Die Durchführung einer Risikobeurteilung ist in den Sicherheitsnormen festgelegt und erlangt über die EU-Richtlinien eine rechtliche Verpflichtung. Welche Norm zur Anwendung kommt, ist nicht vorgeschrieben. Jedoch erlangt die DIN EN ISO1349 eine wichtige Bedeutung, da sie im Anhang der EU-Richtlinie aufgeführt ist. Sie schreibt konkrete Vorgehensweisen für die Risikobeurteilung und die Reduzierung der Risiken vor. Das Ergebnis der Risikobeurteilung ist die Einstufung einer speziellen Gefährdungssituation, bevor eine Schutzmaßnahme angebracht bzw. angewandt wurde. Ausgehend vom ermittelten Risiko muss dieses so reduziert werden, dass ein zumindest akzeptables Restrisiko verbleibt. Die Differenz zwischen ermitteltem Risiko und reduziertem Risiko ist das verbleibende Restrisiko (Bild1). Die DIN EN ISO13849 löste mit dem 31.12.2011 nach zweijähriger Verlängerung die DIN EN954 ab. Es sind nun folgende vier Kenngrößen für die Sicherheitstechnik maßgeblich: – Sicherheitsstruktur – Ausfallrate der Bauteile – Diagnosedeckungsgrad – Vermeidung von Fehlern gemeinsamer Ursache Die im Maschinebau häufig auftretenden Bereiche wie PLd und e erfordern einigen Aufwand bei der Konstruktion und Installation sowie den Einsatz von \’guten\‘ Bauteilen, um die Anforderungen zu erfüllen. Die gesamtheitliche Betrachtung des Risiko-Managements, das die wirtschaftliche Kosten-Nutzen-Abwägung beinhaltet, ist jedoch nicht außer Acht zu lassen. Es ist eine Sicherheitslösung zu finden, die den Rahmenbedingungen des Unternehmens bzw. des Produktes anzupassen ist. Einsatz von Bauteilen für Fehlerausschluss setzt Zertifikat voraus In der DIN EN ISO13849 gibt es nun die Möglichkeit, auf eine Vielzahl von Fehlerausschlüssen zurückzugreifen. Fehlerausschlüsse helfen, Strukturen zu vereinfachen und folglich dadurch Kosten zu reduzieren. Die besonderen Voraussetzungen für einen Fehlerausschluss sind aus der Norm zu entnehmen. In der Norm werden die unterschiedlichen Technologien wie Mechanik, Pneumatik, Hydraulik und Elektrik in den unterschiedlichen Anhängen behandelt. Werden Bauteile mit Fehlerausschluss verwendet und wird auf die Eigenschaft des Fehlerausschlusses zurückgegriffen, ist ein Zertifikat des Herstellers mit speziellem Nachweis erforderlich. In der DIN EN ISO13849-2 ist der Aufbau der Abschnitte der Anhänge A bis D abgebildet wie in Bild 2 zu sehen. Als Beispiel kann eine Ansteuerung eines Pneumatikzylinders herangezogen werden. Ausgehend von einer Risikobeurteilung, die eine Risikoreduzierung von PLr d ergab (PLr: Performance Level required), gibt es die Möglichkeit, eine zweikanalige Struktur zugrunde zu legen. Diese Struktur gab es auch bereits in der Vorgängernorm EN954. Die Zweikanaligkeit ist mit der Bezeichnung Kategorie 3 versehen. Einen PL von d könnte man auch mit einer Kategorie 2 (einkanalig) erreichen, jedoch würde man Bauteile mit sehr guten Ausfallraten benötigen und zusätzlich fiele ein Diagnosedeckungsgrad mit mindestens 90% an. Außerdem ist die einkanalige Umsetzung mit entsprechenden organisatorischen Maßnahmen verbunden, die sich nicht immer als praxistauglich darstellen. Unterschiedliche Sicherheitsstrukturen mit Fehlerausschluss Um nun den Vorteil von bestimmten Bauteilen und Teile der Sicherheitsstruktur mit Fehlerausschluss besser zu veranschaulichen, werden zwei unterschiedliche Strukturen gegenübergestellt, die die Voraussetzung eines PL von d erfüllen. Im ersten Beispiel geht die Gefahr von einem Pneumatikzylinder aus, der einen Arbeitshub ausübt. Beim Eingreifen in den Gefahrenbereich (z.B. bei Fehlerbehebung oder Wartung) darf sich der Pneumatikzylinder nicht bewegen und muss die erreichte Position beibehalten. Dieses gilt auch bei einem eventuellen Stromausfall oder einem Versagen der Druckluftversorgung. Betrachtet wird die Aktuatorseite mit der zweikanaligen Struktur mit dem 5/3-Wegeventil und dem 5/2-Wegeventil, das über eine Pilotleitung ein Sperrventil ansteuert. Über einen Druckschalter