849 1 favorisierte Weg beruht auf einer begr ndeten konservativen Sch tzung des DC direkt auf Bauteil oder Blockebene und der anschlie enden Berechnung des DC aus den einzelnen DC Werten ber eine Mittelungs formel Viele Tests lassen sich typischen Standardma nahmen zuordnen f r die in Anhang E der Norm DC Sch tzwerte gelistet sind Diese Ma nahmen sind in ein grobes Raster aus vier Eckwerten 0 60 90 und 99 eingeordnet Eine ausf hrliche Liste der in der Norm genannten typischen Test ma nahmen findet sich in Anhang E die Anwendung ist u a im Beispiel einer Planschnei
343. l BL SPS K1 EL SPS KI 2 Bibliothek El BL Entl ftungswentil 01 EL Entluftungsventil 0v1 gt G Inhalte der Kan le vertauschen Ja Sieherneitsbezagene Stoppfunktion und Yerhi Kanal 2 A Hinzuf gen I Nae Dez MTTEdIal Abbildung 8 21 MER 172 34 High PL Bestimmung mithilfe 160 Low I von SISTEMA Fed aol 7 118 8 2 12 Getestetes hydraulisches Ventil Subsystem Kategorie 2 PL d f r PL c Sicherheitsfunktionen Beispiel 12 K1 153 FA gefahrbringende Bewegung a ET Na gt Abbildung 8 22 Hydraulisches Ventil mit elektronischer Testung zur Steuerung von gefahr bringenden Bewegungen Sicherheitsfunktionen O Sicherheitsbezogene Stoppfunktion Stillsetzen einer gefahrbringenden Bewegung und Verhinderung des ungewollten Anlaufs aus der Ruhelage Hier ist nur der hydraulische Steuerungsteil als Subsystem gezeigt F r die komplette Sicherheitsfunktion sind weitere sicherheitsbezogene Steuerungsteile z B Schutzeinrichtungen und elektrische Logik als Subsysteme hinzuzuf gen Funktionsbeschreibung O Gefahrbringende Bewegungen werden durch das Wegeventil 1V3 gesteuert Der Ausfall des Wegeventils 1V3 zwischen den Funktionstests kann zum Verlust der Sicherheitsfunktion f hren Die Ausfall wahrscheinlichkeit h ngt von der Zuverl ssigkeit des Wegeventils ab Es erfolgt eine zwangsweise Testung der Sicherheitsfunktion ber die SPS K1 mithilfe eines
344. l Ein Versagen des Umrichters das z B zum unerwarteten Anlaufen zum Weiterlaufen oder zu einer Erh hung der Drehzahl f hren kann wird ber die getrennte Erfassung der Drehzahlen durch die Tachogeneratoren G1 und G2 in beiden Verarbeitungskan len erkannt Das Nichtabfallen des Netzsch tzes Q1 wird ber den in beide Ver arbeitungskan le gef hrten ffnerkontakt Eing nge 12 0 und 12 1 von K1 bemerkt und f hrt sowohl zur Sperrung des Start Stopp Signals als auch der Impulssperre am Umrichter durch beide Verarbeitungskan le Konstruktive Merkmale O Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen O Ein stabiler Aufbau der Schutzeinrichtung zur Bet tigung des Positionsschalters ist sichergestellt O Der Positionsschalter B1 ist zwangs ffnend entsprechend DIN EN 60947 5 1 Anhang K ausgef hrt Der Positionsschalter B2 entspricht ebenfalls DIN EN 60947 5 1 O Das Sch tz Q1 besitzt einen Spiegelkontakt entsprechend DIN EN 60947 4 1 Anhang F O Die Anschlussleitungen der Positionsschalter sind entweder getrennt oder gegen mechanische Besch digung gesch tzt verlegt O Fur die Sicherheitsfunktion Sicher begrenzte Geschwindigkeit wird ein Fehlerausschluss f r den Fehler Geberwellenbruch G1 G2 angenommen Einzelheiten zur M glichkeit eines Feh
345. l chenrauheit Toleranzen und Herstellungsverfahren Dennoch k nnen bei selten geschalteten fluidtechnischen Bauele menten aufgrund der konstruktiven Eigenschaften Spalt zwischen Schieber und Geh use erh hte Haftkr fte entstehen O Bei Pneumatikventilen mit Weichdichtungen k nnen die Dichtungen durch chemische Einfl sse der Schmiermittel l mit Additiven in der Druckluft eingebracht durch Kompressor ler oder Initialschmierung bei l ngerem Verbleiben in einer Schaltstellung quellen oder der Schmierfilm kann durch die Dichtkantenpressung kollabieren und somit die Haftkraft erh hen 44 O Bei Hydraulikventilen kann bei l ngerem Verbleiben in einer Schaltstellung sogenanntes Silting auftreten Hierbei lagern sich w hrend der Haltezeit zwischen den Schaltspielen feine Schmutzpartikeln im Dichtspalt ab und verursachen dadurch ein Klemmen des Ventilschiebers Aus diesen Gr nden ist konstruktiv generell ein hoher Kraft berschuss z B Federkraft f r die R ckstellung des Ventil schiebers in die sichere Schaltstellung erforderlich Bei nicht mechanischen Federn ist der Erhalt der R ckstellfunktion durch geeignete Ma nahmen sicherzustellen Weiterhin gilt es die oben beschriebenen Effekte durch entsprechende Schaltzyklen bzw Testzyklen im Abstand von z B lt 8 Stunden zu verhindern Beispiel 3 Trennung sicherheitsbezogener von anderen Funktionen Normen funktionaler Sicherheit thematisieren generell die Tre
346. l cke die bei ihrem Ausfall die Ausf hrung der Sicherheitsfunktion in den verschiedenen Kan len nicht beeintr chtigen k nnen als separater Test kanal dargestellt werden Zwar wird durch den Ausfall von Testma nahmen die Zuverl ssigkeit des Systems insgesamt herabgesetzt dies hat aber nur einen geringen Einfluss so lange die Abarbeitung der reinen Sicherheitsfunktion in den einzelnen Kan len weiter gew hrleistet bleibt Die Definition der Bl cke und Kan le geht einher mit der Bestim mung der Kategorie und ist der erste Schritt bei der quantitativen Bestimmung des PL Dazu werden weitere Kennwerte ben tigt die Bewertung der Bauteilzuverl ssigkeit MTTF der Tests DC und der Relevanz von Ausf llen infolge gemeinsamer Ursache CCF Abbildung 6 9 Allgemeines Beispiel eines sicherheitsbezogenen Blockdiagramms I1 und 01 bilden den ersten Kanal Serienschaltung w hrend 12 L und 02 den zweiten Kanal bilden Serienschaltung mit beiden Kan len wird die Sicherheitsfunktion redundant ausgef hrt Parallelschaltung T wird nur f r die Testung verwendet Serienschaltung Parallelschaltung Serienschaltung nur f r Testzwecke 6 2 10 Fehlerbetrachtungen und Fehlerausschluss In einer realen Steuerung ist die Zahl theoretisch m glicher Fehler schier unbegrenzt Es ist daher notwendig sich bei der Bewertung auf die relevanten Fehler zu beschr nken Bestimmte Fehler k nnen ausgeschlossen werden wenn Fo
347. l von B1 wird ein B Wert von 1000 000 Zyklen H angegeben Bei 365 Arbeitstagen 16 Arbeitsstunden pro Tag und 10 Minuten Zykluszeit ist f r diese Komponenten App 35 040 Zyklen Jahr und MTTF 285 Jahre F r das Sch tz Q1 entspricht bei induktiver Last AC3 der B Wert der elektrischen Lebensdauer von 1300000 Schaltspiele H Bei Annahme von 50 gefahrbringenden Ausf llen ergibt sich der B Wert durch Verdoppelung des B Wertes Mit dem oben angenomme nen Wert f r Don ergibt sich f r Q1 eine MTTF von 742 Jahren Die Kombination von B1 und Q1 ergibt f r den Kanal eine MTTF 206 Jahre die auf 100 Jahre hoch gek rzt wird DS und Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache sind in Kategorie 1 nicht relevant Die elektromechanische Steuerung entspricht Kategorie 1 mit hoher MTTF 100 Jahre Damit ergibt sich eine mittlere Wahr scheinlichkeit gef hrlicher Ausf lle von 1 14 10 Stunde Dies entspricht PL c Damit ist der PL b bertroffen Weiterf hrende Literatur O DIN EN 60947 5 1 Niederspannungsschaltger te Teil 5 1 Steuerger te und Schaltelemente Elektromechanische Steuer ger te 02 05 Beuth Berlin 2005 Neu ffnen ME Speichen Es Schlie en Mil Bibliothek gt Drucken Hite Wizard K an m ja Ey Projekte PR 05 Stellungsuberwachung beweglicher tren SF Stellungsuberwachung beweglich trenn E SB Steuerstromkreis E CH Kanal 1 E BL Positio
348. lationsschutz Zugangssicherung Programm Datenschutz und zum Schutz gegen unbefugtes Bedienen Schl sselschalter Code usw z B bei Sonderbetriebsarten 5 13 Allgemeine technische Voraussetzungen und organisatorische Rahmenbedingungen f r die Inbetriebnahme Pr fung und Abnahme sowie Wartung und Instandhaltung 41 Kasten 6 2 Technische Unterlagen f r Maschinen Auszug aus zuk nftiger Maschinenrichtlinie 2006 42 EG Anhang VII A 1 Die technischen Unterlagen umfassen a eine technische Dokumentation mit folgenden Angaben bzw Unterlagen eine allgemeine Beschreibung der Maschine eine bersichtszeichnung der Maschine und die Schaltpl ne der Steuerkreise sowie Beschreibungen und Erl uterungen die zum Verst ndnis der Funktionsweise der Maschine erforderlich sind vollst ndige Detailzeichnungen eventuell mit Berechnungen Versuchsergebnissen Bescheinigungen usw die f r die berpr fung der bereinstimmung der Maschine mit den grundlegenden Sicherheits und Gesundheitsschutzanforderungen erforderlich sind die Unterlagen ber die Risikobeurteilung aus denen hervorgeht welches Verfahren angewandt wurde dies schlie t ein i eine Liste der grundlegenden Sicherheits und Gesundheitsschutzanforderungen die f r die Maschine gelten ii eine Beschreibung der zur Abwendung ermittelter Gef hrdungen oder zur Risikominderung ergriffenen Schutzma nahmen und gegebenenfalls eine Angabe der von der Maschine ausgehenden Restrisiken die
349. ldung 8 39 Personen Sais AA a ngs Automatisch gesteuerte F3 F2 Transportbewegung e 09m Palette station Palettierstation Prinzip der Absicherung des Palettenauslaufs mit Lichtschranke und Anord nung der Uberbriickungs sensoren F1 bis F4 153 Bei Spannungsausfall mit anschlie ender Wiederkehr oder bei unterbrochener Lichtschranke F5 und nicht aktiver ber br ckungsfunktion werden die Hilfssch tze K2 und K3 entregt Die jetzt nicht vorhandene Selbsthaltung verhindert deren Wiederanzug bei einem Wiederschlie en der berbr ckungsstromkreise Ein erneutes Ingangsetzen der Anlage kann nur ber das Aufheben der Wiederanlaufsperre d h durch willentliche Bet tigung und Entlastung des Starttasters S1 erfolgen F r das bestimmungsgem e Ingangsetzen bzw Wiederingangsetzen z B nach einer St rung der Anlage muss der Schl sselschalter S3 bet tigt werden Mithilfe des Totmann Tasters S4 kann eine Palette vom Bediener im St rfall aus dem Detektionsbereich der Lichtschranke und der berbr ckungssensoren herausgefahren werden F r einen st rungsfreien Ablauf des Palettentransportes durch die Auslass ffnung hindurch m ssen zwei Zeitvorgaben im SPS Programm auf die Geschwindigkeit der Transportbewegung abgestimmt werden Die Zeitvorgabe T1 bestimmt die maximale Zeitspanne innerhalb derer nach Aktivierung des Sensors F1 die Aktivierung des Sensors F2 und damit das Einleiten der berbr ckungsfunktion durch
350. le Verletzung F1 seltene Exposition oder kurze Dauer P2 Vermeidung der Gef hrdung kaum m glich 203 Beispiel 4 Rotationsdruckmaschine Abbildung A 4 Risikobeurteilung an einer Rotationsdruckmaschine In einer Rollenrotationsdruckmaschine wird eine Papierbahn durch eine Vielzahl von Zylindern gef hrt Insbesondere f r den Einsatz im Zeitungsdruck werden hohe Verarbeitungsgeschwin digkeiten und hohe Drehzahlen der Zylinder erreicht Wesentliche Gef hrdungen bestehen an den Einzugsstellen der gegenl ufigen Zylinder In diesem Beispiel wird eine Gefahrenstelle einer Druck maschine betrachtet an der zu Wartungsarbeiten manuelle Ein griffe bei reduzierten Maschinengeschwindigkeiten durchgef hrt werden Der Zugang zur Einzugsstelle wird durch eine Schutzt r Verschutzung gesichert Folgende Sicherheitsfunktionen sind vorgesehen SF1 Durch das ffnen der Schutzt r w hrend des Betriebs werden die Zylinder bis zum Stillstand abgebremst O SF 2 Bei ge ffneter Schutzt r d rfen Maschinenbewe gungen nur mit begrenzten Drehzahlen erfolgen O SF 3 Bei ge ffneter Schutzt r sind Bewegungen nur w hrend der Bet tigung eines Tipptasters m glich Ein Einzug zwischen die Zylinder f hrt zu schweren Verletzungen S2 Da T tigkeiten im Gefahrenbereich nur zu Wartungsarbeiten anfallen kann die H ufigkeit bzw Dauer der Gef hrdungsexpo sition mit selten bezeichnet werden F1 Die M glichkeit der gefahrbringenden Be
351. le von 1 66 10 Stunde Dies entspricht PL d 139 8 2 19 Verriegelungseinrichtung mit Zuhaltung Kategorie 3 PL d Beispiel 19 S3 E 4 START Schutzt r anzugsverz gert A Zu F1 Magnet Abbildung 8 32 Zuhaltung einer Schutzt r Federkraft bet tigte Zuhaltung ft Darstellung in bet tigter Stellung in kontaktbehafteter mit Fehlschlie sicherung ae Technik Kategorie 3 Sicherheitsfunktionen O Kein Entriegeln der Zuhaltung bei Drehzahl gr er Null O Verhindern eines unerwarteten Anlaufs aus dem Stillstand bei ge ffneter Schutzt r Funktionsbeschreibung O Der Zugang zu einer gefahrbringenden Bewegung wird durch eine Schutzt r mit Zuhaltung solange versperrt bis die Bewe gung zum Stillstand gekommen ist Das Schlie en der T r erfolgt durch formschl ssiges federkraftbet tigtes Einr cken eines Sperrbolzens der zum ffnen elektromagnetisch gezogen wird Die Stellung des Sperrbolzens wird ber den integrierten Positionsschalter B1 berwacht die Stellung der Schutzt r zus tzlich zur Erh hung der Manipulationssicherheit ber den Positionsschalter B2 Die Verriegelungseinrichtung mit integrierter federkraftbet tigter Zuhaltung besitzt zus tzlich eine Fehlschlie sicherung 140 O Die gefahrbringende Bewegung kann nur bei geschlossener Schutzt r und per Federkraft einger cktem Sperrbolzen ber den Starttaster S3 in Gang gesetzt werden Der Positionsschalter B1 ist dann entlastet Positionssch
352. lebensdauer im Sinne einer ausfallfreien Zeit Diese gemittelte Sichtweise schl gt sich auch darin nieder dass blicherweise keine Anpassung der Lebensdauerwerte an die Einsatzbedingungen z B Last Temperatur Klima erfolgt solange die Bauteile innerhalb ihrer spezifizierten Einsatzbedingungen eingesetzt werden Hier geht man blicherweise davon aus dass die h here Belastung in einer Anwendung eines Ger ts durch eine niedrigere Belastung in einer anderen Applikation wieder aus gemittelt wird Sind allerdings in allen Anwendungen erh hte Belastungen z B durch extreme Temperatur zu erwarten so m ssen diese Bedingungen bei der Bestim mung der MTTF ber cksichtigt werden Zeit legt nahe dass die Zuverl ssigkeit als Zeit im Sinne einer Lebensdauer angegeben wird blicherweise wird die MTTF in Jahren abgek rzt a angegeben Andere Notationsformen die in eine MTTF umgerechnet werden k nnen sind z B Ausfallraten oder Schaltspiele Ausfall raten werden blicherweise mit dem kleinen griechischen Buchstaben A Lambda bezeichnet und in der Einheit FIT 10 h d h Ausf lle in einer Milliarde Bauteil stunden notiert Die Beziehung zwischen A und MTTF ist bei einer ber die Lebensdauer konstanten Ausfallrate A mit MTTF 1 4 gegeben wobei die Umrechnung von Stunden auf Jahre nat rlich zu ber cksichtigen ist Bei Bauteilen die berwiegend durch ihre mechanische Bet tigung verschlei en
353. lemente Kategorie 3 mit hoher MTTF pro Kanal 70 Jahre und niedrigem DC 57 Damit ergibt sich eine avg mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 83 10 Stunde Dies entspricht PL d Die Berechnung der Wahrscheinlichkeit f r die Sicherheitsfunktion Verhindern eines unerwarteten Anlaufs aus dem Stillstand bei ge ffneter Schutzt r f hrt zu folgendem Ergebnis 142 MTTF F r den Positionsschalter B1 wird aufgrund der Zwangs ffnung ein B Wert von 20 000000 Zyklen N ange nommen Mit der oben angenommenen Nop 11520 Zyklen Jahr betr gt der zugeh rige MTTF Wert 17 361 Jahre F r den Positionsschalter B2 wird ein B Wert von 100000 Zyklen G siehe auch Tabelle D 2 angenommen der zugeh rige MTTF Wert betr gt 86 Jahre Fur Q1 und 02 gilt der B Wert von 400000 Zyklen N Mit der gleichen qe ergibt sich jeweils eine MTTF von 347 Jahren Diese Werte ergeben eine symmetrisierte MTTF pro Kanal von 85 Jahren DC ug Fehlerhafte Zust nde aller Elemente werden bei der angenommenen hohen Schalth ufigkeit jeweils mit einem DC von 99 z B ber Fehlererkennung durch den Prozess erkannt was somit auch zu einem Dove von 99 f hrt Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 70 Punkte siehe oben Die Kombination der Steuerungselemente entspricht Kategorie 4 mit hoher MTTF pro Kanal 85 Jahre und hohem DC ve 99 Damit ergibt sich eine mittlere Wahrscheinlichkeit ge
354. lerausschl sse vorhanden Beispiel f r gemeinsame Fehlerausschl sse an fluidischen Bauteilen Oo Wegeventile Die Fehlerannahme Nichtschalten oder nicht vollst n diges Schalten kann unter folgenden Voraussetzungen ausgeschlossen werden Zwangl ufige mechanische Bet tigung der bewegten Bau teile sofern die Bet tigungskraft ausreichend gro ist Bei hydraulischen Wegeventilen kann f r ein Patronensitzventil spezieller Bauart siehe Anmerkungen in DIN EN ISO 13849 2 Tabelle C 3 bezogen auf das Nicht ffnen ein Fehlerausschluss formuliert werden wenn es mit mindestens einem weiteren Ventil den Hauptvolumenstrom des Druckmediums steuert C2 1 2 Elektrische Bauteile Optokoppler DIN EN ISO 13849 2 Tabelle D 20 gibt an dass die Fehler annahme Kurzschluss zwischen zwei beliebigen Anschl ssen des Ein und Ausgangs unter folgenden Voraussetzungen ausgeschlossen werden Das verwendete Basismaterial sollte nach IEC 60249 und die Kriech und Luftstrecken sollten min destens nach IEC 60664 1992 Verschmutzungsgrad 2 Einsatz klasse Ill bemessen sein Hier handelt es sich offensichtlich um eine fehlerhafte Zuord nung von Anforderungen im Rahmen der Normerstellung Daher verwendet das BGIA als notifizierte Pr fstelle in der Praxis die beiden folgenden Anforderungen f r die Formulie rung eines Fehlerausschlusses die auch in IEC 61800 5 2 5 bernommen wurden Der Optokoppler ist aufgebaut in berein
355. lerausschlusses gibt z B IEC 61800 5 2 Tabelle D 16 O Die Standardkomponenten G1 und G2 soweit f r die Drehgeber zutreffend und T1 werden entsprechend den Hinweisen in Abschnitt 6 3 10 eingesetzt O Das Sicherheitsbauteil K1 erf llt alle Anforderungen f r Kategorie 3 und PL d Die Programmierung der Software SRASW erfolgt entsprechend den Anforderungen f r PL d und den Hinweisen in Abschnitt 6 3 O Es wird davon ausgegangen dass die Ausg nge der Sicherheits SPS jeweils von beiden Verarbeitungskan len der SPS angesteuert werden Ausnahme 03 Bemerkungen O Nach DIN EN 1010 1 gen gt bei Maschinen ohne betriebsm ig regelm igen Eingriff in Gefahrstellen auch der Einsatz eines zwangs ffnenden Positionsschalters nach DIN EN 60947 5 1 Anhang K je trennender verriegelter Schutzeinrichtung F r den Fehlerausschluss in diesem Zusammenhang ist die Installation des Schalters nach DIN EN 60204 1 Bedingung O F r die vollst ndige Realisierung des Tippbetriebs ist zus tzlich die Sicherheitsfunktion Kein unerwarteter Anlauf im Tipp betrieb zu betrachten Berechnung der Ausfallwahrscheinlichkeit O Der SRP CS wird in die beiden Subsysteme Sensor Aktor und SPS unterteilt F r das Teilsystem SPS wird eine gepr fte f r PL d taugliche Sicherheits SPS eingesetzt deren Ausfallwahrscheinlichkeit 1 5 10 Stunde G am Ende der Berechnung f r das Subsystem Sensor Aktor addiert wird Zur Aufstellung des Blockdiagramms siehe a
356. lgendes ber ck sichtigt wird O die technische Unwahrscheinlichkeit ihres Auftretens um Gr enordnungen geringere Wahrscheinlichkeit im Verh ltnis zu anderen m glichen Fehlern und der zu erreichenden Risikoreduzierung O die allgemein anerkannte technische Erfahrung unabh ngig von der betrachteten Anwendung und O die technischen Anforderungen in Bezug auf die Anwendung und auf die spezielle Gef hrdung Welche Bauteilfehler auftreten k nnen erl utert DIN EN ISO 13849 2 Dabei sind folgende Punkte zu beachten O Die Fehlerlisten stellen nur eine Auswahl dar daher m s sen wenn notwendig neue Fehlermodelle erstellt werden z B bei neuen Komponenten oder je nach Applikation weitere Fehlerarten ber cksichtigt werden Dies ergibt sich z B auf der Grundlage einer FMEA O Folgefehler werden zusammen mit dem ausl senden Erstfehler als ein einzelner Fehler bewertet genauso wie Mehrfachfehler die eine gemeinsame Ursache haben CCF Common Cause Failure O Das gleichzeitige Auftreten von zwei oder mehreren Fehlern unterschiedlicher Ursache gilt als h chst unwahrscheinlich und braucht deswegen nicht betrachtet zu werden Weitere Informationen zum Fehlerausschluss finden sich in Anhang C und im Teil 2 der DIN EN ISO 13849 Wenn Fehler ausgeschlossen werden bei denen der Ausschluss nicht unmit telbar einleuchtet z B das Abl sen von Leiterbahnen bei richtig dimensioniertem Platinenlayout muss eine genaue Begr ndu
357. liche Ausfallrichtung Ausfall systematischer systematischer Ausfall ME nee o E O 88 Ml ee ana coesmedaasssmaroesnececubeceds 37 70 Ausfallwahrscheinlichkeit Berechnung cccccccccccccccccceesesssssssesseececeecceeessceeeaeseessssssseeeeeeeeceeeeeeeeeeeas 85 ff B Ba Wer ee re 71 225 ff Bad awanne A aE E E EEEE N EAE UEN EE EEEE EE E S 221 AA A ee nenne re TEE EE 214 e ee ee ee 214 Bale LIES LS U UBET SU 25 socias iros 208 O o scares EE EA A A AA E E N A E 48 E CU AE ee ee AS 86 Benutzerimior matio M APP E A o O E SER EREEEIEEDAERIL E 82 Berechnung der Ausfallwahrscheinlichkelt occcccccooonononoooonccnnncnnnnncnncnnnnnononononnnnnononnncnnnnnnnnnnnnnnnns 85 ff ber hrungslos wirkende Schutzeinrichtung BWS ssssesceeeeeccccececceceeseeeeeeessssseeseeeeeeeeceeeeseeeeeas 144 ff ca O EAEE 55 239 Bet tigung zwangl ufige gt zwangl ufige Bet tigung Beiriebspeanspruch rai 48 ff Betriebshemmung nennen nn 241 f BEINIEDSS Ol O o ee 89 DEWARTIE Dal lidia 48 bew hrtes Sicherheitsprinzip sssssssssssssseeeeeeeeeeesssssssssssssssseeeeeceeeesssssssssssssssseceeeereeeesssssssssssssseeeeeeee 48 ff AA a 62 248 A PAPEETE A EE E E A E EEE A EAT EE vera ete cunenteeecaneuesecansyseuveasteteaaedusedeaes 50 ff 247 B E N ee ee ee E A AN 126 E E EI PA T ee use 98 ff 106 ff A PPP e UE o UE E 112 ff 144 f SU A er ee een 122 OO o n II ee 57 ff 130 ff BWS ber hru
358. liche Element eines Bauteils wird mechanisch in einer moglichen Position gehalten Reibung allein ist nicht ausreichend Um die Position zu verandern ist das Auf bringen von Kraft notwendig O Anwendung bew hrter Federn DIN EN ISO 13849 2 f hrt in Tabelle A 2 detaillierte Anforde rungen zu bew hrten Federn auf C4 3 Beispiele f r bew hrte Sicherheitsprinzipien in der Elektrik O Begrenzung elektrischer Parameter Begrenzung von Spannung Strom Energie oder Frequenz zum Vermeiden eines unsicheren Zustands O Vermeidung undefinierter Zust nde Undefinierte Zust nde im SRP CS sind zu vermeiden Der SRP CS ist so zu konstruieren dass sein Zustand w hrend des blichen Betriebs und unter allen zu erwartenden Betriebs bedingungen vorherbestimmt werden kann z B durch Ver wendung von Bauteilen mit definiertem Ansprechverhalten Schaltschwellen Hysterese und mit definierter zeitlicher Abfolge O Trennung von Nicht Sicherheitsfunktionen und Sicherheitsfunktionen Um unvorhergesehene Einfl sse auf Sicherheitsfunktionen auszuschlie en werden diese von Nicht Sicherheitsfunk tionen getrennt realisiert C4 4 Beispiele f r bew hrte Sicherheitsprinzipien in der Rechnertechnik Software DIN EN ISO 13849 2 beschreibt keine bew hrten Sicherheits prinzipien f r den Einsatz von programmierbaren Systemen bzw Software Als solche k nnen jedoch die sogenannten zus tz lichen Ma nahmen f r SRESW und SRASW nach den Abschnit
359. lie enden Weiterverwendung des DC u in der vereinfachten Quantifizierung durch das S ulendiagramm siehe Abschnitt 6 2 16 wird nur der jeweils untere Eckwert einer DC vg Klasse 0 60 90 oder 99 verwendet Hier greift also eine weitere Vereinfachung die auf einer Absch tzung zur sicheren Seite beruht Im Einzelfall kann es durch dieses grobe vereinfachte Raster allerdings zu Artefakten kommen wenn z B eine unzuverl ssige Komponente mit f r die SRP CS berdurchschnittlichem DC durch eine zuverl ssigere Komponente ersetzt wird n here Erl ute rungen dazu am Ende von Anhang G 6 2 15 Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache CCF Der letzte Parameter der bei der vereinfachten Quantifizierung der Ausfallwahrscheinlichkeit eine Rolle spielt betrifft Aus f lle infolge einer gemeinsamen Ursache CCF Common Cause Failure Dabei handelt es sich um korrelierte gefahrbringende Ausf lle z B in beiden Kan len eines redundanten SRP CS die auf eine einzige Ursache zur ckzuf hren sind Beispiele hierf r sind ung nstige Umgebungsbedingungen oder berbelastungen die beim Entwurf der Steuerung nicht ausreichend ber cksichtigt wurden Bei unzureichender Trennung der Kan le kann es dann zu gefahrbringenden Folgefehlern kommen die die beabsich tigte Einfehlertoleranz au er Kraft setzen Die Relevanz dieser Effekte in einem konkreten System l sst sich nur schwer quan titativ absch tzen siehe auch Anhang
360. ls je Stunde PFH WY a TANTS pl IN arate res o on E er 87 WY TMS CIM tose ae ee ee ee Se re ie 203 WV OID SARIS ELK R AI A EEN EE A seh aaeaen A E EEEN TE 225 ff WIS CA PAP nn o TEE ALTEREREERER 214 Wiederanlaufsperre sionista 190 MINES AI KEN a ern TE T N 55 Z zertifizierte Komponente ecceesesssseeseseessenssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnssnssnsssssssssnnnn 229 ZU SUSI A EE ee a E E E EE E 221 ZUNA LING ee ee ee ee Eee 140 f 227 ZAMS eid STIS Well LING een ee ee 65 TNS TANG SO LAN ee DI 2421 Z stimmungsschalter nen nee 227 PP A E O EAN ee een 221 ff Z verl ssigkeit der TesteinrichtUNng sisi nana occ 55 ZUVERIASSIOKEISKERNWEI Esad ai 227 zwangl ufige Bet tigung oia 215 A nou E O e o 122 Zweihandschaltung ZHS recitar iia ici 67 ff 186 ff 195 259
361. me T opel MTTF Bee BL SchlieBerkontakt des Tasters 52 99 High 578 71 E L schen BL ffnerkontakt des Tasters 1 99 High 578 7 ee BL Hifssch tz K3 99 High 578 7 1 2 Bibliothek Abbildung 8 57 PL Bestimmung mithilfe von SISTEMA 188 8 2 36 Verarbeitung von Signalen einer Lichtschranke Kategorie 4 PL e Beispiel 36 Ka Ka KA N Lichtschranke Lichtgitter Ausgange Abbildung 8 58 Elektromechanische Einbindung von sicherheitsrelevanten Signalen in die Maschinensteuerung S Sender aktiv wenn Klemmen T1 T2 E Empfanger Tee f durch Kontakte gebr ckt am Beispiel einer Licht T1 T2 Testeingang schranke bzw eines Lichtgitters Sicherheitsfunktion O Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Bleibende Stillsetzung einer gefahrbringenden Bewegung bei Zutritt zu einem Gefahrenbereich oder bei Eingriff in eine Gefahrenstelle sowie Anlauf und Wiederanlauf sperre Funktionsbeschreibung O Der Zutritt zu einem Gefahrenbereich oder Eingriff in eine Gefahrenstelle wird durch die Lichtschranke F2 detektiert Die sicherheitsrelevanten Ausgangssignale der Lichtschranke Schlie er F2 1 und F2 2 entregen die in versetzter Spulenanord nung an die Spannungsversorgung angeschlossenen Hilfssch tze K3 und K4 die die Freigabesignale x und y sperren Zur Aktivierung des Lichtschrankensenders werden bei bet tigter Starttaste S1 di
362. mechanik der Schlaffseilschalter ist sichergestellt K19 bis K21 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Die Programmierung der Software SRESW von K1 erfolgt entsprechend den Anforderungen f r PL d und den Hinweisen in Abschnitt 6 3 Bemerkungen Der Entwurf zu DIN 15560 46 fordert in Abschnitt 5 1 2 mindestens zwei Tragmittel um den Absturz eines Leuchtenh ngers und seiner Last zu verhindern In geeigneten Zeitabst nden sind Sichtpr fungen bzw Wartungen der Tragmittel vorzunehmen Die gezeigte Schaltungsstruktur ist in Teilen nicht explizit dazu ausgelegt m gliche Gef hrdungen durch ungewollte Bewegungen des Leuchtenh ngers unerwarteter Anlauf zu verhindern Die verwendete Schaltungsstruktur erreicht f r die betrachtete Sicherheitsfunktion wie die Berechnung der Ausfallwahr scheinlichkeit zeigt PL d Die Anwendung des Risikographen zur Bestimmung der erforderlichen Performance Level PL mit den Parametern S2 F1 und P1 f hrt nach DIN 15560 46 Abschnitt B 1 1 3 3 unter der Voraussetzung dass der Betrieb mit Beaufsichtigung erfolgt und dass die Leuchtenh nger nur von Fachleuten betrieben werden auf einen PL c Ist dies nicht der Fall ist PL d erforderlich Berechnung der Ausfallwahrscheinlichkeit Zur besseren bersicht werden in Abbildung 8 23 Bauteile zu Bl cken zusammengefasst K9 bis K15 beinhalten je einen Optokoppler und zwei Widerst nde K16 bis K18 beinhalten zu
363. men Diese Werte ergeben eine MTTF jedes Kanals von 31 4 Jahren hoch DC vg Nach DIN EN ISO 13849 1 Anhang E ergeben sich als DC Werte f r 1 S2 99 Kreuzvergleich von Eingangssignalen ohne dynamischen Test mit h ufigem Signalwechsel f r K1 K2 90 Selbsttest durch Software und Kreuzvergleich f r K3 bis K6 99 direkte berwachung ber zwangsgef hrte Kontakte f r 1V3 2V1 99 indirekte berwachung durch den Druck sensor und f r 1V4 2V2 99 indirekte berwachung durch die Funktion und Messung einer ge nderten Druckabfallzeit Diese Werte ergeben einen DC von 98 6 hoch Tabelle 6 7 O Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der Steuerungselemente entspricht Kategorie 4 mit hoher MTTF pro Kanal 31 4 Jahre und DC avg 98 6 im brian von hoch Damit ergibt sich eine durch schnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls von 9 7 10 8 Stunde Dies entspricht PL e Um die MTTF Ermittlung zu erl utern sei zun chst der Block K1 vorgestellt Obwohl das Prinzipschaltbild Abbildung 6 15 nur den Mikrocontroller zeigt umfasst dieser Block weitere Elemente die f r die praktische Funktion notwendig sind z B Schwingquarz Alle Elemente deren gefahrbringender Ausfall die Ausf hrung der Sicherheitsfunktion im be
364. ments In einer aufwendigen FMEA k nnen alle denk baren Ausfallarten aufgelistet jeweils als ungef hrlich oder gefahrbringend bewertet und in der anteiligen H ufigkeit ihres Auftretens gesch tzt werden Da die Auswirkungen eines Bauteilausfalls auf den Block ber die sichere oder unsichere Ausfallrichtung entscheiden sind unter Umst nden detaillierte Analysen des von einem Ausfall hervorgerufenen Effekts n tig Daf r entpuppen sich vielleicht mehr Ausfallarten als sicher als bei einer vereinfachten Bewertung wie DIN EN ISO 13849 1 sie vorschl gt Beim Parts Count Verfahren wird mit einem konser vativen Ansatz pauschal davon ausgegangen dass sich unge f hrliche und gefahrbringende Anteile die Waage halten Daher wird die MTTF hier immer als doppelt so gro angenommen wie die MTTF sofern keine genaueren Informationen vorliegen Grundlage ist wieder das Prinzip des statistischen Mittels d h eine zu g nstige Bewertung eines Bauelements wird durch eine zu pessimistische eines anderen Bauelements wettgemacht Es ist durchaus m glich das Parts Count Verfahren und eine FMEA zu kombinieren Dort wo die Werte allein durch Parts Count zu einer ausreichend kleinen PFH f hren muss keine FMEA vorge nommen werden Gelingt es jedoch nicht dann ist insbesondere an den Bauteilen die schlechtere MTTF Werte aufweisen eine Untersuchung der Ausfallrichtungen hilfreich z B durch eine partielle FMEA Weite
365. modus durch zwangs ffnende Kontakte Als bew hrtes Bauteil muss der Schalter den Anforderungen der DIN EN 60947 5 1 Anhang K 15 entsprechen O Weitere nicht komplexe und nicht programmierbare Bauteile deren Ausfallarten vorhersehbar sind Beispiele sind passive Bauteile Widerst nde Dioden Transistoren Thyristoren Operationsverst rker und Spannungsregler Literatur 1 DIN EN ISO 13849 2 Sicherheit von Maschinen Sicherheits bezogene Teile von Steuerungen Teil 2 Validierung 12 03 Beuth Berlin 2003 2 ei DIN EN 61496 1 Sicherheit von Maschinen Ber hrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforde rungen und Pr fungen 01 05 Beuth Berlin 2005 3 DIN EN 60947 5 3 Niederspannungsschaltgerate Teil 5 3 Steuerger te und Schaltelemente Anforderungen fur Nahe rungsschalter mit definiertem Verhalten unter Fehlerbedin gungen PDF 11 05 Beuth Berlin 2005 4 B mer T Grigulewitsch W K hlem W Meffert K Reu G Fehlerlisten f r sicherheitsbezogene Bauelemente Bei der Pr fung unterstellte Fehlerarten Kennzahl 340 220 In BGIA Handbuch Sicherheit und Gesundheitsschutz am Arbeitsplatz 48 Lig V 06 Hrsg Berufsgenossenschaftliches Institut f r Arbeitsschutz BGIA Sankt Augustin Erich Schmidt Berlin 1985 Losebl Ausg www bgia handbuchdigital de 340220 5 DIN EN 61800 5 2 VDE 0160 105 2 Elektrische Leistungs antriebssy
366. mrichters mit sicherer Impulssperre ist der Einsatz des Leistungssch tzes Q1 zum Abschalten der Versorgungsspannung nicht unbedingt erforderlich Der Frequenzumrichter muss zum Antreiben und Bremsen geeignet sein O Die Hilfssch tze K1 und K2 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L O Die Kontakte der Taster S1 und S4 sind zwangs ffnend ausgef hrt entsprechend DIN EN 60947 5 1 Anhang K O Die Standardkomponenten K4 und T1 werden entsprechend den Hinweisen in Abschnitt 6 3 10 eingesetzt O Die Programmierung der Software SRASW erfolgt entsprechend den Anforderungen f r PL c herabgestuft wegen Diversit t und den Hinweisen in Abschnitt 6 3 O Ist die Bremse Q2 nur aus funktionalen Gr nden vorhanden und somit an der Ausf hrung der Sicherheitsfunktion nicht beteiligt wird sie wie in diesem Beispiel bei der Berechnung der Ausfallwahrscheinlichkeit nicht ber cksichtigt Diese Vorgehensweise setzt voraus dass ein Austrudeln des Antriebs bei einem Versagen von Tla s u und somit bei alleiniger Abschaltung ber die Impulssperre nicht mit einem verbleibenden inakzeptabel hohen Risiko verbunden ist Die Beteiligung einer Bremse bei der Ausf hrung der Sicherheitsfunktion im Zusammenhang mit dem Einsatz eines FU ist im Beispiel Karussellt rsteuerung Beispiel 23 siehe Seite 156 ff beschrieben O Die BWS K3 erf llt z B als Lichtgitter die Anforderungen f r Typ 4 nach DIN EN 61496 1 und DIN CLC TS
367. mse im Stillstand b Verhindern einer Quetschstelle infolge der Absenkung von Maschinenteilen c Leistung des Schneidlasers bei direkter Exposition am Auge absenken d Verhinderung des Absturzes der Achse im Einrichtbetrieb e Ausweichen des Roboters bei Betreten seines Gefahrenbereiches Von Risikoanalyse DIN EN ISO 12100 Identifizieren der Sicherheitsfunktionen SF Festlegen der Eigenschaften jeder SF f r jede SE zu Realisierung und PL Ermittlung Abb 6 1 f Verhinderung des Einzugs von Personen g Unterbrechung der durch Zwei Hand Bedienung gesteuerten Schlie bewegung bei Eingriff einer zweiten Person in den Gefahrenbereich Ausl sung durch Lichtgitter H ufig verwendet man zusammengesetzte Sicherheitsfunk tionen wie im Beispiel in Abschnitt 5 7 siehe Seite 32 Durch die elektronische Ansteuerung wird die Bewegung zun chst bis zum Stillstand abgebremst und anschlie end f llt eine mecha nische Haltebremse ein Hinweise zu m glichen Sicherheits funktionen geben die folgenden Tabellen In Tabelle 5 1 sind die Sicherheitsfunktionen nach Abschnitt 5 1 der DIN EN ISO 13849 1 zusammengefasst und um Beispiele f r m gliche Anwendungen erg nzt Hier ist auch die Funktion zum Stillsetzen im Notfall enthalten die zwar kein Bestandteil einer Schutzeinrichtung ist aber zur Realisierung einer erg nzenden Schutzma nahme verwendet wird siehe Abschnitt 5 5 Tabelle 5 2 siehe Seite 28 zeigt weitere S
