FAQ Richtlinien und Normen

NEIN, das ist für jede Ventilinsel separat zu prüfen!

Bei der Gerätegruppe I (Bergbau) geht man davon aus, dass nur Methan als brennbares Gas in Verbindung mit Kohlestaub auftritt.

Bei der Gerätegruppe II (alles außer Bergbau) können viele unterschiedliche Gase auftreten. Daher muss für die Gerätegruppe II eine weitere Unterteilung in die sogenannten Explosionsgruppen IIA, IIB, IIC durchgeführt werden.

d.h. die Explosionsgruppen sind Untergruppen der Gerätegruppe II.

Die Unterteilung der Gerätegruppe II erfolgt entsprechend den Eigenschaften der explosionsfähigen Atmosphäre (Gas), für die die Betriebsmittel bestimmt sind.

Die Unterteilung  der Gerätegruppe II ist für Zündschutzarten erforderlich, die keine Trennung der möglichen Zündquelle von der gefährlichen, explosionsfähigen Atmosphäre ermöglicht.

Die Temperaturklasse wird angegeben, sobald es sich um Gas-Atmosphäre handelt. Die max. Oberflächentemperatur wird angegeben, sobald es sich um Staub-Atmosphäre handelt.

Bei Kategorie 2GD und 3GD reicht eine Angabe aus, sofern sich die Werte nicht unterscheiden. Sollten für Gase andere Temperaturen angegeben sein, als für Stäube, sind beide Werte in die Klassifizierung zu übernehmen. Dabei wird zuerst die Temperaturklasse, dann die max. Oberflächentemperatur angegeben.

Bsp: DNC-Zylinder: II 2GD c T4 T120°C  –20°C£Ta£+60°C

Kategorie 3 (Zone 2):

• Normales Maß an Sicherheit
• Normalbetrieb
• Ex-Atmosphäre nicht zu erwarten, selten, kurzzeitig

Kategorie 2 (Zone 1):

• hohes Maß an Sicherheit
• Betrieb mit Gerätestörungen (1 Fehler)
• Ex-Atmosphäre gelegentlich zu erwarten.

Obwohl im Kabel der Spule MSFG-24DC-K5-M-EX (2GD mit Zündschutzart m ) eine gelb-grüne Ader vorhanden ist, hat die Spule einen separaten Erdungsanschluss am Gehäuse.

Dieser Anschluss ist zur Vermeidung von Potentialdifferenzen, da

a)      beim Einsatz der Spule sehr lange Leitungen verwendet werden können

b)     die Erdung der Ventile über das Ankerrohr zur Spule nicht sicher gewährleistet werden kann. (Spule besitzt Metallgehäuse)

Die Erdung erfolgt mit einem Querschnitt von 2,5 mm².

Ein Schaltschrank ist kein Schutz gegen Eindringen von Gasen. Vielmehr müssen alle Geräte im Schaltschrank für die entsprechende Zone bzw. Kategorie bewertet sein.

• Spannung und/oder Strom (Leistung) im eigensicheren Stromkreis sind so klein, dass bei einem Kurzschluss, Unterbrechung, Erdschluss keine Zündung der explosionsfähigen Atmosphäre entstehen kann.
• Die Zündenergie eines evtl. entstehenden Funkens ist kleiner als die Mindestzündenergie der explosionsfähigen Atmosphäre.
• Weder ein Funke noch ein thermischer Effekt verursacht eine Zündung der explosionsfähigen Atmosphäre.

• Ein eigensicheres Betriebsmittel ist ein Betriebsmittel, bei dem nach Definition alle Stromkreise eigensicher sind. Spannung und Strom im eigensicheren Stromkreis sind so klein, dass bei einem Kurzschluss, Unterbrechung, Erdschluss keine Zündung der explosionsfähigen Atmosphäre entstehen kann. D.h. Die Zündenergie eines eventuell entstehenden Funkens  ist kleiner als die Mindestzündenergie der explosionsfähigen Atmosphäre.

Auf unseren Internetseiten kann jederzeit die aktuelle Ex-Information zu den Bauteilen abgefragt werden.