an der Pilotleitung wird die Diagnose sichergestellt. Die Umsetzung sieht ist Bild 3 zu entnehmen. Die Sicherheitsfunktion kann einfacher ausgeführt werden, indem man sich den Fehlerausschluss von Wegeventilen zunutze macht. Die Fehlerausschlüsse des Nichtschaltens und der Ausschluss der selbsttätigen Veränderung der Ausgangsschaltstellung (ohne Eingangssignal) sind hier anzuwenden (Herstellerzertifikat notwendig). Durch den Einsatz einer sichereren Steuerung wird auch der \’Stuck-at-Fehler\‘ ausgeschlossen. Eine Diagnose des Wegeventils ist hier nicht erforderlich, da ein Nichtfunktionieren ausgeschlossen wird. Für die Berechnung kann man hier einen DC von 100% annehmen (Bild 4). Da bei diesem Aufbau das Sperrventil direkt auf den Hubzylinder wirkt, ist auf einen Fehlerausschluss gegen Leckage zu achten, der ebenfalls in der Norm beschrieben wird. Auch bei der Verdrahtung von der Sicherheitssteuerung zum Magnetventil ist auf den normativen Hinweis einzugehen. Die Vereinfachung des Aufbaus ist eindeutig ersichtlich. Man benötigt weniger Bauteile und die Verschaltung wird erheblich einfacher. Durch die Ausnutzung des Fehlerausschlusses beim Aktuator, wie in diesem Beispiel beschrieben, werden drei der vier sicherheitsrelevanten Kenngrößen beeinflusst: – Sicherheitsstruktur: die Kategorie 3 Struktur auf eine Kategorie 2 Struktur reduziert – Ausfallrate der Bauteile: muss für beide Varianten angemessen sein – Diagnosedeckungsgrad: kann bei einem Feh- lerausschluss mit 100% angenommen wer- den, ohne eine Diagnose tatsächlich durch- zuführen – Vermeidung von Fehlern gemeinsamer Ursache: ist bei einer Einkanaligkeit nicht relevant und daher auch nicht zu berücksichtigen In einem zweiten Beispiel wird der Vorteil eines Fehlerausschlusses in Bezug auf die Sicherheitskenngröße des Diagnosedeckungsgrades ersichtlich. In einer zweikanaligen Struktur (Kategorie 3) werden z.B. zwei Schütze als Aktuator in Serie geschaltet. Verfügen diese Schütze nur über den Schließerkontakt, ist eine Diagnose kaum möglich und der DC muss ohne besondere Maßnahmen mit 0% angenommen werden. Die Sicherheitsfunktion durch die in Serie geschalteten Schütze klappt auch noch, wenn eines der beiden durch einen Defekt geschlossen bleibt. Jedoch ohne Rücklesung in die sichere Logik kann nicht festgestellt werden, welches der beiden Schütze defekt ist und ob überhaupt ein Defekt vorliegt. Verändert man nun die Schaltung dahingehend, dass der Schließer über einen zwangsgeführten Öffner überwacht wird, verbessert sich der DC-Wert erheblich. Bleibt der Schließer durch ein Kontaktversagen geschlossen, so ist der Öffner stets geöffnet. Dieser Zustand kann über die Rücklesung durch den Testkanal mit der Steuerung diagnostiziert werden. Bei zwangsgeführten Schützen wird ein Fehler der Zwangsführung ausgeschlossen. In Bild 5 ist auf der linken Seite eine Serienschaltung von zwei Schließerkontakten mit getrennten Schützen dargestellt. Diese Schaltung erfüllt die Kriterien nach Kategorie 3. Wegen des Fehlens einer Diagnose wird allerdings nur ein PL-Wert von c erreicht. Im rechten Teil der Abbildung erfüllt ein einzelnes Schütz dieselbe Funktion. Wenn das Schütz sich in der Ruhestellung befindet und die Rücklesung einen offenen Schließerkontakt signalisiert, kann das Schütz ohne externe Erregung nicht einschalten (Zertifikat des Herstellers ist notwendig). Die rechte Schaltung erfüllt damit sogar die Anforderungen nach PLd (Achtung: Schaltung ist für eine Abschaltung im Notfall eventuell ungeeignet). Fazit Der Vorteil der neuen Norm ist der größere Handlungs- und Umsetzungsspielraum, der firmenpolitisch und ökonomisch ausgenutzt werden kann. Es ist damit möglich, die Umsetzung der Sicherheitsfunktionen den Strukturen der Maschine und den einzelnen Anwendungen anzupassen. Die Norm bietet praxistauglichen Spielraum und zusätzliches Potenzial, wenn Fehlerausschlüsse angewendet werden.
Thematik: Allgemein
Ausgabe: SPS-MAGAZIN 7 2012
innotec GmbH