368. n O Ein stabiler Aufbau der Schutzeinrichtung zur Bet tigung der Positionsschalter ist sichergestellt O Der Schalter B1 ist ein Positionsschalter mit zwangs ffnendem Kontakt entsprechend DIN EN 60947 5 1 Anhang K O Der handels bliche Sicherheitsbaustein K2 erf llt alle Anforderungen f r Kategorie 4 und PL e O Die Zuleitungen zu den Positionsschaltern sind getrennt oder gesch tzt verlegt F r K1 wird eine handels bliche SPS ohne Sicherheitsfunktionen verwendet O Die Ventile 1V4 und 1V5 haben eine Sperr Mittelstellung bzw Sperr Stellung mit ausreichender positiver berdeckung Federzentrierung bzw r ckstellung und sind stellungs berwacht O Die sicherheitsgerichtete Schaltstellung wird jeweils durch Wegnahme des Steuersignals erreicht Berechnung der Ausfallwahrscheinlichkeit O K2 wird als Subsystem mit einer Ausfallwahrscheinlichkeit von 2 31 10 Stunde H betrachtet Der brige Steuerungsteil wird getrennt nach Elektromechanik und Hydraulik zu zwei Subsystemen der Kategorie 4 zusammengefasst deren Ausfall wahrscheinlichkeit im Folgenden berechnet wird MTIF F r den Positionsschalter mit Zwangs ffnung B1 ist ein Fehlerausschluss f r den elektrischen Kontakt m glich F r den elektrischen Schlie erkontakt von Positionsschalter B2 betr gt B 1000000 Schaltspiele H F r den mechanischen Teil von B1 und B2 wird ein B Wert von 1000000 Zyklen H angegeben Bei 365 Arbeitstagen 16 Arbeitsstunden pro Tag
369. n nung sicherheitsbezogener Funktionen von anderen Funktionen Nicht Sicherheitsfunktionen so auch DIN EN ISO 13849 2 und zwar z B als bew hrtes Sicherheitsprinzip f r Elektrik unter dem Stichwort Verringerung von Fehlerm glichkeiten Diese Anforderung gilt sowohl f r Hardware als auch f r Software Gleichwohl kann es Gr nde geben die eine g nzliche Trennung nicht sinnvoll erscheinen lassen In diesen F llen ist zumindest zu erreichen dass es klar definierte funktionale und technische Schnittstellen gibt mit deren Hilfe R ckwirkungen auf den sicherheitsrelevanten Teil vermeidbar bzw auch beherrschbar werden Anschaulich l sst sich diese Anforderung am Beispiel der Erstellung von Anwendungssoftware darstellen Die weitest gehende Art der Trennung von Standard Anwendungssoftware und sicherheitsrelevanter Anwendungssoftware SRASW siehe Abschnitt 6 3 ist nat rlich diese mit getrennten Programmier systemen sogenannte Engineering Suiten zu erstellen und auf verschiedenen SPS Speicherprogrammierbaren Steuerungen ablaufen zu lassen Insbesondere aus wirtschaftlichen Gr nden wird man jedoch versuchen die gesamte Anwendungssoftware mit nur einem Programmiersystem und ggf in einem gemein samen Engineering Ablauf zu erstellen Dabei sind allerdings eine Vielzahl von Aspekten zu ber cksichtigen z B die Anfor derung dass sicherheitsrelevante Variablen Ergebnisse oder Ausg nge nicht von nicht sicherheitsrelevanten So
370. n Diese Werte ergeben eine symmetrisierte MTTF pro Kanal von 72 Jahren hoch 145 o Dee Fehlererkennung durch den Prozess f hrt auf DC 30 f r K4 auf DC 90 f r T a und auf DC 60 f r T1b DC 99 f r K1 und DC 60 f r C1 folgen durch Testung des Zeitglieds bei spannungsfreiem FU F r K2 gilt DC 99 durch Plausibilitatstest in K4 mit dem Schaltzustand von S4 Die Mittelungsformel f r DC ergibt 56 9 im Toleranzbereich von niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 85 Punkte Trennung 15 Diversit t 20 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der Steuerungselemente entspricht Kategorie 3 mit hoher MTTF pro Kanal 72 Jahre und niedrigem DC 57 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 76 10 Stunde Dies entspricht PL d Sicheres Stillsetzen ausgel st durch die BWS K3 e Die BWS K3 liegt als gepr ftes Sicherheitsbauteil vor Ihre Ausfallwahrscheinlichkeit betr gt 3 0 1078 Stunde H und wird am Ende der Berechnung addiert F r die zweikanalige Struktur SPS Elektromechanik wird die Ausfallwahrscheinlichkeit mit den gleichen MTTF_ und DC Werten wie oben beschrieben berechnet Das Bauteil K2 ist an der Ausf hrung dieser Sicherheitsfunktion jedoch nicht beteiligt Es ergeben sich folgende Werte MTTF eines Kanals 72 Jahre hoch und DC 56
371. n siehe auch Anhang C dieses Reports Die Fehlerlisten st tzen sich auf langj hrige Erfahrungen Eine vollst ndige Referenzierung der zur Anwendung kommen den Fehlerlisten und Fehlerausschl sse ist erforderlich Je nach Produkt und angewandter Technologie sollen eigene Fehlerlisten und Fehlerausschl sse in vergleichbarer Weise erg nzt werden Dies trifft insbesondere auf Bauteile und Baugruppen zu die in den Fehlerlisten der DIN EN ISO 13849 2 nicht enthalten sind Alle Fehlerausschl sse m ssen ausreichend begr ndet sein 7 1 4 Dokumente Wie Abbildung 7 2 zeigt sind f r V amp V Aktivit ten eingehende Dokumentationen erforderlich Dies sind Dokumente die im Rahmen der Entwicklung entstanden sind und die sich je nach angewendeter Technologie unterscheiden k nnen Zusammen gefasst sollten in ausreichendem Ma e folgende Inhalte ber ck sichtigt sein Spezifikation aller Anforderungen an die Sicherheitsfunk tionen sowie die Anforderungen an SRP CS die diese Sicherheitsfunktionen ausf hren sollen Leistungskriterien Auflistung aller realisierter Betriebsarten ausf hrliche Funk tionsbeschreibungen Ablaufbeschreibungen O Betriebs und Umgebungsbedingungen mit Sch rfegraden Bemessungsdaten der anzuwendenden Normen die sich aus den angestrebten Anwendungen ergeben O Konstruktionsbeschreibung der SRP CS mit Spezifika f r ein gesetzte mechanische elektrische elektronische hydraulische und pneumatische Kompone
372. n Kategorie 4 ist dar ber hinaus die Widerstandsf higkeit gegen ber einer Anh ufung von unbemerk ten Fehlern gegeben Kategorien B und 1 wird die Widerstandsf higkeit gegen Fehler berwiegend durch die Auswahl und Verwendung geeigneter Bauteile erreicht Beim Auftreten eines Fehlers kann die Sicher heitsfunktion unwirksam werden Kategorie 1 hat gegen ber Kategorie B eine h here Widerstandsf higkeit gegen Fehler durch die Verwendung besonderer sicherheitstechnisch bew hrter Bauteile und Prinzipien Tabelle 6 2 Zusammenfassung der Anforderungen f r Kategorien die drei rechten Spalten zeigen die wesentlichen nderungen gegen ber der Kategoriedefinition der alten Normfassung Kategorie 46 Zusammenfassung der Anforderungen SRP CS en und oder ihre Schutzeinrichtungen sowie ihre Bauteile m ssen in ber einstimmung mit den zutreffenden Normen so gestaltet gebaut ausgew hlt zusammengebaut und kombiniert werden dass sie den zu erwartenden Einfl ssen standhalten k nnen Grundlegende Sicherheitsprinzipien m ssen verwendet werden Die Anforderungen von B m ssen erf llt sein Bew hrte Bauteile und bew hrte Sicherheitsprinzipien m ssen angewendet werden Systemverhalten Das Auftreten eines Fehlers kann zum Verlust der Sicherheits funktion f hren Das Auftreten eines Fehlers kann zum Verlust der Sicherheits funktion f hren aber die Wahr scheinlichkeit des Auftretens is
373. n Lichtschranke Ple Je Ec PFH I A 3 6 Subsystem BGIA Y Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke Kanal 1 _MITTFd al BL Lichtschranke F1 60 Low 100 High BL Lichtschranke F2 60 Low 100 High BL Lichtschranke F3 60 Low 100 Hiah BL Hilfssch tz K2 99 High 1302 08 Inhalte der Kan le vertauschen Kanal Hinzuf gen I Name IT oc mtaja wl L schen El Bearbeiteri SB Bibliothek Abbildung 8 17 PL Bestimmung mithilfe von SISTEMA 111 8 2 10 Sicheres Stillsetzen eines SPS gesteuerten Antriebs mit Not Halt Kategorie 3 PL c Beispiel 10 s3 E NOT HALT Kette ss 4 4 7 HOT HALT Sicherheitsschaltger t Ausg nge 01 Frequenz a 3 YTA umrichter 1 F 52 E STOPP EN 7 otart Stopp Abbildung 8 18 Stillsetzen eines SPS abfallverz gert 01 2 Abschaltpfad K2 5 gesteuerten Frequenz verz gert umrichter Antriebs nach einem Stopp oder Not Halt Befehl Sicherheitsfunktion O Sicherheitsbezogene Stoppfunktion bzw Not Halt Funktion Nach einem Stopp oder Not Halt Befehl wird der Antrieb angehalten SS1 Sicherer Stopp 1 Funktionsbeschreibung O Die gefahrbringende Bewegung wird redundant unterbrochen falls entweder die Stopp Taste S1 oder eines der Not Halt Ger te S3 bzw S4 bet tigt wird Das Stillsetzen des
374. n Maschinen Elektrische Ausr stung von Maschinen Teil 1 Allgemeine Anforderungen IEC 60204 1 2005 modifiziert Abschnitt 9 4 3 Schutz gegen fehlerhaften Betrieb durch Erdschl sse Spannungsunter brechungen und Verlust der elektrischen Durchg ngigkeit Beuth Berlin 2007 Neu fen W Spsichem Schlieben Hl Bibliothek gt Drucken 9 Hite Wizard N mf 5 A E oe Engabemasken E Zusammenfassung Ely Projekte E PR 36 Verarbeitung von Signalen einer Lichtscl Subsystem BGIA ww x El SF Sicherheitsbezogene Stopptunktion er ct BB COS Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke E SB Aktoren CH Kanal 1 Kanal El BL Hilfssch ltz K3 A EL Hilfssch tz K3 Hinzuf gen MTTFd a CH Kanal 2 a L schen BL Hilsschutz K3 39 High 75 76 High Eb BL Hilfssch ltz K4 a EL Hilfsschutz Kd Fa Bearbeiten TE Toskana 2 Bibliothek O CP Inhalte der Kan le vertauschen Kanal 2 Plr p i ol E Hinzuf gen Name ei MTT Fafa A BL Hilfsschutz K4 99 High 75 76 High PFH 1h 6 37E 8 L schen 4 Bearbeiten 2 Bibliothek Abbildung 8 59 MTTFd a 75 76 High PL Bestimmung mithilfe DCawg 33 High A von SISTEMA A 192 8 2 37 Planschneidemaschine mit programmierbar elektronischer Logiksteuerung Kategorie 4 PL e Beispiel 37 Mikro Pressbalken controller 2 1A AAA SANTAT NA S
375. n R cklesekontakt oder eine Stellungs ber wachung erkannt und sicher abgefangen wird O Unerkennbar gefahrbringende Ausf lle du dangerous undetectable Diese potenziell gefahrbringenden Ausf lle werden nicht erkannt Beispiel unbemerktes Geschlossen bleiben eines Sch tzes oder Offenbleiben eines Ventils wodurch bei einer Anforderung eines sicher abgeschalteten Moments kein Stillsetzen einer gefahrbringenden Bewegung erfolgt Bei mehrkanaligen Systemen wird die Bezeichnung gefahr bringender Ausfall im Hinblick auf einen einzelnen Kanal verwendet obwohl damit noch kein gefahrbringender Systemausfall gegeben sein muss dd und du lassen sich zur Gruppe der gefahrbringenden Ausf lle d dangerous zusam menfassen Auch die ungef hrlichen Ausf lle k nnen erkennbar oder unerkennbar sein was aber unerheblich ist da in beiden F llen der sichere Zustand eingenommen wird Der Diagnosedeckungsgrad bestimmt sich durch den Anteil der erkennbaren gefahrbringenden Ausf lle dd an allen gefahr Abbildung E 1 Illustration des Diagnosedeckungsgrades bringenden Ausf llen d und wird meist als Prozentzahl notiert Zu seiner Berechnung z B im Zusammenhang mit einer FMEA Ausfalleffektanalyse siehe Anhang B werden die aufsum mierten Ausfallraten A und A der Betrachtungseinheit zuein ander ins Verh ltnis gesetzt Hier zeigt sich dass der DC eine Kenngrofe ist die der getesteten Einheit z B Block
376. n S ulen Generell kann dadurch eine starke Herabstufung von DC vermieden und oft ein genauerer und zugleich besserer PFH Wert ermittelt werden Literatur 1 DIN EN 954 1 Sicherheitsbezogene Teile von Steuerungen Teil 1 Allgemeine Gestaltungsleits tze 03 1997 Beuth Berlin 1997 2 y Goble W M Control systems safety evaluation and reliability 2nd ed Hrsg Instrumentation Systems and Automation Society ISA Research Triangle Park North Carolina 1998 3 i DIN EN 61508 1 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer programmierbarer elektronischer Systeme Teil 1 Allgemeine Anforderungen IEC 61508 1 1998 und Corrigendum 1999 11 02 Beuth Berlin 2002 4 ul DIN EN 61508 5 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer programmierbarer elektronischer Systeme Teil 5 Beispiele zur Ermittlung der Stufe der Sicherheitsintegrit t safety integrity level IEC 61508 5 1998 und Corrigendum 1999 11 02 Beuth Berlin 2002 5 Schaefer M Hauke M Performance Level Calculator PLC 3 Aufl Hrsg BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Sankt Augustin Zentral verband Elektrotechnik und Elektronikindustrie ZVEI e V Fachverband Automation Frankfurt am Main und Verband Deutscher Maschinen und Anlagenbau e V VDMA Frank furt am Main im M rz 2008 www dguv de bgia Webcode d3508
377. n Sicherheitsfunktion en 4 Sicherheitsfunktionen Angaben gelten f r jede Sicherheitsfunktion Funktionsbeschreibung Erfassen Verarbeiten Ausgeben einschlie lich aller funktionaler Eigenschaften siehe auch Tabellen 5 1 und 5 2 Aktivierungs Deaktivierungsbedingungen oder ereignisse z B Betriebsarten der Maschine Verhalten der Maschine beim Ausl sen der Sicherheitsfunktion zu ber cksichtigende Wiederanlaufbedingungen Leistungskriterien Leistungsdaten Ablauf zeitliches Verhalten der Sicherheitsfunktion mit Reaktionszeit H ufigkeit der Bet tigung d h Anforderungsrate Erholungszeiten nach Anforderung sonstige Daten einstellbare Parameter soweit vorgesehen Einordnung und Zuordnung von Priorit ten bei gleichzeitiger Anforderung und Bearbeitung mehrerer Sicherheitsfunktionen funktionales Konzept zur Trennung bzw Unabh ngigkeit R ckwirkungsfreiheit zu Nicht Sicherheitsfunktionen und weiteren Sicherheitsfunktionen 5 Vorgaben f r den SRP CS Entwurf 5 1 Zuweisung durch welche SRP CS und in welcher Technologie die Sicherheitsfunktion realisiert werden soll vorgesehene Betriebsmittel 5 2 Auswahl der Kategorie vorgesehene Architektur Struktur als sicherheitsbezogenes Blockdiagramm mit Beschreibung 5 3 Schnittstellenbeschreibung Prozessschnittstellen interne Schnittstellen Bedienerschnittstellen Bedien und Anzeigeelemente usw 5 4 Einschaltverhalten Umsetzung des erforderlichen Anl
378. n allgemein aber auch technologiebezogen darstellen Die allgemeinen grundlegenden Sicherheitsprinzipien gelten dabei vollst ndig f r alle Technologien w hrend die technologiebezogenen Prin zipien zus tzlich f r die jeweilige Technologie erforderlich sind Da Kategorie B die Basiskategorie f r jede andere Kategorie ist siehe Tabelle 6 2 sind die grundlegenden Sicherheitsprinzipien generell bei der Konstruktion sicherheitsrelevanter Teile von Steuerungen und oder Schutzeinrichtungen anzuwenden F r die Bauteile die mit Kategorie B bereinstimmen sind keine weitergehenden besonderen sicherheitstechnischen Ma nah men erforderlich Daher kann die MTTF jedes Kanals niedrig oder mittel sein Definition von niedrig und mittel siehe weiter unten Tritt ein Bauteilausfall auf kann er zum Verlust der Sicherheitsfunktion f hren Es sind keine berwachungsma nahmen gefordert d h auch kein DC Auch Ausf lle infolge gemeinsamer Ursache k nnen bei einkanaligen Steuerungen nicht ber cksichtigt werden daher werden keine Anforderungen hinsichtlich CCF gestellt Wegen dieser sehr rudiment ren Widerstandsf higkeit gegen Ausf lle ist der maximal erreichbare PL von Kategorie B Syste men grunds tzlich auf PL b beschr nkt Die vorgesehene Architektur f r Kategorie B in Abbildung 6 5 entspricht einem einkanaligen System mit Eingabe Input Verarbeitungs Logik L und Ausgabeebene Output 0 48 Abbil
379. n einem Sicherheitsbaustein K1 der zwei redundante Hilfssch tze K2 und K3 ansteuert Die Not Halt Ger te werden zur Fehlererkennung redundant in den Sicherheitsbaustein K1 eingelesen Dieser verf gt au er dem ber interne Testma nahmen Die Hilfssch tze K2 und K3 werden mithilfe zwangsgef hrter R cklesekontakte ebenfalls in K1 berwacht Ein Schalten von K2 und K3 erfolgt bei jedem Startbefehl durch den Schalter S4 ca zweimal pro Monat Eine Fehlerh ufung von mehr als zwei Fehlern zwischen zwei aufeinander folgenden Bet tigungszeitpunkten kann zum Verlust der Sicherheitsfunktion f hren Es wird nicht unterstellt dass mehr als ein Not Halt Ger t gleichzeitig gedr ckt wird Konstruktive Merkmale 172 Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Bei den Not Halt Ger ten S1 S2 53 handelt es sich um Schaltger te mit zwangs ffnenden Kontakten entsprechend DIN EN 60947 5 1 Anhang K Die Zuleitungen zu den Schaltger ten sind gesch tzt verlegt Der Sicherheitsbaustein K1 erf llt alle Anforderungen f r Kategorie 4 und PLe K2 und K3 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Bemerkung Die Not Halt Funktion ist eine erg nzende Schutzma nahme nach DIN EN ISO 12100 2 2004 Berechnung der
380. n individuell erg nzten zu betrachtenden Fehler und zul ssiger Fehlerausschl sse ein schlie lich deren hinreichender Begr ndung Die Anh nge im Teil 2 der Norm siehe auch Anhang C dieses Reports geben detaillierte Hilfe bei den vier letztgenannten Analysen 7 3 2 Validieren der MTTF Werte Die zur Bestimmung des PL herangezogenen MTTF Werte sollten mindestens auf ihre Plausibilit t berpr ft werden Dazu z hlt typischerweise die Beurteilung ob geeignete Quellenangaben zur Herkunft der Werte benannt werden Bei den dominanten Bauteilen und stichprobenartig bei allen anderen Bauteilen ist es ratsam auch die genaue Begr ndung der Werte nachzuvoll ziehen Dazu k nnen u a die in Abschnitt 6 2 12 und Anhang D genannten Datenquellen herangezogen werden 7 3 3 Validieren der DC Werte Der den Bl cken durch Testma nahmen zugewiesene Diagnose deckungsgrad DC muss nachvollziehbar begr ndet sein Gepr ft werden auch hier typischerweise die Angaben zur Herkunft der Werte d h dar ber ob die ermittelten Werte glaubw rdig oder eher zweifelhaft sind Wie bei den MTTF Werten ist stichproben artig oder f r die dominanten Bauteile das Nachvollziehen der Begr ndung sinnvoll In Anhang E sind Hinweise zur Absch t zung der DC Werte zu finden F r die realisierte Konstruktion gilt es zu pr fen ob die beschriebenen Diagnosema nahmen umgesetzt wurden Dazu ist es zumeist erforderlich in der Entwicklungsdokumentation die
381. n ist eine Vielzahl komplexer Fehler denkbar sodass auch an die Komplexit t der Tests entsprechende Anforderungen gestellt werden Hier verlangt DIN EN ISO 13849 1 falls mehr als 60 DC f r die programmierbare oder komplexe Logik gefordert werden mindestens eine Ma nahme f r variante Speicher invariante Speicher und die Verarbeitungseinheit soweit vorhanden mit mindestens je 60 DC Sind die DC Werte aller Bl cke schlie lich bekannt wird der DC vg Wert f r das System mit der N herungsformel 4 berechnet Diese gewichtet die einzelnen DC mit der zugeh rigen MTTF denn sehr zuverl ssige Teile hohe MTTF sind weniger auf wirksame Tests angewiesen als unzuverl ssigere Teile die Summen in Z hler und Nenner werden ber N Bl cke des gesamten Systems gebildet DC DC DC MTTF MTTF MTTF DC 4 1 1 1 MTTF MTTF MTTF i Mit dem DC Wert steht schlie lich ein Kennwert bereit der im Mittel ber die gesamten SRP CS das Qualit tsniveau der Test und berwachungsma nahmen beschreibt Bevor dieser Wert neben der Kategorie f nf Klassen und der MTTF jedes Kanals drei Klassen in die vereinfachte Quantifizierung des PL eingeht erfolgt eine Einordnung in eine der vier Klassen in Tabelle 6 4 Tabelle 6 4 Die vier Klassen des Diagnosedeckungsgrades im vereinfachten Ansatz der DIN EN ISO 13849 1 DC Diagnosedeckungsgrad Bezeichnung Bereich Bei der ansch
382. nal des Laserscanners wird zweikanalig in die Sicherheits SPS K1 eingelesen Nach jeder Schutzfeldverletzung muss eine erneute Bewegung durch die Bet tigung eines in K1 ausgewerteten Start Tasters freigegeben werden Wiederanlaufsperre K1 steuert mithilfe des hydraulischen Steuerungsteils die Bewegung von 1A Der hydraulische Steuerungsteil ist zweikanalig aufgebaut Der erste Kanal besteht aus dem Wegeventil 1V3 das auf das entsperrbare R ckschlagventil 1V4 wirkt In gesperrter Stellung blockiert 1V4 Bewegungen von 1A Der zweite Kanal besteht aus dem Richtungsventil 1V5 das in Sperr Mittelstellung ebenfalls eine Bewegung von 1A verhindert 1V5 wird zyklisch angesteuert 1V3 und 1V4 schlie en nur bei einer Verletzung des Schutzfeldes Als Ma nahme zur Fehlererkennung ist an 1V4 eine direkte Stellungs berwachung 153 vorgesehen die in K1 ausgewertet wird Fehler in 1V5 k nnen funktionsbedingt ber den Prozess erkannt werden Die Anh ufung unentdeckter Fehler im hydraulischen Steuerungsteil kann zum Verlust der Sicherheitsfunktion f hren 128 153 Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Fehler in den Anschlussleitungen von F1 und K1 d rfen sich nicht gef hrlich auswirken Hierzu werden auftretende Fehler erkannt und d
383. nals A wird blicher weise mit B bezeichnet Common Cause Faktor oder auch Beta Faktor Kanal 2 A Kanal 1 A Die exakte Berechnung des Beta Faktors f r eine konkrete Steue rung ist nahezu unm glich besonders da dies im Vorfeld vor der eigentlichen Konstruktion geschehen soll DIN EN 61508 6 1 bedient sich dazu eines Punkteschemas um B Werte zwischen 0 5 und 10 zu ermitteln In einer langen Liste aus nach verschiedenen Ursachen sortierten Ma nahmen werden Punkte vergeben die in der Summe nach Anwendung einiger Regeln zu einem B Sch tzwert f hren DIN EN ISO 13849 1 greift diese Methode auf sowohl vereinfacht als auch f r den Maschi nenschutz angepasst Die Vereinfachung wurde auf der Basis von technischen Ma nahmen vorgenommen die von Experten als besonders hilfreich zur CCF Vermeidung angesehen wurden Es handelt sich allerdings um einen Kompromiss der nicht wissen schaftlich aber empirisch begr ndet werden kann O Die Liste der CCF Gegenma nahmen wurde auf die im Maschinenschutz relevanten und haupts chlich technischen L sungen konzentriert O Statt mehrerer m glicher B Werte wurde ein einziger Ziel wert von h chstens 2 ausgew hlt der nur entweder erreicht oder verfehlt werden kann Die vereinfachte Methode zur Bestimmung des Performance Levels nach DIN EN ISO 13849 1 basiert auf der Annahme eines Beta Faktors von 2 CCF Common Cause Failure eine Ursache f hrt zum Ausfall beider K
384. nction on Demand w hrend die Definition f r die Betriebsart mit hoher Anforderungsrate oder bei kontinuierlicher Anforderung als Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde PFH Probability of a Dangerous Failure per Hour erfolgt weitere Informationen siehe auch 14 Im Maschinenbereich und damit in DIN EN 62061 ist nur die zweite Definition relevant Auch sind SIL 4 Systeme mit h heren Risiken im Maschinenbereich nicht bekannt und werden daher in DIN EN 62061 nicht betrachtet Maschinen industrie IR DIN EN ISO 13849 SRP CS als Elektrik Elektronik programmierbare Elektronik Hydraulik Pneumatik Mechanik Abbildung 3 2 siehe Seite 16 Der grundlegende Ansatz dieser Normen Ausfallwahrscheinlichkeiten und nicht speziell auch Strukturen als charakteristische Kenngr e zu definieren erscheint zun chst universeller Der Ansatz der DIN EN ISO 13849 1 bietet Anwendern jedoch die M glichkeit Sicherheits funktionen von einem Sensor bis hin zu einem Aktor z B Ventil auch wenn sie verschiedene Technologien umfassen unter dem Dach einer Norm zu entwickeln und zu bewerten Neben Teil 1 der DIN EN ISO 13849 existiert seit 2003 auch ein Teil 2 mit dem Titel Validierung der mit dem Erscheinen des revidierten Teils 1 jedoch berarbeitet und angepasst werden muss Trotz dem passen die dort genannten Anforderungen bereits erstaun lich gut zum berarbeiteten Teil 1 Die Anh nge A bis
385. nd Seetungssrete A ee Anhang C Dokumente Analyse Abschnitt 7 1 4 Abschnitt 7 1 5 Kriterien f r Fehlerausschluss Anhang C Identifizieren der Sicherheitsfunktionen SF Festlegen der Eigenschaften jeder SF Bestimmen des erforderlichen PL PL Realisieren der SF Identifizieren der SRP CS Ermitteln des PL der SRP CS aus Kategorie MTTF DC g CCF 7 za Software und systematische Fehler Verifikation PL gt PL Ist die Analyse aus reichend Pr fung Abschnitt 7 1 6 Validierung Anforderungen erreicht Sicherheitsfunktione Performance Level PL Kategorie MTTF DE at systematische Fehler Software Kombination Abschnitt 7 1 7 Integration Gestaltung sicherer Steuerungen Abschnitt 6 Validierung Abschnitt 7 Alle SF analysiert 39 Da SRP CS Teile einer Maschine sind k nnen Anforderungen in fast jeder Phase des Lebenszyklus der Maschine auch Einfluss auf ein SRP CS haben Alle Phasen im Lebenszyklus der Maschine m ssen daher bei der Identifikation und Festlegung der Eigen schaften von Sicherheitsfunktionen ber cksichtigt werden Um dies m glichst umfassend und nachpr fbar zu gestalten werden Sicherheitsfunktionen zun chst spezifiziert SRP CS die nicht speziell f r eine Maschinensteuerung entwickelt werden z B ein Lichtgitter oder eine Sicherheits SPS bed rfen daher einer besonders genauen Beschreibung ihrer Kenndaten und ihre
386. nd ausreichende Ma nahmen gegen CCF angewendet werden Weil die Unterschiede zur Kategorie 3 prim r in der MTTF und im DC liegen ist die vorgesehene Architektur f r Kate gorie 4 Abbildung 6 8 hnlich derjenigen f r Kategorie 3 Allerdings symbolisieren die durchgezogenen Linien f r die ber wachung den h heren DC avg 6 2 8 Bl cke und Kan le Zur vereinfachten Quantifizierung der Ausfallwahrscheinlichkeit ist eine Darstellung der sicherheitsrelevanten Steuerung in Form von abstrahierten Bl cken und Kan len hilfreich Die Bezeich nung Bl cke hat in diesem Zusammenhang eine eigene feststehende Bedeutung Es handelt sich hier um Funktions bl cke nur in dem Sinne dass die Sicherheitsfunktion in kleine ren seriell und parallel angeordneten Einheiten ausgef hrt wird F r die Abbildung der Hardwarestruktur auf ein sicher heitsbezogenes Blockdiagramm k nnen folgende Regeln gelten 50 Abbildung 6 8 Vorgesehene Architektur f r Kategorie 4 01 Ausgang Ausgang Verbindung berwachung Kreuzvergleich O Die Bl cke sollen in abstrakter Form alle Steuerungselemente abbilden die sich auf die Ausf hrung der Sicherheitsfunktion beziehen Wird die Sicherheitsfunktion in mehreren redundanten Kan len ausgef hrt sollen diese in separaten Bl cken dargestellt werden Dies spiegelt die Tatsache wider dass bei Ausfall eines Blocks die Ausf hrung der Sicherheitsfunktion durch die Bl cke de
387. nde oder selten und kurz Hat er eine M glichkeit den Unfall noch zu vermeiden z B wegen langsamer Maschinenbewegung Diese drei Fragen entscheiden ber den PL Details findet der Leser in Abschnitt 5 4 20 4 2 Gestaltung und technische Realisierung der Sicherheitsfunktionen Stehen die Anforderungen an die sicherheitsbezogenen Teile von Steuerungen fest folgen zun chst der Entwurf und danach dessen Realisierung Abschlie end wird berpr ft ob durch die geplante Realisierung Bl cke 4 und 5 in Abbildung 4 1 mit dem Istwert PL die erforderliche Risikominderung der Sollwert PL erreicht werden kann Block 6 in Abbildung 4 1 Die Schritte der Bl cke 4 und 5 sind im Kapitel 6 ausf hrlich beschrieben In der Tradition des BIA Reports 6 97 enth lt auch dieser Report im Kapitel 8 viele gerechnete Schaltungsbeispiele f r alle Steue rungstechnologien und jede Kategorie Ein ausf hrlich beschrie benes Schaltungsbeispiel begleitet zus tzlich die allgemeinen Ausf hrungen in den Kapiteln 5 6 und 7 Dadurch werden dem Entwickler die nachfolgend beschriebenen Methoden und Para meter anschaulich vermittelt Sicherheitsbezogene Teile von Steuerungen sind voraussichtlich nur so gut wie zun chst die Sinnf lligkeit ihrer Sicherheitsfunk tion Danach folgen als Qualit tskriterien die G te der verwen deten Bauteile Lebensdauer ihr Zusammenspiel Dimensionie rung die Wirksamkeit der Diagnose z B Selbsttests und die Fehlert
388. ndere Beispiel angereichert u a um die Berechnung der Ausfallwahrscheinlichkeit wiedererken nen Die Beispiele sind eine Interpretation der Kategorien und wurden von den Autoren aufgrund langj hriger Erfahrungen mit sicherheitsbezogenen Maschinensteuerungen und Mitwirkung in nationalen und europ ischen Normungsgremien zusammen gestellt um dem Konstrukteur eine wirksame Hilfestellung f r eigene Entwicklungen zu geben Da sie von verschiedenen Auto ren erstellt wurden ist naturgem eine Varianz z B in Darstel lung von Details oder in der Begr ndung einzelner Zahlenwerte vorhanden Alle Berechnungen f r die Schaltungsbeispiele wurden mithilfe der Software SISTEMA siehe Anhang H in der zum Zeitpunkt der Erstellung dieses Reportes verf gbaren Version 1 0 ausgef hrt Die Beschreibung in den Beispielen gliedert sich jeweils nach folgendem Schema Sicherheitsfunktion O Funktionsbeschreibung O konstruktive Merkmale O Bemerkungen Berechnung der Ausfallwahrscheinlichkeit O weiterf hrende Literatur Unter Sicherheitsfunktion werden neben der Bezeichnung der Sicherheitsfunktion auch die ausl senden Ereignisse und notwendigen Sicherheitsreaktionen genannt Unter Funktionsbeschreibung werden aufbauend auf einem Prinzipschaltplan die wesentlichen sicherheitstechnischen Funk tionen beschrieben Das Verhalten im Fehlerfall wird erl utert und Ma nahmen zur Fehlererkennung werden erw hnt Unter Kon
389. ndere Form der FMEA von den meisten anderen FMEA Spielarten die anderen Zwecken dienen beispielsweise der entwicklungsbegleitenden Problemfr herkennung und Fehlervermeidung 2 R cklesung Abschalttest elektronischer Antrieb Mikrocontroller Steuerung 2 Ab schalt organ Besonderes Merkmal einer FMEA f r Quantifizierungszwecke ist ihre Gliederung entsprechend den Funktionsbl cken des sicherheitsbezogenen Blockdiagramms Im Prinzip wird f r jeden dieser Funktionsbl cke eine separate FMEA durchgef hrt die nur f r den jeweiligen Funktionsblock Ergebnisse liefert Die funktionsblockbezogenen Ergebnisse werden erst nachtr glich zusammengef hrt indem sie gemeinsam ber ein systemspe zifisches Rechenmodell oder das vereinfachte Quantifizierungs verfahren aus DIN EN ISO 13849 1 in die Ermittlung der PFH bzw des PL einflie en B2 1 Ausf hrung einer FMEA f r die Quantifizierung Im Folgenden wird die prinzipielle Vorgehensweise bei einer Quantifizierungs FMEA am Beispiel des Funktionsblocks Licht schranke aus Abbildung B 2 demonstriert Zu diesem Zweck wurde die Schaltung bewusst einfach gehalten Nur die gestri chelt eingerahmten Bauelemente geh ren zum Funktionsblock Die Elemente S1 und P2 sind eine Ersatzschaltung f r die reale Einbindung des Funktionsblocks innerhalb des Systems nach Abbildung B 1 Solange der Fototransistor K1 Licht von der Infrarot LED P1 empf ngt h lt er den Transistor K2 gesperrt
390. ne Diagnose aber mit bekannten MTTF Werten beider Kan le MTTF und MTTF yc gesucht wird 5 Damit ist die sukzes sive Zusammenfassung der MTTF Werte aller an der Steuerung beteiligten Komponenten abgeschlossen Das Ergebnis ist ein Kennwert f r die typische Zuverl ssigkeit der in der Steuerung vorhandenen Komponenten ohne Ber cksichtigung von Redun danz Diagnose oder CCF W hrend MTTF bereits f r jeden beteiligten Kanal auf 100 Jahre begrenzt wird ist die Einteilung der MTTF Werte in eine der drei Klassen niedrig mittel oder hoch erst nach der Symmetrisierung sinnvoll Der symmetri sierte Wert geht als ein Parameter neben der Kategorie dem durchschnittlichen Diagnosedeckungsgrad und den Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache in die numerische Bestimmung des PL ein Daneben wird je nach zu erreichender Kategorie ein minimaler MTTF Wert von drei Jahren f r Kate gorie B 2 und 3 oder 30 Jahren f r Kategorie 1 und 4 ben tigt 230 Literatur 1 Birolini A Qualit t und Zuverl ssigkeit technischer Systeme Theorie Praxis Management 3 Aufl Springer Berlin 1991 2 Ll Bork T Schaefer M Aus Aktivit t wird Vorsicht Sinn und Unsinn der Quantifizierung O P lhydraulik und Pneumatik 51 2007 Nr 3 S 78 85 http www dguv de bgia de pub grl pdf 2007_016 pdf 3 Schuster U Untersuchung des Alterungsprozesses von hydraulischen Ventilen BGIA Rep
391. neinander unabh n gige Abschaltpfade vorhanden sind Ein Nichtabfallen der Hilfssch tze K1 und K2 wird durch berwachung der zwangsge f hrten ffnerkontakte innerhalb des Not Halt Sicherheitsschaltger tes K4 sp testens nach dem Entriegeln des bet tigten Not Halt Ger tes aufgedeckt Das Nichtabfallen des Hilfssch tzes K3 wird wegen der vorhandenen R ckf hrung des zwangs gef hrten ffnerkontaktes in den SPS Eingang 13 sp testens vor einem erneuten Ingangsetzen der Maschinenbewegung aufgedeckt Der Nichtabfall des Netzsch tzes Q1 wird ber den in SPS Eingang 13 eingelesenen Spiegelkontakt aufgedeckt 112 Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Die Hilfssch tze K1 K2 und K3 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Die Kontakte der Taster S1 S3 und S4 sind zwangs ffnend ausgef hrt entsprechend DIN EN 60947 5 1 Anhang K Das Sch tz Q1 besitzt einen Spiegelkontakt entsprechend DIN EN 60947 4 1 Anhang F Die Standardkomponenten K5 und T1 werden entsprechend den Hinweisen in Abschnitt 6 3 10 eingesetzt Die Programmierung der Software SRASW erfolgt entsprechend den Anforderungen f r PL b herabgestuft wegen Diversit t und den Hinweisen in Abschnitt 6 3 Die verz gerte Ei
392. nen zum PL und der Kategorie einschl datierter Verweisung auf die Norm Erl uterung aller Betriebsarten Beschreibung der Schutz einrichtungen und Sicherheitsfunktionen mit Ansprechzeiten Umgebungsbedingungen f r den Betrieb und Schnittstellen nach au en Informationen und technische Daten zum Transport zur sicheren Montage Inbetriebnahme und Instandhaltung Validieren der Kombination und Integration von SRP CS Die beschriebene Sicherheitsfunktion wird durch ein SRP CS realisiert Da jedoch die unterschiedlichen Technologien Elektro nik und Hydraulik innerhalb dieses SRP CS kombiniert werden sollten einige bei der Kombination von SRP CS notwendige Pr fungen auch hier durchgef hrt werden sofern sie noch nicht in die Validierung der Kategorie eingeflossen sind Dazu z hlen der Abgleich der Schnittstellenkenndaten zwischen den eingesetzten Technologien sowie Funktionstests und erweiterte Funktionstests 7 6 3 Pr fung ob alle Sicherheitsfunktionen analysiert wurden siehe auch Block 8 in Abbildung 7 1 Die hier f r SF2 gezeigten V amp V Aktivit ten werden f r alle vom SRP CS ausgef hrten Sicherheitsfunktionen SF1 bis SF7 durchgef hrt Der Mehraufwand ist allerdings gering da viele Sicherheitsfunktionen auf dieselbe Hardware zur ckgreifen Die Analysen und Pr fungen m ssen zeigen dass die umge setzten Sicherheitsfunktionen korrekt realisiert wurden Nach Betrachtung aller Sicherheitsfunktionen ist die Bewertung nach
393. nenten in verschiedenen Beispielen unterschied liche DC Werte angenommen werden Auch hier gilt dass bei einer realen Umsetzung alle Annahmen hinsichtlich DC und CCF berpr ft werden m ssen und die angenommenen Werte nur unverbindlichen Beispielcharakter haben Der Schwerpunkt in der Darstellung liegt eher auf den Kategorien in Form der Widerstandsf higkeit gegen Fehler und den rech nerischen Methoden zur Bestimmung des PL Einige Teilschritte z B Fehlerauschl sse grundlegende und bew hrte Sicher heitsprinzipien oder Ma nahmen gegen systematische Fehler inklusive Software sind dagegen nur in kurzer Form erw hnt Hierauf muss bei einer Realisierung entsprechendes Augenmerk gerichtet werden da Fehleinsch tzungen oder unzureichende Umsetzungen bei diesen Ma nahmen die Fehlertoleranz oder Ausfallwahrscheinlichkeit verschlechtern k nnen Als Hilfe zum Verst ndnis der Schaltungsbeispiele und f r die praktische Umsetzung sei daher auf Kapitel 7 und Anhang C verwiesen in denen z B die grundlegenden und bew hrten Sicherheits prinzipien ausf hrlich beschrieben sind Abschlie end wird soweit vorhanden auf Weiterf hrende Literatur verwiesen F r jede Technologie werden in den folgenden technologie bezogenen Abschnitten einige grundlegende Bemerkungen zum Verst ndnis der Beispiele und zur Umsetzung der Kategorien gegeben Einige der Schaltungsbeispiele stellen Steuerungen verschiedener Technologie