Festo hat keine Trennschaltverstärker im Angebot. Wir können Ihnen hier natürlich trotzdem weiterhelfen. Wenden Sie sich einfach an den nächsten Technischen Berater.

Festo hat keine Trennschaltverstärker im Angebot. Wir können Ihnen hier natürlich trotzdem weiterhelfen. Wenden Sie sich einfach an den nächsten Technischen Berater.

RoHS schreibt keine Kennzeichnung der RoHS-konformen Teile vor. Festo kennzeichnet die Verkaufsteile nicht separat. Sie können jedoch über die Produktliste auf der Festo Internetseite die RoHS-Konformität prüfen. 

Beide Richtlinien sind durch das "ElektroG - Elektro- und Elektronikgerätegesetz" umgesetzt und bereits am 24. März 2005 in Kraft getreten.

Es handelt sich hierbei um eine EU-Richtlinie und trifft rechtlich deshalb auch nur auf die EU Mitgliedsstaaten zu. Allerdings hat RoHS trotzdem wesentlich größere Auswirkungen.
Vergleichbare Gesetze existieren bereits in anderen Ländern oder sind in Vorbereitung. Der Markt für Elektronik ist global und Europa ist eben nur ein Teil davon. Anderseits werden zukünftig ausländische Hersteller, die in Europa verkaufen wollen, nur noch RoHS-konforme Produkte herstellen.

Das elektropneumatische Druckaufbau und Entlüftungsventil MS6-SV dient dem schnellen und sicheren Druckabbau und dem sanften Druckaufbau in pneumatischen Leitungssystemen und Endgeräten der Industrie.

Das MS6-SV entspricht der Norm DIN EN ISO 13849-1

Maximal erreichbare Performance-Level „e“

Die Kategorien werden in DIN EN ISO 13849-1:2007 beschrieben.
Es sind Basisparameter, um einen speziellen Performance Level (PL) zu erreichen Sie legen das erforderliche Verhalten von sicherheitsbezogenen Teilen einer Steuerungen bezüglich ihrer Widerstandfähigkeit gegenüber Fehlern fest.

Hier kommt der probabilistische Ansatz von DIN EN ISO 13849-1:2007 zum Tragen.
Das Bild zeigt die Zusammenhänge zwischen den Sicherheitskategorien, DC, MTTFd und PL.

Die Kombination von Kategorie und DCavg bestimmt, welche Spalte im Bild zu wählen ist. entsprechend der MTTFd jedes Kanals muss einer der drei farbig gekennzeichneten Bereiche der zutreffenden Spalte gewählt werden.
Die vertikale Position dieser Bereiche legt den erreichten PL fest, der an der vertikalen Achse abgelesen werden kann.

Der Wert der MTTFd jedes Kanals wird in drei Stufen angegeben und muss für jeden Kanal
individuell berücksichtigt werden (z. B. einzelner Kanal oder jeder Kanal eines redundanten Systems).
In Bezug auf die MTTFd kann ein maximaler Wert von 100 Jahren angesetzt werden.

MTTFd

Bezeichnung für jeden Kanal Bereich für jeden Kanal
niedrig 3 Jahre ≤ MTTFd < 10 Jahre
mittel 10 Jahre ≤ MTTFd < 30 Jahre
hoch 30 Jahre ≤ MTTFd ≤ 100 Jahre

MTTFd-Werte für einzelne Bauteile können berechnet oder abgeschätzt werden.
Nach dem Verfahren guter ingenieurtechnischer Praxis kann der MTTFd- oder B10d-Wert für ein pneumatisches Bauteil mit B10d = 20 000 000 Schaltzyklen angenommen werden bei der Einhaltung bestimmter Merkmale.

Die Berechnung von MTTFd erfolgt nach DIN EN ISO 13849-1, Anhang C, wie folgt:

Mit B10d und nop, der mittleren Anzahl jährlicher Betätigungen, kann die MTTFd für Bauteile wie folgt berechnet werden:

wobei

mit folgenden Annahmen, die in Bezug zur Anwendung des Bauteils getroffen worden sind:
- hop ist die mittlere Betriebszeit in Stunden je Tag;
- dop ist die mittlere Betriebszeit in Tagen je Jahr;
- tZyklus ist die mittlere Zeit zwischen dem Beginn zweier aufeinander folgenden Zyklen des Bauteils (z. B. Schalten eines Ventils) in Sekunden je Zyklus.