394. ner Erh hung der Ansprechzeit Die Testein richtung darf als Bestandteil des Funktionskanals oder getrennt davon vorgesehen sein In einigen F llen ist die Kategorie 2 nicht anwendbar da sich der Test der Sicherheitsfunktionen nicht bei allen Bauteilen durchf hren l sst Da die Sicherheitsfunktion zwischen den Tests unbemerkt ausfallen kann ist die Testh u figkeit ein kritischer Parameter Au erdem k nnte die Testein richtung selbst fr her als der Funktionskanal ausfallen Bei der vereinfachten Quantifizierung des PL mithilfe der vorgesehenen Architektur und des S ulendiagramms Abbildung 6 10 wurde daher vorausgesetzt O dass der MTTF Wert der Testeinrichtung TE nicht kleiner ist als der halbe MTTF Wert der Logik L siehe auch letzte Seite von Anhang E und O die Testrate mindestens 100 mal h her ist als die mittlere Anforderungsrate der Sicherheitsfunktion siehe Abschnitt 6 2 14 Wegen dieser Einschr nkungen und weil mit der vorgesehenen Architektur in der Praxis mit externen Testeinrichtungen nur schwer ein DC von mehr als 90 erreicht wird k nnen unerkannte Erstiehler zum Verlust der Sicherheitsfunktion f hren Aus diesen Gr nden wird der maximale PL der mit Kategorie 2 erreicht werden kann auf PL d begrenzt Abbildung 6 6 Vorgesehene Architektur f r Kategorie 2 gestrichelte Linien kennzeichnen vern nftigerweise durchf hrbare Fehlererkennung 0 Eingang Ausgang TE OTE Ausgang der Teste
395. ner Gef hrdungssituation kaum m glich Entsprechend dem Risikographen in Abbildung 5 9 ergibt sich aus dieser Bewertung ein erforderlicher Performance Level PL e Abbildung 5 11 zeigt hierzu Dokumentation und Risiko graph in der Software SISTEMA f r die Sicherheitsfunktion SF1 Abbildung 5 11 Dokumentation und Risikograph f r SF1 Dokumentation PLr PL Subsysteme F r die Gef hrdung G3 Schneiden durch das Schneidmesser im Ruhezustand ist die Sicherheitsfunktion SF7 vorgesehen Folgende Risikoparameter werden hierf r festgesetzt S1 leichte blicherweise reversible Verletzung F2 Zeit der Gef hrdungsexposition ist lang P1 Vermeidung einer Gef hrdungssituation m glich unter bestimmten Bedingungen Entsprechend dem Risikographen in Abbildung 5 9 ergibt sich aus dieser Bewertung ein erforderlicher Performance Level PL b Abbildung 5 12 zeigt hierzu Dokumentation und Risiko graph in der Software SISTEMA f r die Sicherheitsfunktion SF7 Name der Sicherheitsfunktion ISF1 STO Safe Torque Off Typ der Sicherheitsfunktion Auslosendes Ereignis Eingriff in das Lichtgitter Reaktion Sicherer Zustand VERE IA EI EI AI IA A ee C PLrWert direkt angeben Dokumentation Dokument 34 Schwere der Verletzung SJ gt y 52 Schwere blicherweise irreversible Verletzung H ufigkeit und oder Dauer der Gef hrdungsexposition F Y F2 H ufig bis dauemd und oder lange
396. ner Komponente und deren Auswir kungen auf den Block wird pauschal eine Aufteilung je zur H lfte in ungef hrliche und gefahrbringende Ausf lle ange setzt Dies bedeutet dass die H lfte der Ausfallrate A einer Komponente zur gefahrbringenden Ausfallrate A des zuge h rigen Blocks beitr gt Wurde f r die Komponente bereits der gefahrbringende Anteil der Ausfallrate A bestimmt so wird der gleiche Wert A auch dem Block angerechnet O Die gefahrbringende Ausfallrate A des Blocks wird dann durch Summation der A Beitr ge aller N im jeweiligen Block vorhandenen sicherheitsrelevanten Komponenten gebildet wobei sich die Beitr ge identischer Komponenten einfach zusammenfassen lassen LS 2 baw 2 YA 7 Mi 2 DZW a gt Zr 1 Da DIN EN ISO 13849 1 wie oben erl utert von konstanten Ausfallraten ausgeht lassen sich Ausfallraten A einfach durch Kehrwertbildung in MTTF Werte umrechnen Wird dieser Zusammenhang zugrunde gelegt so ergibt sich der MTTF Wert eines Blocks leicht aus den MTTF Werten der zugeh rigen Kom ponenten Ein Beispiel f r die Anwendung des Parts Count Verfahrens findet sich in Kapitel 6 D5 Reihenschaltung von Bl cken in einem Kanal und MTTF Begrenzung Liegen MTTF Werte bzw Ausfallraten A f r jeden Block vor l sst sich durch Summation der Ausfallraten aller an einem Kanal beteiligten Bl cke ebenfalls gem Gl 7 die MTTF f r jeden Kanal berechnen Dabei wird unterstellt dass der g
397. ner zwei bis dreistrahligen Lichtschranke unter Beachtung erforderlicher Montageh hen bei offenem Zugang bzw vorhandener Leerpalette im Zugang oder bei berbr ckter Schutzfunktion der Lichtschranke durch die beladene Palette mit seitlichen ffnungsweiten lt 0 2 m sowie einsetzender berbr ckung durch die Palettenladung erst unmittelbar vor dem Unterbrechen der Lichtstrahlen ohne gr ere zeitliche und geometrische L cken Berechnung der Ausfallwahrscheinlichkeit F r die Ausgangsrelais der berbr ckungssensoren F1 bis F4 wird in der folgenden Berechnung ein DC von 0 angenommen da die zum Muting verwendeten Kontakte keiner automatischen Fehlererkennung unterliegen Aus diesem Grunde ist eine manuelle periodische berpr fung vorgesehen die sich mit einfachen Mitteln realisieren l sst O MTTF F r den Sensorteil der Mutingsensoren F1 bis F4 wird jeweils eine MTTF von 100 Jahren G angenommen F r die Ausgangsrelais von F1 bis F4 gilt ein B Wert von 2000000 Zyklen N Bei 300 Arbeitstagen 16 Arbeitsstunden und 200 Sekunden Zykluszeit ist f r diese Elemente App 86400 Zyklen Jahr und MTTF 231 Jahre Die MTTF des Kanals ergibt sich zu 35 Jahren hoch o DC g DC 90 f r den Sensorteil der Mutingsensoren F1 bis F4 wird durch die SPS berwachung erreicht Der DC f r die av Ausgangsrelais wird zur sicheren Seite mit 0 abgesch tzt Der daraus ermittelte DC vg Wert betr gt 63 niedrig O A
398. nerl sslich In den technologiebezogenen Bemerkungen zur Fluidtechnik sind weitere Beispiele aufgef hrt Selbstverst ndlich muss gem den Fehlerlisten aus DIN EN ISO 13849 2 z B auch der Einfluss von Leitungskurzschl ssen im Zusammenhang mit der jewei ligen Sicherheitsfunktion und abh ngig von den Einsatzbedin gungen ber cksichtigt werden So m ssen grunds tzlich alle verwendeten Bauteile entsprechend ihrer Spezifikation geeignet ausgew hlt sein berdimensionierung geh rt zu den bew hrten Sicherheitsprinzipien Es werden nur diejenigen konstruktiven Merkmale genannt die f r die beschriebenen Sicherheitsfunktionen wichtig sind Meist ist dies eine sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Andere Sicherheitsfunktionen wie z B die Verhinderung des unerwarteten Anlaufs oder eine manuelle R ckstellungsfunktion sowie eine Start Wieder aufnahmefunktion sind nicht durchg ngig in allen Beispielen betrachtet Werden manuell bet tigte Einrichtungen Taster f r die Realisierung solcher Sicherheitsfunktionen verwendet so ist darauf zu achten dass die Sicherheitsfunktionen gerade im 85 Zusammenspiel mit Elektronik durch das Loslassen ffnen eines vorher bet tigten Tasters realisiert werden Unter Bemerkungen soweit f r das jeweilige Beispiel vor handen wird insbesondere auf Besonderheiten im Hinblick auf eine m gliche Anwendung verwiesen Unter B
399. neten Zuverl ssigkeitskennwerten von Bauteilen aufbaut ist es wichtig dass diese Werte zumindest f r die Standardkomponenten in zentralen und zug nglichen Bibliotheken zur Verf gung stehen Im Hinblick auf eine praxistaugliche L sung unterst tzt der VDMA ein konzertiertes Vorgehen der Hersteller entsprechender Bauteile Kontakt Dieter G dicke Telefon 49 69 66 03 14 92 E Mail dieter goedicke vdma org Frankfurt 30 05 2007 DG 251 Anhang Stichwortverzeichnis Eine bersicht der in den Schaltungsbeispielen verwendeten Abk rzungen findet sich in Tabelle 8 2 auf Seite 90 Seite A ADS DAND al ee rasen 54 E o E E A 45 ARSFUNOS DOES anadir 223 ff PUAN Se PA a e roo CO O AE E 76ff Anforderungsrate der Sicherheitsfunktion ccccccccccccnonononononcnnncnnncnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnncnnnnnns 237 242 Ankhaut ng von nerkannten Fehlern assi 50 Anlage pneumatische gt pneumatische Anlage o nee 190 A e A PE 8 Uno A ee 58 Anwendungssoftware ueeesessssssssseeeeessnsnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnsnnnnnnnnnnnnnnnnnsnsnnssssnsnsnsssssnsnnnnnn 44 A ee Eee ee EE OE A 69 ff o ee 208 Ausfalleffektanalyse FMEA an Ai 53 55 205 ff 229 231 240 Ausfall infolge gemeinsamer Ursache ccccccccccccccccsssceeeeeesssssseseeecececceeecsseseeeeeeeassssssessseeeeeceeeeeeeeeeeas 43 55 72 239 O A EDER E SEREREELERETEERGEE 52 208 221 ff Ausfallrichtung gef hrliche gef hr
400. nforderung der Sicherheits funktion also eine potenzielle Gef hrdung erfolgt Hier steht die Testh ufigkeit also in Konkurrenz zur H ufigkeit der Anforderung der Sicherheitsfunktion In beiden F llen wird ein Faktor von 100 als ausreichend angesehen also eine mindestens 100 mal h here Testrate als die gefahrbringende Ausfallrate A 1 MTTF bzw als die mittlere Anforderungs rate der Sicherheitsfunktion Bis hinunter zu einem Faktor von 25 ergibt sich demgegen ber eine maximale Erh hung der Ausfallwahrscheinlichkeit von ca 10 Darunter ist es wesentlich von der Synchronisation von Anforderung und Testung abh ngig ob die Testung berhaupt zur Geltung kommt Falls in einkanalig getesteten Systemen allerdings die Tests so schnell ausgef hrt werden dass der sichere Zustand erreicht wird bevor es zu einer Gef hrdung kommt dann werden keine Bedingungen an die Testh ufigkeit gestellt O Ein weiterer Punkt ist die Zuverl ssigkeit der Testeinrichtung selbst Grunds tzlich sollte gelten dass die Testeinrichtung nicht vor der von ihr berwachten Komponente ausfallen sollte Andererseits ist es aber auch nicht effektiv viel mehr in die Zuverl ssigkeit der Testeinrichtung zu investieren als in die Sicherheitseinrichtungen die die eigentliche Sicherheits funktion ausf hren DIN EN ISO 13849 1 h lt sich daher mit Anforderungen an die Zuverl ssigkeit der Testeinrichtungen zur ck Bei den Kategorien 3 und 4 wird auf die Einfe
401. ng in der technischen Dokumentation gegeben werden Fehlerausschl sse sind bei entsprechenden Voraussetzungen auch f r Komponenten m glich z B f r die elektrischen ffnerkontakte und die mechanische Bet tigung von elektro mechanischen Positionsschaltern oder Not Halt Ger ten F r diese Komponenten ist bei Fehlerausschluss keine Ber cksichti gung von Ausfallraten MTTF und berwachungsma nahmen DC notwendig 51 6 2 11 Mittlere Zeit bis zum gefahrbringenden Ausfall MTTF Die Zuverl ssigkeit der einzelnen Komponenten aus denen die Steuerung aufgebaut wird geht entscheidend in die Gesamtzuverl ssigkeit des Systems ein Als Zuverl ssigkeits kennwert flie t daher die sogenannte mittlere Zeit bis zum gefahrbringenden Ausfall MTTF Mean Time to Dangerous Failure in den PL mit ein Dass es hier um Ausf lle geht also Bauteildefekte die zu einer Nicht Mehr Ausf hrung der vorgesehenen Funktion f hren ist klar ersichtlich Die ande ren Namensbestandteile bed rfen allerdings einiger Erl ute rung 52 Mittlere weist darauf hin dass es sich um einen statis tischen Mittelwert handelt der sich nicht auf ein Einzel bauteil bezieht sondern als Erwartungswert der mittleren Lebensdauer des typischen Bauteils definiert ist Der Erwar tungswert des Einzelbauteils kann dabei dem Mittelwert einer Vielzahl gleichartiger Bauteile gleichgestellt werden Es handelt sich also nicht um eine garantierte Mindest
402. ng 8 2 besteht in der Regel aus einem Handabsperrventil 0V10 einem Filter mit Wasser abscheider 0Z10 wobei der Verschmutzungsgrad des Filters berwacht wird und einem Druckregelventil 0V11 mit aus reichend dimensionierter Sekund rentl ftung Mit der Druck anzeige 0211 wird die Anforderung an die berwachung der Anlagenparameter erf llt Die in diesem Kapitel beispielhaft gezeigten fluidtechnischen Schaltungen enthalten au er dem sicherheitsbezogenen Steue rungsteil nur noch die zus tzlichen Bauteile die zum Verst ndnis der fluidtechnischen Anlage notwendig sind oder einen direkten steuerungstechnischen Bezug haben Die Gesamtheit der Anfor derungen die von fluidtechnischen Anlagen erf llt werden m ssen ist aus 41 42 zu entnehmen Als weitere zutreffende Normen sind 43 bis 47 zu nennen 121 Betrachtungsbereich des sicherheitsbezogenen Teils der Steuerung f unter Umst nden relevant f r die Einhaltung der grundlegenden und bew hrten Sicherheitsprinzipien i Abbildung 8 1 Anwendungsbereich der DIN EN ISO 13849 bei hydraulischen Anlagen Die meisten Steuerungsbeispiele sind elektrohydraulische bzw elektropneumatische Steuerungen Verschiedene Sicherheits anforderungen werden bei diesen Steuerungen durch den elek trischen Steuerungsteil ausgef hrt so z B die Anforderungen zur Beherrschung von Energie nderungen in elektrohydraulischen Steuerungen Die geforderte Sicherheitsfunktion i
403. ngenommen niedrig 65 Liegen hingegen die Werte der durchschnittlichen Wahrschein lichkeit eines gef hrlichen Ausfalls je Stunde f r alle Subsysteme vor geeignet sind auch Werte f r SIL und Ausfallwahrschein lichkeit nach DIN EN 61508 12 oder DIN EN 62061 13 so kann daraus durch Aufaddieren der f r den Gesamt PL relevante Wert gebildet werden N X PFH PFH PFH PFH 5 i 1 gesamt mit N Zahl der an der Sicherheitsfunktion beteiligten Subsysteme PFH durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde des i ten Subsystems Da alle Subsystem PL immer mindestens so gro sind wie der Gesamt PL ist auch gew hrleistet dass bei der Kombination alle Ma nahmen zu nicht quantifizierbaren qualitativen Aspekten z B systematische Ausf lle oder Software in ausreichendem Ma e ber cksichtigt sind Allerdings ist hier besonderes Augen merk auf die Schnittstellen zwischen den Subsystemen zu richten O Alle Verbindungen z B Leitungen oder Datenkommunikation durch Bussysteme m ssen im PL eines der beteiligten Sub systeme bereits ber cksichtigt sein oder Fehler in den Ver bindungen m ssen ausgeschlossen oder vernachl ssigt werden k nnen O Die hintereinander geschalteten Subsysteme m ssen an den Schnittstellen zueinander passen D h jeder Ausgangsstatus eines ansteuernden Subsystems der die Anforderung der Sicherheitsfunktion signalisiert muss als ausl sendes
404. ngslos wirkende Schutzeinrichtung 253 Seite C CCF Ausfall infolge gemeinsamer Ursache A ee o O A 60 Common Cause Failure gt Ausfall infolge gemeinsamer Ursache D D gt Datenquelle f r B gt und MTTF Werte Daten A e A o E T 229 Datenquelle tur Baas und MITE Were PD ea ua 86 ff 223 Daten Ama eG en e PON ES ESE ar 228 Diagnosedeckungsgrad DO ee ee werner 54 ff 71 231 ff Diagnosedeckungsgrad durchschnittlicher DC durchschnittlicher Diagnosedeckungsgrad DIN EN OO Dri ibid 31 ENDETE I U arcoiris T 55 72 74 240 A TO y ee 79 Mi A o PPP o PC SE E NE A e A PO O PA 158 ff Drehscheibe Performance Level Calculator RUCK DOC CZ scssi PO Pi O TO Renee 86 ff Druckmaschine e 160 ff DECK eC PGi DICK e e ee 73 87 ff 224 240 durenschnittlicher Diasnosedeckineserad 0C sra ir 54 ff 71 231 237 durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde PFH ccceeeeeeeeeeeeeeenee 66 72 205 Da FTI ee Eee 232 E a ee 49 239 aliados AAA A O N N 52 223 ff 229 EUG eZ teatro terco danilo IND T A EN E LAUERERPEPERENEEPERLERSERENEEERELLESNERPEELUREERTERNER 223 Einschr nkung durch die Architektur acia Le Ru 57 elektromagnetische r St rung St reinfluss seen as 88 240 elektromagnetische Vertr glichkeit EMV ccccccccccccccccsseeseeeeessssseesessceeeecceeeseeeesaeeeeassassseseseeeeesees 205 elektromechanische Steuerung euueseeeeeesssssssnnnnnnnnnnnnn
405. nhang D Allen MTTF Werten liegt die Annahme konstanter Bauelement Ausfallraten A zugrunde wodurch die Beziehung MTTF 1 X gilt Bei Zweikanaligkeit mit unterschiedlicher Kanal MTTF wird mit einer gemittelten Ersatz MTTF gearbeitet Hingegen gibt der Wert DE wg den gewichteten Mittelwert des Diagnosedeckungsgrades f r das gesamte System an der f r die Zuordnung zu einer der vier DC yg Stufen vgl Tabelle 6 4 benutzt wird Die Sinnhaftigkeit und Zul ssigkeit dieser Zusammenfassungen innerhalb der geforderten Quantifizierungsgenauigkeit wurden durch umfangreiche Testrechnungen nachgewiesen Das gilt auch f r das in Abschnitt 4 5 4 der Norm zugelassene Verh ltnis der MTTF Werte von Test und Funktionskanal bei der Kategorie 2 Architektur Die MTTF der Testeinrichtung muss mindestens den halben Wert der MTTF f r die getestete Logik aufweisen Bei redundanzbehafteten Strukturen wurde schlie lich voraus gesetzt dass Ausf lle gemeinsamer Ursache auf ein angemes senes Niveau reduziert sind Nur maximal 2 der gef hrlichen Ausf lle d rfen eine gemeinsame Ursache haben Dies ist vom Anwender der Norm mit einem einfachen Sch tzverfahren Anhang F jeweils zu belegen Die Markov Modelle die dem S ulendiagramm aus DIN EN ISO 13849 1 bzw Abbildung G 3 dieses Reports zugrunde liegen ber cksichtigen den Betrieb der Systeme unter Rand bedingungen die f r den Maschinenbereich realistisch sind Sie gehen davon aus das
406. niatu risierung elektronischer Bauelemente Je nach Schaltungsprinzip bleibt hier unter Um st nden nichts anderes brig als die Auswir kung solcher Fehler mit Hilfe von Analyse und Simulation zu ermitteln In der Fluidtechnik l sst sich eine Fehlerursache h ufig nicht mit vertretbarem Aufwand realistisch simulieren z B eine Feststoffverschmutzung des Druck mediums Die Auswirkungen der Fehlerursa che z B H ngenbleiben des bewegten Bau teils k nnen aber in der Regel als Fehler eingebaut werden Reproduzierbarkeit Die eingebauten Fehler sollten soweit m g lich so ausgew hlt sein dass sich ein repro duzierbares Pr fergebnis ergibt Wirtschaftlichkeit Die unterstellten Fehler sollen einen rationel len Fehlereinbau erlauben Ein Einbau der Fehler in das betrachtete Bauelement bzw in die Originalschaltung erfordert aber immer einen deutlich h heren Zeitaufwand als eine theoretische Fehlerbetrachtung Deshalb sollte man es bei einfach zu bersehenden Bauelementen und Schaltungen bei einer theoretischen Fehlerbetrachtung belassen Herstellerunabh ngigkeit Die Art der eingebauten Fehler sollte weitge hend unabh ngig vom Hersteller der Bauele mente sein Fehlerausschl sse k nnen aber meistens nur konstruktionsspezifisch formu liert werden und sind damit manchmal indi rekt herstellerabh ngig Realistische Fehlerausschl sse Ohne die Annahme konkreter Fehleraus schl sse sind sichere Steuerungen
407. nleitung des Stillstands im Fehlerfall nur ber den zweiten Abschaltpfad darf nicht mit einem ver bleibenden inakzeptabel hohen Risiko verbunden sein Der sicherheitsrelevante Steuerungsteil des Not Halt Sicherheitsschaltger tes K4 erf llt alle Anforderungen f r Kategorie 3 und PL d Berechnung der Ausfallwahrscheinlichkeit Es wird nur die Ausfallwahrscheinlichkeit der Not Halt Funktion berechnet F r die Berechnung der sicherheitsbezogenen Stoppfunktion m ssen S3 S4 und K4 durch S1 ausgetauscht sowie K1 und K2 weggelassen werden F r die Not Halt Ger te 53 54 wird ein Fehlerausschluss angenommen da die in Tabelle D 2 genannte maximale Anzahl von 6050 Schaltzyklen innerhalb der Gebrauchsdauer des Schaltger tes nicht berschritten wird Das Not Halt Sicherheitsschalt ger t K4 liegt als gepr ftes Sicherheitsbauteil vor Seine Ausfallwahrscheinlichkeit betr gt 3 0 10 Stunde H und wird am Ende der Berechnung addiert Der Wert gilt f r eine maximale Anzahl von 6050 Schaltzyklen innerhalb der Gebrauchsdauer des Schaltger tes F r die Ausfallwahrscheinlichkeit der nachfolgenden zweikanaligen Struktur gilt O MTTF Folgende MTTF Werte werden gesch tzt 25 Jahre f r K5 und 50 Jahre f r T1 G Der Kondensator C1 geht mit MTTF 45662 Jahren D in die Berechnung ein F r K1 und K2 ergibt sich bei einem B Wert von 400000 Zyklen N und Schalth ufigkeit von t glichem Einschalten an 240 Arbeitstagen eine MTTF von 1666
408. nnn 241 Anhang H SISTEMA Der Softwareassistent zur Bewertung von SRP S nun 247 Anhang Posinonspapier des VDMA riada in toos 249 Anhang a e e AI ee 253 Vorwort Vor zehn Jahren erschien der BIA Report 6 97 Kategorien f r sicherheitsbezogene Steuerungen nach EN 954 1 der sich im Laufe der Zeit als Bestseller herausstellte Mehr als 12000 deutsch und 6000 englischsprachige gedruckte Exemplare wurden seitdem versendet noch h her sind die Zahlen der Downloads auf den Internetseiten des BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Selbst ins Japanische ist der Report bersetzt worden In diesen zehn Jahren werden nun schon sicherheitsrelevante Steuerungen von Maschinen ob mechanisch pneumatisch hydraulisch oder elektrisch nach DIN EN 954 1 erfolgreich in f nf Kategorien eingeteilt Mit dem Vormarsch programmier bar elektronischer Systeme ergab sich aber die Notwendig keit einer grundlegenden Revision dieser Norm Diese schwie rige Aufgabe hat nun mit der Publikation der Norm DIN EN ISO 13849 1 2007 07 ihren Abschluss gefunden Wesentliche Neuerung ist die Einbeziehung wahrscheinlichkeitstheore tischer Ans tze zur sicherheitstechnischen Beurteilung und Aus legung von Steuerungen Dieser Ansatz mit der Betrachtung von Ausfallwahrscheinlichkeiten von Bauteilen ist in der elektrischen Sicherheits Grundnormen Reihe DIN EN IEC 61508 verankert Mit dem Anspruch weiterhin
409. nnnnnnnnnnnnnnnnnnnnenn Mehrere Wege zur quantitativen PL Bestimmung Systematische Alstalle anne Ergonomische Aspekte oooooonononccccccccnncncnncnnnnnnnnnnnnnnnnnnns Anforderungen an die Software speziell SRESW Kombination von SRP CS nennen Weitere Erl uterungen oooooooococooocnccnnnnnnncnnnnnnnnnnnnnnnnnos Verifikation und Validierung 222222000000000 nenn 0 PDA ee ee esse Leits tze f r die Verifikation und Validierung Verifikations und Validierungsplan ccccccccccnncnnnnnnnnnn A A Dokumente un innen Analyse een ee POTO AAA o Dokumentation der V amp V Aktivit ten ccccccccncncnnnnnon Validieren der Sicherheitsfunktion cccccccccccnncnnnnnnnnnm Validieren des PL der SRP CS ccccccccccccceeceeeeeeesssseees Validieren der Kategorie oooononcnnccccnccnnnnnnnnnnonnnnnnnnnnnnnos Validieren der MITE Werte ui Validieren der DC Werte ooooooonnnnnnccccnnnnncnnnnnnnnnnnnnnnnnnos Validieren der Ma nahmen gegen CCF ccccccccccccnnnnnnnnnnns Verifizieren und Validieren der Ma nahmen gegen systematische Ausf lle occccccccccccnnnnnnnnnnnonononnnnnnnncnnnnnnnnnnos Validieren der Software ooooonononcccccccnnnnnnnnnnnnnnnnnnnnnnnnnns Kontrolle der Absch tzung des PL ccccccccccnnnnnnnnnnnnnnnn Pr fen der Benutzerinformation cceeeeeseeseseeeeeeeeeeenenn Validieren der Kombination und
410. nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnssnnsssssssssssnnnn 86 elektronische und programmierbar elektronische Steuerung oooooocnnnnccnnnnnnnnnnnnnnnnnnononononcnnnncnnnnnnnnos 88 ff 228 ff A PA 247 EMV gt elektromagnetische Vertr glichkeit Enere an AUE AP O O a PE UE En In OE ANTO 214 Enersielinterbrech ngd rro 214 a A e O re nenne 38 EntwicklungSsprozess nie ee en een 74 ff Ena anma E reran nn AEAT E E E A 130 ff erforderliche Kategorie serssaqwessuanduinressaventsaess a O A 31 E PR a E A E E een 45 74 EOS MUU ET VENI AO apanan EE N neue 225 F tahrerloses TransportfahrzeUg nase rai ea Ernairen ara a 202 Flle mne A e i nee ee ee 52 208 221 Fehleranh ufung Fehlerkombination cccccccccccccscccceessssssssssseceeeeccccceceeeesseeeaeeseessssssseeseeeeeeceeeeeeeeeeaas 50 A ee ee een re nee 88 ff El lr AUSSCHUSS ager O O uE EP on 51 223 227 237 Fee Fie HE UND ee en ee POC RISA 51 A EE ET 49 Fehlererkennung durch den Prozess ccccccccccccccsccccaecesssssssssssececeeccccccceecesseeeauaeesssssseeseseeeeeeceeeeeeeeeeeas 232 o EOE E nee ee A ee 79 AA A nee 57 FPS LOB Zee a no ee ee en ee 45 ff PEMISCHITEISSICMEl LING sd 140 f Fre ALE aE ee da 225 FIG ION EIIRIEFUNG o o PO OU O In AS EREE ISARA 73 86 ff 240 254 Seite F Fortsetzung FIT Failure in Time a ee 142 fluidtechnische Komponente Steuerung ccccssesessssseeeeesssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
411. nnnnnnnnnsnnnnnnnnnn 86 ff 224 ff FMEA gt Ausfalleffektanalyse A o OU SP O I EA A TEE 51 Pregu cnzu mir NIE A PE Po RR O N 112 ff 144 ff 156 f 160 f is A A A 53 221 Full Variability Language FVL een as 58 sn ee O ATN 15 kuon DESCEHTEIDUNG sorra E T caudesseheueuehauauedraeunysysaroecenaneeee 67 ff Panki OTS a A Eo ER leere 205 Pd e Ue IP er 241 FVL gt Full Variability Language G G gesch tzter B oder MTTF Wert lidere 0 ase see eocwuactece TS 53 57 71 208 221 ff 241 f geerdeter Steuerstromkreis ccccccccccccssssssssssssssssseeescceccceeceesseeeeueeesssssseeseeceeeeceeeeessesseeeeeaessssseseeeeeeeees 191 STC ie PVs Fall GI CIPO ee een ns 207 STAI DINO PPP E ee ee ee tees 52 ff geschatzter B q Oder MI IF Werl Ilona ee 86 ff GEST curando acc 31 Gleichzeitigkeit nenne ee 195 grundlegendes Sicherheitsprinzip criada id 48 ff H H gt Herstellerangabe f r B und MTTF Werte Heistellerangabe tur B pg und MITE Werte Illnau 86 ff A a e ino Eo 247 A A E om A 227 a keinen esse Eee 98 ff 106 ff homogene Redundanz uuesssessssssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsssnsssssnsnssssssnnnnnnnn 196 Hydraulik hydraulische Steuerung ccccccccccccccccsccceeeesesssssssssceeeeececccceeeesseseseeeeessssseseseseeeesceeeeeeeeeeas 44 VY ALIS CIS Vent amics 223 ff A ES nn SR EHNER EU EEUEEREESILONEEERERLENEECER 45 Integra
412. nsschalter B 1 ED Enpabemasken J Zusammenfassung Subsystem BGIA Y Dokumentation PL Kategorie MTTFd ij DCavg 3 CCF Bl cke Kan i EL Anfahrmechanik des Pell EL Zwangstfinender Kont E Hinzuf gen Gl I Name ocj MITFd a E BL Sch tz 01 BL Positionsschalter B1 url ala 285 39 EL Schutz 01 L schen BL Sch tz 01 rede 742 01 CH Aus 2 Bearbeiten Bibliothek Inhalte der Kan le vertauschen Abbildung 8 10 PL Bestimmung mithilfe von SISTEMA 101 8 2 6 Start Stopp Einrichtung mit Not Halt Ger t Kategorie 1 PL c Beispiel 6 Abbildung 8 11 Kombinierte Start Stopp Einrichtung mit Not Halt Ger t 102 sityr Not Halt Sicherheitsfunktion Not Halt Funktion STO Sicher abgeschaltetes Moment durch Bet tigung des Not Halt Ger tes Funktionsbeschreibung Gefahrbringende Bewegungen oder Zust nde werden bei Bet tigung des Not Halt Ger tes S1 durch Unterbrechung der Steuerspannung von Sch tz Q1 abgeschaltet Die Sicherheitsfunktion l sst sich nicht bei allen Bauteilausf llen aufrechterhalten und h ngt von der Zuverl ssigkeit der Bauteile ab Es sind keine Ma nahmen zur Fehlererkennung vorgesehen Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsiche
413. nten Verdrahtungspl ne und Anschluss bzw Schnittstellenbeschreibungen Schaltpl ne Montagepl ne technische Daten bzw Bemessungsdaten f r Komponenten ggf Datenbl tter O Analyse aller relevanten Fehler z B als Ausfalleffektanalyse FMEA unter Ber cksichtigung der angewandten Fehler listen Daten zur Ermittlung des PL Quantifizierungsdokumentation O vollst ndige Softwaredokumentation siehe Abschnitt 6 3 O eingehaltene Qualit tssicherungsregeln f r den Entwurf und die Realisierung wie Designregeln f r Analog und Digital schaltungen Programmierrichtlinien O Pr fnachweise zu bereits gepr ften Bauteilen Modulen oder SRP CS Die Dokumente m ssen vollst ndig die Inhalte widerspruchsfrei logisch aufgebaut leicht verst ndlich und nachvollziehbar sein In den nachfolgenden Beschreibungen der V amp V Aktivit ten finden sich detaillierte Informationen zu allen Dokumenten 7 1 5 Analyse Die Beurteilung der SRP CS bzw von Teilaspekten erfolgt zu n chst durch Analyse Dabei soll anhand der Durchsicht von Unterlagen und ggf durch den Einsatz von Analysewerkzeugen z B Schaltungssimulatoren Tools zur statischen und dyna mischen Softwareanalyse oder FMEA Tools festgestellt wer den ob die spezifizierten Anforderungen erreicht wurden Die Beurteilung der Aspekte MTTF DC und CCF erfolgt ausschlie lich durch Analyse auf der Basis vorliegender Unterlagen 7 1 6 Pr fung Pr fungen m ssen immer dann
414. ntwickler von SRESW Safety Related Embedded Software sicherheits bezogene eingebettete Software also Firmware oder Soft warewerkzeuge f r elektronische Sicherheitskomponenten ist dagegen der Neuigkeitswert dieser Anforderungen in DIN EN ISO 13849 1 nicht so hoch Solche Embedded Software Entwick lungen f r die meist zertifizierten Komponenten unterliegen oft auch den sehr komplexen Anforderungen der f r IEC Normen zur Funktionalen Sicherheit verbindlichen Sicherheitsgrundnorm DIN EN bzw IEC 61508 3 32 und aller weiteren sieben Teile Die Grundgedanken dieses Abschnitts k nnen auf beide Soft waretypen bezogen werden Einzelne Anforderungen werden aber eher f r Anwendungsprogrammierer von SRASW Safety Related Application Software sicherheitsbezogene Anwender Software konkretisiert Dahingegen zeigt das Beispiel der 58 Steuerung einer Planschneidemaschine in Abschnitt 6 5 die Entwicklung einer SRESW Die Anforderungen an die Softwareentwicklung richten sich nach dem verwendeten Softwaretyp SRASW oder SRESW und dem Sprachtyp Wie auch in anderen aktuellen Normen mit Softwareanforderungen wird zwischen den Sprachtypen FVL Full Variability Language Programmiersprache mit nicht ein geschr nktem Sprachumfang und LVL Limited Variability Language Programmiersprache mit eingeschr nktem Sprach umfang unterschieden blicherweise wird SRASW in LVL pro grammiert z B in einer grafischen Sprache die in IE
415. nung vorausgesetzt Damit kann f r den elektrischen Teil unabh ngig von der Last von einem Fehlerausschluss ausgegangen werden und die zitierten B Ausf lle in der Bet tigungsmechanik Aus dieser Sichtweise ergeben sich z B auch die deutlichen Unterschiede zwischen Positionsschaltern ohne bzw mit separatem Bet tiger oder Zuhaltungen F r Schlie erkontakte und ffnerkontakte ohne zwangs ffnende Eigenschaften kann allerdings kein Fehler ausschluss herangezogen werden Dies u ert sich in deutlich geringeren typischen B Werten Da Not Halt Ger te und Zustimmungsschalter eine garantierte fehlerfreie Mindestbet tigungsanzahl siehe Tabelle D 2 aufweisen m ssen kann bis zu dieser Bet tigungsanzahl ein Fehlerausschluss auch f r die Mechanik angenommen werden Hierbei m ssen wegen der manuellen Bet tigung im Gegensatz zu Positionsschaltern auch keine Fehler in der Anfahrmechanik oder Dejustage ber cksich tigt werden Bei Not Halt Ger ten wird zwischen geringer und normaler Beanspruchung unterschieden Die in der Typpr fung nachzuweisende fehlerfreie Mindestbet tigungsanzahl von 228 Werte begr nden sich haupts chlich durch 6050 Zyklen gilt dabei f r normale umwelttechnische Beanspru chung Einige Hersteller best tigen zus tzlich 100000 Zyklen f r den Einsatz bei geringer umwelttechnischer Beanspruchung Um den Fehlerausschluss f r Zwangs ffnung f r den elektrischen Teil von elektromechanischen Sicherheitsb
416. nung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der pneumatischen Steuerungselemente entspricht Kategorie 3 mit hoher MTTF 100 Jahre und niedrigem DC ve 71 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 7 86 10 Stunde Dies entspricht PL e Nach Hinzuf gen weiterer sicherheitsbezogener Steuerungsteile als Subsysteme zur Vervollst ndigung der Sicherheits funktion wird der PL in der Regel geringer 165 8 2 26 Pneumatische Ventilsteuerung Kategorie 3 PL e Beispiel 26 Freigabe E O O a O Abbildung 8 45 Redundante pneuma tische Steuerung zur Verriegelung beweglicher trennender Schutzeinrichtungen Sicherheitsfunktion O Sicherheitsbezogene Stoppfunktion eingeleitet durch eine Schutzeinrichtung Beim ffnen der beweglichen trennenden Schutzeinrichtung erfolgt eine Energietrennung und Druckentlastung in der pneumatischen Steuerung Funktionsbeschreibung O Die Verriegelung der beweglichen trennenden Schutzeinrichtung erfolgt durch zwei pneumatische Positionsschalter 1V1 und 2V1 Diese geben jeweils einen Steuerbefehl an die Wegeventile 1V2 und 2V2 O Pneumatische Energiezufuhr findet nur bei geschlossener Schutzeinrichtung statt O Der Ausfall eines pneumatischen Positionsschalters oder Wegeventils f hrt nicht zum Verlust der Sicherheitsfunktion O Eine Fehlererkennung der Ventile 2V1 und 1V2 erfolgt ber die Druckschalter 151 251 und 15
417. nur einen Kanal darstellt entspricht die Gesamtstruktur der Kate gorie 3 oder 4 Mit diesen Strukturen werden h ufig Sicher heitsfunktionen h herer PL wie z B d oder e realisiert Dementsprechend gelten die Anforderungen des h chsten PL auch f r die Software dieses einen Kanals siehe auch Abschnitt 6 3 10 Safety Related Embedded Software SRESW Zusatz zunehmende Wirksamkeit PLc d Referenz PL e gt Safety Related Application Software SRASW Zusatz zunehmende Wirksamkeit PLc d unde Abbildung 6 12 Abstufung der Anforderungen an sicherheitsbezogene Software O Verwendung von Standard SPS Die Schaltungsbeispiele in diesem BGIA Report siehe Kapitel 8 Seite 85 ff demonstrieren dass sicherheitsbezogene Steuerungen prinzipiell auch mit Standard SPS aufgebaut werden k nnen Es d rfte nur bei PL e sehr schwer sein f r die Hardware der SPS den erforderlichen hohen Diagnosedeckungsgrad DC mindestens 99 zu erreichen sofern diese Diagnose durch die SRASW realisiert werden muss F r PLa bis d werden die Anforderungen an die Standard SPS im Abschnitt 6 3 10 beschrieben Zus tzlich muss der Anwen dungsprogrammierer die Anforderungen zur Fehlerver meidung bei SRASW Abschnitte 4 6 1 und 4 6 3 der Norm entsprechend des PL erf llen O Bonus bei diversit rer SRESW Bei zweikanaligen SRP CS f r Sicherheitsfunktion en mit PL e kann die SRESW beider Kan le verschieden realisiert werden Geht d
418. nwender Die Sicherheitsfunktion kann auch durch eine Verkn pfung von entsprechenden Ventilen erreicht werden Berechnung der Ausfallwahrscheinlichkeit MTTF F r das Wegeventil 1V1 wird ein B Wert von 40 000 000 Schaltspielen G angenommen Bei 240 Arbeitstagen 16 Arbeitsstunden und 5 Sekunden Zykluszeit ist n 2 764800 Zyklen Jahr und MTTF 145 Jahre Dies ist gleichzeitig der MTTF Wert pro Kanal der auf 100 Jahre hoch gek rzt wird Dr und Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache sind in Kategorie 1 nicht relevant Die pneumatische Steuerung entspricht Kategorie 1 mit hoher MTTF 100 Jahre Damit ergibt sich eine mittlere Wahr scheinlichkeit gef hrlicher Ausf lle von 1 14 10 Stunde Dies entspricht PL c Nach Hinzuf gen weiterer sicherheits bezogener Steuerungsteile als Subsysteme zur Vervollst ndigung der Sicherheitsfunktion wird der PL in der Regel geringer Unter Ber cksichtigung der oben aufgef hrten Absch tzung zur sicheren Seite ergibt sich f r das verschlei behaftete Wege ventil 1V1 ein Wert von 14 Jahren 7 Betriebszeit bis zum vorgesehenen Austausch 95 8 2 3 Hydraulisches Ventil Subsystem Kategorie 1 PL c f r PL b Sicherheitsfunktionen Beispiel 3 gefahrbringende 1A EEE ed Bewegung L Be sicherheitstechnisch bew hrtes Ventil weitere Verbraucher vo TEA Abbildung 8 6 Hydraulisches Ventil zur Steuerung von gefahrbringenden Bew
419. nwendung erforderliche Schutzniveau zu bestimmen erweist sich in den meisten Anwendungsf llen des Maschinen und Anla genbaus die Ermittlung des Performance Levels PL nach der EN ISO 13849 1 Die EN 62061 ist insbesondere f r klein und mittelst ndische Unternehmen im Maschi nen und Anlagenbau die eine Vielzahl von Projekten im Sondermaschinenbau bear beiten und Einzelfertigung von Maschinen realisieren zu komplex und zu umfang reich Um die Auswahl von Komponenten sowie die Integration von Maschinen in Anlagen und Netzwerkumgebungen die nach dem SIL Safety Integrity Level der EN 62061 klassifiziert wurden zu erm glichen ist eine klare verbindliche und leicht verst ndli che Zuordnungstabelle zwischen PL und SIL notwendig Zur Unterst tzung der Anwender und deren Konstrukteure sind Hilfsmittel die den Umgang mit der Norm erleichtern bereits zu Beginn der bergangsphase zur Verf gung zu stellen um Erfahrungswerte und Erkenntnisse zu sammeln Die entspre chenden Bem hungen des BGIA Berufsgenossenschaftliches Institut f r Arbeits schutz in K rze einen Leitfaden mit Musterberechnungen zu g ngigen Konstruktio nen und eine Software zur Verf gung zu stellen mit deren Hilfe man die Sicherheits bezogenen Teile von Steuerungen rechnerisch auf Basis der EN ISO 13849 1 ermit teln kann werden vom VDMA begr t und entsprechend unterst tzt Da die probabilistische Betrachtungsweise der neuen Normenans tze auf geeig
420. nzip so gelten Leistungselemente wie Motoren oder Zylinder nicht als SRP CS Wirken jedoch Fremdkr fte z B an Vertikalachsen so m ssen die Leistungs elemente zus tzlich sicherheitstechnisch ert chtigt sein z B R ckschlagventil an Zylindern zus tzliche mechanische Bremse Abschnitt 6 5 schlie lich beschreibt wie schon im Abschnitt 5 7 die konkrete Umsetzung am praktischen Beispiel einer Planschneidemaschinensteuerung 6 1 1 Entwicklungsablauf Jede Handlung bei der Gestaltung und Integration sicherheits bezogener Teile von Steuerungen Anwendungsbereich der Norm muss daran orientiert sein m glichst fehlerfreie den Anforderungen entsprechende Produkte zu entwickeln und diese auch wie vorgesehen einzusetzen Schlie lich geht es um die Gesundheit von Menschen und die Vermeidung von Unf llen Das Motto f r den Entwicklungsablauf muss daher lauten strukturiert und gut dokumentiert Der Prozess der Risikominderung nach DIN EN ISO 12100 1 muss wie in Abbildung 6 3 dargestellt auf den gesamten Lebenszyklus einer Maschine ausgerichtet sein Obwohl in DIN EN ISO 13849 1 nicht explizit ausgef hrt gilt es auch bei der Gestaltung und Integration eines oder mehrerer SRP CS den Lebenszyklusgedanken aufzugreifen um die Aktivit ten entsprechend zu strukturieren Dass es sich bei dem in der Norm beschriebenen iterativen Prozess zur Gestaltung der sicherheits bezogenen Teile von Steuerungen um einen in einzelne Phasen unter
421. nzip wird das Ruhestromprinzip des Unterspannungsausl sers verwendet Das Not Halt Ger t S1 ist ein Schalter mit zwangl ufigem Bet tigungsmodus entsprechend EN 60947 5 1 Anhang K und daher ein bew hrtes Bauteil nach Tabelle D 4 der DIN EN ISO 13849 2 Der Motorstarter Q1 ist einem Leistungsschalter nach Tabelle D 4 der DIN EN ISO 13849 2 gleichzusetzen Q1 kann daher als bew hrtes Bauteil angesehen werden Es wird die Spannungsversorgung der ganzen Maschine abgeschaltet Stopp Kategorie 0 nach DIN EN 60204 1 Bemerkung 104 Die Not Halt Funktion erg nzt als Schutzma nahme die Sicherheitsfunktionen zur Sicherung von Gefahrstellen Berechnung der Ausfallwahrscheinlichkeit MTTF Bei 51 handelt es sich um ein handels bliches Not Halt Ger t nach DIN EN ISO 13850 Es erfolgt ein Fehleraus schluss f r den zwangs ffnenden Kontakt und die Mechanik sofern die in Tabelle D 2 dieses Reports angegebene Anzahl der Bet tigungen nicht berschritten wird F r die Unterspannungsausl sung des Motorstarters Q1 entspricht der B Wert n herungsweise der elektrischen Lebensdauer von 10000 Schaltspielen H Bei Annahme von 50 gefahrbringenden Ausf llen ergibt sich der B Wert durch Verdoppelung des B Wertes Bei j hrlich drei Bet tigungen des Not Halt Ger ts ergibt sich mit n 3 Zyklen Jahr f r Q1 eine MTTF von 66 666 Jahren Dies ist gleichzeitig die MTTF f r den Kanal die auf 100 Jahre hoch gek rzt wird D
422. ockdiagramm unterscheidet sich hier deutlich vom funktionalen Schaltplan Als Absch tzung zur sicheren Seite wird der B Wert f r jeden einzelnen Schaltkontakt verwendet MTTF Bei 240 Arbeitstagen 8 Arbeitsstunden und 60 Sekunden Zykluszeit betr gt n 115200 Schaltspiele Jahr F r S1 und S2 werden wegen des definierten Steuerstroms niedrige Last mechanische Lebensdauer der Kontakte ist bestimmend B Werte von je 2000000 Schaltspielen H angenommen und damit eine MTTF 173 Jahre F r die Mikrocontroller einschlie lich ihrer Peripherie wird nach SN 29500 2 eine MTTF von 878 Jahren D angegeben F r die Hilfssch tze K3 bis K6 gilt bei geringer Last B 20000 000 Schaltspiele N und damit MTTF 1736 Jahre F r die Brems Kupplungskombination Q1 wird der MTTF Wert von 607 Jahre aus B 7000000 Zyklen G errechnet Der gleiche Wert wird f r die Messersicherung Q2 im zweiten Kanal angenommen Die Werte f r die beiden Wegeventile 2V1 und 2V2 betragen 150 Jahre N Diese Werte ergeben eine MTTF eines Kanals von 45 2 Jahren hoch DCs yg DC 99 f r 51 52 basiert auf dem Kreuzvergleich von Eingangssignalen ohne dynamischen Test mit haufigem Signalwechsel DC 90 fur K1 K2 folgt aus Selbsttests durch Software und dynamischem Kreuzvergleich von Daten mit zeitlicher Erwartungshaltung DC 99 f r K3 bis K6 ergibt sich durch Plausibilit tspr fung ber zwangsgefuhrte Kontakte F r 2V1 2V2 ist die DC 99 w
423. ocontroller ASIC Datenaustausch 1V4 2V2 1V3 2V1 KLJ MLJ KSl KEL 68 Funktionsbeschreibung O Die Bet tigung der Stellteile S1 und 52 der Zweihandschaltung startet die gefahrbringenden Bewegungen Bearbeitungszyklus des Pressbalkens und des Messers Wird w hrend dieses Zyklus auch nur ein Stellteil der Zweihandschaltung losgelassen oder erfolgt ein Signalwechsel in der Peripherie der Maschine nicht wie durch die Steuerung erwartet stoppt der Zyklus und die Maschine geht in den sicheren Zustand Mit Dr cken der Stellteile S1 und S2 werden die ansteigenden Flanken der Signale beiden Verarbeitungskan len K1 Mikrocon troller und K2 ASIC zugef hrt Erf llen diese Signale die Anfor derungen an die Gleichzeitigkeit nach der relevanten Norm DIN EN 574 setzen beide Verarbeitungskan le die Ausg nge Hilfs sch tze K3 bis K6 f r eine g ltige Schnittanforderung Die beiden Verarbeitungskan le arbeiten synchron und werten auch interne Zwischenzust nde der zyklischen Signalverarbeitung gegenseitig aus Abweichungen von definierten Zwischenzust n den f hren zum Stopp der Maschine Ein Verarbeitungskanal wird durch einen Mikrocontroller K1 und der andere durch einen ASIC K2 gebildet K1 und K2 f hren w hrend des Betriebs im Hinter grund Selbsttests durch Fehler in den Stellteilen S1 S2 und in den Hilfssch tzen K3 bis K6 mit zwangsgef hrten R cklesekontakten werden durch Kreuz vergleich in den Verarbeitungskan len
424. odierung Im Sinne der Fehlervermeidung sind hierbei drei Dinge zu beachten O Lesbaren und verst ndlichen Code schreiben damit dieser sp ter leichter getestet und fehlerfreier modifiziert werden kann Verbindliche Programmierrichtlinien helfen z B das Programm besser zu kommentieren und die Variablen bzw Bausteine selbsterkl rend zu benennen O Defensiv programmieren das hei t immer mit internen oder externen Fehlern rechnen und diese aufdecken Kennt man z B das zeitliche Verhalten von Eingangssignalen so kann man mit dieser Erwartungshaltung Fehler der peripheren Beschaltung aufdecken Wird eine Zustandsmaschine pro grammiert dann wird die Zustandsvariable auf g ltigen Wertebereich berwacht usw 60 O Der Code muss statisch d h ohne Ausf hrung analysiert werden F r niedrige PL reicht ein Code Review f r PL d und e sollte der Daten und Steuerfluss zus tzlich m glichst werkzeugbasiert berpr ft werden Typische Fragen sind Entspricht der Code der vorherigen Gestaltung der Software Gibt es keine Stellen in denen Signale mit geringerem PL z B aus einer Standard SPS ein Signal mit h herem PL berstimmen Wo und durch welche Module werden Variablen initialisiert beschrieben und dann dem Sicher heitsausgang zugewiesen Welche Softwarefunktionen werden bedingt ausgef hrt 6 3 5 Pr fe was sich ewig bindet Modultest Integrationtest und Validierung Im Modultest werden die projektspezifisch neu ent
425. oleranz Fehlersicherheit der Struktur Aus diesen Para metern bestimmt sich die Wahrscheinlichkeit eines gef hrlichen Ausfalls und somit der erreichte PL Die Revision der DIN EN ISO 13849 1 l sst die zu verwendenden Berechnungsmethoden offen So darf man durchaus die hoch komplexe Markov Modellierung unter Ber cksichtigung der oben genannten Parameter nutzen Die Norm beschreibt jedoch ein sehr vereinfachtes Vorgehen n mlich die Benutzung eines S ulendiagramms siehe Abbil dung 6 10 in dem diese Modellierung des PL schon vorweg genommen ist F r Experten Die Herleitung des S ulen diagramms findet sich in Anhang G Die Kategorien bleiben auch nach der Revision der Norm das Fundament bei der Bestimmung des PL An ihrer Definition hat sich im Wesentlichen nichts ge ndert allerdings werden zus tz liche Anforderungen an die Bauteilg te und an die Wirksamkeit der Diagnose gestellt Erg nzend werden f r die Kategorien 2 3 und 4 ausreichende Ma nahmen gegen Ausf lle infolge gemein samer Ursache gefordert siehe Tabelle 4 1 Einen berblick ber die Kategorien liefert Tabelle 6 2 in der die drei rechten Spalten die Neuerungen in der Norm aufzeigen Ein wesentlicher Aspekt bei der Verwendung der vorgeschla genen einfachen Rechenmethoden ist die Darstellung der Kategorien als logische Blockschaltbilder den sogenannten vorgesehenen Architekturen Designated Architectures Da die Kategorien Fehlerbetrachtungen Fehlervermei
426. omplexe elektronische Bauteile z B SPS Mikroprozessor ASIC k nnen im Sinne der Norm nicht als bew hrt betrachtet wer den Die Einstufung als bew hrtes Bauteil h ngt auch von der Anwendung ab In manchen Anwendungen kann ein Bauteil als bew hrt gelten wohingegen dies in anderen Anwendungen z B aufgrund der Umgebungseinfl sse ausgeschlossen werden muss C5 1 Beispiel f r ein bew hrtes Bauteil in der Mechanik O Feder Eine Feder gilt als bew hrtes Bauteil wenn die Angaben zu bew hrten Sicherheitsprinzipien f r die Anwendung bew hrter Federn in DIN EN ISO 13849 2 Tabelle A 2 ein gehalten und weiterhin die technischen Festlegungen f r Federst hle nach ISO 4960 9 ber cksichtigt werden C5 2 Beispiele f r bew hrte Bauteile in der Fluidtechnik DIN EN ISO 13849 2 benennt f r die Fluidtechnik keine bew hr ten Bauteile Die Eigenschaft bew hrt zu sein h ngt insbeson dere von der speziellen Anwendung sowie von der Einhaltung der Anforderungen zu bew hrten Bauteilen der Kategorie 1 und Anforderungen aus den Normen DIN EN 982 10 und DIN EN 983 11 ab Sicherheitstechnisch bew hrte Bauteile k nnen z B sein O Wegeventile Sperrventile und Druckventile C5 3 Beispiele f r bew hrte Bauteile in der Elektrik O Sicherung Eine Sicherung ist eine berstromschutzeinrichtung die einen Stromkreis bei zu hoher Stromst rke z B infolge eines Isolationsfehlers unterbricht Prinzip der Energietrennung Zu unte
427. on ber die SPS K1 mithilfe eines Wegmesssystems 151 in geeig neten Zeitabst nden und beim Anfordern der Schutzfunktion Das Erkennen des Ausfalls von 1V1 f hrt zum Abschalten des Entl ftungsventils 0V1 Das Unterbrechen der gefahrbringenden Bewegung ber das Entl ftungsventil 0V1 ergibt in der Regel einen verl ngerten Nachlaufweg Der Abstand zum Gefahrenbereich muss auf den verl ngerten Nachlaufweg ausgelegt sein Durch den Ausfall des Wegeventils darf die Testfunktion nicht beeintr chtigt werden Ein Ausfall der Testfunktion darf nicht zu einem Ausfall des Wegeventils f hren Wenn durch eingesperrte Druckluft eine weitere Gef hrdung auftreten kann sind weitere Ma nahmen erforderlich Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Bei 1V1 handelt es sich um ein Wegeventil mit Sperr Mittelstellung ausreichender positiver berdeckung und Feder zentrierung Die sicherheitsgerichtete Schaltstellung wird durch Wegnahme des Steuersignals erreicht Die Testung erfolgt z B durch berpr fung des Weg Zeitverhaltens Wegmesssystem 151 der gefahrbringenden Bewegungen in Verbindung mit dem Schaltzustand des Wegeventils mit Auswertung in einer SPS K1 In geeigneten Zeitabst nden z B t glich wird zur Verhinderung eines systematischen Ausfalls die bergeordnete Abschalt funktion in diesem Beispiel auf das Entl ftungsventil 0V1 wirkend ber
428. onen f hren Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Die Schaltleiste dient der Absicherung von Quetsch Scher und Einzugsstellen Sie ist ber B1 mit der Steuerung ver bunden Das Teilsystem aus Sensor und Auswerteger t erf llt die Anforderungen nach DIN EN 1760 2 in Kategorie 3 und nach DIN EN ISO 13849 1 f r PL d Fehler im Signalgeber der Schaltleiste bzw in den Zuleitungen m ssen ausgeschlossen oder ber das Auswerteger t erkannt werden k nnen es k nnen Schaltleisten die nach dem ffner oder Schlie er Prinzip arbeiten verwendet werden Nach Entlastung einer zuvor bet tigten Schaltleiste erfolgt ein automatischer zeitverz gerter Wiederanlauf der Drehbewegung Die Schaltleiste verf gt ber einen hinreichenden Verformungsweg und einen aus reichenden Wirkbereich Die Lichtschranke dient der voreilenden ber hrungslos wirkenden Absicherung von Gefahrstellen Sie erf llt zusammen mit B2 mindestens die Anforderungen f r Typ 2 nach DIN EN 61496 1 und DIN CLC TS 61496 2 sowie nach DIN EN ISO 13849 1 f r PL d Die nach der Detektion einer Person oder eines Gegenstandes durch die Lichtschranke eingenommene reduzierte sicher begrenzte Geschwindigkeit wird nach einer voreingestellten Zeit wieder auf Normaldrehgeschwindigkeit
429. onnnnno 4 Report ind Normi inr berblick A e e Roi E II EEN ERENER EEN aE 4 1 Identifikation von Sicherheitsfunktionen und ihren Eigenschaften cccccccccccccnonnnononononnnanonnncnnnnnnnnnnnnononononnnnonnnnnnnos 4 2 Gestaltung und technische Realisierung der Sicherheitsfunktionen eeeeeeseseeeeseesssnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 4 3 Verifikation und Validierung der Steuerung f r jede Sicherheitsfunktion cccccccccnnnnonnoocnnnnncnncnnonononononononnnnnnnnnnnnos 4 4 K nftige Entwicklung von DIN EN ISO 13849 1 sais eine 5 Sicherheitsfunktionen und ihr Beitrag zur Risikominderung ococcccccccccnnncnnnnnnnnnnnnncnnnnnnnnnncnnnnnnnnononononnnnnannnnnannns 5 1 Anforderungen der EG Maschinenrichtlinie ccccccccccccccceccccnseessssssssseseeeeeccccceceecessessaueeeeassssseeseeeeeeeeceeeeeeeeeaaaaas 52 Strategie z r RiSIkKOmINder EINE rancia 59 2 2 BISIKOSINSCH A ZUNG ae en ee ee 5 2 2 BISIKODEWEILUNG en A een rer ee ee 5 3 Identifizierung der notwendigen Sicherheitsfunktionen und ihrer Eigenschaften ccccccccccccnnnnnnoonncnnnnnnnnnnnnnnnnnnnnss 5 3 1 Festlegung von Sicherheitstunktionen ses u 5 3 2 Beispiele bei denen die Definition der Sicherheitsfunktion Eintluss aut die Spatere Berechnung des PL Rat arado 54 Bestimmung des ertorderlichen Performance Level PL ccoo cnica tere A ES 5 4 2 bergang von einer erforderlichen Kategorie nach DIN EN 954 1 zu einem PL oooococicicocccocon
430. ons in control systems The Performance Level PL which is actually attained is explained in detail The requirements for attainment of the relevant Perform ance Level and its associated categories component reliability diagnostic coverage software safety and measures for the prevention of systematic and common cause failures are all discussed comprehensively Background information is also provided on implementation of the requirements in real case control systems Numerous example circuits show down to component level how Performance Levels ato e can be engineered in the selected technologies with categories B to 4 The examples also provide information on the safety principles employed and on components with well tried safety functionality Numerous literature references permit closer study of the examples provided The report shows that the requirements of DIN EN ISO 13849 can be implemented in engineering practice and thus makes a contribution to consistent application and inter pretation ofthe standard at national and international level R sum S curit fonctionnelle des commandes de machines Application de la norme DIN EN ISO 13849 La norme DIN EN ISO 13849 S curit des machines Parties des syst mes de commande relatives la s curit met des prescriptions pour la conception de parties de syst mes de com mande relatives la s curit Ce rapport pr sente les l ments essentiels de la norme dans sa
431. orderlich Dazu l sst sich die Start Taste S2 nutzen Die SPS K3 kontrolliert dazu die Dauer des Gedr cktseins der Taste auf eine Minimal und eine Maximalzeit Nur wenn die Bedingungen eingehalten sind wird von einem g ltigen Start Befehl ausgegangen Bemerkungen O Das Beispiel ist f r den Einsatz in Anwendungen mit seltener Anforderung der Sicherheitsfunktion vorgesehen Damit kann die Anforderung der vorgesehenen Architektur f r Kategorie 2 n mlich Testung sehr viel h ufiger als Anforderung der Sicherheitsfunktion vgl Anhang G erf llt werden O Nach dem Ausl sen eines Stopps sind die Lichtschranken bis zum n chsten Start deaktiviert Dadurch k nnte z B ein Gefah renbereich betreten werden ohne dass dies schaltungstechnisch registriert wird Durch eine entsprechende Anpassung der Schaltung l sst sich das Verhalten ndern Berechnung der Ausfallwahrscheinlichkeit Bei der Berechnung der Ausfallwahrscheinlichkeit werden beispielhaft drei Lichtschranken F1 bis F3 ber cksichtigt Wird eine zweite Gefahrstelle abgesichert so handelt es sich um eine weitere Sicherheitsfunktion die separat berechnet wird O Zur Berechnung der Ausfallwahrscheinlichkeit wird das Gesamtsystem in die zwei Subsysteme Lichtschranken und Hauptsch tz Q1 aufgeteilt F r das Subsystem Lichtschranken gilt F1 F2 F3 und K2 stellen den funktionalen Pfad der Kategorie 2 Schaltungsstruktur dar die SPS K3 inklusive Entko
432. orderte DC Besech vand rar unter Beruckschligung zul tuper Tolsianz sufgrund der angencenmenen Grenzeertungensiaghed von 5 Faz on emechi BGIA w amp Navigationsfenster Das ar AI zeigt eine Baumansichi der pelacanen f i Dow Ges Aue ew a hitler Ari pips in der E oh an die die hitrarchische SHukur der PEE m nt wiedergibt Subsystem Schwere del Verletzung 5 51 Leichte blicherweise reversible Yerletzung Ein Link k ck mil dor Maus auf einen der angezeiglen nr ihe wahl arene Air die Anzeiyelklearteibung je nach akiever hi aus e 52 eher ublcherersive mevertible Werketzung enschleiich Tod Ein Recid klick One ein Hontesdam entl ri dar folgenden Inhalt H ufigkeit und oder Dave der Gef hrdungserposilion F Fi Salen bis offer und oder kurze Deua del Exposition a 1 Hinzuf gen Fogt dem ausgew hlten Aleman ein neues unlergeordnetss E fingu af F2 Haile dauerd undloder lange Dausa de Esposton i i L schar Enterni das ausgew hlte i a aus der Liste e of Airs re laden L dt ein neni aus dar thet Das ade a wird als ein Lin cani des akivell ausgew hlten i ingeti gt mn die Bibliothek Las eras Fiigt tine Kopi on ausgeerahiten elements in dii ibik gifi Migschkeit zur Vermeidung der Gel hrdung P s Flo Mogbch unter berimenen Bedingungen e P2 Koam gich e Misschien Enifemt das au zomw hlle ni aug der Listo und fbgt es in de Ando Iwischenabla ge ein
433. orie 3 w rde also bei dieser einfachen Umsetzung durch eine funktional ein kanalige Struktur mit Testeinrichtung realisierbar sein Dies ist ein beabsichtigter Freiheitsgrad der neuen Norm der jedoch bei der Festlegung des PL ber cksichtigt werden muss So ist bei der Auswahl einer erforderlichen Kategorie u a das entstehende Risiko im Fall eines Fehlers der SRP CS zu beachten siehe DIN EN 954 1 Abschnitt 6 3 bzw DIN EN ISO 13849 1 Abschnitt 6 1 Diese Anforderung k nnte in dem betrachteten Beispiel zur Festlegung der erforderlichen Kategorie 3 nach DIN EN 954 1 gef hrt haben Aus diesen berlegungen ergibt sich dass beim bergang von einer erforderlichen Kategorie nach DIN EN 954 1 in einen erforderlichen PL zus tzliche Informationen nowendig sein k nnen die in der Regel nicht mehr verf gbar sind Wird keine neue Risikoanalyse durchgef hrt bietet sich als Ausweg ein Worst case Ansatz mit gleichzeitiger Festlegung von PL und erforderlicher Kategorie an wie Tabelle 5 3 siehe Seite 32 zeigt Hierbei wird vorausgesetzt dass ggf zus tzliche Ma nahmen die entsprechend DIN EN 954 1 zu einer Auswahl der m glichen Kategorie anstelle der bevorzugten Kategorie gef hrt haben weiterhin wirksam sind 31 Erforderliche Kategorie nach DIN EN 954 1 1997 Tabelle 5 3 Worst case Ansatz zum bergang von einer erforderlichen Kategorie nach DIN EN 954 1 zu einem erforderlichen Performance Level PL 5
434. ort 6 04 Hrsg Haupt verband der gewerblichen Berufsgenossenschaften HVBG Sankt Augustin 2004 www dguv de bgia Webcode d6362 4 Di Weibull W A statistical distribution function of wide appli cability J Appl Mech 18 1951 S 292 297 5 s Goble W M Control systems safety evaluation and reliability 24 ed Hrsg Instrumentation Systems and Automation Society ISA Research Triangle Park North Carolina 1998 Anhang E Bestimmung des Diagnosedeckungsgrades DC Der Diagnosedeckungsgrad DC Diagnostic Coverage ist ein Ma f r die Wirksamkeit der Selbsttest und berwachungs ma nahmen in einer Steuerung Er kann sich auf Bauelemente Bl cke oder die ganze Steuerung DC beziehen Die genaue Definition des DC beruht auf einer Einteilung von Ausf llen in drei Gruppen siehe Abbildung E 1 O Ungefahrliche Ausf lle s safe Diese f hren automatisch dazu dass ein sicherer Zustand eingenommen wird aus dem heraus keine Gef hrdungen entstehen Beispiel Offenbleiben eines Sch tzes oder Geschlossenbleiben eines Ventils mit der Folge eines Stillstands potenziell gefahr bringender Bewegungen O Erkennbare gefahrbringende Ausf lle dd dangerous detec table Diese potenziell gefahrbringenden Ausf lle werden durch Test oder berwachungsma nahmen erkannt und in einen sicheren Zustand berf hrt Beispiel Geschlossen bleiben eines Sch tzes oder Offenbleiben eines Ventils das durch eine
435. osit t der Druckfl ssigkeit Art und Die Fehlerannahme Kurzschluss zwischen zwei beliebigen Zustand der Druckfl ssigkeit bzw der Druckluft Leitern kann unter folgenden Voraussetzungen ausgeschlos sen werden Die Leiter sind O Alle Bauteile sind gegen Umgebungsbedingungen und relevante u ere Einfl sse best ndig dauerhaft fest verlegt und gegen u ere Besch digung gesch tzt z B durch Kabelkanal Panzerrohr oder Die SRP CS sind so ausgelegt dass sie ihre Funktionen auch unter f r die Anwendung blichen u eren Einfl ssen in unterschiedlichen Mantelleitungen verlegt oder ausf hren k nnen Wichtige Kriterien sind z B mechanische innerhalb eines elektrischen Einbauraumes verlegt unter Einfl sse klimatische Einfl sse Dichtigkeit des Geh uses der Voraussetzung dass sowohl die Leitungen als auch und EMV St rfestigkeit der Einbauraum den jeweiligen Anforderungen ent sprechen siehe EN 60204 1 oder O Prinzip der Energietrennung Ruhestromprinzip einzeln durch eine Erdverbindung gesch tzt Der sichere Zustand wird durch Wegnahme des Steuersignals elektrische Spannung Druck also durch Energieabschal O Elektromechanische Positionsschalter Handschalter tung erreicht Wichtige Kriterien sind z B sicherer Zustand bei Energieunterbrechung oder wirksame Federr ckstellung Die Fehlerannahme Nicht ffnen von Kontakten kann unter bei Ventilen in der Fluidtechnik folgender Voraussetzung ausgeschlossen werden
436. ot Halt Funktion ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 75 10 Stunde Dies entspricht PL d Neu gt ffnen WM cochem gt oF Schlie en i i Bibliothek Drucken ED Hiie FP Wizard k anole sl Eingabemasken J Zusammenfassung H PR 17 Kaskadierung von Schutzeinrichtung l SF NotHaltFurktion STO Sicher abc Subsystem BGIA Y x E SB Not Halt Ger t Eb CH Kanal Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke H BL Not Halt Gerat 51 i CH hay nat Loe TE Jasthana H SB Logik Ki El SB Aktoren E CH Kanal1 E BL Schutz 01 E CH Kanal 2 Be BL Frequenzumrichter T1 TE estan SF Stellungsuberwachung beweglich tr Kanal 1 BL Sauen io 285291 L schen 14 Bearbeiten Inhalte der Kan le vertauschen Kanal Hinzuf gen _ Name T ocgal MrTFdgall an BL Frequenzumfnchter T1 60 Low 20 Medium t L schen 14 Bearbeiten 2 Bibliothek Fi Abbildung 8 30 PL Bestimmung mithilfe von SISTEMA 137 8 2 18 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 3 PL d Beispiel 18 11 0 11 1 11 2 11 3 Eing nge 01 0 01 1 Abbildung 8 31 Redundante Stellungs berwachung beweg licher trennender Schutzeinrichtung in diversit rer Technologie elektromechanisch und progr
437. ove und Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache sind in Kategorie 1 nicht relevant Die elektromechanische Steuerung entspricht Kategorie 1 mit hoher MTTF 100 Jahre Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 14 10 Stunde Dies entspricht PL c Weiterf hrende Literatur O DIN EN ISO 13850 Sicherheit von Maschinen Not Halt Gestaltungsleitsatze 03 07 Beuth Berlin 2007 O DIN EN 60204 1 Sicherheit von Maschinen Elektrische Ausr stung von Maschinen Teil 1 Allgemeine Anforderungen 06 07 Beuth Berlin 2007 Neu ffnen ME Speicher Es Schlie en Fl Bibliothek gt Drucken Hite 7 Wizard RP mf A w Eingabemasken O Zusammenfassung Ely Projekte o E PR 07 Unterspannungsausl sung ber Not Hal Sub syste m BG A WI x E SF Not Halt Funktion STO Sicher abgest I E SB Steuerstromkreis E CH Kanal 1 BL Not Halt Ger t 51 Dokumentation PL Kategorie MTTFd 3 DCavg 3 CCF Bl cke 1 Kanal AAA A EL Not Halt Gerat 51 5 Nm DCcpgl MTTEdLa E BL Unterspannungsausl sung L Hinzuf gen a Ei Bar A al EL Unlesbarnuncesntis Fe BL Not Halt Ger t 1 macht relva FE CH Aia L L schen BL Unterspannungsausl su ihren 66666 67 TE aka Ea Bearbeiten 2 Bibliothek CP Inhalte der Kan le vertauschen _ Not Halt Funktion STO Sicher abgeschaltet Abbildung 8
438. p teren Validierung dienen kann Die gesamte Sicherheit einer Maschine bzw Maschinenanlage wird durch alle sicherheitsbezogenen Teile der Steuerung und deren Funktionen Komponenten aller Technologien Elektronik Software gew hrleistet Hier ist also eine Beschreibung der Sicherheit f r die Maschine bzw Maschinenanlage in Form einer Spezifikation notwendig Das Dokument muss nicht Hunderte von Seiten umfassen sondern kann sich durchaus in verst ndlicher 39 Form auf das Wesentliche beschr nken Nach den Festlegungen zur Gesamtheit der Maschine bzw Maschinenanlage wird es eine Teilmenge von Arbeiten f r den Programmierer geben Die Soft warespezifikation ist damit Teil des Gesamtkonzepts und folglich als Vertrag mit einem Unterauftragnehmer dem Program mierer zu bewerten Zun chst macht die Softwarespezifikation Vorgaben f r die Gestaltung und die Codierung der Software Die anderen an der Sicherheit beteiligten Elemente m ssen sich auf die Umsetzung der Funktionen in der Software verlassen k nnen Daher ist die Spezifikation auch Grundlage f r die Abnahme der Software Die Validierung der Softwarefunktionen muss zeigen ob der Vertrag erf llt wurde Im Bereich der SRASW ist dies sogar w rtlich zu nehmen da Projektierung und Programmierung einer Steuerung oft vom Verantwortlichen der Gesamtsicherheit an andere Unternehmen oder Unternehmensbereiche vergeben werden Dann sollte die Spezifikation auch eine
439. pplungs diode R2 stellt die Testeinrichtung dar S2 und K1 dienen zur Aktivierung der Lichtschrankentestung und sind an der Berech nung der Ausfallwahrscheinlichkeit nicht beteiligt 109 MTTF F r F1 bis F3 wird jeweils eine MTTF von 100 Jahren G angenommen F r K2 gilt ein B Wert von 20000000 Zyklen N Mit 240 Arbeitstagen 16 Arbeitsstunden und 180 Sekunden Zykluszeit ist Nyp 76800 Zyklen Jahr Durch die oben beschriebene Testung verdoppelt sich dieser Wert auf Nap 153 600 Zyklen Jahr mit einer MTTF 1302 Jahre f r K2 Diese Werte ergeben eine MTTF des Funktionskanals von 32 Jahren hoch F r K3 wird eine MTTF von 50 Jahren G angenom men Der MTTF Wert von 228311 Jahren N f r die Entkopplungsdiode R2 ist im Vergleich dazu unbedeutend Dg DC 60 f r F1 bis F3 begr ndet sich durch den beschriebenen Funktionstest DC 99 f r K2 folgt aus der direkten berwachung in K3 mithilfe zwangsgef hrter Kontakte Die Mittelungsformel f r DC ve ergibt 61 0 niedrig Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 85 Punkte Trennung 15 Diversit t 20 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 Die Kombination der Steuerungselemente im Subsystem Lichtschranken entspricht Kategorie 2 mit hoher MTTF pro Kanal 32 5 Jahre und niedrigem DC _ 61 0 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 85 10
440. pr ft F r den Einsatz in Anwendungen mit seltenem Eingriff in den Gefahrbereich vorgesehen Damit kann die Anforderung der vorgesehenen Architektur f r Kategorie 2 n mlich Testung sehr viel h ufiger als Anforderung der Sicherheitsfunktion vgl Anhang G erf llt werden Der Einsatz der Standardkomponente K1 erfolgt entsprechend den Hinweisen in Abschnitt 6 3 10 Die Programmierung der Software SRASW erfolgt entsprechend den Anforderungen f r PL b herabgestuft wegen Diversit t und den Hinweisen in Abschnitt 6 3 117 Berechnung der Ausfallwahrscheinlichkeit O MTTF des Funktionskanals F r das Wegeventil 1V1 wird ein B Wert von 20 000 000 Schaltspielen N angenommen Bei 10d 240 Arbeitstagen 16 Arbeitsstunden und 5 Sekunden Zykluszeit ist Nop 2764800 Schaltspiele Jahr und MTTF 72 3 Jahre Dies ist gleichzeitig der MTTF Wert f r den Funktionskanal MTTF des Testkanals F r das Wegmesssystem 151 wird ein MTTF Wert von 150 Jahren G angenommen F r die SPS K1 wird ein MTTF Wert von 50 Jahren G angenommen F r das Entl ftungsventil 0V1 gilt ein B Wert von 20000000 Zyklen N Bei t glichem Einschalten an 240 Arbeitstagen ergibt sich f r 0V1 ein MTTF Wert von 833 333 Jahren Damit betr gt die MTTF des Testkanals 37 5 Jahre DC o DC 60 f r 1V1 gr ndet sich auf den Vergleich des Weg Zeit Verhaltens der gefahrbringenden Bewegung in Verbindung mit dem Schaltzustand des Wegeventils Dies
441. quasi vernachl ssigbar bzw kann den f r die SRP CS ermittelten 57 Werten hinzugerechnet werden Umfassende Informationen zu Bussystemen f r die bertragung sicherheitsrelevanter Infor mationen gibt z B 30 Sollen ein in der Regel von unabh ngiger Stelle gepr ftes Bussystem bzw dessen Komponenten f r die Realisierung von Sicherheitsfunktionen eingesetzt werden so ist vor allem die Planung des Einsatzes und die korrekte Implementierung unter dem Aspekt der Fehlervermeidung von gro er Bedeutung Eine Vielzahl von Parametern will korrekt mit mehr oder weniger Unterst tzung durch zugeh rige Tools eingestellt werden 6 3 Entwicklung sicherheitsbezogener Software Der Programmierer einer Software der jahrelange Erfahrung hat macht selbstverst ndlich keine Fehler mehr diese oder hnliche Aussagen sind oft zu h ren Dabei ist gerade diese Selbst bersch tzung der gr te Fehler den man machen kann Software ist in der Regel kompliziert und deshalb gibt es auch im Gegensatz zur Hardware zunehmend mehr Versagen durch Softwarefehler Wie oft wundert sich der Power User am PC dass ein Peripherieger t nicht mehr funktioniert wie oft war es dann ein Teil der Software der sich mit einem anderen z B Treiber nicht vertr gt Dagegen sind Hardwarefehler eher selten Normale das hei t einfache Software f r einfache Funktionen hat nach 31 etwa 25 Fehler pro 1000 Programmzeilen Gute Software hat nach 31 etwa z
442. r Schnittstellen um eine korrekte Verwendung sicherzustellen Mit der Spezifikation der Sicherheitsfunktionen beginnt der Lebenszyklus der SRP CS DIN EN ISO 13849 1 listet neben speziellen Aspekten verschiedener Sicherheitsfunktionen auch allgemeine Aspekte auf die in einer solchen Spezifikation mindestens enthalten sein m ssen Mit einer solchen Spezifikation werden f r alle Beteiligten am Anfang des Entwicklungsprozesses die Rahmenbedingungen festgelegt es handelt sich um ein sogenanntes Lastenheft und keinesfalls um eine nach der Entwicklung angefertigte Pro duktbeschreibung Eine Sicherheitsfunktion wird durch SRP CS realisiert die Bestandteil der Maschinensteuerung sind und ber Schnittstellen zu weiteren SRP CS und zur funktionalen Steuerung verf gen Daher ist es notwendig eine Spezifikation zu erstellen Dazu wird im Kasten 6 1 ein allgemeines Gliederungsschema f r eine Spezifikation der Sicherheitsanforderungen aufgezeigt das die Spezifikation der Sicherheitsfunktionen einschlie t Dieses Gliederungsschema bezieht sich auf SRP CS die die gesamte Sicherheitsfunktion ausf hren F r SRP CS als Subsysteme ist die Spezifikation entsprechend anzupassen 40 Eine solche Spezifikation muss um G ltigkeit zu erlangen vor dem n chsten Entwicklungsschritt verifiziert werden Dabei geht es in erster Linie um Vollst ndigkeit Korrektheit Verst ndlichkeit und Widerspruchsfreiheit Dass eine solche Verifikation z B in Form
443. r Sprache erh ltlich sein Versionen f r weitere Sprachen werden folgen Das Tool wird im brigen nach Registrierung als Freeware zur kostenlosen Benutzung angeboten Aktuelle Informationen sowie den Link zum Download erhalten Sie unter der Internet adresse www dguv de bgia ber den Webcode 2447262 Heu ffnen bal Speichern F Schielen Fi Bibiothek u Drucken He wid WP AM a8 Eingsbemaken Zusammenfassung gt Zunick Vora Drucken P myakbe ui Plant thnaa Mat sche Diversi n SB Preiser und Schneider CH Earl 1 BL S5chlellerioortadd des T acters 51 EL 5171314 BL linerkoriski des Tastes 52 EL 5221 22 BL Miiocorinader E1 EL Mivocorirodsr EL Perghens BL Hi ssch r EJ EL H fsschk r EJ BL Hihi Ed EL Hiii Kd BL Hpodrsubk mart 14d EL Hydrsubkorertd T4 BL Hydlkwerdl VE EL Hidden A2 CH Kanal BL Schleflerkortakt des Tao 52 EL 5271314 BL linsrkontakt des Testers 51 EL 5121 22 J BL ASIC Re EL ASIC EL Perishane BL Hilsschu r K5 EL H ssch tr K5 BL Hish KE EL Hirsch Kb gt BL Hydraullorentd 13 EL Hpdrsuikwverdd TS 3 BL Hecker Zu EL Hpctaulk verted Ari Dokumentation Pls FL Plewert desk angeben Abbildung H 2 Programmoberfl che von SISTEMA 248 sicherheitsiunktion f PLeWier aus Aimkogeaph eisien Pere sen und Schneden Che von der Kalegone gel