Die Bestimmung des Performance Level (PL) erfolgt nach DIN EN ISO 13849-1:2007.

Der Performance Level (PL) ist definiert in Form der Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde. Es sind fünf Performance Level (a bis e) festgelegt mit definierten Bereichen der Wahrscheinlichkeit eines gefährlichen Ausfalls.

Für jede gewählte Sicherheitsfunktion, die durch ein sicherheitsbezogenes Teil einer Steuerung ausgeführt wird, muss ein erforderlicher Performance Level (PLr) festgelegt und dokumentiert werden. Die Bestimmung des erforderlichen Performance Levels ist das Ergebnis der Risikobeurteilung, bezogen auf den Anteil der Risikominderung durch die sicherheitsbezogenen Teile der Steuerung.

Der erforderlicher Performance Level (PLr) ist dabei die Anwendung des Performance Level (PL), um die erforderliche Risikominderung für jede Sicherheitsfunktion zu erreichen.

Zur durchzuführenden Risikobeurteilung wird eine Situation angenommen, bevor die vorgesehene Sicherheitsfunktion bereitgestellt wird.
Für diese Einschätzung wird ein Risikograf zur Bestimmung des erforderlicher Performance Level (PLr) für jede Sicherheitsfunktion verwendet.

Legende:
L niedriger Beitrag zur Risikoreduzierung
H hoher Beitrag zur Risikoreduzierung
PLr erforderlicher Performance Level

Risikoparameter:
S Schwere der Verletzung
S1 leichte (üblicherweise reversible) Verletzung
S2 schwere (üblicherweise irreversible) Verletzung, einschließlich Tod
F Häufigkeit und/oder Dauer der Gefährdungsexposition
F1 selten bis weniger häufig und/oder die Zeit der Gefährdungsexposition ist kurz
F2 häufig bis dauernd und/oder die Zeit der Gefährdungsexposition ist lang
P Möglichkeit zur Vermeidung der Gefährdung oder Begrenzung des Schadens
P1 möglich unter bestimmten Bedingungen
P2 kaum möglich

In DIN EN ISO 13849-1:2007 Sicherheitsbezogene Teile von Steuerungen, Teil 1: Allgemeine Gestaltungsleitsätze wird dazu festgelegt:

„Die Struktur von Sicherheitsnormen auf dem Gebiet der Maschinen ist wie folgt:

a) Typ-A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe, Gestaltungsleitsätze und allgemeine Aspekte, die auf Maschinen angewandt werden können.
b) Typ-B-Normen (Sicherheitsfachgrundnormen) behandeln einen Sicherheitsaspekt oder eine Art von Schutzeinrichtungen, die für eine ganze Reihe von Maschinen verwendet werden können:
- Typ-B1-Normen für bestimmte Sicherheitsaspekte (z. B. Sicherheitsabstände, Oberflächentemperatur, Lärm);
- Typ-B2-Normen für Schutzeinrichtungen (z. B. Zweihandschaltungen, Verriegelungseinrichtungen, druckempfindliche Schutzeinrichtungen, trennende Schutzeinrichtungen).
c) Typ-C-Normen (Maschinensicherheitsnormen) behandeln detaillierte Sicherheitsanforderungen an eine bestimmte Maschinen oder eine Gruppe von Maschinen.“

Schutzziel ist der Schutz von Menschen, Tieren oder Sachwerten vor Schäden.
Schäden in diesem Sinne sind physische Verletzungen, Beeinträchtigung der Gesundheit oder Kollision von Gegenständen.

Für pneumatische Systeme werden grundlegende und bewährte Sicherheitsprinzipien in DIN EN ISO 13849-2, Anhang B, beschrieben.