444. r ben tigten Komponenten Die Definition der Sicherheitsfunktion hat daher erhebliche Auswirkungen auf die Bestimmung der sicherheitsgerichteten Zuverl ssigkeit In den folgenden Bei spielen soll dieser Sachverhalt erl utert werden Beispiel 1 Sicherheitsfunktion Stillsetzen beim ffnen der Schutzt r Beim ffnen der Schutzt r hat ein Maschinenbediener Zugang zu einem Gefahrenbereich in dem f nf Antriebe Bewegungen von Maschinenteilen steuern Das ffnen der Schutzt r bewirkt ein schnellstm gliches Stillsetzen aller f nf Antriebe Das zugeh rige funktionale Schaltbild ist in Abbildung 5 6 dargestellt Bei der sp teren Berechnung des PL der Sicherheitsfunktion wer den daher die PLs der folgenden Blocke z B nach Tabelle 6 6 verkn pft Oo Stellungs berwachung der Schutzt r einschlie lich mechanischer Komponenten O Logik O Antrieb x x 1 2 5 Das Resultat kann ein PL sein der f r die Anwendung nicht mehr ausreichend ist obwohl vielleicht nur die Antriebe 1 und 3 f r den Bediener gefahrbringende Bewegungen ausl sen und die restlichen Antriebe rein funktional stillgesetzt werden In diesem Fall empfiehlt es sich f r die Sicherheitsfunktion nur die Bewegungen zu ber cksichtigen die tats chlich eine Gef hrdung sind Beispiel 2 Sicherheitsfunktion Stillsetzen beim ffnen einer Schutzt r Eine gefahrbringende Bewegung ist durch einen Zaun abge sichert der ber f nf Schutzt r
445. r Bedeutung Das auf dem Fl ssigkeitsbeh lter angeordnete Bel ftungsfilter 121 verhindert dass Schmutz von au en eindringt Die Niveauanzeige 152 bewirkt die Einhaltung des Fl ssigkeitsspiegels in vorgegebenen Grenzen Die Tempera turanzeige 151 symbolisiert geeignete Ma nahmen zur Begren zung des Betriebstemperaturbereiches und damit des Betriebs viskosit tsbereiches der Druckfl ssigkeit Bei Bedarf m ssen Einrichtungen zur K hlung und oder Heizung in Verbindung mit einer Temperaturregelung eingesetzt werden siehe hierzu auch Anhang C 1A Antriebselemente Bauteile zur Ausf hrung der Sicherheitsfunktion z B Ventile Energieumformer Energie bertragung 151 122 7 Die Antriebselemente sowie die Bauteile der Energieumformung und der Energie bertragung sind bei fluidtechnischen Anlagen in der Regel au erhalb des Anwendungsbereiches der Norm Bei pneumatischen Anlagen siehe Abbildung 8 2 auf Seite 88 sind die Bauteile gegen Gef hrdungen bei Energie nderungen und die sogenannte Wartungseinheit zur Aufbereitung der Druckluft in sicherheitstechnischem Zusammenhang mit dem Ventilbereich zu sehen Um m gliche Energie nderungen sicherheitstechnisch zu beherrschen wird h ufig ein Entl ftungs ventil zusammen mit einem Druckschalter eingesetzt In den Schaltungsbeispielen dieses Kapitels sind diese Bauteile mit 0V1 Entl ftungsventil und mit 0S1 Druckschalter bezeichnet Die Wartungseinheit 0Z siehe Abbildu
446. r Positionsschalter Presse mechanische gt mecha Pressensteuerung Prinzip der versetzten Spulen Prinzipschaltplan nische Presse Probability of a Dangerous Failure per Hour gt durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls pro Stunde Programmiersprache Programmiersprache mit eingeschr nktem Sprachumfang Limited Variability Language Programmiersprache mit nicht Programmlaufuberwachung Programmoberflache Pr fung Q Quantifizierung eeeeeeeseeennnne R Realisierung Redundanz eingeschr nktem Sprachumfang Full Variability Language Redundanz homogene gt homogene Redundanz Reihenschaltung Relais Reparaturrate Restfehlerrate Restfehlerwahrscheinlichkeit Risikobeurteilung Risikoeinsch tzung Risikominderung reduzierung Rotationsdruckmaschine A Ruhestromprinzip S Safety Related Application Soft Wallis li RA AS A A EE A Safety Related Embedded Softwar e s ssssssssceseecccceccccecseeeeeeseessssseseseeceeeecceeeseeeeeeaeeeasssasssesesesees Safety related parts of control systems sicherheitsbezogener Teil der Steuerung S ulendiagramm A ANGER SERIFERSREERE Sal crias Schaltleiste Schaltspiel Schaltungsbeispiel Schaltungsbeispiele bersicht SchliefSkantensicherung Schnittstelle unseres E 110 72ER NER IRRE RER SEEN Sch tz berwachungsbaustein Schutzbeschaltung Schutzeinrichtung ber hrungs A ee ee Sch
447. r Sicherheitsfunktion d h es werden nicht nur automatisch ausgel ste Tests in programmierbarer Elektro nik betrachtet Gerade bei elektromechanischen Bauteilen z B Relais oder Sch tzen kann eine Erkennung des Fehlers Nichtabfall blicherweise nur bei Anforderung der Sicher heitsfunktion erfolgen F r die Fehleraufdeckung bei Anfor derung muss die H ufigkeit der Anforderung der Sicherheits funktion ber cksichtigt werden Ein weiterer Aspekt ist die Frage nach der notwendigen Testh ufigkeit Ein Test der zu selten ausgef hrt wird wird unter Umst nden durch das Eintreten eines Gef hrdungs ereignisses berholt und bietet damit nur tr gerische Sicherheit Als Faustregel gilt Die Testh ufigkeit konkur riert immer mit anderen H ufigkeiten daher kann eine ausreichende H ufigkeit nicht generell genannt werden In zweikanaligen Systemen der Kategorien 3 und 4 steht die Testh ufigkeit in Konkurrenz zur H ufigkeit des Auftretens eines zweiten gefahrbringenden Ausfalls Denn erst wenn der zweite Kanal ausf llt bevor ein Test den Ausfall des ersten bemerkt hat besteht die Gefahr der Nichtausf hrung der Sicherheitsfunktion Kategorie 4 Systeme tolerieren gem Definition sogar die Anh ufung unerkannter Fehler In zweikanaligen Systemen hat sich ein Test einmal pro Schicht in der Praxis bew hrt Anders ist es beim einkanalig getesteten System der Kategorie 2 Hier muss der Test erfolg reich sein bevor die n chste A
448. r Verhalten im Fehlerfall basierend auf der Zuverl ssigkeit und oder der strukturellen Anordnung der Teile siehe Tabelle 6 2 Eine h here Widerstandsf higkeit gegen ber Fehlern bedeutet eine h here m gliche Risikoreduzierung F r die Bestimmung der Ausfallwahrscheinlichkeit und des PL bilden die Kategorien deshalb das R ckgrat das durch die Bauteil zuverl ssigkeit MTTF die Tests DC und die Widerstands fahigkeit gegenuber Ausfallen infolge gemeinsamer Ursache CCF komplettiert wird Kategorie B ist die Basiskategorie deren Anforderungen auch in den ubrigen Kategorien eingehalten werden mussen In den In den Kategorien 2 3 und 4 wird eine verbesserte Leistungs f higkeit hinsichtlich der vorgegebenen Sicherheitsfunktion berwiegend durch strukturelle Ma nahmen erreicht In Kate gorie 2 wird die Ausf hrung der Sicherheitsfunktion in regel m igen Abst nden in der Regel durch technische Einrichtungen Testeinrichtung TE selbstt tig berpr ft Zwischen den Test phasen kann die Sicherheitsfunktion beim Auftreten eines Fehlers allerdings ausfallen Durch geeignete Auswahl der Testintervalle kann bei Anwendung der Kategorie 2 eine geeignete Risiko reduzierung erreicht werden Bei den Kategorien 3 und 4 f hrt das Auftreten eines einzelnen Fehlers nicht zum Verlust der Sicherheitsfunktion In Kategorie 4 und wenn immer in Kate gorie 3 in angemessener Weise durchf hrbar werden solche Fehler selbstt tig erkannt I
449. r zul ssigen Drehzahl im Tipp Betrieb verhindert Funktionsbeschreibung e Eine gefahrbringende Bewegung wird bei ge ffneter Schutzt r sicher verhindert oder unterbrochen Das ffnen der Schutz 148 t r wird ber zwei Positionsschalter B1 und B2 in ffner Schlie er Kombination erfasst Bei bet tigtem Taster S1 wird mithilfe der Sicherheits SPS K1 eine sicher begrenzte Geschwindigkeit am Frequenzumrichter T1 eingestellt Beide Verar beitungskan le innerhalb der SPS erhalten jeweils ber ihre Anwendersoftware voneinander unabh ngige Soll Grenzwert Vorgaben Die berwachung der Ist Drehzahl der begrenzten Geschwindigkeit an den Eing ngen 13 0 und 13 1 von K1 erfolgt ber zwei separate Tachogeneratoren G1 und G2 Jeder Kanal der SPS f hrt unabh ngig den Soll Ist Vergleich durch Schl gt die ber T1 geregelte Reduzierung der Drehzahl auf den begrenzten Wert fehl so kann K1 ber Sperrung des Start Stopp Signals und der Impulssperre am Umrichter einen Stillstand einleiten Zus tzlich kann ber ein Netzsch tz Q1 die Energieversorgung zu T1 getrennt werden ber eine intern in der Sicherheits SPS K1 vorhandene Schnittstelle werden sicherheitsrelevante Daten ausgetauscht z B zwecks Fehlererkennung durch Zustandsvergleich der beiden Verarbeitungskan le Versagt ein Verarbeitungskanal so erfolgt die Abw rtssteuerung des Umrichters T1 sowie des Netzsch tzes Q1 jeweils durch den anderen noch funktionie renden Verarbeitungskana
450. rafisches Verfahren vor das auf komplexeren Berechnungen und Absch tzungen zur sicheren Seite beruht das sogenannte S ulendiagramm siehe Abbildung 6 10 Kat 2 avg niedrig durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde Performance Level Abbildung 6 10 MTTF jedes Kanals S ulendiagramm Y zur vereinfachten A MTTF jed es Kanals PL Bestimmung aus der Kategorie inklusive MTTF jedes Kanals Ma nahmen gegen CCF dem DC und der MTTF 56 niedrig mittel hoch Dieses Diagramm wurde auf der Grundlage der vorgesehenen Architekturen f r die Kategorien durch Markov Modellierung ermittelt weitere Erl uterungen dazu gibt Anhang G Bei Anwen dung des S ulendiagramms wird zun chst durch die erreichte Kategorie dabei m ssen f r Kategorien 2 3 und 4 ausreichende Ma nahmen gegen CCF vorhanden sein in Kombination mit der erreichten DC Klasse auf der horizontalen Achse die relevante Sdule bestimmt Die H he der von den SRP CS erreichten MTTF auf der ausgew hlten S ule legt den auf der vertikalen Achse abzulesenden PL fest Mit dieser Methode ist auch ohne genaue quantitative Daten eine schnelle qualitative Absch tzung des erreichten PL m glich Falls genaue Werte gefragt sind z B neben dem PL auch ein Wert f r die durchschnittliche Wahr scheinlichkeit eines gef hrlichen Ausfalls je Stunde so helfen die Tabellen in Anhang K der Norm weiter hnliches leistet a
451. rantwortlichen Normungskomitees der Versuch unternommen mit einer gemein samen Tabelle in der Einleitung eine Empfehlung hinsichtlich der bevorzugten Anwen dung beider Normen zu geben Nach der Fertigstellung der ISO 13849 1 im November 2006 haben sich beide Nor mungskomitees dahingehend geeinigt einen gemeinsamen Anhang f r beide Normen zu erstellen der das Verst ndnis und die Anwendung der beiden Standards erleichtern soll Als weiterer Schritt ist geplant in naher Zukunft beide Normen zu einer gemeinsamen Norm oder einer mehrteiligen Norm verschmelzen zu lassen die das Thema Funktiona le Sicherheit f r Steuerungssysteme an Maschinen abdeckt 4 Normen im Blickfeld Funktionale Sicherheit f r Steuerungssysteme an Maschinen Planung und Ausf hrung sicherheitsrelevanter Steuerungen von Maschinen Sicherheit von Maschinen Sicherheit von Maschinen iia EN ISO 13849 ex EN 954 ee Funktionale Sicherheit sicherheitsbezogener Sicherheitsbezogene Teile von Steuerungen elektrischer elektronischer und programmierbar elektronischer Steuerungssysteme IEC 61508 5 Fazit Der VDMA begr t die Bem hungen der verantwortlichen Normungskomitees und erwar tet dass die beiderseits angestrebten Zielvorstellungen erfolgreich umgesetzt werden die f r eine verbesserte Koh renz der Normen und f r mehr Transparenz f r die Anwen der sorgen Der VDMA vertritt die folgende Auffassung Als praktikabler Weg um das f r die A
452. rbrechung der Kontakte in B2 und B4 170 Beim Auftreten eines Bauteilausfalls bleibt die Sicherheitsfunktion erhalten Die meisten Bauteilausf lle werden erkannt und f hren zur Betriebshemmung Eine Anh ufung von unerkannten Fehlern f hrt nicht zum Verlust der Sicherheitsfunktion Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Ein stabiler Aufbau der Schutzeinrichtungen zur Bet tigung der Positionsschalter ist sichergestellt B1 und B3 sind Positionsschalter mit zwangs ffnendem Kontakt entsprechend DIN EN 60947 5 1 Anhang K Die Zuleitungen zu den Positionsschaltern sind getrennt oder gesch tzt verlegt St rungen im Anfahr und Bet tigungsmechanismus werden durch Verwendung von zwei prinzipverschieden bet tigten Positionsschaltern ffner Schlie er Kombination erkannt Es k nnen mehrere Schutzeinrichtungen hintereinander geschaltet werden Kaskadierung Der Sicherheitsbaustein K1 erf llt alle Anforderungen f r Kategorie 4 und PL e Die Sch tze K2 Q1 Q2 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Die programmierbare SPS K1 erf llt die normativen Anforderungen gem Abschnitt 6 3 Berechnung der Ausfallwahrscheinlichkeit Die Schaltung l sst sich in drei Subsysteme aufteilen
453. rbrochener Lichtstrecke jedoch gesperrt Fehler in den anderen Komponenten der Schaltung Hilfssch tze Ausgangskontakte der Lichtschranke Starttaste die in Kombination zum Verlust einer Sicherheitsfunktion f hren k nnten werden nach einer Lichtstrahlunterbrechung w hrend der Anlauf bzw Wiederanlauftestung aufgedeckt und verhindern eine erneute Freigabe 190 K3 K4 Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Die Hilfssch tze K1 bis K4 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Die Anzugs spannung der Hilfssch tze K3 und K4 muss gr er als der halbe Wert der Spannungsversorgung gew hlt werden damit sich ein gleichzeitiger Anzug von K3 und K4 im Falle eines Kurzschlusses im Kabel Reihenschaltung f hrt zur Spannungs aufteilung ber den Sch tzspulen auch in Kombination mit anderen Fehlern nicht gefahrbringend auswirken kann Die Ausgangssignale der Lichtschranke F2 werden vom elektrischen Einbauraum des Empf ngers gemeinsam in einem Kabel zusammen mit den Versorgungsleitungen zum elektrischen Einbauraum der Maschinensteuerung gef hrt Durch Anwen dung des Ruhestromprinzips und des Prinzips der versetzten Spulen K3 K4 im geerdeten Steuerstromkreis werden alle im Kabel auftreten
454. rden Abbildung 5 9 Risikograph zur Bestimmung des PL f r jede Sicherheitsfunktion Erforderlicher Performance Level PL Niedriges Risiko Ausgangs punkt zur Einsch tzung der Risiko minderung Risiko 1 Mit der Kennzeichnung durch den Index r required wird darauf hingewiesen dass es sich um den f r die Sicherheitsfunktion erforderlichen Performance Level Sollwert handelt In der sp teren Validierung wird berpr ft ob der von der tats chlichen Steuerung Istwert erreichte PL PL ist gt bedeutet in diesem Zusammenhang PL e gt PL d gt PL c gt PL b gt PL a Die Wahrscheinlichkeit f r den Eintritt eines Gef hrdungsereignisses ist in der Praxis kaum zu bestimmen Zur Vereinfachung ist daher im Risikographen bereits der ung nstigste Fall eingearbeitet und eine weitere Bewertung nicht mehr erforderlich 30 Schwere der Verletzung S1 und S2 Die Schwere der Verletzung an einer Gefahrenstelle wird in der Regel eine gro e Bandbreite einnehmen Entscheidend f r die Anforderung an die Steuerung ist jedoch nur die Unterscheidung zwischen O S1 leicht blicherweise reversible Verletzung O S2 ernst blicherweise irreversible Verletzung einschlie lich Tod Bei der Entscheidung ber S1 oder S2 sind die blichen Aus wirkungen von Unf llen und die normalerweise zu erwartenden Heilungsprozesse anzunehmen H ufigkeit und oder Dauer der Gef hrdungsexposition F1 und F2 H ufigkeit un
455. rden in regelm igen Abst nden getestet Der zeitliche Programmablauf des Mikrocontrollers wird durch einen separaten Watchdog berwacht Anwendung O Bei Holzbearbeitungsmaschinen oder hnlichen Maschinen bei denen das ungebremste Stillsetzen zu einem unzul ssig langen Auslaufen der gefahrbringenden Werkzeugbewegungen f hren w rde Die Steuerung muss so ausgef hrt sein dass mindestens Performance Level b erreicht wird Pr fgrunds tze Holzbearbeitungsmaschinen GS HO 01 Berechnung der Ausfallwahrscheinlichkeit O Da das elektronische Bremsger t K1 als handels blicher Baustein zum Einsatz kommt wird dessen Ausfallwahrscheinlichkeit 5 28 10 Stunde H am Ende der Berechnung mit SISTEMA addiert F r den brigen Steuerungsteil wird die Ausfall wahrscheinlichkeit im Folgenden berechnet Bei S1 handelt es sich um einen Tastschalter mit zwangl ufigem Bet tigungsmodus gem DIN EN 60947 5 1 Anhang K Zwangs ffnung Bei Einsatz eines solchen Tasters als Befehlsger t kann ein Fehlerausschluss f r das Nicht ffnen des elek trischen Kontakts inklusive der Mechanik innerhalb des Tasters erfolgen O MTTF F r das Sch tz Q1 wird bei nominaler Last ein B Wert von 2000000 Schaltspielen N angenommen Bei 300 Arbeitstagen 8 Arbeitsstunden und 2 Minuten Zykluszeit ist App 72 000 Zyklen Jahr und MTTF 277 Jahre Dies ist gleichzeitig die MTTF f r den Kanal die auf 100 Jahre hoch gek rzt wird O DC ve und Ma
456. re Erl uterungen zu diesem Thema finden sich in Anhang B So wie bei anderen Methoden der Quantifizierung wird bei der Bewertung nach DIN EN ISO 13849 1 allen MTTF Werten eine konstante Ausfallrate w hrend der Einsatzdauer des Bauteils unterstellt Selbst wenn dies z B bei stark verschlei behafteten Bauteilen nicht direkt dem Ausfallverhalten entspricht so wird dennoch durch eine Absch tzung zur sicheren Seite eine solche MTTF als N herungswert bestimmt die w hrend der Gebrauchs dauer des Bauteils G ltigkeit hat blicherweise werden Fr h ausf lle vernachl ssigt da Komponenten mit ausgepr gten Fr hausf llen den Verf gbarkeitsanforderungen an eine Maschi nensteuerung nicht gerecht werden und daher im Markt nur eine geringe Rolle spielen Dieses Vorgehen hat den Vorteil dass die MTTF immer gleich dem Kehrwert der zugeh rigen gef hrlichen Ausfallrate A ist Da sich die gefahrbringenden Ausfallraten A der Bauteile in einem Block einfach aufsummieren ergibt sich aus den MTTF Werten der beteiligten Bauteile N Bauteile mit Laufindex i in folgender Weise die MTTF des Blocks 1 N 1 N A 2 Ai bzw 2 MTTF MTTF 1 Derselbe Zusammenhang gilt auch f r die Ermittlung der MTTF jedes Kanals aus den MTTF Werten der zugeh rigen Bl cke Steht die MTTF f r jeden Kanal fest so tritt eine weitere Verein fachung in Form einer Klassenbildung in Kraft Die ermittelten Werte werden in drei typis
457. rei Bet tigungen des Not Halt Ger ts angenommen so ergibt sich mit n 733 Zyklen Jahr f r Q1 eine MTTF von 35470 Jahren Dies ist gleichzeitig die MTTF f r den Kanal die auf 100 Jahre hoch gek rzt wird ee und Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache sind in Kategorie 1 nicht relevant Die elektromechanische Steuerung entspricht Kategorie 1 mit hoher MTTF 100 Jahre Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 1 14 10 Stunde Dies entspricht PL c Weiterf hrende Literatur O DIN EN ISO 13850 Sicherheit von Maschinen Not Halt Gestaltungsleitsatze 03 07 Beuth Berlin 2007 O DIN EN 60204 1 Sicherheit von Maschinen Elektrische Ausr stung von Maschinen Teil 1 Allgemeine Anforderungen 06 07 Beuth Berlin 2007 Neu Y Gffnen W Speichern s Schlie en Mil Bibliothek lt gt Drucken Hilfe F Wizard X mf te El Eingabemasken IN Zusammenfassung ET 7 o E PR 06 Start Stopp Einichtung mit Mot Halt Geri Subsystem BG IA y x Ej Not Halt Funktion STO Sicher abgesc El SB Steuerstromkreis Dokumentation PL Kategorie MTTFd 4 DCavg 4 CCF Bl cke H CH Kanal 1 BL NotHalt Ger t 1 AAA EL Not Halt Ger t 51 FR El BL Sch tz 01 Hinzuf gen _ Mame a EL Schultz 01 T Lesch BL Not Halt Gerat 51 N eae FE SCH Kanal C L schen BL Sch tz Q1 nicht rale
458. reichende Ma nahmen gegen CCF getroffen wurden Dies geschieht anhand eines Punktesystems f r acht typische meist technische Gegenma nahmen bei dem mindestens 65 von 100 m glichen Punkten erreicht werden m ssen Anhang F Struktur Neben den zuf lligen Hardware Ausf llen die durch gute Struk tur und geringe Ausfallwahrscheinlichkeit beherrscht werden k nnen gibt es das weite Feld der sogenannten systematischen Fehler dem System bereits seit der Konstruktion innewoh nenden Fehler wie z B Dimensionierungsfehler Softwarefehler oder logische Fehler vor denen Ma nahmen zur Fehlerver meidung und beherrschung sch tzen sollen Hier nehmen die Softwarefehler einen gro en Bereich ein Wie in der Einleitung erw hnt sind die Anforderungen an die sicherheitsbezogene Software in der Norm zwar neu aber im Einzelnen bereits aus einschl gigen Normen bekannt Die konkreten Ma nahmen sind je nach gefordertem PL abgestuft Weitere Informationen geben Abschnitt 6 1 2 f r systematische Ausf lle sowie Abschnitt 6 3 f r Software 4 3 Verifikation und Validierung der Steuerung f r jede Sicherheitsfunktion Ist das Design bis zur Ermittlung des realisierten PL fortgeschrit ten stellt sich f r jede durch die Steuerung ausgef hrte Sicher heitsfunktion die Frage ob dieser PL ausreicht Dazu vergleicht man den PL mit dem geforderten PL siehe Block 6 Abbil dung 4 1 Ist der f r eine Sicherheitsfunktion erreichte PL schlec
459. rheitsbezogenes Blockdiagramm O Mit dem Bet tigen der Entriegelungstaste S1 wird nach dem Stillstand des Motors Q1 Q2 und K1 abgefallen das anzugs verz gerte Sch tz K2 angesteuert der Magnet F1 aktiviert und damit der Sperrbolzen aus der Schutzt r gezogen Der Positionsschalter B1 verbleibt w hrend der ge ffneten Schutzt r manipulationssicher formschl ssig zwangl ufig bet tigt Ein unerwarteter Anlauf aus dem Stillstand wird auch ber den Positionsschalter B2 unbet tigt verhindert Konstruktive Merkmale O Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen O Die Leitungen sind im elektrischen Einbauraum verlegt oder in getrennten Mantelleitungen ausgef hrt O Die Hilfssch tze K1 und K2 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L O Die Sch tze Q1 und Q2 besitzen Spiegelkontakte entsprechend DIN EN 60947 4 1 Anhang F O Ein stabiler Aufbau der Schutzeinrichtung zur Bet tigung des Positionsschalters ist sichergestellt O Der Positionsschalter B1 ist ein zwangs ffnender Positionsschalter entsprechend DIN EN 60947 5 1 Anhang K O Die in der Schaltung vorgesehene Verriegelungseinrichtung in Abbildung 8 32 gestrichelt dargestellt enth lt in einem Geh use untergebracht und damit von au en nicht zug nglich sowo
460. rheitsfunktionen Beispiel 2 94 8 2 3 Hydraulisches Ventil Subsystem Kategorie 1 PL c f r PL b Sicherheitsfunktionen Beispiel 3 96 8 2 4 Stillsetzen von Holzbearbeitungsmaschinen Kategorie 1 PL c Beispiel 4 ooooooooncccccoccncnnnnnncncnnnnnnnnnnnnnnnnnnns 98 8 2 5 Stellungs berwachung beweglicher trennender Schutzeinrichtungen Kategorie 1 PL c Beispiel 5 100 8 2 6 Start Stopp Einrichtung mit Not Halt Ger t Kategorie 1 PL c Beispiel 6 ooooooooocccccccncccnnnnnnncncncnnnnonononnnanos 102 8 2 7 Unterspannungsausl sung ber Not Halt Ger t Kategorie 1 PL c Beispiel 7 ooooooccncnonccccnnnnoncnnnnnnnnnnnonnnnnnnns 104 8 2 8 Stillsetzen von Holzbearbeitungsmaschinen Kategorie 1 PL c Beispiel 8 ooooooocccccccnnccnnnonnnnncnnnonnnnononanonos 106 8 2 9 Getestete Lichtschranken Kategorie 2 PLc mit nachgeschaltetem Kategorie 1 Ausgangsschaltelement Beispiel 9 oooocccccccccccnnncnncnnnnonnnncnnonanocncnnncnncccnnnnoss 108 8 2 10 Sicheres Stillsetzen eines SPS gesteuerten Antriebs mit Not Halt Kategorie 3 PL c Beispiel 10 o 112 8 2 11 Getestetes pneumatisches Ventil Subsystem Kategorie 2 PL d f r PL c Sicherheitsfunktionen Beispiel 11 ceeeeeseseeeeeeeesssssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnne 116 8 2 12 Getestetes
461. richtungen in Verbindung mit trennenden Schutzeinrich tungen Leits tze f r Gestaltung und Auswahl 07 07 Beuth Berlin 2007 O DIN EN 60204 1 Sicherheit von Maschinen Elektrische Ausr stung von Maschinen Teil 1 Allgemeine Anforderungen 06 07 Beuth Berlin 2007 Neu gt ffnen m Speicher Schie en A Bibliothek e Drucken Hite o Wen N a K 3 gt Eingabemasken E Zusammenfassung R E yo Stellungsubenvachung beweglicher tren Sub System BG IA Y x Es Stellungsuberwachung beweglich trenn E CH Kanal E BL N herungsschalter B1 Kanal l eee EL N herungsschalter B1 i J BL Unterspannungsausl sung Hinzuf gen _ Name OMT TFA fay EL Unterspannungsauslos ee BL N herungsschalter B1 aot bran 40 High CH Kanal C L schen BL Unterspannungsausl su aaa 547 95 2 Bearbeiten 2 Bibliothek g I 0 Inhalte der Kan le vertauschen Stellungs berwachung beweglich trennender Kanal b Aa 7 b B Hinzuf gen I Nae DC MITFd a el Loschern Abbildung 8 4 I PL Bestimmung mithilfe von SISTEMA 93 8 2 2 Pneumatisches Ventil Subsystem Kategorie 1 PL c f r PL b Sicherheitsfunktionen Beispiel 2 gefahrbringende 1A Bewegung sicherheitstechnisch 1V1 bew hrtes Ventil Zellkern weitere Verbraucher und Steuerungen Vd 0V1 vaa ANT A Ab
462. riffe und allgemeine Gestaltungsleits tze f r die Sicherheit von Maschinen Das gesamte Verfahren zur Identifizierung von Gef hrdungen sowie zur Risikoeinsch tzung und Risikobewertung der einzel nen Gef hrdungen wird im neuen Entwurf der DIN EN ISO 14121 1 4 und ihrem technischen Report ISO DTR 14121 2 5 beschrieben Auf der Basis dieser beiden grundlegenden Normen beschreibt die Normenreihe DIN EN ISO 13849 1 2007 6 und DIN EN ISO 13849 2 2003 7 die erforderliche Risikominderung bei Gestaltung Aufbau und Integration von sicherheitsbezogenen Teilen von Steuerungen und Schutzeinrichtungen gleich ob elektrischer elektronischer hydraulischer pneumatischer oder mechanischer Natur Mit dieser Norm wird eine allgemein an wendbare Systematik f r Steuerungen von Maschinen und oder deren Schutzeinrichtungen vorgelegt Die in der Norm beschrie benen Performance Level erweitern den aus DIN EN 954 1 bekannten Kategoriebegriff Die sicherheitstechnischen Archi tekturen sind nun durchaus flexibler einsetzbar Wesentlicher Pluspunkt der Norm DIN EN 954 1 ist die oben bereits skizzierte technologieunabh ngige Behandlung von sicherheitsbezoge nen Teilen von Steuerungen Diese Vorgehensweise wurde in DIN EN ISO 13849 1 2007 beibehalten und wesentlich erweitert Nun sind ber die Einf hrung des Performance Levels Kombi nationen verschiedener Steuerungsstrukturen mit verschiedenen Technologien einfach realisierbar Damit bietet die neue Norm
463. rinzipien f r das sicherheitsbezogene Blockdiagramm und die FMEA Technologie bergreifend Im sicherheitsbezogenen Blockdiagramm erscheinen nur Funk tionsbl cke die mit der Sicherheitsfunktion Sicher abgeschal tetes Moment im Zusammenhang stehen und keine Bedien und Anzeigeorgane f r andere Maschinenfunktionen Eventuell kann von einigen Bauelementen dieser Schaltungsteile im Fehler fall eine die Sicherheitsfunktion st rende R ckwirkung ausgehen Ausl sung Lichtschrankentest schranke Abbildung B 1 Beispiel f r das sicherheitsbezogene Blockdiagramm einer einkanaligen Maschinensteuerung in Kategorie 2 206 Nur dann sind diese Bauelemente denjenigen Funktionsbl cken zuzurechnen die sie zum Ausfall bringen k nnen Oftmals wird das sicherheitsbezogene Blockdiagramm wie im vorgestellten Beispiel die Gestalt einer der vorgesehenen Architekturen nach der Norm DIN EN ISO 13849 1 Abschnitt 6 2 Abschnitte 6 2 1 bis 6 2 7 dieses Reports haben Dann kann das in Abschnitt 4 5 4 der Norm dargestellte Verfahren erg nzt durch die Anh nge B C D E und K zur quantitativen Bestimmung des Performance Levels angewendet werden Es ist aber nicht ratsam eine andere Struktur gewaltsam in die Form einer dieser Architekturen zu pressen M glicherweise l sst sich eine aktuell vorliegende Systemstruktur auch in Teile zerlegen die jeweils st ckweise einer vorgesehenen Architektur entsprechen Gelingt
464. ritischer Hinweis vorliegt z B wenn ein Grundelement noch unbenannt ist Alle anderen Grundelemente werden gr n gekennzeichnet Eine farbige Kennzeichnung vererbt sich immer auch auf die bergeordneten Verzweigungen wobei rot die h chste und gr n die niedrigste Priorit t hat Alle Warnungen und Hinweise zu dem aktiven Grundelement werden im Meldungsfenster unter halb des Arbeitsbereiches aufgef hrt Der Bereich unterhalb der Baumansicht zeigt die wichtigsten Kontextinformationen des a Grundelementes an Diese bestehen aus PL PFH MTTF und CCF des ber geordneten Subsystems sowie PL a ig PFH der ubergeord neten Sicherheitsfunktion das gilt nat rlich nur f r Grundele mente die in tieferen Hierarchieebenen liegen So sieht der Benutzer laufend wie sich seine nderungen in den angezeigten Parametern bemerkbar machen Neben ihrer Flexibilit t zeichnet sich die Programmoberfl che von SISTEMA durch eine komfortable und intuitive Bedienbarkeit aus Kontextspezifische Hilfetexte auf der rechten Seite sollen den Einstieg erleichtern Zus tzliche Unterst tzung bietet der mit der Anwendung ausgelieferte Wizard ein Assistent der den Einsteiger Schritt f r Schritt bei der virtuellen Nachbildung seiner Steuerung begleitet und ihm einen schnellen Zugang gew hr leistet H4 Wo ist SISTEMA zu erhalten Die Software SISTEMA wird auf den Internetseiten des BGIA zum Download bereitgestellt Zun chst wird SISTEMA nur in deutsche
465. ritt f r Schritt in die Geheim nisse der Norm DIN EN ISO 13849 1 2007 und ihre praktische Anwendung ein Hierbei ist der Report selbstverst ndlich kein Ersatz f r die Norm er enth lt jedoch wertvolle Tipps und vor allem schon in der Praxis erarbeitete Erweiterungen und Hilfen Der Report ist als Lehrbuch und Nachschlagewerk gedacht beiden Anspr chen soll und kann er gerecht werden Dr Karlheinz Meffert Direktor des BGIA 11 2 Einleitung Seit dem 1 Januar 1995 m ssen alle Maschinen die innerhalb des europ ischen Wirtschaftsraumes in Verkehr gebracht werden den grundlegenden Anforderungen der Maschinenrichtlinie 1 gen gen Als Maschine gilt nach Artikel 1 dieser Richtlinie die Gesamtheit von miteinander verbundenen Teilen oder Vor richtungen von denen mindestens eines beweglich ist sowie gegebenenfalls von Bet tigungsger ten Steuer und Energie kreisen die f r eine bestimmte Anwendung z B Verarbeitung Behandlung Fortbewegung und Aufbereitung eines Werkstoffes zusammengef gt sind Mit der kodifizierten Fassung 98 37 EG 1 der Maschinenrichtlinie fallen neben Maschinen auch Sicher heitsbauteile die vom Hersteller mit dem Verwendungszweck der Gew hrleistung einer Sicherheitsfunktion in Verkehr gebracht werden und deren Ausfall oder Fehlfunktion die Sicherheit oder die Gesundheit von Personen im Wirkbereich der Maschine gef hrden k nnen unter den Anwendungsbereich dieser Richt linie Die grundlegend
466. robabilistischen Ansatzes zu verstehen und ihre Anwendung ist einer der Hauptaspekte dieses Reports In Bezug auf DIN EN 62061 legt die Tabelle nahe dass auch komplexe z B programmierbare Elektronik in den Anwendungsbereich der Norm f llt Dies ist zwar korrekt jedoch muss die Entwicklung von sogenannten SRECS siehe Abbil dung 3 1 dieser Technologie gem den Anforderungen der Norm nach DIN EN 61508 erfolgen Abbildung 3 3 zeigt eine angepasste Empfehlung die sich an den aktuellen St nden der Norm und deren Anwendungsbereichen orientiert Auch wenn von vielen Experten die ann hernde Gleichwertigkeit der Ergebnisse bei Anwendung der einen oder anderen Norm diskutiert wird sind die Anforderungen im Detail durchaus unterschiedlich so beschreibt DIN EN 62061 als Sektornorm der DIN EN 61508 nat rlich den Aspekt des Managements der funk tionalen Sicherheit sehr explizit Entwicklung und Verifikation von Embedded Software nach DIN EN ISO 13849 1 basieren auf heute g ngigen und auch in DIN EN 61508 beschriebenen wesentlichen Anforderungen f r sicherheitsrelevante Software Die Darstellung orientiert sich wohl bewusst mit Verzicht auf Komplexit t am Normalfall Weitgehende Einigkeit besteht aber darin dass keine Mischung der Anforderungen aus beiden Normen vorgenommen werden soll DIN EN ISO 13849 1 Nichtelektrik z B Hydraulik enthalten Elektromechanik z B Relais und oder einfache Elektronik alle
467. rplatte mit den L tstellen kann Kurzschl sse und Unter brechungen an verschiedenen Stellen in die Schaltung einbrin gen Der in Abbildung B 3 realisierte pragmatische Ansatz zur Absch tzung des DC Wertes f r L tstellen und Leiterplatte besteht darin ihnen jenen mittleren DC Wert zuzuweisen der sich f r alle brigen Bauelemente des Funktionsblocks aus der Glei chung DC A 2 X ergibt So wirkt sich das Einbeziehen von Leiterplatte und L tstellen nicht auf den DC Wert aus der f r den kompletten Funktionsblock berechnet wird In jeder Tabellenzeile d h f r jedes Bauelement gilt A Temperaturfaktor Basisausfallrate ggf mit weiteren Korrekturfaktoren s o A Ausfallanteil in die sichere Richtung A A Ausfallanteil in die gef hrliche Richtung A Agg DC A gt o Il 1 D0 Ay F r diese A Werte werden in der Tabelle Spaltensummen gebildet Aus dem Summenwert A bzw aus den Summenwerten A und A ergeben sich die MTTF d h die mittlere Zeit bis zum gef hrlichen Ausfall des Funktionsblocks sowie der DC des Funktionsblocks MTTF 1 2 Um den PL bei einer der vorgesehenen Architekturen nach Abschnitt 6 2 3 bis 6 2 7 zu bestimmen werden als Eingangs gr en nur die Werte von MTTF und DC ben tigt Im vorlie genden Beispiel ergibt sich ein MTTF Wert von 9 905 9 Jahren und ein DC von 91 72 Wird ein anderes Quantifizierungs verfahren angewendet k nnen auch Werte wie A bzw A
468. rscheiden sind Schmelzsicherungen sowie ersatz weise Leitungsschutzschalter Sicherungen haben sich seit Jahrzehnten als berstromschutzeinrichtungen bew hrt F r Sicherungen existieren umfangreiche Bestimmungen 12 13 Versagensf lle von Sicherungen sind bei bestim mungsgem em Einsatz und korrekter Dimensionierung praktisch auszuschlie en 216 O Not Aus Ger t Not Halt Ger t Zur Einleitung von Handlungen im Notfall dienen Ger te f r Not Aus und Not Halt nach DIN EN ISO 13850 14 Den Ger ten gemeinsam ist die Ausr stung mit zwangs ffnenden Hilfsstromschaltern zur Energieunterbrechung nach Anhang K in DIN EN 60947 5 1 15 Zwei Arten von Hilfsstromschaltern mit Zwangs ffnung werden unterschieden Typ 1 Mit nur einem Schaltglied das als zwangs ffnender Kontakt ausgef hrt ist Typ 2 Mit einem oder mehreren ffnern und m glicher weise mit einem oder mehreren Schlie ern und oder einem oder mehreren Wechslern Alle ffnerkontakte ein schlie lich der ffnerteile der Wechsler m ssen zwang laufig ffnende Schaltglieder haben O Schalter mit zwangl ufigem Betatigungsmodus direkt ffnend Diese besondere Art der Schalter wird als Tastschalter Positionsschalter und als Wahlschalter mit Nockenbet tigung z B zur Anwahl von Betriebsarten auf dem Markt angeboten Die Schalter haben sich seit Jahrzehnten bew hrt Ihnen zugrunde liegt das bew hrte Sicherheitsprinzip des zwang l ufigen Bet tigungs
469. rtionalventil Der Mikrocontroller K4 erh lt ein redundantes Telegramm 2 von S1 ber den Bus Transceiver K2 K4 pr ft die korrekte Auslenkung des Proportionalventils 1V4 ber das in 1V4 integrierte Weg Messsystem 154 auf Plausibilit t gegen die aus Telegramm 2 ermittelte Sollstellung Bei erkannten Fehlern schaltet K4 bergeordnet ber ein Wegeventil 1V3 den hydraulischen Druck ab und bringt das System in den sicheren Zustand Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Bei dem MFST handelt es sich um ein f r den Einsatz in PL d geeignetes Sicherheitsbauteil das der Kategorie 3 entspricht Das Proportionalventil 1V4 und das Wegeventil 1V3 haben eine Sperrstellung bzw Sperr Mittelstellung Federr ckstellung bzw Federzentrierung und eine ausreichend positive berdeckung Die Programmierung der Software SRESW von K3 und K4 erfolgt entsprechend den Anforderungen f r PL d und den Hinweisen in Abschnitt 6 3 Die Daten bertragung vom MFST zur Logiksteuerung ist nach GS ET 26 bzw DIN EN 61784 3 abgesichert Das verwendete Datenkommunikationsprotokoll beinhaltet redundante Telegramme und Ma nahmen um folgende bertragungsfehler zu erkennen Wiederholung Verlust Einf gung falsche Abfolge Verf lschung und Verz gerung siehe auch Ab
470. rung der Signale eines Schlaffseilschalters ist ausreichend 122 a a E 1 0 0 0 00 E E Im Mikrocontroller K1 werden Selbsttests der integrierten Einheiten wie Recheneinheit Arbeits und Festwertspeicher durchgef hrt Die Spannungs berwachung K7 bemerkt Fehler in der Versorgungsspannung Fehler im Mikrocontroller werden durch eine zeitliche Programmlauf berwachung im Watchdog K8 erkannt Die Bauteile K19 bis K21 zur Steuerung der Auf bzw Abw rtsbewegung des Leuchtenh ngers werden mithilfe einer R cklesung entkoppelt durch Optokoppler K13 bis K15 im Mikrocontroller berwacht Im Falle eines erkannten Fehlers erfolgt eine bergeordnete Abschaltung ber das Hilfssch tz K21 angesteuert durch Logikgatter K4 und entkoppelt durch Optokoppler K18 durch das fehlererkennende Bauteil Wird der Watchdog K8 nicht rechtzeitig vom Mikrocontroller K1 retriggert erfolgt ausgehend von K8 ber alle Logik gatter K2 bis K4 ein Stillsetzen der Bewegung des Leuchtenh ngers Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Die Erkennung einer Unterlast erfolgt redundant ber beide Tragmittel mithilfe der beiden Schlaffseilschalter B1 und B2 Diese enthalten zwangs ffnende Positionsschalter entsprechend DIN EN 60947 5 1 Anhang K Ein stabiler Aufbau der Bet tigungs
471. rung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Als grundlegendes Sicherheitsprinzip wird das Ruhestromprinzip verwendet Zus tzlich ist die Erdung des Steuerkreises als bew hrtes Sicherheitsprinzip vorhanden Das Not Halt Ger t S1 ist ein Schalter mit zwangl ufigem Bet tigungsmodus entsprechend EN 60947 5 1 Anhang K und daher ein bew hrtes Bauteil nach Tabelle D 4 der DIN EN ISO 13849 2 Die Signalverarbeitung erfolgt durch ein Sch tz Stopp Kategorie 0 nach DIN EN 60204 1 Das Sch tz 01 ist ein bew hrtes Bauteil unter Ber cksichtigung der zus tzlichen Bedingungen nach Tabelle D 4 der DIN EN ISO 13849 2 Bemerkung O Die Funktion zum Stillsetzen im Notfall erg nzt als Schutzma nahme die Sicherheitsfunktionen zur Sicherung von Gefahrstellen Berechnung der Ausfallwahrscheinlichkeit MTTF Bei 51 handelt es sich um ein handels bliches Not Halt Ger t nach DIN EN ISO 13850 Es erfolgt ein Fehlerausschluss f r den zwangs ffnenden Kontakt und die Mechanik sofern die in Tabelle D 2 dieses Reports angegebene Anzahl der Bet tigungen nicht berschritten wird F r das Sch tz Q1 entspricht bei induktiver Last AC3 der B Wert der elektrischen Lebensdauer von 1 300 000 Schaltspielen H Bei Annahme von 50 gefahrbringenden Ausf llen ergibt sich der B Wert durch Verdoppelung des B Wertes Werden an 365 Arbeitstagen t glich zwei Bet tigungen der Start Stopp Einrichtung und j hrlich d
472. rvorgaben Einsatzbedingungen und vom Anwender eingehalten werden Anhang C 2 Tabelle C 1 der DIN EN ISO 13849 2 nennt die grundlegenden Sicherheitsprinzipien f r hydraulische Systeme Zu den wichtigsten Prinzipien geh rt die Anwendung geeigneter Werkstoffe und Herstellungsverfahren sowie des Prinzips der Energietrennung Druckbegrenzung Schutz gegen unerwarteten Anlauf und ein geeigneter Temperaturbereich weitere Erl ute rungen siehe Anhang C Anhang C 3 Tabelle C 2 der DIN EN ISO 13849 2 listet bew hrte Sicherheitsprinzipien f r hydraulische Systeme auf Die wich tigsten Prinzipien umfassen berdimensionierung Sicherheits faktoren Begrenzung Verringerung der Geschwindigkeit durch einen Widerstand zum Erreichen eines definierten Volumen stroms Begrenzung Verringerung der Kraft einen geeigneten Bereich f r die Betriebsbedingungen berwachung des Zustands des Druckmediums Verwendung bew hrter Federn und eine ausreichend gro e positive berdeckung in Schieberventilen weitere Erl uterungen siehe ebenfalls Anhang C Auch wenn DIN EN ISO 13849 1 unter diesen Voraussetzungen einen MTTF Wert f r hydraulische Ventile angibt sollte dennoch jeder Hersteller von Ventilen f r seine Bauteile m glichst eigene Ausfallzahlen ermitteln und eine eigene MTTF angeben D2 4 MTTF pneumatischer und elektromechanischer Steuerungskomponenten In der Fluidtechnik sowie in der Mechanik und Elektromechanik wird die Lebensdauer bzw
473. s berschreiten eines Beschleunigungsgrenzwerts wird Acceleration verhindert SLS Safely Limited Speed Sicher begrenzte Geschwindigkeit Das berschreiten eines Geschwindigkeitsgrenzwerts wird verhindert SLT Safely Limited Torque Sicher begrenztes Moment Das berschreiten eines Drehmoment Kraftgrenzwerts wird verhindert SLP Safely Limited Sicher begrenzte Position Das berschreiten eines Positionsgrenzwerts wird verhindert Position SLI Safely Limited Sicher begrenztes Schrittma Der Motor wird um ein spezifiziertes Schrittma verfahren und Increment stoppt anschlie end SDI Safe Direction Sichere Bewegungsrichtung Die nicht beabsichtigte Bewegungsrichtung des Motors wird verhindert Safe Motor Sichere Motortemperatur Das Uberschreiten eines Motortemperaturgrenzwerts wird Tama parecerse Safe Brake Control Brake Control Sichere Sichere Bremsenansteuerung Sichere Sichere Ansteuerung einer externen Bremse 566 einer externen Bremse Safe Cam Sicherer Nocken W hrend sich die Motorposition in einem spezifizierten Bereich befindet wird ein sicheres Ausgangssignal erzeugt Safe Speed Monitor Sichere Geschwindig W hrend die Motordrehzahl niedriger als ein spezifizierter Wert ist keits berwachung wird ein sicheres Ausgangssignal erzeugt SAR Safe Acceleration Sicherer Beschleunigungsbereich Die Beschleunigung des Motors wird innerhalb spezifizierter Range Grenzwerte gehalten SSR Safe Speed Range Sicherer Geschwindigkeitsbereich Die
474. s tzlich je einen Transistor zur Ansteuerung der nachfol genden Hilfssch tze 123 Zur Anwendung des vereinfachten Verfahrens f r die Absch tzung des erreichten PL werden die Bauteile der Schaltung wie folgt den Bl cken der vorgesehenen Architektur f r Kategorie 2 zugewiesen B1 ll K10 K6 K1 K2 K16 K3 K17 K7 O K19 K20 TE B2 K11 K12 K9 K5 K8 K4 K18 K13 K14 K15 OTE K21 MTTF Die f r die Berechnung ben tigten MTTF Werte stammen aus DIN EN ISO 13849 1 N SN 29500 2 und SN 29500 14 D F r B1 und B2 werden folgende Kennwerte angesetzt B 100000 Zyklen G nO Zyklen Jahr F r die Hilfssch tze K19 bis K21 gilt B 400000 Zyklen N ign LO Zyklen Tag an 365 Arbeitstagen F r den Mikro controller K1 wird eine MTTF von 1141 Jahren D angesetzt F r die elektronischen Bauteile werden folgende MTTF Werte angesetzt D 4 566 Jahre f r Watchdog K8 5 707 Jahre f r die Optokoppler K9 bis K18 22 831 Jahre f r die Logikgatter K2 bis K6 38 051 Jahre f r die Spannungs berwachung K7 und 45 662 Jahre f r Transistoren bzw 228 310 Jahre f r Widerst nde Durch Aufsummierung der Ausfallraten aller Bauteile des funktionalen Kanals Bl cke L und O ergibt sich eine MTTF von 288 Jahren Diese wird gem den Anforderungen der Norm auf 100 Jahre beschnitten hoch Die MTTF des Testkanals ergibt sich durch Aufsummierung der Ausfallraten aller Bauteile der Bl cke TE und OTE Sie betr gt 393
475. s anderen Kanals nicht beeintr chtigt wird O Die Aufteilung der Bl cke innerhalb eines Kanals ist eher willk rlich zwar schl gt DIN EN ISO 13849 1 pro Kanal drei Bl cke vor Eingangsebene Logikebene L und Ausgangs ebene 0 dies ist aber mehr als Verst ndnishilfe gedacht Weder die genaue Grenze zwischen I L und O noch die Anzahl der Bl cke in einem Kanal haben signifikante Aus wirkungen auf die in Form des PL berechnete Ausfallwahr scheinlichkeit O Fur jede sicherheitsrelevante Hardwareeinheit soll die Block zugeh rigkeit eindeutig festgelegt sein z B als St ckliste Dies erlaubt die Berechnung der mittleren Zeit bis zum gefahrbringenden Ausfall MTTF des Blocks basierend auf der MTTF der Hardwareeinheiten die zu diesem Block geh ren z B durch die Ausfalleffektanalyse FMEA oder das Parts Count Verfahren siehe 6 2 13 Nur rein zu Testzwecken verwendete Hardwareeinheiten deren Ausfall die Ausf hrung der Sicherheitsfunktion in den verschiedenen Kan len nicht direkt beeintr chtigen kann k nnen als separate Bl cke eines zus tzlichen Testkanals zusammengefasst werden Die Norm stellt f r die Kategorien 3 und 4 keine direkten Anforderungen an die Zuverl ssigkeit externer Testeinrichtungen aber in Anlehnung an Kategorie 2 sollten die Testeinrichtungen mindestens die halbe MTTF des einzelnen symmetrisierten siehe unten Kanals haben und auch systematische Ausf lle und CCF sollten ber cksichti
476. s die Systeme O mindestens einer Anforderung der Sicherheitsfunktion pro Jahr ausgesetzt sind O sich bei selbstt tiger Erkennung eines internen Fehlers in den sicheren Zustand Betriebshemmung versetzen und dann i d R kurz darauf sp testens nach einigen Stunden manuell abgeschaltet werden O nach Eintritt der Betriebshemmung oder nach einem Unfall bzw erkanntem gef hrlichen Versagen repariert oder ersetzt und wieder in Betrieb genommen werden 241 Unter diesen Randbedingungen stellt die quantitative Ziel gr e der Modellierung die PFh die durchschnittliche Anzahl der ausfallbedingt nicht bedienten Anforderungen der Sicher heitsfunktion pro Stunde dar Bei st ndig vorliegender Anfor derung Continuous Mode of Operation gibt sie die Anzahl der gef hrlichen Systemausf lle pro Stunde an Ausnahme Kate gorie 2 deren PFH nur f r zeitdiskrete Anforderungen berechnet wurde Da die so ermittelte PFH allein Zufallsausf lle ber ck sichtigt nicht jedoch systematische Ausf lle und andere negative Effekte ist sie als theoretische Leistungskenngr e anzusehen welche die sicherheitstechnische G te eines Designs bewertet aber keine Aussagen etwa zur Unfallh ufigkeit gestattet Diese PFH ist die mathematische Gr e die auf der vertikalen Achse des S ulendiagramms aufgetragen ist vgl Abbildung G 3 dieses Anhangs Trotz der prinzipiellen Ber cksichtigung von Anforderungen der Sicherheitsfunktion und der Rep
477. sart oder manche Bauelemente zur Sicher stellung der EMV 205 ber Schaltpl ne und St cklisten muss der Inhalt jedes Funk tionsblocks eindeutig bestimmt sein Wegen der Art seiner Erstellung und seines speziellen Zweckes unterscheidet sich das sicherheitsbezogene Blockdiagramm im Allgemeinen von Blockdiagrammen die anderen Zwecken dienen z B solchen die sich an einem mechanischen Aufbau von Baugruppen orien tieren Abbildung B 1 zeigt als Beispiel das sicherheitsbezogene Blockdiagramm einer einkanaligen Maschinensteuerung in Kategorie 2 mit O einem Mikrocontroller O einer Lichtschranke zur Gefahrstellen berwachung O einem Watchdog zur Erkennung von einigen Controller Fehlfunktionen O einer geregelten Motorantriebssteuerung Frequenz umrichter die vom Controller angesteuert wird und O einem Motorabschaltorgan das vom Watchdog bet tigt werden kann Impulssperre Die Sicherheitsfunktion besteht im Abschalten des Motors sobald und solange der Lichtstrahl der Lichtschranke unterbrochen wird Sicher abgeschaltetes Moment bzw Safe Torque Off Der Mikrocontroller und die nachgeschaltete Antriebssteuerung f h ren neben der Sicherheitsfunktion noch verschiedene andere Maschinenfunktionen aus die hier nicht betrachtet werden weil sie keine Sicherheitsfunktionen sind Obwohl in diesem Beispiel die Sicherheitsfunktion allein mit elektrotechnischen Mitteln realisiert wird gelten die beschriebenen P
478. schalter Maschinenbewegungen gesteuert von einem Standort innerhalb des Gefahrenbereichs z B beim Einrichten Zustimmfunktion Maschinenbewegungen gesteuert von einem Standort innerhalb des Gefahrenbereichs z B beim Einrichten Manueller Eingriff in Gefahrenbereiche Auseinanderfahren von Walzen Verhinderung des unerwarteten Anlaufs Befreiung und Rettung eingeschlossener Personen ffnung eines Hydraulikventils zum Druckabbau Isolations und Energieablei tungsfunktion Steuerungsfunktionen und Betriebsartenwahl Aktivierung von Sicherheits funktionen durch Betriebsarten wahlschalter Funktion zum Stillsetzen im Notfall Reaktion auf die Bet tigung eines Not Halt Ger ts durch STO oder SS1 Tabelle 5 2 27 Tabelle 5 2 Sicherheitsfunktionen aus DIN EN 61800 5 2 ieee Torque Off Sicher abgeschaltetes Moment Motor erhalt keine Energie die eine Drehbewegung erzeugen kann Stopp Kategorie 0 nach DIN EN 60204 1 Safe Stop 1 Sicherer Stopp 1 Motor verz gert berwachung Bremsrampe und STO nach Stillstand oder STO nach Ablauf einer Verz gerungszeit Stopp Kategorie 1 nach DIN EN 60204 1 SS2 Safe Stop 2 Sicherer Stopp 2 Motor verz gert berwachung Bremsrampe und SOS nach Stillstand oder SOS nach Ablauf einer Verz gerungszeit Stopp Kategorie 2 nach DIN EN 60204 1 Safe Operating Stop Sicherer Betriebshalt Motor steht still und widersteht externen Kr ften SLA Safely Limited Sicher begrenzte Beschleunigung Da
479. sche Systeme 07 06 Beuth Berlin 2006 Kleinbreuer W Kreutzkampf F Meffert K Reinert D Kategorien f r sicherheitsbezogene Steuerungen nach EN 954 1 BGIA Report 6 97 Hrsg Hauptverband der gewerblichen Berufsgenossenschaften HVBG Sankt Augustin 1997 www dguv de bgia Webcode d15190 DIN EN 982 Sicherheit von Maschinen Sicherheitstech nische Anforderungen an fluidtechnische Anlagen und deren Bauteile Hydraulik 09 96 Beuth Berlin 1996 DIN EN 983 Sicherheit von Maschinen Sicherheitstech nische Anforderungen an fluidtechnische Anlagen und deren Bauteile Pneumatik 09 96 Beuth Berlin 1996 DIN EN 1037 Sicherheit von Maschinen Vermeidung von unerwartetem Anlauf 04 96 Beuth Berlin 1996 DIN ISO 1219 1 Fluidtechnik Graphische Symbole und Schaltpl ne Teil 1 Graphische Symbole f r konventionelle und datentechnische Anwendungen 12 07 Beuth Berlin 2007 DIN ISO 1219 2 Fluidtechnik Graphische Symbole und Schaltpl ne Teil 2 Schaltpl ne 11 96 Beuth Berlin 1996 ISO 8573 1 Druckluft Teil 1 Verunreinigungen und Rein heitsklassen 02 01 Beuth Berlin 2001 ISO 8573 1 Druckluft Teil 1 Verunreinigungen und Reinheitsklassen Korrektur 1 04 02 Beuth Berlin 2002 Anhang A Beispiele zur Risikobeurteilung Beispiel 1 Schlie kantensicherung In Abbildung A 1 ist die Risikobeurteilung f r die Sicherheits funktion SF1 Unterbrechung der Schlie bewegung und Reversier
480. schen Bauelementen Hier kann der Verschlei bereich durchaus in der blichen Einsatzdauer erreicht werden Daher wird als Kenngr e blicherweise auch die erreichbare Anzahl erfolgreicher Schaltzyklen bzw Schalt spiele angegeben und nicht eine Lebensdauer als Zeit oder eine zeitbezogene Ausfallrate Allen diesen technologieabhangigen Besonderheiten muss bei der Bestimmung des MTTF Wertes Rechnung getragen werden weshalb DIN EN ISO 13849 1 hier unterschiedliche Herangehensweisen vorschl gt D2 1 MTTF mechanischer Steuerungskomponenten Der Ansatz konstanter Ausfallrate ist f r mechanische Steue rungskomponenten leider nicht sehr angemessen Andererseits enth lt fast jede Sicherheitsfunktion zumindest im Bereich der Sensoren oder Aktoren mechanische Steuerungselemente die z B Bewegungen erkennen oder gefahrbringende Bewegungen stillsetzen m ssen Obwohl die Angabe einer zur sicheren Seite hin abgesch tzten MTTF vielfach auch f r diese Komponenten m glich w re wird hier in der Regel ein Fehlerausschluss heran gezogen Solange die Voraussetzungen f r den Fehlerausschluss eingehalten und dokumentiert werden ist dies meistens die eleganteste Methode um die Zuverl ssigkeit der mechanischen Komponenten zu ber cksichtigen Zu diesen Voraussetzungen geh rt u a die ausreichende Widerstandsf higkeit gegen ber den zu erwartenden Umwelteinfl ssen d h die G ltigkeit eines Fehlerausschlusses kann von der gew hlten Applikation
481. schen Steuerungen elektromagnetische St rungen eher relevant w hrend es bei fluidischen Steue rungen eher Verunreinigungen des Mediums sind Gegen ma nahmen sind daher angepasst auf die verwendete Tech nologie zu bewerten Einen Sonderfall stellt die getestete Struktur von Kategorie 2 Systemen dar Hier betrifft CCF den gemeinsamen Ausfall des Sicherheits und des Testkanals Ein gemeinsamer Aus fall f hrt dazu dass der Strukturvorteil durch CCF zunichte gemacht wird Die Bewertung der Ma nahmen ist dazu sinngem auf die Besonderheiten der Kategorie 2 Struktur anzupassen F r eine Ma nahme gegen Ausf lle infolge gemeinsamer Ursache die aufgrund der inh renten Eigenschaften der Steuerung nicht auftreten k nnen darf die volle Punktzahl angerechnet werden Ma nahmen gegen gemeinsame Ausf lle und die asso ziierten Punktzahlen aus DIN EN ISO 13849 1 im Einzelnen sind Folgende 240 Trennung 15 Punkte Physikalische Trennung zwischen den Signalpfaden z B getrennte Verdrahtung Verrohrung oder ausreichende Luft und Kriechstrecken auf gedruckten Schal tungen Diversit t 20 Punkte In beiden Steuerungskan len werden unterschiedliche Technologien Gestaltung oder physikalische Prinzipien verwendet Beispiele daf r sind ein Kanal aus programmierbarer Elektronik aufgebaut der andere fest verdrahtet Art der Initiierung z B Druck und Temperatur Messung von Entfernung und Druck digital und analog
482. schiedliche Darstellung einer echten Zweikanaligkeit und eines berwachten Einzelkanals ist gut zu erkennen wenn man die Bilder 10 und 11 der Norm vergleicht Betrachtet werden muss auch ob Bauelemente oder Schal tungsteile vorhanden sind die zwar nicht die Sicherheits funktion oder die sicherheitsgerichtete Ersatzfunktion f r den Fehlerfall ausf hren die aber bei bestimmten Bauteilausf llen die ordnungsgem e Ausf hrung der Sicherheits bzw Ersatz funktion durch andere Bauelemente verhindern k nnen Solche Schaltungsteile k nnen notwendige Hilfsfunktionen wie z B die Spannungsversorgung oder Steuerungsfunktionen ohne beabsichtigte Sicherheitsbedeutung bereitstellen jedoch mit einer R ckwirkung auf sicherheitsbezogene Teile Bauelemente und Teilschaltungen m ssen immer dann in einem Funktions block ber cksichtigt werden wenn von ihnen bei Ausf llen eine sch dliche Wirkung auf die Sicherheitsfunktion ihre Ersatzfunk tion oder Diagnosefunktionen ausgehen kann Beispielsweise muss bei Bauteilen zur Sicherstellung der elektromagnetischen Vertr glichkeit EMV betrachtet werden ob ihr Ausfall z B ein Kondensatorkurzschluss negative Auswirkung auf sicherheits relevante Schaltungen hat Teilschaltungen mit definierten Ein und Ausg ngen k nnen als Funktionsblock aufgefasst werden Um die Anzahl der ben tigten Funktionsbl cke m glichst gering zu halten k nnen funktional in Reihe geschaltete Teilschaltungen also
483. schlaff durch Verklemmen oder Verkanten der gef hrten Last oder durch Aufsetzen auf andere Gegenst nde auftritt Hierbei besteht die Gefahr dass z B das Hindernis pl tzlich nachgibt die Last durchschl gt und in der Folge Personen im Gefahrenbereich gef hrdet werden Auf und Abw rtsbewegungen des Leuchtenh ngers k nnen z B ber eine Infrarot Fernbedienung gesteuert werden Diese Funktion wird hier nicht bewertet sie ist aber immer sicherheitsgerichtet auszuf hren Um einen Absturz des Leuchtenh ngers durch Rei en eines Tragmittels zu vermeiden wird die Last von zwei Tragmitteln getragen An jedem Tragmittel befindet sich ein Schlaffseilschalter B1 bzw B2 mit einer ffner Schlie er Kombination Der Mikrocontroller K1 wertet die Schaltzust nde der Schlaffseilschalter B1 und B2 aus Weiterhin steuert K1 ber Logik gatter K2 K3 und optoentkoppelte Transistorverst rker K16 K17 die Hilfssch tze K19 und K20 f r die Auf bzw Abw rts bewegung des Leuchtenh ngers an Die Schaltzust nde der Kontakte der Schlaffseilschalter B1 und B2 werden vom Mikrocontroller K1 ausgewertet und auf Plausibilit t gepr ft Zur Testung der verwendeten Eing nge des Mikrocontrollers werden die Signale des Schlaffseil schalters B1 zwangsdynamisiert Hierzu erzwingt der Mikrocontroller ber Logikgatter K5 und K6 einen kurzzeitigen Wechsel der Signale um festzustellen ob die Eing nge den Signalwechsel noch bertragen k nnen Die Zwangsdynamisie
484. schnitt 6 2 17 Die Restfehlerrate A ist geringer als 1 10 Stunde und tr gt damit wie von den Beurteilungsgrundlagen vorgesehen weniger als 1 zur maximal zul ssigen Ausfallwahrscheinlichkeit der Sicherheitsfunktion bei Dieser geringe Anteil ist in der Berechnung der Gesamtausfallwahrscheinlichkeit vernachl ssigbar Bemerkung Eine eventuell erforderliche Notlauffunktion der Erdbaumaschine ist hier nicht dargestellt und bergeordnet zu realisieren Berechnung der Ausfallwahrscheinlichkeit Das MFST S1 liegt als handels bliches Sicherheitsbauteil vor Die zugeh rige Ausfallwahrscheinlichkeit wird am Ende der Berechung addiert PFHygsy 3 0 10 Stunde G F r den brigen Steuerungsteil wird die Ausfallwahrscheinlichkeit im Folgenden berechnet 131 MTTF der Logiksteuerung F r die Bus Transceiver K1 und K2 wird eine MTTF von 11 415 Jahren D angesetzt F r die Mikrocontroller K3 und K4 einschlie lich ihrer Peripherie wird nach SN 29500 2 eine MTTF von 878 Jahren D ber cksich tigt F r die restlichen Bauteile werden folgende Kenndaten angesetzt D 45 662 Jahre f r die Schalttransistoren K5 und K7 228 310 Jahre f r die Widerst nde R1 und R2 und 1 141 Jahre fur die Messverst rker K6 und K8 Die MTTF der Kan le betr gt damit 329 Jahre und 815 Jahre Nach K rzen auf 100 Jahre ergibt dies einen symmetrisierten MTTF Wert von 100 Jahren DC vg der Logiksteuerung DC 99 f r K1 und K2 durch Kreuzvergleich
485. schnitt 7 1 7 Abbildung 7 2 bersicht zum Verifikations und Validierungsablauf nach DIN EN ISO 13849 2 78 O Liste der Dokumente mit Anforderungsbeschreibungen Spezifikationen auch bekannt als Spezifikation der Sicher heitsanforderungen SRS Safety Requirements Specification O anzuwendende Pr fgrundlagen Normen und firmeninterne Festlegungen z B eigene Standards Designregeln und Programmierrichtlinien durchzuf hrende Analysen und Pr fungen einschlie lich Identifikation der Pr fspezifikationen O anzuwendende Fehlerlisten O weitere Bezugsdokumente z B QM Handbuch Verfahrens anweisungen o f r die Analysen und Pr fungen verantwortliches Personal Pr fer Abteilung oder Stelle O vorgesehene Ausr stung und Hilfsmittel kann auch in den Ergebnisdokumenten aufgelistet sein O vorgesehene Ergebnisdokumentation zu erstellende Pr fberichte protokolle O Festlegung von Kriterien daf r wann Pr fungen erfolgreich nicht erfolgreich sind einschlie lich der Ma nahmen die durchzuf hren sind wenn eine Pr fung nicht bestanden wurde O formale Aspekte wie Freigabevermerke oder Pr fer unterschrift O erforderliche erneute V amp V Aktivitaten bei Modifikationen am Produkt 7 1 3 Fehlerlisten Im Pr fverfahren sind berlegungen zum Verhalten der SRP CS bei Ausf llen vorzunehmen Die Grundlage f r die Fehler betrachtung ist in den Anh ngen der DIN EN ISO 13849 2 zu finde
486. se unterschiedliche Ma nahmenb ndel gegen CCF wirken Werden alle acht Gegen ma nahmen erf llt w rde sich eine maximale Summe von 100 Punkten ergeben Allerdings fordert DIN EN ISO 13849 1 nur eine Mindestsumme von 65 Punkten und dies auch nur f r SRP CS in den Kategorien 2 3 und 4 Bei Kategorie 2 Systemen geht es dabei darum gef hrliche Ausf lle in Test und Funk tionskanal durch gemeinsame Ursachen die ein unerkanntes Auftreten eines gef hrlichen Fehlers bewirken k nnen zu ver meiden Bei der Erstellung des S ulendiagramms zur vereinfach ten Quantifizierung wurden die 65 Punkte mit einem Beta Faktor von 2 gleichgesetzt Hier wurde die Vergr berung gegen ber den f nf Kategorien und drei bzw vier MTTF und DC Klassen noch weiter forciert und auf eine simple Ja Nein Entscheidung reduziert W hrend die Vorteile einer redundanten Struktur schon bei einem Beta Faktor von 10 fast vollst ndig zunichte gemacht werden minimiert ein Beta Faktor von h chstens 2 die Relevanz von Ausf llen infolge gemeinsamer Ursache auf ein vertretbares Ma 6 2 16 Vereinfachte PL Bestimmung durch das S ulendiagramm Nachdem die vier wesentlichen quantitativen Parameter zur Ermittlung der Ausfallwahrscheinlichkeit bestimmt wurden ist es trotzdem keine einfache Aufgabe hieraus den f r die SRP CS erreichten PL zu ermitteln Obwohl grunds tzlich alle geeigneten Methoden erlaubt sind schl gt DIN EN ISO 13849 1 ein einfaches g
487. sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 2 47 10 Stunde Dies entspricht PL e Nach Hinzuf gen weiterer sicherheitsbezogener Steuerungsteile als Subsysteme zur Vervollst ndigung der Sicherheits funktion wird der PL in der Regel geringer Neu ffnen MB Speicher Schlie en PAi Bibliothek lt gt Drucken Hile F Wizard A pill ES a hy 15 I Eingabemasken Zusammenfassung EY gt Projekte PR 32 Hydraulische Ventilsteuerung Subsyster Sub System BG A y x El Sicherheitsbezogene Stopptunktion un El SB Hydraulische Steuerung Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke H CH Kanal E BL Ventil 1W3 all EL Ventil 143 E CH Kanal 2 Hinzuf gen ie E BL Ventil 14 er BL Veniva 39 High 150 EL Ventil 1V3 on E TE festanas a 2 Bearbeiten an a 3 Bibliothek Inhalte der Kan le vertauschen Kanal 2 Hinzuf gen I Name oe mtrrdfajh e BL Ventil iva 39 High 150 X L schen BL Venti High J Bibliothek Kar MTTFd a 1 Abbildung 8 52 DCavg IT PL Bestimmung mithilfe 65 erful von SISTEMA 179 8 2 33 Elektrohydraulische Pressensteuerung Kategorie 4 PL e Beispiel 33 gefahrbringende 154 Bewegung 183 Pressen K1 1 0 11 1 12 b r Eing nge 01 0 01 1 01 2 01 3 Sicherheits baustein 1V3 vane AN
488. sinformationen Ein Teil der Fehler in K3 werden zus tzlich durch Fehler im Prozess offenbart In K4 finden Selbsttests z B zeitliche Programmlauf berwachung durch internen Watchdog statt au erdem benutzt K3 K4 zur regel m igen Anwahl der Impulssperre und berwacht deren R ckmeldung durch den zwangsgef hrten ffnerkontakt des Impulssperrerelais von T1 Der Frequenzumrichter T1 bildet mit dem Sin Cos Geber G1 ein Regelsystem in dem Fehler durch den hochsynchronen Produktionsprozess offenbart werden Fehldruck Papierriss G1 wird zur berwachung der sicher begrenzten Geschwindig keit zus tzlich in K4 zur ckgelesen und auf Plausibilit t der Sin Cos Information Sin Cos 1 sowie bereinstimmung mit dem Sollwert f r T1 berwacht Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Der ffner von B1 entspricht DIN EN 60947 5 1 Anhang K Ma nahmen zur Verhinderung der Lage nderung und der vern nftigerweise vorhersehbaren Manipulation sind realisiert siehe DIN EN 1088 mit Anhang A1 Ein stabiler Aufbau der Schutzeinrichtung zur Bet tigung des Positionsschalters ist sichergestellt Trotz Anlaufwarnung und Zwangsdynamisierung kann S1 w hrend des Tippbetriebs h ngen bleiben Daher muss in Reich weite des Bedieners zus tzli
489. sodass der sichere Zustand erreicht und oder aufrechterhalten wird Die Anforde rungen auf einen geringeren PL zu reduzieren z B weil der Ausfall der Energieversorgung selten vorkommt ist nicht zul ssig da die f r die Risikobeurteilung relevanten Parameter S F und P durch die Ber cksichtigung eines Energieausfalls nicht ver ndert werden Beispiel 2 Versagen von Pneumatik bzw Hydraulikventilen DIN EN ISO 13849 2 Tabelle B 1 Grundlegende Sicherheitsprin zipien der Pneumatik und Tabelle B 2 Bew hrte Sicherheits prinzipien der Pneumatik legt u a fest dass bei der Kon struktion und Herstellung von pneumatischen Bauteilen auf die Anwendung geeigneter Werkstoffe und Herstellungsverfahren und geeignetes Vermeiden einer Verunreinigung der Druckluft geach tet werden muss Diese Anforderungen beziehen sich vor allem auf die Auswahl der Werkstoffe der Herstellungs und Behand lungsverfahren unter Ber cksichtigung von z B Spannungen Haltbarkeit Reibung Verschlei Korrosion und Temperatur bzw auf die Ber cksichtigung von hoch wirksamer Filtration der Druckluft Abscheidung von Feststoffen und Wasser Weiterhin ist in Tabelle C 1 Grundlegende Sicherheitsprinzipien der Hydrau lik festgelegt dass bei der Konstruktion von hydraulischen Bau teilen auch auf die richtige Dimensionierung und Formgebung geachtet werden muss Dies bezieht sich z B vor allem auf Span nung Dehnung Erm dung Oberf
490. st um das Verhalten der Sicher heitsfunktion bei seltenen oder nicht festgelegten Eingaben zu berpr fen Ein Beispiel f r einen solchen Test w re die berpr fung der Reaktion der SRP CS wenn eine weitere Person in den Gefahrenbereich durch eine dort vorhandene BWS Lichtgitter eingreift w hrend ein Mitarbeiter gerade die Zweihandschal tung bedient Leistungstests zu funktionalen Aspekten werden durchgef hrt Dazu z hlt die berpr fung der nach der Norm DIN EN 574 37 einzuhaltenden Zeit f r eine synchrone Bet ti gung Nur wenn beide Stellteile S1 und 52 in einem Zeitabschnitt lt 0 5 Sekunden bet tigt werden d rfen Ausgangssignale zur Ansteuerung des Pressbalkens und des Messers erzeugt werden Die vorgenannten Pr fungen und die Analysen der spezifizier ten sicherheitstechnischen Eigenschaften wurden mit positivem Ergebnis abgeschlossen Validieren des PL der SRP CS O Validieren der Kategorie Unter Einbeziehung der Entwicklungsunterlagen finden an einem Prototypen Tests zum Verhalten im Fehlerfall statt Dies geschieht durch gezielten Einbau von Fehlern Die Reaktion der SRP CS auf die eingebauten Fehler sollte den spezifizierten Reaktionen entsprechen Zun chst wird durch Analyse und dann durch Pr fung getestet was geschieht wenn z B einzelne Hilfssch tze nicht mehr in der Lage sind Schaltbefehle auszuf hren oder wie die SRP CS reagieren wenn einer der beiden Stellteile S1 oder S2 zeitverz gert oder gar n
491. st bei den hier aufgef hrten Steuerungsbeispielen das Anhalten einer gefahrbringenden Bewegung oder die Umkehrung der Bewegungsrichtung Die Verhinderung eines unerwarteten Anlaufs ist implizit enthalten Die geforderte Sicherheitsfunktion kann aber auch z B ein defi niertes Druckniveau oder ein Druckabbau sein Die Strukturen von fluidtechnischen Steuerungen werden in den meisten F llen in den Kategorien 1 3 oder 4 ausgef hrt Da die Kategorie B bereits die Einhaltung der zutreffenden Normen und der grundlegenden Sicherheitsprinzipien erfordert unterschei den sich fluidtechnische Steuerungen der Kategorien B und 1 im Wesentlichen nicht durch den Steuerungsaufbau sondern nur durch die h here sicherheitsbezogene Zuverl ssigkeit der rele vanten Ventile Aus diesem Grund werden in diesem Report keine fluidtechnischen Steuerungen der Kategorie B vorgestellt 87 Bauteile zur Ausf hrung der Sicherheitsfunktion z B Ventile Betrachtungsbereich des sicherheitsbezogenen Teils der Steuerung Bauteile gegen Gef hrdung bei Energie nderung Abbildung 8 2 Anwendungsbereich der DIN EN ISO 13849 bei pneumatischen Anlagen 8 1 3 Elektronische und programmierbar elektronische Steuerungen In der Regel sind elektronische Bauteile gegen ber u eren Umgebungseinflissen empfindlicher als elektromechanische Komponenten Werden keine besonderen Ma nahmen ergriffen k nnen elektronische Bauelemente bei Temperaturen lt 0 C d
492. st ein Beispiel f r eine Ma nahme zur Vermeidung syste matischer Ausf lle Oo Validieren der Software Die Verifikation der Software wird ausf hrlich in Abschnitt 6 3 beschrieben An dieser Stelle wird erg nzend die Validierung der Software durchgef hrt d h die Pr fung der Funktion und auch der Reaktionszeiten der auf der Hardware integrierten Software Gepr ft wird mit funktionalen Tests und einem erweiterten Funk tionstest bei dem einerseits die sicherheitsrelevanten Eingangs signale korrekt zu sicherheitsrelevanten Ausgangssignalen ver arbeitet werden m ssen und andererseits Testf lle mit einge bauten Fehlern ausgef hrt werden um die spezifizierten Fehler reaktionen der Firmware des Mikrocontrollers K1 zu validieren 84 O Kontrolle der Absch tzung des PL Zur Absch tzung des PL wurde das vereinfachte Verfahren nach DIN EN ISO 13849 1 angewendet Dessen korrekte Anwendung wird nachvollzogen Die Berechnung der MTTF nach Abschnitt 6 2 11 und Anhang D sowie des durchschnittlichen Diagnose deckungsgrades DC nach Anhang E wird ebenso kontrolliert wie die korrekte Ermittlung des PL aus der zuvor best tigten Kategorie bzw den best tigten MTTF und DC vg Werten anhand des S ulendiagramms in Abbildung 6 10 Pr fen der Benutzerinformation Die Benutzerinformation muss zu Belangen der SRP CS auf folgende Punkte erfolgreich berpr ft werden Beschreibung der bestimmungsgem en Verwendung Angabe von Informatio
493. stellen ob die erzielten Resultate einer Entwicklungsphase bzw eines Entwicklungsabschnittes den Vorgaben f r diese Phase entsprechen also z B ob das Schal tungslayout dem Schaltungsentwurf entspricht Als Validierung wird der Nachweis der Eignung bezogen auf den realen Einsatzzweck der w hrend oder am Ende des Entwicklungsprozesses erfolgt bezeichnet Es wird also berpr ft ob die spezifizierten Sicherheitsanforderungen an den sicherheitsrelevanten Teil der Maschinensteuerung erreicht wurden von Realisierung und PL Ermittlung Abb 6 1 Verifikation De Be Validierung Anforderungen erreicht Alle SF analysiert Zur Risikoanalyse DIN EN ISO 12100 Der Prozess der Beurteilung einer Sicherheitsfunktion in ihrer Realisierung durch SRP CS ist also ein Zusammenspiel aus Verifikations und Validierungsschritten die sowohl Teilaspekte als auch die Gesamtheit der SRP CS behandeln Die Begriffe Verifikation und Validierung werden im Folgenden auch als V amp V Aktivit ten bezeichnet 7 1 Ablauf Abbildung 7 1 zeigt den relevanten Ausschnitt aus Abbildung 4 1 der sich mit den Aktivit ten des Verifizierens und Validierens befasst Ein wichtiger erster Pr fungsschritt geschieht beim Durchlaufen der oberen Raute Block 6 Wenn der Performance Level PL jeder realisierten Sicherheitsfunktion nicht mindestens dem nach Kapitel 5 bestimmten erforderlichen Performance Level PL entspricht so ist es erford
494. steme mit einstellbarer Drehzahl Teil 5 2 Anforderungen an die Sicherheit Funktionale Sicherheit 04 08 Beuth Berlin 2008 6 Test method for measuring whisker growth on tin and tin alloy surface finishes JESD22A121 01 Hrsg JEDEC Solid State Technology Association Arlington Virginia USA 2005 www jedec org download search 22a121 01 pdf 7 Environmental acceptance requirements for tin whisker susceptibility of tin and tin alloy surface finishes JESD201 Hrsg JEDEC Solid State Technology Association Arlington Virginia USA 2006 www jedec org download search JESD201 pdf 8 Mai M Reu G Selbsttests f r Mikroprozessoren mit Sicherheitsaufgaben oder Quo vadis Fehler BGIA Report 7 2006 Hrsg Hauptverband der gewerblichen Berufsgenos senschaften HVBG Sankt Augustin 2006 www dguv de bgia Webcode d6163 9 150 4960 Kaltband aus unlegierten St hlen mit Kohlenstoff gehalten ber 0 25 07 99 Beuth Berlin 1999 in ber arbeitung 10 DIN EN 982 Sicherheit von Maschinen Sicherheitstech nische Anforderungen an fluidtechnische Anlagen und deren Bauteile Hydraulik 09 96 Beuth Berlin 1996 11 DIN EN 983 Sicherheit von Maschinen Sicherheitstech nische Anforderungen an fluidtechnische Anlagen und deren Bauteile Pneumatik 09 96 Beuth Berlin 1996 12 DIN EN 60269 1 Niederspannungssicherungen Teil 1 Allgemeine Anforderungen 11 05 Beuth Berlin 2005 13 DIN EN 60127 1 Ger
495. steuerung mit Bussystem Kategorie 3 PL d Beispiel 16 gefahrbringende Bewegung Aal Me Ale sll e a ax 183 Zl w HA K4 R2 r Wise A 121 GEH e 1 192 1V4b K7 R2 C s serielle K8 kommunikations verst rker 1V4a leitung Pe K5 K1 K3 a R1 Telegramm 1_ Bus uc 1 Transceiver 1 K6 Mess verstarker K2 154 Abbildung 8 27 Telegramm 2 Bus 153 Ansteuerung von Transceiver 2 uC 2 1V3 gefahrbringenden Bewegungen einer Erdbaumaschine 130 153 154 Sicherheitsfunktion Verhinderung des unerwarteten Anlaufs Vermeidung unerwarteter Bewegungen der Arbeitsger te von Erdbaumaschinen Funktionsbeschreibung Das Multifunktionsstellteil MFST S1 wandelt die vom Bediener ausgef hrte manuelle Auslenkung des MFST in elektro nische Datentelegramme um Es sendet diese Telegramme zyklisch ber eine serielle Datenkommunikationsleitung Bus system zur Logiksteuerung die Ansteuersignale f r die Hydraulik zur Ausf hrung der vom Bediener vorgesehenen Arbeits bewegung der Erdbaumaschine erzeugt Das vom MFST S1 gesendete Telegramm 1 gelangt ber den Bus Transceiver K1 in den Mikrocontroller K3 Dieser erzeugt aus Telegramm 1 gem den in der Software abgelegten Algorithmen die erforderlichen analogen Signale zur Ansteuerung des Proportionalventils 1V4 Die Widerst nde R1 R2 und die Messverstarker K6 K8 dienen zur Regelung der Ausgangsstr me f r das Propo
496. stimmung mit berspannungskategorie Ill gem IEC 60664 1 1992 Tabelle 1 Wird eine SELV PELV Spannungsversorgung verwendet gen gt Verschmutzungsgrad 2 berspan nungskategorie Il Es m ssen Ma nahmen vorhanden sein die sicherstellen dass ein interner Ausfall des Optokopplers nicht zu einer erh hten Temperatur seines Isoliermaterials f hren kann O Leiterplatte best ckte Leiterplatte Die Fehlerannahme Kurzschluss zwischen benachbarten Leiterbahnen Kontaktstellen kann nach Norm ausgeschlos sen werden sofern folgende Voraussetzungen zutreffen Als Leiterplatte wird Basismaterial nach IEC 60249 verwendet Kriech und Luftstrecken werden bemessen nach IEC 60664 1 1992 nach Verschmutzungsgrad 2 ber spannungskategorie Ill Inder Praxis auch akzeptiert Entspricht die Spannungs versorgung den Anforderungen an SELV PELV gen gt zur Dimensionierung der Kriech und Luftstrecken Ver schmutzungsgrad 2 Uberspannungskategorie Il Ein Mini malabstand von 0 1 mm darf jedoch nicht unterschritten werden Die best ckte Leiterplatte ist in einem Geh use einge baut das einen Schutz von mindestens IP54 gibt und die Leiterseite ist mit einer alterungsbest ndigen Lack oder Schutzschicht versehen die alle Leiterbahnen abdeckt 213 Inder Praxis auch akzeptiert Die alterungsbest ndige C3 Grundlegende Sicherheitsprinzipien Lack oder Schutzschicht kann aus heutiger Sicht z B aus einem hochwertigen L ts
497. struktive Merkmale sind die Besonderheiten im Entwurf des jeweiligen Beispieles so auch die Anwendung bew hrter Sicherheitsprinzipien oder die Verwendung bew hrter Bauteile aufgelistet Die Schaltbilder sind Prinzipschaltbilder die sich ausschlie lich darauf beschr nken die Sicherheitsfunktion en mit den hierzu notwendigen relevanten Komponenten zu zeigen Nicht dar gestellt werden zwecks besserer bersicht solche schaltungs technischen Ma nahmen die in der Regel immer zus tzlich realisiert sein m ssen um z B den Ber hrungsschutz sicher zustellen ber und Unterspannungen bzw berdruck Unter druck zu beherrschen Isolationsfehler Erd und Kurzschl sse z B auf extern verlegten Leitungen aufzudecken oder die erfor derliche St rfestigkeit gegen elektromagnetische Einwirkungen zu garantieren F r die Bestimmung des sicherheitsbezogenen Blockdiagramms unwesentliche Schaltungsdetails wurden somit bewusst weggelassen Dazu geh ren in der Elektrik Schutz beschaltungen wie Sicherungen und Dioden z B als Freilauf dioden Ebenfalls nicht aufgef hrt sind Entkopplungsdioden in Schaltungen in denen Sensorsignale z B redundant in mehrere Logikeinheiten eingelesen werden Diese sollen verhindern dass bei Redundanz im Fehlerfall ein Eingang zu einem Ausgang wird und damit den zweiten Kanal beeinflusst Um eine Steuerung nach einer Kategorie und einem Performance Level zu realisie ren sind alle diese genannten Bauelemente u
498. sung aus Dieser schaltet dann den Motor ab O Bei Auftreten eines Bauteilausfalls bleibt die Sicherheitsfunktion erhalten O Eine Fehlerh ufung zwischen zwei aufeinander folgenden Bet tigungen kann zum Verlust der Sicherheitsfunktion f hren 174 Konstruktive Merkmale Der Leistungsschalter Q1 wird ber eine manuell zu implementierende Testfunktion regelm ig gepr ft Die Zeit zwischen den Tests sollte ein Hundertstel der MTTF von Q1 nicht berschreiten und k nnte z B bei Maschinenwartung erfolgen Das Sch tz Q2 wird durch den Sch tz berwachungsbaustein st ndig getestet Ein Verlust der Sicherheitsfunktion zwischen den Tests wie es bei Kategorie 2 m glich ist kann nicht vorkommen Die Einfehlersicherheit ist damit gew hrleistet und die Anforderungen der Kategorie 3 sind erf llt Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Aus Vereinfachungsgr nden wurde bei der Darstellung auf Details zur Schutzeinrichtung verzichtet O Die Schutzeinrichtung wirkt auf einen Sicherheitsbaustein K1 der alle Anforderungen f r Kategorie 3 oder 4 und PL e erf llt O Das Sch tz Q2 besitzt Spiegelkontakte entsprechend DIN EN 60947 4 1 Anhang F und ist in die R ckf hrung des Sicher heitsbausteins K1 zur Fehlerdetektion des Sch tzes eingebunden O Di
499. t geringer als in Kategorie B Prinzip zum Erreichen der Sicherheit berwiegend durch die Auswahl von Bauteilen charakterisiert berwiegend durch die Auswahl von Bauteilen charakterisiert MTTF jedes Kanals niedrig bis mittel nicht relevant nicht relevant Tabelle 6 2 Fortsetzung Zusammenfassung der Anforderungen Die Anforderungen von B und die Verwendung bew hrter Sicherheitsprinzipien m ssen erf llt sein Die Sicherheitsfunktion muss in geeigneten Zeitabst nden durch die Maschinensteuerung getestet werden Die Anforderungen von B und die Verwen dung bew hrter Sicher heitsprinzipien m ssen erf llt sein Sicher heitsbezogene Teile m ssen so gestaltet werden dass ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der Sicherheitsfunktion f hrt und wenn immer in angemessener Weise durchf hrbar der einzelne Fehler erkannt wird Die Anforderung von B und die Verwendung bew hrter Sicherheits prinzipien m ssen erf llt sein Sicherheitsbezogene Teile m ssen so gestaltet werden dass ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der Sicherheitsfunktion f hrt und der einzelne Fehler bei oder vor der n chsten Anforderung der Sicherheitsfunktion erkannt wird Wenn diese Erkennung nicht m glich ist darf eine Anh ufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion f hren Systemverhalten D
500. t r d rfen Maschinenbewegungen nur mit begrenzten Dreh zahlen erfolgen Oo Tippbetrieb Bei ge ffneter Schutzt r sind Bewegungen nur w hrend der Bet tigung eines Tipptasters m glich Funktionsbeschreibung O Das dezentrale I O Modul K1 erfasst die Zust nde des Positionsschalters mit Personenschutzfunktion B1 und des Tippta sters S1 und stellt diese auf dem Funktionsbus als Information zur Verf gung Diese Information wird durch die Funktions SPS K3 ausgewertet und f hrt zur Ansteuerung des Frequenzumrichters T1 Funktionsm ige Ansteuerung T1a ber den Funktionsbus Redundant zu K1 und K3 arbeiten das I O Modul K2 und die berwachungs SPS K4 die ber einen eigenen berwachungsbus kommunizieren K4 kann durch Anwahl der sicheren Impulssperre von T1 eine ungesteuerte Stillsetzung Austrudeln herbeif hren Sicherheitsabschaltung T1b O Bei ge ffnetem B1 ist nur ein Tippbetrieb ber S1 mit sicher begrenzter Geschwindigkeit erlaubt 160 Entsprechend DIN EN 1010 1 ist ein einziger Positionsschalter B1 ausreichend Die meisten Fehler in S1 werden durch eine akustische Anlaufwarnung mittels P1 und Zwangsdynamisierung aufgedeckt und beherrscht Nach erstmaliger Bet tigung von S1 erfolgt eine akustische Warnung P1 erst nach Loslassen und erneutem Bet tigen das verz gerte Anlaufen des Antriebs Fehler in K1 und K2 werden durch Zustandsvergleich in K4 erkannt K4 berwacht auch K3 durch Mith ren der Eingangs und Ausgang
501. t gegen Umgebungseinflisse bzw Test bei spezifizierten Umgebungsbedingungen O Analyse zur Implementierung der Programmlauf ber wachung O Inspektion und Pr fung der qualit tsbestimmenden Eigen schaften zu Datenkommunikationssystemen bzw beim Einsatz von zertifizierten Komponenten deren Identifikation O Inspektion von Entwicklungsdokumenten die die Anwendung grundlegender und bew hrter Sicherheitsprinzipien und ggf weiterer Ma nahmen wie diversit re Hardware best tigen 7 3 6 Validieren der Software Die im Rahmen des Entwurfs und der Codierung der Software stattfindenden Verifikationsma nahmen werden ausf hrlich in Abschnitt 6 3 beschrieben F r die Entwicklung von sicherheitsbezogener Software ist mit Ausnahme der unten beschriebenen Embedded L sung im PL e das vereinfachte V Modell anzuwenden siehe Abbil dung 6 11 Die letzte Entwicklungsaktivit t hierbei ist die Soft warevalidierung Zu pr fen ist ob die Anforderungen der sicherheitsbezogenen Softwarespezifikation an das funktionale Verhalten sowie die Leistungskriterien z B zeitbezogene Vor gaben korrekt umgesetzt wurden Die Validierung betrach tet hier keine Interna der Software mehr sondern das externe Verhalten am Ausgang der kompletten auf die Hard ware integrierten Software bei nderungen an deren Eing ngen Die Software wird dabei als Black box betrachtet die Validie rung hierzu ist der sogenannte Black Box Test Bei
502. t in den Mittelpunkt der Sicherheitsbetrachtung 9 10 DIN EN ISO 13849 1 2007 6 tritt mit dem bereits vorher har monisierten zweiten Teil DIN EN ISO 13849 2 2003 7 die Nachfolge der DIN EN 954 1 1997 11 an Nach erstmaligem Erscheinen im Februar 2007 ist nun eine leicht korrigierte DIN Fassung vom Juli 2007 g ltig Erstmals gibt es beim DIN eine dreij hrige bergangsfrist bis zum November 2009 in der die DIN EN 954 1 1997 parallel g ltig bleibt der Anwender kann bis zu deren R ckzugsdatum also beide Normen alternativ anwenden Um den bergang von den altbekannten geforderten Kategorien hin zum erforderlichen Performance Level PL nach der neuen Norm zu erleichtern wird in Kapitel 5 dieses Reports eine m gliche Vorgehensweise beschrieben Praxis bei der Beurteilung von Schutz und Steuereinrichtungen der unterschiedlichen Technologien und aus der langj hrigen Mitwirkung in einschl gigen nationalen und internationalen Normungsgremien zusammengetragen Kapitel 3 befasst sich mit den Basisnormen zur funktionalen Sicherheit an Maschinen und Maschinenanlagen Kapitel 4 enth lt eine bersicht zur Gliederung dieses Reports bez glich der Anwendung der DIN EN ISO 13849 Die Autoren w nschen sich dass dieser Report Konstrukteuren Betreibern sowie Arbeitsschutzexperten konkrete Hilfen f r die Umsetzung der Anforderungen an sicherheitsbezogene Teile von Steuerungen gibt Die vorliegende Interpretation der Norm ist in untersch
503. t umgerechnet werden k nnen Einen Sonderfall stellen Not Halt Ger te und Zustimmungsschalter dar f r die unter bestimmten Bedingungen ein Fehlerausschluss angenommen werden kann Alle Werte in der Tabelle beziehen sich nur auf gefahrbringende Ausf lle was durch den Index d ausgedr ckt ist Hier wurde in der Regel unterstellt dass nur die H lfte aller Ausf lle gefahr bringend ist Insofern k nnen diese Werte durchaus optimis tischer aussehen als Datenblattangaben von Herstellern die sich im Sinne der Verf gbarkeit auf alle Fehlerarten beziehen die den Funktionsablauf beeintr chtigen k nnen Bei einigen elektro mechanischen Bauteilen beispielsweise Relais Hilfssch tzen und Sch tzen geht die elektrische Belastung der Kontakte stark in den B 4 Wert ein was durch vielf ltige Beobachtungen aus der Praxis best tigt wird Bei geringer elektrischer Last typischer weise ohmscher Last DIN EN ISO 13849 1 spricht hier von bis zu 20 des Bemessungswertes ergeben sich deutlich bessere Werte Hier wurde dann die mechanische statt der elektrischen Lebensdauer unterstellt Je nach Art ohmsch oder induktiv und Gr e der Last k nnen auch B Zwischenwerte der hier genannten Extreme abgeleitet werden Bei den in der Tabelle aufgef hrten Positionsschaltern Zuhaltungen Not Halt Ger ten und Tastern beispielsweise Zustimmungsschaltern wird f r den elektrischen Teil meist das Sicherheitsprinzip der Zwangs ff
504. taltungsprozess der sicherheitsbezogenen Teile einbezogen sind d h unabh ngig von Entwurf und Realisierung sind Dies k nnen andere Per sonen andere Abteilungen oder andere Stellen sein die der Konstruktionsabteilung hierarchisch nicht unterstehen Der Grad der Unabh ngigkeit sollte dabei dem Risiko also dem erforder lichen Performance Level PL angemessen sein Verifikation und Validierung k nnen durch alleinige Analyse oder durch eine Kombination aus Analyse und Pr fung erfolgen 7 1 2 Verifikations und Validierungsplan In einem Verifikations und Validierungsplan V amp V Plan m ssen alle geplanten Aktivit ten verbindlich festgelegt werden er sollte folgende Angaben enthalten O Produktidentifikationen der zu pr fenden SRP CS O Identifikation der Sicherheitsfunktionen mit Zuordnung der beteiligten SRP CS Fehlerlisten Abschnitt 7 1 3 und Anhang C Kapitel 6 Gestaltungsaspekte Validierungsplan Abschnitt 7 1 2 Validierungsleits tze Abschnitt 7 1 1 Dokumente Abschnitt 7 1 4 Analyse Abschnitt 7 1 5 Kriterien f r Anhang C Fehlerausschluss Ist die Analyse ausreichend Sicherheitsfunktionen Performance Level PL Kategorie MTTF DC CCl systematische Fehler Software Kombination Integration Ist die Pr fung vollst ndig Validierungsbericht Ab
505. tandardkomponenten reali siert werden Anforderungen an SRASW Die Anforderungen an SRASW orientieren sich an dem PL den das Subsystem mit der programmierbaren Standardkomponente erreichen soll Wird eine Standardkomponente in einem Kanal in diversit rer Redundanz mit einer anderen Technologie z B fluidtechnisch in dem anderen Kanal eingesetzt dann werden aufgrund der geringeren Wahrscheinlichkeit eines gef hrlichen Ausfalls durch systematische Fehler in der SRASW die Anforde rungen f r SRASW im PL um eine Stufe abgesenkt z B von PL d auf PL c gefahrbringende Bewegung 3 Lichtgitter Kategorie 2 Typ 2 He Abbildung 6 13 Reihenschaltung von Subsystemen zur Realisierung einer Sicherheitsfunktion 64 6 4 Kombination von SRP CS als Subsysteme Bisher war in diesem Kapitel nur die Rede von einer kompletten Steuerung als SRP CS die sich als Ganzes auf eine Kategorie bzw vorgesehene Architektur mit einem entsprechenden Performance Level abbilden lasst Die Sicherheitsfunktion wird von einer solchen Steuerung beginnend bei einem ausl senden Ereignis bis zum Erreichen des sicheren Zustands vollst ndig alleine aus gef hrt In der Realit t ist es aber oft notwendig verschiedene SRP CS als Subsysteme hintereinander zu schalten die jeweils in Teilen die Sicherheitsfunktion ausf hren Solche Subsysteme k nnen in unterschiedlichen Technologien aufgebaut sein und oder verschiedene Kategorien bzw Perform
506. te K3 und 01 sollten nach jeweils ca f nf Jahren T pg ausgetauscht werden Weiterf hrende Literatur Apfeld R Zilligen H Sichere Antriebssteuerungen mit Frequenzumrichtern BIA Report 5 2003 Hrsg Hauptverband der gewerblichen Berufsgenossenschaften HVBG Sankt Augustin 2003 www dguv de bgia Webcode d6428 O DIN EN 61800 5 2 VDE 0160 105 2 Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl Teil 5 2 Anforderun gen an die Sicherheit Funktionale Sicherheit 04 08 Beuth Berlin 2008 Neu 2 ffnen LE pechem Es Schlie en Hl Bibliothek lt 5 Drucken Hite wizard A mf T ty E Eingabemasken Zusammenfassung E PR 10 Sicheres Stillsetzen eines SPS gestei a SF Not Halt Funktion 551 Sicherer St Sub System BG IA Y X H SB Not Halt Ger t S3 54 H SB Not Halt Schaltger t K4 Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke El SB Redundantes Stilsetzen E CH Kanal Kanal 1 H BL Hiltsschutz K1 i W BL SPS KS E Hinzuf gen _ Name SC OMT TFA Ja BH BL Umichter T1 a BL Hilsschutz K1 99 High 16666 67 CH Kanal C L schen BL SPS K5 30 None 25 Medium e BL Hifeschitz K2 2 atan BL Umrichter T1 60 Low 50 High Hl BL Hilfsschutz K3 2 H BL Kondensator C1 2 Bibliothek fl BL Leistungsschiitz 01 TE Tastkana s tt J C Inhalte der Kan le vertauschen kanal 2 Hinzuf gen
507. tellt die f r das Erreichen der Sicherheit von Maschinen geeignet ist Diese Methode Strategie zur Risiko minderung bezieht die Gestaltung der sicherheitsbezogenen Teile von Steuerungen ein Sofern f r die zu konstruierende Maschine eine harmonisierte produktspezifische Norm Typ C Norm vorliegt die im Amtsblatt der EU ver ffentlicht wurde 17 kann von einer Ber cksichtigung der grundlegenden Sicherheits und Gesundheitsanforderungen bereits ausgegangen werden Man spricht in diesen F llen von einer Norm mit Vermutungswirkung denn bei Anwendung der Norm darf man die bereinstimmung mit den Anforderungen der EG Maschinenrichtlinie vermuten Die Strategie zur Risiko minderung ist aber immer dann anzuwenden wenn eine Norm mit Vermutungswirkung nicht existiert wenn davon abgewichen wurde oder wenn zus tzliche Aspekte vorliegen die von der Produktnorm nicht abgedeckt sind Zur Feststellung der von einer Produktnorm nicht ber cksichtigten Sachverhalte sind die ersten beiden Schritte der im Folgenden beschriebenen Strategie zur Risikominderung immer durchzuf hren also die Grenzen der Maschine festzulegen und die Gef hrdungen zu identifizieren 5 2 Strategie zur Risikominderung Das in DIN EN ISO 12100 1 vorgestellte Verfahren zur Risiko minderung wurde in Bild 1 der DIN EN ISO 13849 1 bernommen und um die in dieser Norm konkretisierten Aspekte erg nzt siehe Abbildung 5 1 auf Seite 24 Als Erstes erfolgt eine Risikobeurtei
508. ten 3 Normung von Fehlerlisten Die vormals in den sicherheitstechnischen In formations und Arbeitsbl ttern 340 220 und 340225 aufgef hrten Fehlerlisten f r elektri 219 220 Fehlerlisten f r sicherheitsbezogene Bauelemente 340 220 sche hydraulische und pneumatische Bauele mente hat die europ ische Normung mit gerin gen Anpassungen in die europ ische internationale Norm EN ISO 13849 2 3 ber nommen In den Anh ngen A bis D finden sich im Hinblick auf die Validierung von sicher heitsbezogenen Steuerungsteilen allgemeine Fehlerlisten zu mechanischen pneumati schen hydraulischen und elektrischen Bau teilen Diese bilden heute die Grundlage f r Pr fungen nach DIN EN 954 1 4 Auch in Produktnormen des Maschinenberei ches finden sich vereinzelt Fehlerlisten z B im Anhang B der DIN EN 61496 1 5 und in der DINEN60947 5 3 6 hier jeweils f r elektrische Bauelemente diese Listen wei chen kaum von der Fehlerliste f r elektrische Bauelemente in 3 ab Teil 2 der DINEN 61508 7 enth lt in Tabelle A 1 eine sehr knappe und allgemein gehaltene Liste von Fehlern oder Ausf llen die w hrend des Betriebs erkannt werden m ssen oder zur Be stimmung des Anteils ungef hrlicher Ausf lle zu analysieren sind Interessant ist diese Liste in Bezug auf die einzelnen Elemente eines Rechnersystems z B Hauptprozessor CPU Takt und Speicher Literatur 1 Richtlinie 98 37 EG des Europ ischen Parla ments
509. tion Intesrationstest aida 60 229 A A E uu A 26 K A A DU ELEIERERSECRESCRE 45 50 ff A ea ee 53 KISS OL a ee ee ee 156 ff A A o E E 134 ff 171 ff o e o E e 45 A PA 64 ff Komponente Steuerung fluidtechnische gt fluidtechnische Komponente Steuerung Konnte Ul ATOMS MAM aS OMEN rai ac 62 kraftbet tigter Fenster T r Torfl gel nun ee nn 201 Kreuzvergleich rinnen 196 232 Mo anne een ee re A 213 L A Ne een ee een ee 128 ff A e en he re ee 52 221 ff E A IS een Eee 381f a A EM a o o COP PO mn E E 122 ff 255 Seite L Fortsetzung A a dere 108 ff 153 f 156 f 190 ff Eau Variability Language Innatia 58 A PA 186 ff AAA A A are 213 LVL gt Limited Variability Language M Man DUAL ON a O SEE PC PES COR o e A 45 Markov MOd e NB CII raro eer 38 45 57 241 243 Al E eo A 13 23 Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache Ausfall infolge gemeinsamer Ursache mechanische A o e er O E 187 mechanische SteueruNgGSkKOMPONeME cccccccccccccccccceeessssssssseececeeccccccceseesseasausesesssssseseeeeeeeeceeeeeeeeeeeas 223 Mensen Maschine Scnnlllstelle aa 45 MIRTO COD OI ee ee rei 69 ff 156 f A PP o OA 208 mittlere Anzahl j hrlicher Bet tigungen nop e E o E san abAeesenwunsneees 226 mittlere Zeit bis zum gefahrbringenden Austall MITE Nennen run 52 ff 221 ff 241 MOCKA UOT ee E ee ee 62 Modus estad eeror a ondas 60 jr E o 60 PP ende 104 ff MTTF mittlere Zeit bis zum gefahr
510. tionskanals in dessen gef hrliche Richtung variiert wird So k nnten beispielsweise mit dem Markov Modell in Abbildung G 2 die beiden S ulen f r die vorgesehene Kategorie 2 Architektur berechnet werden Tats chlich wurde aus rechentechnischen Gr nden ein hiervon abweichendes quivalentes Ersatzmodell benutzt das hier nicht dargestellt wird weil sein Zusammenhang mit dem Blockbild von Abbildung G 1 weniger leicht einsichtig ist Das Ersatzmodell liefert praktisch identische Ergebnisse Die brigen S ulen basieren auf weiteren Markov Modellen die f r die entsprechenden vorgesehenen Architekturen ebenfalls nach den oben beschriebenen Prinzipien entwickelt wurden Gem Tabelle 6 1 wurden den PFH Intervallen auf der loga rithmisch geteilten PFH Skala die Performance Levels a bis e zugewiesen Dies ist in Abbildung G 3 gezeigt in der Bild 5 der Norm DIN EN ISO 13849 1 um eine zus tzliche PFH Skala erg nzt wurde Legende PFH PL Performance Level MTTF jedes Kanals MTTF jedes Kanals Abbildung G 3 PFH und Performance Level in Abh ngigkeit von Kategorie DC und MTTF 244 Eine Besonderheit gibt es beim PFH Intervall von 10 h bis 10 h Es ist auf die beiden benachbarten Performance Levels b und c abgebildet Durch die mittige Teilung der logarithmischen Skala liegt die Grenze zwischen Performance Level b und Per formance Level c beim geometrischen Mittelwert von 10 h und 10 5 h d h bei V10 10 h
511. tisch dessen Ausfallrate in die gef hrliche Richtung entspricht F r die anderen Kategorien ist jedoch eine aufwendigere Rechenmethode erforderlich Die prinzipielle Modellierungsweise wird im Folgenden beispielhaft an der vorgesehenen Architek tur f r Kategorie 2 erl utert Diese Struktur ist in Abbildung G 1 nochmals dargestellt Es gibt f nf Funktionsbl cke von denen die Bl cke Input L Logic und O Output die eigentliche Sicherheitsfunktion in logischer Reihenschaltung ausf hren Der Block L testet die Bl cke I O und sich selbst im Zusammenspiel mit dem Funktionsblock TE Test Equipment Der Funktionsblock OTE Output of TE kann bei Ausfall des Hauptkanals I L O einen sicheren Zustand herbeif hren Die nicht direkt funktionsnot wendigen zus tzlichen Funktionsbl cke TE und OTE stellen somit eine Art Ersatzkanal f r den Fehlerfall zur Verf gung der jedoch anders als ein echter zweiter Kanal nur bei erkannten Ausf llen im Hauptkanal wirken kann Aus dem sicherheitsbezogenen Blockdiagramm in Abbildung G 1 kann der Zustandsgraph in Abbildung G 2 abgeleitet werden Dazu werden zun chst alle 2 32 Ausfallkombinationen der f nf Funktionsbl cke gebildet Der Zustand ohne Ausfall ist der oben abgebildete OK Zustand Darunter folgt eine Reihe von Zust nden mit nur einem ausgefallenen Funktionsblock dann eine Reihe 242 mit zwei ausgefallenen Bl cken usw Die Zustandsbezeichnung benennt jeweils die
512. tische Beeinflussung Spannungsaus fall ber und Unterspannung usw Tabelle 8 1 bersicht der Schaltungsbeispiele SRP CS der Kategorie 1 m ssen unter Verwendung bew hrter Bauteile und bew hrter Sicherheitsprinzipien gestaltet und gebaut werden Da komplexe elektronische Bauteile z B SPS Mikroprozessor oder ASICs nicht als bew hrt im Sinne der Norm betrachtet werden gibt es in diesem Report auch keine entsprechenden Beispiele von Elektronik in Kategorie 1 F r programmierbare Elektronik wird in den Schaltungsbei spielen jeweils eine Aussage dar ber getroffen mit welcher Wirksamkeit d h mit welchem Performance Level Ma nahmen zur Fehlervermeidung bzw Fehlerbeherrschung erforderlich sind Weitere Ausf hrungen siehe Abschnitt 6 3 Werden im Rahmen einer Entwicklung ASICs eingesetzt so sind im Ent wicklungsprozess fehlervermeidende Ma nahmen erforderlich Solche enth lt zum Beispiel der Normentwurf DIN IEC 61508 2 2006 39 der f r die Entwicklung eines ASICs ein V Modell in Anlehnung an das aus der Softwareentwicklung bekannte V Modell vorsieht Erw hnenswert weil entsprechende Fragen in der Praxis auf treten sind folgende Punkte Zwei Kan le eines SRP CS d rfen im Allgemeinen nicht ber denselben integrierten Schaltkreis gef hrt werden In Bezug auf Optokoppler bedeutet diese Anforderung z B die Verwen dung von Optokopplern in verschiedenen Geh usen wenn Signale unterschiedlicher Kan le verarbe
513. topplack bestehen Eine Grundlegende Sicherheitsprinzipien werden in den Tabellen A 1 zus tzliche Beschichtung von Leiterplatten entsprechend B 1 C 1 und D 1 einschlie lich D 2 der informativen Anh nge IEC 60664 3 kann den zugrunde gelegten Verschmut der DIN EN ISO 13849 2 behandelt zungsgrad und damit die erforderlichen Kriech und Luft strecken verringern C3 1 Allgemein f r alle Technologien Zu dem Fehlerausschluss Kurzschluss ist aus heutiger O Anwendung geeigneter Werkstoffe und Herstellungsverfahren Sicht anzumerken dass beim Einsatz bleifreier L tpro zesse und Bauteile das m gliche Entstehen nadelf rmiger Werkstoffe Herstellungs und Behandlungsverfahren werden Zinn Whisker ber cksichtigt werden muss Zinn Whisker unter Ber cksichtigung von Einsatz und Beanspruchungen sind leitf hig bis zu mehrere 100 um lang und k nnen ausgew hlt zu einem Kurzschluss zwischen Leiterbahnen bzw An schl ssen f hren Daher muss das Risiko des Wachstums O Richtige Dimensionierung und Formgebung aller Bauteile solcher Whisker bewertet werden Bei zu hohem Risiko darf der Fehlerausschluss nicht erfolgen Die Quellen 6 Alle Bauteile werden so ausgew hlt dass sie den erwar und 7 k nnen bei der Bewertung hilfreich sein teten Betriebsbedingungen gen gen Wichtige Kriterien sind z B Schaltverm gen Schalth ufigkeit Spannungsfestigkeit O Leitungen Kabel Druckh he dynamisches Druckverhalten Volumenstrom Temperatur und Visk
514. trisierter Wert f r einen Kanal und basiert auf der MTTF aller an den SRP CS beteiligten Bauteile Nach dem Bottom up Prinzip wird dazu sukzessive die betrachtete Ein heit vergr ert Zur Minimierung des Aufwands ist es oft hilf reich dass nur sicherheitsrelevante Bauteile in die Betrachtung einbezogen werden d h solche deren Ausf lle die Ausf hrung der Sicherheitsfunktion mittelbar oder unmittelbar negativ beeinflussen k nnen Zur Erleichterung sind zus tzlich Fehler ausschl sse m glich die der Tatsache Rechnung tragen dass bestimmte Ausf lle extrem unwahrscheinlich sind und ihr Beitrag zur Gesamtzuverl ssigkeit vernachl ssigbar klein ist Allerdings ist die Annahme von Fehlerausschl ssen an Bedin gungen gekn pft die im Detail in DIN EN ISO 13849 2 nieder gelegt und im Abschnitt 6 2 10 n her beschrieben sind Dem nach k nnen unter bestimmten Voraussetzungen z B Leitungs kurzschl sse oder bestimmtes mechanisches Versagen aufgrund der Konstruktion ausgeschlossen werden 6 2 12 Datenquellen f r Einzelbauteile Eine der in diesem Zusammenhang meistgestellten Fragen betrifft die Beschaffung verl sslicher Ausfalldaten f r die sicherheitsrelevanten Komponenten Hier ist der Hersteller z B mit seinem technischen Datenblatt allen anderen Quellen vorzuziehen Viele Komponentenhersteller z B in der Elektro mechanik oder Pneumatik haben bereits signalisiert dass solche Daten k nftig erh ltlich sein werden Aber au
515. troffenen Kanal verhindern k nnte sind zu ber cksichtigen Dies sind in der Regel alle Elemente im sicherheitskritischen Signalpfad z B zur Entkopplung R cklesung zum EMV Schutz oder Schutz vor ber spannungen Diese Elemente sind meist im Sinne der grund legenden und bew hrten Sicherheitsprinzipien oder zum Erreichen des DC notwendig Abbildung B 2 siehe Seite 207 zeigt diese Herangehensweise anhand eines weiteren einfachen Beispiels Als einfaches tabellarisches Verfahren zur Ermittlung der Block MTTF auf der Basis der Element MTTF bietet sich das Parts Count Verfahren an das in Tabelle 6 7 gezeigt wird Abbildung B 3 auf Seite 209 zeigt im Vergleich das Vorgehen bei einer Ausfalleffektanalyse Parts Count Verfahren f r den Mikrocontroller Block K1 basierend auf Ausfallraten A die der Datensammlung SN 29500 36 entnommen wurden angegeben in FIT d h 10 7 h a sn ann Feten memea TT ee m a a e Ausfallrate A FIT nach SN 29500 Mikrocontroller Schwingquarz Transistor Bipolar Kleinleistung Relais kunststoffdicht Summe f r den Mikrocontroller Block K1 70 Anzahl Gesamt Gesamtrate ausfallrate A gefahrbringender FIT Ausf lle A FIT MTTF in Jahren als Kehrwert der Gesamtrate A a em o om re AENA a Ow e ee BET u a A 806 gt Die in der zweiten Spalte genannten Ausfallraten der Elemente wurden mithilfe der Datensammlung SN 29
516. tsbezogene elektrische elektronische programmierbare elektronische Systeme 12 02 Beuth Berlin 2002 237 Anhang F Ausf lle infolge gemeinsamer Ursache CCF Der Begriff des Ausfalls infolge gemeinsamer Ursache CCF Common Cause Failure beschreibt die Tatsache dass in einem redundanten System oder einem einkanaligen System mit exter ner Testeinrichtung durch eine Ursache mehrere Kan le au er Kraft gesetzt werden k nnen Die gew nschte Einfehlersicherheit einer redundanten Struktur wird damit unterlaufen Deshalb ist es sehr wichtig diese Fehlerquelle m glichst auszuschalten Die CCF Ausl ser k nnen physikalischer Natur sein z B bertem peratur oder starke elektromagnetische St rungen oder syste matischer Art z B fehlerhaftes Schaltungsdesign oder Program mierfehler bei identischer Software in beiden Kan len Ein blicher Ansatz zur Quantifizierung der CCF Anf lligkeit einer Steuerung ist das sogenannte Beta Faktor Modell Dabei wird davon ausgegangen dass mit einem bestimmten Anteil der gef hrlichen Ausf lle in einem Kanal infolge derselben Ursache auch gef hrliche Ausf lle im zweiten Kanal einhergehen Dieser Sachverhalt ist in Abbildung F 1 dargestellt Die gef hrlichen Ausfallraten beider Kan le symbolisch dargestellt als Ellipsen fl chen besitzen eine schraffiert dargestellte CCF berlappung Der Proportionalit tsfaktor zwischen der CCF Rate und der gef hrlichen Ausfallrate des einzelnen Ka
517. tsch tzes ablaufenden Programmroutinen oder willensabh ngigen Tests erkannt aber ohne eine M glichkeit zur rechtzeitigen Stillsetzung z B manuell durch den Bediener in regelm igen Abst nden einer gefahrbringenden Bewegung so ist die Erkennung nutzlos eingeleitete Tests Auch welche Einheit einen Test durchf hrt ist und mit einem DC von 0 zu bewerten unerheblich z B bei Selbsttests Wichtig ist aber dass ein Test typische Realisierung in verschiedenen Technologien Hydraulik Elektrik Programmierbare Elektronik siehe Ma nahmenbeschreibung manuelle Initiierung der Pr ffunktion Vergleich von Eing ngen oder Ausg ngen ohne Kurzschlusserkennung Kreuzvergleich von Signalen und Zwischenwerten mit Kurzschluss erkennung Erkennung statischer Kreuzvergleich von Eing ngen oder Aus Positionserfassung des Ventilschiebers g ngen mit Kurz Er i ae Fehler und zeitliche und logische Hohe des DC abhangig von der schlusserkennung und i Programmlauf berwachung konkreten Ausf hrung Erkennung statischer dynamischer Kreuzvergleich unab h ngig gewonnener Stellungs oder Geschwindigkeitsinformationen Fehler z B mithilfe von Sicherheitsbausteinen Wegaufnehmer oder Endschalter an den Aktoren statt an den Steuerungselementen Wegaufnehmer oder Endschalter an den Aktoren statt an den Steuerungselementen Ventil berwachung durch Druckschalter Wegaufnehmer oder Endschalter an den Aktoren statt an den St
518. tung Konstruktive Aktivitaten gt nd nd Verifikation CN Ergebnis Bezeichnet das was in einer Phase erstellt wurde z B die Spezifikation das Gestaltungsdokument den Code und als abschlie endes Ergebnis die getestete validierte Software Es kann aber z B auch ein Testplan sein als Ergebnis der Spezifi kationsphase der erst in einer viel sp teren Phase ben tigt wird um dann die Software systematisch validieren zu k nnen Das Ergebnis bzw die Ergebnisse der vorherigen Phasen dienen als Eingabe f r die n chsten Phasen Dies wird durch den Pfeil dargestellt Verifikation Bezeichnet die qualit tssichernde Aktivit t mit der gepr ft wird ob das Ergebnis einer Phase den Vorgaben der Vorg ngerphase entspricht Beispielsweise wird w hrend oder zum Abschluss der Codierungsphase verifiziert ob der Code tats chlich die vor gegebene Modulgestaltung realisiert und dabei die Program mierrichtlinien eingehalten wurden Validierung Die Softwarevalidierung ist hier eine abschlie ende spezielle Form der Verifikation der gesamten Software Es wird gepr ft ob die Anforderungen der Softwarespezifikation zur Funktionalit t der Software umgesetzt wurden Im Folgenden werden einige Phasen des vereinfachten V Modells und damit gleichzeitig der Fahrplan f r die Softwareentwick lung beschrieben Der abw rtsgerichtete Teil des V beschreibt die konstruktiven und der aufw rtsgerichtete die berpr fenden
519. typen siehe weiter unten Dies sind das einkanalige ungetestete System mit unterschiedlich zuverl ssigen Bauteilen am einen Ende des Spektrums das im Mittelfeld durch Tests aufgewer tet werden kann und schlie lich das zweikanalige hochwertig getestete System am anderen Ende Systeme mit mehr als zwei Kan len oder andere exotische Strukturen sind im Maschinen bau extrem selten vertreten und k nnen mit dem vereinfachten Verfahren nur bedingt bewertet werden Meist reicht es aber selbst bei mehr als zwei Kan len aus die beiden zuverl ssigsten zu ber cksichtigen um den PL mit dem vereinfachten Verfah ren der vorgesehenen Architekturen hinreichend genau abzu sch tzen Daher werden Systeme mit mehr als zwei Kan len in DIN EN ISO 13849 1 nicht betrachtet Neben dieser horizontalen Einteilung in verschiedene funktionale oder testende Kan le ist meist auch eine vertikale Einteilung in eine Sensorebene Ein gabeger te Input I eine Verarbeitungsebene Logik L und eine Aktorebene Ausgabeger te Output O hilfreich Mit voller Absicht wird die Kontinuit t zu den in der Maschinen bauindustrie und normung etablierten Kategorien der DIN EN 954 1 gewahrt die nach demselben Muster f nf Strukturen als Kategorien definiert DIN EN ISO 13849 1 erg nzt die alte Kate goriedefinition geringf gig um quantitative Anforderungen an die Bauteilzuverl ssigkeit MTTF den Diagnosedeckungsgrad von Tests DC
520. ubsystemen z B unterschiedlicher Kategorie Hier wird im Folgenden ein Verfahren vorgestellt um aus den Kenndaten der Subsysteme PL durchschnittliche Wahrscheinlichkeit eines gef hrlichen Ausfalls je Stunde den PL des Gesamtsystems zu ermitteln Dabei ist ebenfalls die genaue Definition des Anteils an der Sicherheitsfunktion und der Schnittstellen zu beachten Behandlung von Spezialf llen z B Parallelschaltung von Subsystemen oder Verwendung von Subsystemen nur in einem Kanal einer Gesamtsteuerung Die Reihenschaltung mehrerer Subsysteme auch unterschied licher Technologie sieht typischerweise aus wie in Abbildung 6 13 beispielhaft skizziert Lichtgitter elektronische Steuerung und Pneumatikventil werden hintereinander geschaltet um insgesamt die Sicherheitsfunktion Stillsetzung der gefahrbringenden Bewegung bei Unterbrechung eines Lichtstrahls auszuf hren Der Pneumatikzylinder selbst ist kein Steuerungsteil und daher nicht Gegenstand einer PL Bewertung Eine Kette ist immer nur so stark wie ihr schw chstes Glied Diese Regel gilt f r die Verkn pfung von Steuerungsteilen sowohl unterschiedlicher Kategorien als auch unterschiedlicher Performance Level Wie die Praxis schon oft gezeigt hat ist eine hydraulische Steuerung der Kategorie 1 wegen der hohen MTTF der Komponenten unter Umst nden vergleichbar sicher wie eine elektronische der Kategorie 3 mit mittlerem DC und niedriger MTTF Da Zu und Abschl ge zur Kategorie
521. uch die BGIA Software SISTEMA siehe Anhang H die das S ulen diagramm quantitativ auswertet Bei der Ableitung des S ulendiagramms wurden nicht nur vorgesehene Architekturen ber cksichtigt sondern auch einige Bedingungen vorausgesetzt die bei dessen Anwendung beachtet werden sollten O Als Gebrauchsdauer der SRP CS wurden 20 Jahre unterstellt innerhalb derer die Bauteilzuverl ssigkeiten durch konstante Ausfallraten beschrieben bzw angen hert werden k nnen Durch Verwendung stark verschlei behafteter Bauteile siehe Tog Wert in Anhang D oder aus anderen Gr nden kann die tats chliche Gebrauchsdauer die angenommenen 20 Jahre unterschreiten Dann ist durch vorsorglichen Austausch der betroffenen Bauteile oder der betroffenen SRP CS die Anwendung des S ulendiagramms zu rechtfertigen Dem Anwender sind diese Informationen in geeigneter Form mit zuteilen zum Beispiel ber die Benutzerinformationen und durch Kennzeichnung auf den SRP CS O Bei den S ulen f r Kategorie 2 wurde unterstellt dass die Testh ufigkeit mindestens 100 mal gr er ist als die mittlere H ufigkeit der Anforderung der Sicherheitsfunktion und dass au erdem die Testeinrichtung mindestens halb so zuverl ssig ist wie Logik siehe auch Anhang E Durch die Begrenzung der anrechenbaren MTTF jedes Kanals auf 100 Jahre kann ein hoher PL nur mit bestimmten Kategorien erreicht werden Obwohl dies mit dem vereinfachten Ansatz der vorgesehenen Architekturen und
522. uch Abbildung 6 14 und ent sprechende Hinweise im zugeh rigen Text Nachfolgend wird die Ausfallwahrscheinlichkeit f r das Teilsystem Sensor Aktor berechnet O MTIF Bei 240 Arbeitstagen 8 Arbeitsstunden und einer Stunde Zykluszeit betr gt n 1920 Zyklen Jahr F r den Positions schalter B1 wird aufgrund der Zwangs ffnung ein B Wert von 20000000 Zyklen N angenommen der zugeh rige MTTF Wert betr gt 104116 Jahre F r B2 wird aufgrund des definierten Steuerstroms niedrige Last mechanische Lebens dauer der Kontakte ist bestimmend ein B Wert von 1000000 Zyklen G angenommen siehe auch Tabelle D 2 und damit eine MTTF 5208 Jahre Das Sch tz Q1 mit B Wert von 400 000 Zyklen schaltet betriebsm ig nur einmal t glich ent sprechend ily Zyklen Jahr und MTTF 16 667 Jahre Folgende Werte werden gesch tzt Fur T1 MTTF 100 Jahre und f r G1 G2 MTTF 50 Jahre G Diese Werte ergeben eine symmetrisierte MTTF pro Kanal von 41 Jahren hoch 149 DC ve F r die verwendeten Komponenten wird jeweils ein DC 99 angenommen Dieser basiert f r die Positionsschalter und die Tachogeneratoren auf einem Kreuzvergleich von Eingangssignalen in K1 F r den Umrichter T1 erfolgt eine Fehler erkennung durch den Prozess f r das Netzsch tz Q1 erfolgt eine direkte berwachung ber die SPS Diese Werte ergeben einen Dee von 99 hoch Ausreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 70 Punkte
523. uf unterstellte Fehler und Fehlerausschl sse hat es in der Vergangenheit in vielen Anwen dungsbereichen gegeben z B in der Eisen bahnsignaltechnik Diese Fehlerlisten waren jedoch nur bedingt auf allgemeine industrielle Anwendungen bertragbar und widerspra chen sich sogar teilweise in Detailfestlegun gen In den meisten Normen und Sicherheits regeln waren jedoch keine Aussagen enthalten welche Fehler bei der Fehlerbe trachtung konkret zu unterstellen sind 2 Anforderungen an eine Fehlerliste Um f r steuerungstechnische Sicherheits pr fungen immer gleiche Voraussetzungen zu schaffen hat das Berufsgenossenschaftliche Institut f r Arbeitsschutz BGIA die bei Pr fungen zugrunde gelegten Fehlerarten elektrischer hydraulischer und pneumatischer Bauelemente zusammengestellt und in die sem Handbuch in den Jahren 1987 und 1990 ver ffentlicht Diese Zusammenstellungen f r den industriellen Maschinen und Anlagenbau wurden im Laufe der Zeit mehrfach berarbei tet und um Hinweise aus der einschl gigen Literatur und den Technischen Regeln er g nzt Die Listen auch schon vor ihrem Er scheinen seit vielen Jahren in der Pr fpraxis erprobt stellen einen Kompromiss verschie dener teilweise widerspr chlicher Anforderun gen dar die nachstehend erl utert werden Hoher Fehlerabdeckungsgrad Die bei der Fehlerfallpr fung unterstellten Fehler sollten m glichst viele aller m glichen Fehler abdecken Je h her d
524. ufe ist f r die geforderte hohe Synchronit t der beiden Kan le und die kurzen Reaktionszeiten notwendig In Leerlaufzeiten der Tasks werden die zyklischen Selbsttests f r die Beherrschung zuf lliger Hard wareausf lle ausgef hrt Die Gestaltung der Softwarearchitektur und der erforderlichen Softwaremodule und Funktionen zur Realisierung der oben beschriebenen Software werden in einem weiteren Dokument dem Pflichtenheft zur System und Modulgestaltung zusam mengefasst F r die Fehlervermeidung w hrend des gesamten Lebenszyklus sind die geeignete Modularisierung und in diesem Fall auch eine deutliche Abgrenzung der SRESW zur nicht sicherheitsbezogenen Software besonders wichtig Wo f r das Verst ndnis notwendig sind Aufbau und Ablauf der Software grafisch dargestellt Erg nzt werden Vorgaben ber die einzuset zende Programmiersprache hier ANSI C mit compilerspezifischen Spracherweiterungen und die Entwicklungswerkzeuge z B Compiler Versionsverwaltung Konfigurationsmanagement alle bereits mit langj hriger positiver Erfahrung im Einsatz Ebenso werden die Programmierrichtlinien und Methoden zur tool gest tzten statischen Analyse f r die Verifikation der Codierung festgelegt Die Planung von Modul und Integrationstest wird ebenfalls schon in diesem Dokument festgeschrieben Nach einem erneuten Review z B durch den Entwicklungsleiter Software wird das Pflichtenheft als Vorgabe f r die Codierung freigegeben In diesem
525. ufiger Bet tigungsmodus i Kontakte mit Zwangsf hrung mit Zwangs ffnung Gerichtete Ausf lle berdimensionierung 43 Dass konkrete Anforderungen durchaus anwendungs und tech nologiespezifisch sein k nnen und demnach manchmal auch eine Auslegung der allgemeinen Anforderungen erforderlich ist soll anhand von drei Beispielen erl utert werden Beispiel 1 Ma nahmen zur Beherrschung von Auswirkungen eines Energieausfalls Bei der Gestaltung der sicherheitsbezogenen Teile von Steue rungen sind auch St rungen der Energieversorgung elektrische Spannung Luftdruck in der Pneumatik Hydraulikdruck zu ber cksichtigen siehe Abschnitt 5 2 8 und Anhang G der Norm So k nnen z B Spannungsausfall Spannungsschwankungen und ber bzw Unterspannung den sicheren Zustand einer Maschine gef hrden Dies trifft insbesondere auf das Hochhalten von Lasten mit elektrischen und hydraulischen Antrieben Vertikalachsen zu Solche St rungen k nnen ihre Ursachen in Bauteilfehlern innerhalb der SRP CS haben dann werden ihre Auswirkungen auf den Performance Level in der Verifikation ber cksichtigt Liegen die Ursachen jedoch im Versorgungsnetz begr ndet oder wurde die Netz Trenneinrichtung Hauptschalter der Maschine bet tigt so entziehen sich diese Vorf lle einer quantitativen Ber cksichtigung und k nnen nur als systematische Ausf lle teilweise sogar als Betriebszustand betrachtet werden die vom SRP CS beherrscht werden m ssen
526. ung beseitigt werden Kann das Risiko durch inh rent sichere Konstruktion vermindert werden Kann das Risiko durch trennende und andere Schutzeinrichtungen vermindert werden K nnen die Grenzen erneut festgelegt werden 1 Beim erstmaligen Stellen der Frage wird sie mit dem Ergebnis der Ausgangsrisikobewertung beantwortet 24 andere Gef hrdungen erzeugt Bei jedem Schritt des iterativen Prozesses Risikoeinsch tzung Risikobewertung und soweit anwendbar Risikovergleich Schritt 1 Risikominderung durch inh rent sichere Konstruktion Abschnitt 4 in ISO 12100 2 Risikominderung durch technische Schutzma nahmen Einbeziehung erg nzender Schutzma nahmen Abschnitt 5 in ISO 12100 2 Risikominderung durch Benutzerinformation Abschnitt 6 in ISO 12100 2 Ist die vorgesehene Risikominderung erreicht Ist die vorgesehene Risikominderung erreicht Ist die vorgesehene Risikominderung erreicht Elektrische Spannung Einzugsgefahr Automatischer Anlauf Handverletzungen 5 2 1 Risikoeinsch tzung Sind alle Gef hrdungen ermittelt die von einer Maschine aus gehen k nnen so muss f r jede Gef hrdung das Risiko einge sch tzt werden Aus den folgenden Risikoelementen kann das mit einer bestimmten Gef hrdungssituation zusammenh ngende Risiko abgeleitet werden a Schadensausma b Eintrittswahrscheinlichkeit dieses Schadens als Funktion der Gefahrdungsexposition einer
527. ung des ungewollten Anlaufs aus der Ruhelage Hier ist nur der pneumatische Steuerungsteil als Subsystem gezeigt F r die komplette Sicherheitsfunktion sind weitere sicherheitsbezogene Steuerungsteile z B Schutzeinrichtungen und elektrische Logik als Subsysteme hinzuzuf gen Funktionsbeschreibung O Gefahrbringende Bewegungen werden redundant durch ein Wegeventil 1V1 und eine Bremse 2Z1 an der Kolbenstange gesteuert bzw stillgesetzt Die Bremse 2Z1 wird durch ein Steuerventil 2V1 angesteuert Der einzelne Ausfall eines der genannten Ventile oder der Bremse f hrt nicht zum Verlust der Sicherheitsfunktion Wegeventil und Bremse werden im Prozess zyklisch angesteuert 126 1V1 2V1 2Z1 251 151 Die Funktion des Steuerventils 2V1 wird durch einen Druckschalter 251 berwacht An dem nicht berwachten Ventil 1V1 und der nicht berwachten Bremse 2Z1 werden einige Fehler im Arbeitsprozess erkannt Zus tzlich wird der Nachlaufweg Weg Zeitverhalten beim Bremsvorgang dynamisch oder und bei Start der Maschine statisch mithilfe eines Wegmess systems 151 an der Kolbenstange berwacht Die Anh ufung unentdeckter Fehler kann zum Verlust der Sicherheitsfunktion f hren Es erfolgt eine zwangsweise Testung der Sicherheitsfunktion in geeigneten Zeitabst nden z B mindestens alle 8 Arbeits stunden Durch den Ausfall der Bremse darf die Testfunktion nicht beeintr chtigt werden Ein Ausfall der Testfunktion darf nicht zum Ausfall
528. ung durch den Benutzer Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Die Hilfssch tze K1 bis K3 besitzen zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Die Zuleitungen zur Lichtschranke F5 und zum Totmann Taster S4 sind so verlegt dass Kurzschl sse einzelner Leitungen untereinander auch zur Versorgungsspannung ausgeschlossen werden k nnen Die Befehlsgeber S1 bis S4 sind au erhalb des Gefahrenbereichs und mit Einblick in den Gefahrenbereich angeordnet Der berbr ckungszustand wird gut erkennbar f r den Bediener am Zugang zum Gefahrenbereich von zwei Leuchtmeldern angezeigt Die Standardkomponenten F1 bis F4 werden soweit zutreffend entsprechend den Hinweisen in Abschnitt 6 3 10 eingesetzt Bemerkungen 154 Beispiel f r die Erm glichung einer automatischen Materialabfuhr bei der Absicherung der Zug nge von Palettierern und Depalettierern Umsetzstationen Umreifungs oder Umwickelungsmaschinen Das gleiche Prinzip l sst sich f r Zug nge mit Materialzufuhr verwenden Nach DIN EN 415 4 kann vorausgesetzt werden dass ein unbemerkter Zutritt von Personen durch Einlauf bzw Auslauf ffnungen ausreichend sicher verhindert ist wenn u a folgende Anforderungen eingehalten sind Verwendung ei
529. ungen zur Bet tigung der Positionsschalter ist sichergestellt Das Not Halt Ger t S1 entspricht DIN EN ISO 13850 B2 und B4 sind Positionsschalter mit zwangs ffnendem Kontakt entsprechend DIN EN 60947 5 1 Anhang K Die Zuleitungen zu den Positionsschaltern B1 bis B4 sind getrennt oder gesch tzt verlegt Das Sch tz Q1 besitzt zwangsgef hrte Kontaktelemente entsprechend DIN EN 60947 5 1 Anhang L Die Sicherheitsbausteine K1 K2 und K3 erf llen alle Anforderungen f r Kategorie 4 und PL d Der Frequenzumrichter T1 verf gt ber keine integrierte Sicherheitsfunktion Bemerkungen Die Not Halt Funktion ist eine erg nzende Schutzma nahme nach DIN EN ISO 12100 2 2004 135 Berechnung der Ausfallwahrscheinlichkeit 136 Die Schaltung l sst sich in drei Sicherheitsfunktionen und jeweils drei Subsysteme aufteilen Das sicherheitsbezogene Blockdiagramm zeigt die sicherheitsbezogene Stoppfunktion beispielhaft f r eine Schutzeinrichtung da zu einem Zeitpunkt immer nur eine Schutzeinrichtung ge ffnet wird F r die zweite Schutzeinrichtung gilt die gleiche Sicherheitsfunktion und eine identische Berechnung der Ausfallwahrscheinlichkeit Bei der Not Halt Funktion treten das Not Halt Ger t S1 und der Sicherheitsbaustein K1 an die Stelle der ersten beiden Subsysteme Die Ausfallwahrscheinlichkeit der fertigen Sicherheits bausteine K1 K2 und K3 wird am Ende der Berechnung addiert 2 31 10 Stunde H geeignet f r PL e F r die brigen
530. usfallerkennung verwendet In der Maschinensicherheit akzeptiert man meistens dass infolge eines Steuerungsausfalls anstelle der Ausf hrung der urspr ng lich vorgesehenen Sicherheitsfunktion eine Ersatzreaktion erfolgt die einen sicheren Zustand herbeif hrt z B die Betriebs hemmung mit energielosen Ausg ngen Abschaltsystem englisch Shut Down System Kategorie und PL sollen gem DIN EN ISO 13849 1 eine Aussage allein ber die sicherheitstech nische Qualit t machen und nicht ber die Wahrscheinlichkeit des st rungsfreien Betriebs die Verf gbarkeit Daher werden Signalpfade die im Fehlerfall einen sicheren Zustand herbei f hren genauso als vollwertig angesehen wie Funktions einheiten die eine unter Umst nden komplizierte Sicherheits funktion ausf hren Ein solcher einfacher Sicherheits Signal pfad ist jedoch nur dann ein eigenst ndiger Kanal wenn er st ndig im Eingriff ist Kann der Sicherheitspfad erst nach Aufdeckung eines Ausfalls im eigentlichen Haupt Funktionspfad aktiv werden so h ngt sein Nutzen f r die Sicherheit von der Qualit t der Ausfallerkennung ab Diese Qualit t wird durch den Diagnosedeckungsgrad des Mechanismus zur Ausfallerkennung beschrieben In solch einem Fall stellt der Sicherheitspfad in der Regel nur eine Testeinrichtung mit Abschaltweg zur Verf gung Derartige Architekturmerkmale m ssen im sicherheitsbezogenen Blockdiagramm korrekt zum Ausdruck kommen Die unter
531. usreichende Ma nahmen gegen Ausf lle infolge gemeinsamer Ursache 65 Punkte Trennung 15 Schutz gegen berspannung usw 15 und Umgebungsbedingungen 25 10 O Die Kombination der Steuerungselemente entspricht Kategorie 3 mit hoher MTTF pro Kanal 35 Jahre und niedrigem DC 63 Damit ergibt sich eine mittlere Wahrscheinlichkeit gef hrlicher Ausf lle von 5 16 10 Stunde Dies entspricht PL d Weiterf hrende Literatur Grigulewitsch W Speicherprogrammierbare Steuerung SPS zum zeitlich begrenzten prozessabh ngigen Aufheben einer Sicherheitsfunktion Schaltungsbeispiel Kennzahl 330 231 36 Lfg XII 99 Hrsg BGIA Institut f r Arbeitsschutz der Deut schen Gesetzlichen Unfallversicherung Sankt Augustin Erich Schmidt Berlin 1985 Losebl Ausg www bgia handbuchdigital de 330231 Kreutzkampf F Hertel W Zeitbegrenztes Aufheben von Sicherheitsfunktionen Kennzahl 330 214 19 Lfg X 92 Hrsg BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Sankt Augustin Erich Schmidt Berlin 1985 Losebl Ausg www bgia handbuchdigital de 330214 O DIN EN 415 4 Sicherheit von Verpackungsmaschinen Teil 4 Palettierer und Depalettierer 08 97 und Berichtigung 1 03 03 Beuth Berlin 1997 und 2003 DIN EN 61496 1 Sicherheit von Maschinen Ber hrungslos wirkende Schutzeinrichtungen Teil 1 Allgemeine Anforde rungen und Pr fungen 01 05 Beuth Berlin 2005 O DIN CLC TS 61496 2
532. utzleiterverbindung Selbsthaltung o een een los wirkende ber hrungslos wirkende Schutzeinrichtung Seite 166 224 ff 100 ff 227 180 ff 191 67 ff 85 ff 62 232 248 77 ff 45 ff 85 ff 50 64 229 227 242 57 57 23 25 23 ff 204 232 191 214 58 58 74 ff 56 ff 72 241 86 86 156 f 201 52 223 ff 85 ff 89 201 66 ff 227 174 ff 85 92 ff 100 ff 135 f 138 f 170 184 ff 215 108 195 232 45 51 65 257 sicherer LUStanid ee ee Sicherheit funktionale funktionale Sicherheit SICHEFMEITS DAS AAA Pe sicherheitsbezogene Anwender Software Safety Related Application Software sicherheitsbezogene eingebettete Software Safety Related Embedded Software sicherheitsbezogener Teil der Steuerung SRP CS cccccccccceccceceeeeeeesssssesesesceeeeceeeeseeeeeaeas sicherheitsbezogenes Blockdiagramm eeeeesssssssnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn ICI arpa A Sicherheitsfunktion Gassner ee rennen see S cherneits Intesrfit tslevel SIL au sun sn e eS UE een me Sicherheitsprinzip bewahrtes gt bew hrtes Sicherheitsprinzip Sicherheitsprinzip grundlegendes grundlegendes Sicherheitsprinzip SE SP E aa SIL Sicherheits Integritatslevel la EE ae ea ee A E E 4a 4s du ana pap EEE EEE ENDE BE E E BO MM Ae dSS ISIE IN oo Ei AENEA Software von Standardkomponenten
533. vant 35470 67 gt TE feas Z Bearbeiten Bibliothek la CP Inhalte der Kan le vertauschen Kanal 2 a Hinzuf gen Name Dcp MTTFdja EB Steuerstromkreis testo Y ep al MTTEd a 00 Hi Abbildung 8 12 Digi 00 abran all PL Bestimmung mithilfe von SISTEMA 103 8 2 7 Unterspannungsausl sung ber Not Halt Ger t Kategorie 1 PL c Beispiel 7 Abbildung 8 13 Not Halt Ger t auf Unterspannungsausl sung der Netztrenneinrichtung Motorstarter wirkend str Not Halt Motor Starter Sicherheitsfunktion Not Halt Funktion STO Sicher abgeschaltetes Moment durch Betatigung des Not Halt Gerates das auf die Unter spannungsausl sung eines Motorstarters ggf der Netztrenneinrichtung wirkt Funktionsbeschreibung Gefahrbringende Bewegungen oder Zust nde werden bei Bet tigung des Not Halt Ger tes S1 durch Unterspannungs ausl sung der Netztrenneinrichtung hier in Form eines Motorstarters Q1 unterbrochen Die Sicherheitsfunktion l sst sich nicht bei allen Bauteilausf llen aufrechterhalten und h ngt von der Zuverl ssigkeit der Bauteile ab Es sind keine Ma nahmen zur Fehlererkennung vorgesehen Konstruktive Merkmale Grundlegende und bew hrte Sicherheitsprinzipien sowie die Anforderungen der Kategorie B sind eingehalten Schutz beschaltungen z B Kontaktabsicherung wie in den ersten Abschnitten von Kapitel 8 beschrieben sind vorgesehen Als grundlegendes Sicherheitspri
534. vertragsverbind liche Schnittstelle zu externen oder internen Dienstleistern sein 6 3 3 System und Modulgestaltung f r das sicherheitsbezogene Pflichtenheft Die Softwarearchitektur ist durch das Betriebssystem oder Entwicklungswerkzeug meist bereits festgelegt In der Gestaltung wird dar ber hinaus festgelegt mit welcher Struktur und mit welchen Modulen die spezifizierten Sicherheitsteilfunktionen realisiert werden sollen Es ist zu entscheiden welche bereits vorhandenen Bibliotheksfunktionen eingesetzt werden und ob eventuell projektspezifische neue Funktionen entwickelt werden m ssen In diesem Abschnitt ist mit dem Begriff Softwarefunktion modul auch immer ein Funktionsbaustein gemeint Das Software Gestaltungsdokument sollte Aufbau und Ablauf der Software durch Grafiken auch f r au en stehende Personen verst ndlich beschreiben Dies kann umso kompakter sein je mehr das Programm auf wieder verwendeten bereits validierten Softwarefunktionen basiert die schon an anderer Stelle doku mentiert sind In der Modulgestaltung werden zus tzlich die projektspezifisch neu zu erstellenden Softwarefunktionen ihre Schnittstellen und Testf lle f r deren Modultest spezifiziert System und Modulgestaltung k nnen bei weniger komplexen SRP CS zusammengefasst werden und ergeben das sicherheits bezogene Softwarepflichtenheft 6 3 4 Endlich programmieren Nun freut sich der Programmierer Endlich geht es zur eigent lichen C
535. wegung auszuweichen ist bei Produktions geschwindigkeiten nicht gegeben P2 F r die Sicherheitsfunk tionen SF1 und SF2 ergibt sich daher ein erforderlicher Perfor a mance Level PL d siehe Abbildung A 4 Die Sicherheitsfunk punkt zur tion SF3 jedoch kann nur dann verwendet werden wenn die Druckmaschine zuvor stillgesetzt SF1 und die zul ssige Zylin Niedriges Risiko or f Einsch tzung derdrehzahl begrenzt wurde SF2 Damit sind die m glichen der Risiko Maschinenbewegungen f r den Bediener berschaubar und er MIME ETON kann den gefahrbringenden Bewegungen ausweichen P1 F r SF3 ist daher ein erforderlicher Performance Level PL c ausreichend siehe Abbildung A 4 Wie man diese Sicherheits funktionen realisieren kann ist in Kapitel 8 im Beispiel 24 auf anae ernie Valkie Seite 160 ff beschrieben seltene Exposition oder kurze Dauer Vermeidung der Gef hrdung m glich Vermeidung der Gef hrdung kaum m glich Die Beispiele 1 bis 3 sind dem BGIA Handbuch 1 entnommen in dem sich zahlreiche weitere Anwendungen aus dem Maschi nenschutz finden Literatur 1 BGIA Handbuch Sicherheit und Gesundheitsschutz am Arbeitsplatz Hrsg BGIA Institut f r Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Sankt Augustin Erich Schmidt Berlin 1985 Losebl Ausg www bgia handbuchdigital de 204 Erforderlicher Performance Level PL Anhang B Sicherheitsbezogenes Blockdiagramm und FMEA Zum
536. wei bis drei Fehler pro 1 000 Pro grammzeilen und die Software im Space Shuttle hat laut NASA weniger als einen Fehler pro 10000 Zeilen Was bedeutet das in der Praxis Ein Mobiltelefon hat bis zu 200000 Programmzeilen und damit bis zu 600 Softwarefehler Ein PC Betriebssystem hat 27 Millionen Programmzeilen und damit bis zu 50000 Fehler das Space Shuttle bis zu 300 Fehler und die Software f r das Verteidigungssystem SDI bis zu 10 000 Fehler Diese Programm fehler schlummern in den Produkten und werden sich unter bestimmten Bedingungen und in bestimmten Situationen auf die Funktion auswirken Wie keine zweite Technologie bernimmt Software eine h here Verantwortung als je zuvor und damit also auch ihr Programmierer Als eine der wesentlichen Neuerungen in der Revision der DIN EN ISO 13849 1 wurden die schon im Anwendungsbereich der DIN EN 954 1 einbezogenen programmierbaren SRP CS erst mals mit Anforderungen an die Software und deren Entwicklung ausgestattet Um es vorweg deutlich herauszustellen Die Anfor derungen in Abschnitt 4 6 der Norm erm glichen es sicherheits bezogene Software f r alle SRP CS im Maschinensektor und f r alle erforderlichen Performance Level von a bis e zu entwickeln Dieser Abschnitt richtet sich in erster Linie an Anwendungs programmierer die Sicherheitsfunktionen f r eine Maschine z B in einer applikationsorientierten Sprache auf einer speicher programmierbaren Steuerung SPS entwickeln F r E
537. wendungsprogrammierung oft mit eher weniger Aufmerksamkeit bedacht Um eine gute Qualit t sicherheitsbezogener Software zu errei chen ist es nahe liegend entsprechende aktuelle und bew hrte Entwicklungsmodelle des Software Engineering aufzugreifen F r sicherheitsbezogene Systeme wird dabei meist auf das sogenannte V Modell referenziert 32 Da das aus der Lite ratur bekannte V Modell eher f r sehr komplexe Software zum Einsatz kommt wird dieses Entwicklungsmodell in DIN EN ISO 13849 1 Abschnitt 4 6 1 nur in einer vereinfachten Form Abbildung 6 11 gefordert Diese wird f r die Bedingungen der sicherheitsbezogenen SRP CS im Maschinensektor und dort speziell f r die Entwicklung von SRASW als praxisgerecht und zielf hrend bewertet Das eigentliche Ziel dabei ist es lesbare verst ndliche testbare und wartbare Software zu erhalten Diese Anforderungen werden von einem Programmierer der blicher weise nicht sicherheitsrelevante Software erstellt als m hsam empfunden geben ihm aber andererseits die Best tigung die Software hinreichend gut entwickelt zu haben Neben den Phasen sind in Abbildung 6 11 wichtige Begriffe dar gestellt deren Bedeutung auf Software bezogen vorab definiert werden soll Entwicklungsmodell vereinfachtes V Modell Ziel lesbare verst ndliche testbare und wartbare Software Spezifikation der Sicherheits funktionen Sicherheits bezogene Software spezifikation ae gestal
538. wickelten Softwarefunktionen getestet und simuliert um zu pr fen ob sie so codiert sind wie in der Modulgestaltung spezifiziert Sp testens beim Integrationstest wird z B w hrend der typischen Inbetriebnahme der SPS einer Maschine die Gesamtsoftware auf korrekten Ablauf auf der Hardware Integration und der ber einstimmung mit der Systemgestaltung Verifikation getestet Beides sind noch Verifikationsma nahmen d h man schaut da bei in die Software hinein Ob die Sicherheitsteilfunktionen der Software wie spezifiziert funktionieren ergibt die bereits oben beschriebene Softwarevalidierung F r die h heren PL d und e wird auch ein erweiterter Funktionstest notwendig Einzelne Softwarefunktionen die zertifiziert oder bereits quali tatsgesichert validiert wurden m ssen nicht nochmals verifiziert werden Sobald aber mehrere dieser Funktionen projektspezifisch zusammengeschaltet werden ist diese resultierende neuartige Teilsicherheitsfunktion zu validieren Auch bei zertifizierten Bau steinen kann es aufgrund falscher Parametrierung und Verkn p fung zu gef hrlichen systematischen Fehlern kommen 6 3 6 Struktur der normativen Anforderungen Nachdem der Entwicklungsprozess skizziert ist werden normative Anforderungen an die Software selbst an die benutzten Entwick lungswerkzeuge sowie an die Entwicklungsaktivit ten beschrie ben Diese Anforderungen tragen ebenfalls zur Fehlervermeidung bei Der dazu erforderliche
539. wie Prozessoren kann ebenfalls eine 50 zu 50 Aufteilung der Ausfallrate auf A und A vorgenommen werden Dasselbe gilt f r L tstellen Leiterplatten Vorsicht ist geboten bei diskreten oder niedrig integrierten Bauelementen mit relativ hoher Ausfallrate Tr gt z B ein Sch tz oder ein Leistungshalb leiter wesentlich zur Gesamtausfallrate des Funktionsblocks bei so ist im Zweifelsfall von einem berwiegenden Ausfall in die gef hrliche Richtung auszugehen Dies gilt umso mehr wenn es sich um die den Ausgangsstrom schaltenden Elemente von Sicherheitsausg ngen handelt Bei Bauelementen zur Ert chtigung der Schaltung gegen ber St reinfl ssen z B elektromagnetischen St rungen oder hohe Umgebungstemperatur ist zur Bewertung des Funktionsblock verhaltens eine Unterscheidung zwischen zwei m glichen F llen sinnvoll Ist das Auftreten der St rph nomene lediglich m g lich und dient die Schaltungsma nahme im Wesentlichen zur Erh hung der Ger teverf gbarkeit unter seltenen ung nstigen Bedingungen so muss bei der Beurteilung des Funktionsblock verhaltens beim Bauelementeausfall das gleichzeitige Vorliegen des St rph nomens nicht angenommen werden Sieht jedoch die vorgesehene Betriebsweise des Ger tes die gelegentliche bis st ndige Pr senz der St rung vor oder legt die typische Betriebsweise dies nahe z B Einbau in der Reichweite bekann ter elektromagnetischer St rquellen oder hei er Einbauort so muss di
540. wie bei den meisten folgenden Schaltungsbeispielen eine Liste mit hilfreicher Literatur angef gt die weitere Erl uterungen bereitstellt und auf zus tzliche zu beachtende Anforderungen hinweist Weiterf hrende Literatur O DIN EN 1010 3 Sicherheit von Maschinen Sicherheitsanfor derungen an Konstruktion und Bau von Druck und Papier verarbeitungsmaschinen Teil 3 Schneidmaschinen 12 02 Beuth Berlin 2002 DIN IEC 61508 2 Funktionale Sicherheit sicherheitsbezoge ner elektrischer elektronischer programmierbarer elektro nischer Systeme Teil 2 Anforderungen an sicherheitsbezogene elektrische elektronische programmierbare elektronische Systeme Normentwurf Beuth Berlin 2006 DIN EN 574 Sicherheit von Maschinen Zweihandschaltungen Funktionelle Aspekte Gestaltungsleits tze 02 97 Beuth Berlin 1997 Weitere Ausf hrungen speziell hinsichtlich der Verifikation und Validierung folgen in der Fortsetzung dieses Beispiels einer Planschneidemaschine in Kapitel 7 75 7 Verifikation und Validierung Verifikation und Validierung bezeichnen qualit tssichernde Ma nahmen zur Vermeidung von Fehlern w hrend des Entwurfes und der Realisierung sicherheitsbezogener Teile von Steuerungen SRP CS die Sicherheitsfunktionen ausf hren Besonders Teil 2 der DIN EN ISO 13849 7 besch ftigt sich ausgiebig mit diesem Thema Die Verifikation umfasst die Analysen und Pr fungen f r SRP CS bzw deren Teilaspekte die fest
541. z B S2 21 22 eingehen Die angenommenen B Werte werden mit den aus Anhang D bekannten Formeln in MTTF Werte umgerechnet 10d oe np s 240 Tage Jahr 8 h Tag S Zyklen n 3600 ___ 3600 86 400 6 a Ei h 80 s Zyklus h Jahr yklus Boa 2 000 000 Zyklen MTTF 231 5 Jahre 7 Die Betriebszeit elektromechanischer Komponenten wird auf den sogenannten T Wert Zeit nach der bis zu 10 der betrachteten Bauteile gef hrlich ausgefallen sind begrenzt Da dieser T Wert hier allerdings gr er ist als die angenommene Gebrauchsdauer von 20 Jahren ist er f r die weitere Berechnung nicht relevant T 23 15 Jahre 8 86 400 Zyklen Jahr Die MTTF Werte f r die Ventile 1V3 1V4 2V1 und 2V2 k nnen nach dem Verfahren guter ingenieurm iger Praxis aus der Norm K rzel N selbst abgeleitet werden wenn die dort genannten Voraussetzungen eingehalten werden In der Summe f r einen Kanal 51 52 K1 K3 K4 1V4 2V2 ergibt sich nach Abschnitt 6 2 13 eine MTTF von 31 4 Jahren also hoch 1 1 1 1 1 1 1 1 1 t t cd t l Hl HL 9 MTTF 232 Jahre 232 Jahre 806 Jahre 232 Jahre 232 Jahre 150 Jahre 150 Jahre 31 4 Jahre Da der zweite Kanal die gleiche MTTF aufweist entf llt die sonst erforderliche Symmetrisierung Die Validierung der angenommenen DC Werte wird ebenfalls in Kapitel 7 n her beschrieben F r
542. zu addieren 187 Weiterf hrende Literatur O DIN EN 574 Sicherheit von Maschinen Zweihandschaltungen Funktionelle Aspekte Gestaltungsleitsatze 02 97 Beuth Berlin 1997 Recommendation for Use Hrsg Vertikalgruppe 11 VG 11 im europ ischen Erfahrungsaustausch notifizierter Pr fstellen europa eu int comm enterprise mechan_equipment machinery vertical_rfu pdf CNB M 11 033 R E Rev 05 S 252 April 2006 Neu Ds ffnen W Sasichern s Schlie en Pl Bibliothek lt gt Drucken Hite 2 Wizard A a ee AA Eee easi m 213 El l Eingabemasken Zusammenfassung Subsystem BGIA Dokumentation PL Kategorie MTTFd DCavg CCF Bl cke El PR 35 Zweihandschaltung Kategorie 4 PL e SF Ottsbindung der Hande des Bedieners H SB Logikeinheit K1 SB Taster 51 und 52 mit Hillsschutzen E CH Kanal El BL Schlie erkontakt des Taste H BL Offmerkontakt des Tasters H BL Hi fssch tz K2 Kanal 1 Hinzuf gen _ Name AA TTFd a BL SchheBerkontakt des Tasters 51 99 High 578 7 I 1 CH Kanal L schen BL Offmerkontakt des Tasters 52 99 High 578 71 E BL Schlie erkontakt des Taste 4 Bearbeiten SBR een Se Se BL linerkontakt des Tasters H BL Hilfssch tz K3 2 Bibliothek TE estany as gt Inhalte der Kanale vertauschen Ortsbindung der H nde des Bedieners au erhi 752 Hinzuf gen _ Na
543. zugeord net wird und nicht der Testeinrichtung welche die Tests durch f hrt Um die DC Bestimmung zu vereinfachen geht DIN EN ISO 13849 1 einen anderen Weg und schl gt f r typische Diagnosema nahmen DC Eckwerte vor von deren Erreichung ausgegangen werden kann Auf diese Weise wird eine m hsame FMEA durch eine tabellarische Bewertung der umgesetzten Diagnosema nahmen ersetzt Dies ist in hnlicher Weise oft g ngige und konomisch sinnvolle Praxis von Pr fstellen Da der Anteil der unerkennbar gefahrbringenden Ausf lle also 1 DC die f r die Ausfallwahrscheinlichkeit relevante Gr e zur Bewertung der realisierten Test und berwachungsma nahmen ist erkl rt sich die Wahl der Eckwerte 60 90 und 99 mit deren Hilfe vier DC Qualit tsstufen gebildet werden Tabelle E 1 Tabelle E 1 Die vier Stufen des Diagnosedeckungsgrades im vereinfachten Ansatz der DIN EN ISO 13849 1 DC Diagnosedeckungsgrad Bezeichnung Bereich Es muss grunds tzlich unterschieden werden zwischen dem DC eines einzelnen Tests f r eine bestimmte Komponente bzw einen Block und dem durchschnittlichen Diagnosedeckungsgrad DC ve average f r die gesamte betrachtete Steuerung Die Gruppenbil dung mithilfe der Eckwerte wird dabei sowohl zur Qualifizierung der einzelnen Tests herangezogen als auch bei der Benennung von DC Da der DC eine der Eingangsgr en fur die verein fachte Quantifizierung der Ausfallwahrscheinlichkeit mithilfe des
Download Pdf Manuals
Related Search