Folgende grundlegenden Sicherheitsprinzipien werden genannt:

Anwendung geeigneter Werkstoffe und Herstellungsverfahren,
richtige Dimensionierung und Formgebung,
geeignete Auswahl, Kombination, Anordnungen,
Zusammenbau und Einbau der Bauteile unter Berücksichtigung der Anwendungshinweise des Herstellers
Anwendung des Prinzips der Energietrennung. Dieses Prinzip darf bei einigen Anwendungen nicht benutzt werden, z. B. wenn der Ausfall des pneumatischen Drucks eine zusätzliche Gefährdung erzeugt.
geeignete Befestigung
Druckbegrenzung , z.B. durch Druckregelventile
Begrenzung/Verringerung der Geschwindigkeit, z.B. durch Drosselventile
ausreichende Maßnahmen zur Vermeidung von Verunreinigung der Druckluft
geeigneter Schaltzeitbereich durch Berücksichtigen von z. B. der Länge der Rohrleitung, Druck, Entlüftungskapazität, Kraft, Verringerung der Federkraft, Reibung, Schmierung, Temperatur, Trägheit bei Beschleunigung und Verzögerung, Zusammenwirken von Toleranzen.
Beständigkeit gegen Umgebungsbedingungen, z. B. für Temperatur, Feuchte, Schwingungen, Verunreinigungen,
Schutz gegen unerwarteten Anlauf
Vereinfachung, z.B. durch Verringern der Anzahl der Bauteile in sicherheitsbezogenen Systemen.
geeigneter Temperaturbereich
Trennung der sicherheitsbezogenen Funktionen von anderen Funktionen

Folgende bewährte Sicherheitsprinzipien werden genannt:

Überdimensionierung/Sicherheitsfaktor, Die Sicherheitsfaktoren werden in Normen angegeben oder beruhen auf Erfahrungen mit sicherheitsbezogenen Anwendungen.
gesicherte Position, Das bewegliche Element eines Bauteils wird mechanisch in einer der möglichen Positionen gehalten
erhöhte AUS-Kraft, Eine Lösung kann sein, dass das Flächenverhältnis für die Bewegung eines Ventilkolbens in die sichere Position (AUS-Stellung) gegenüber dem Flächenverhältnis für die Bewegung des Ventilkolbens in die EIN-Stellung signifikant größer ist (ein Sicherheitsfaktor).
durch den Lastdruck schließendes Ventil. Dies sind im Allgemeinen Sitzventile, z. B. Kegelsitzventile, Kugelventile.
zwangläufige mechanische Wirkung/Betätigung
Vervielfachung von Teilen, Verringerung der Fehlerwirkung durch Anwendung mehrerer gleicher Teile,
Anwendung bewährter Federn
Begrenzung/Verringerung der Geschwindigkeit durch einen Widerstand zum Erreichen eines definierten Volumenstroms, Beispiele sind Festblende, Festdrossel.
Begrenzung/Verringerung der Kraft, Dies kann erreicht werden durch ein bewährtes Druckbegrenzungsventil, das z. B. mit einer bewährten Feder ausgestattet und korrekt bemessen und ausgewählt ist.
geeigneter Bereich für die Betriebsbedingungen, z. B. Druck-, Volumenstrom- und Temperaturbereich, sollte berücksichtigt werden.
geeignetes Vermeiden einer Verunreinigung der Druckluft
ausreichend große positive Überdeckung in Schieberventilen, Die positive Überdeckung sichert die Stopp-Funktion und verhindert unzulässige Bewegungen.
Hysteresebegrenzung, Die Hysterese erhöht sich z. B. durch stärkere Reibung. Zusammenwirken von Toleranzen beeinflusst die Hysterese ebenfalls.

Es gibt keine Liste bewährter Bauteile. Ein für bestimmte Anwendungen bewährtes Bauteil kann für andere Anwendungen ungeeignet sein.

Darüber hinaus werden in DIN EN ISO 13849-2, Anhang B, auch Fehlerlisten mit Fehlerannahmen und Fehlerausschlüssen für verschiedene pneumatische Bauteilgruppen aufgeführt.
Diese allgemeinen Fehlerannahmen sollten bei genauerer Produktkenntnis ergänzt werden durch spezifische Fehlerannahmen der einzelnen Bauteile.

Dabei ist zu untersuchen, wie sich ein Bauteilversagen auf die Sicherheitsfunktion auswirkt.

Die allgemeinen Strategien der Risikominderung werden ausführlich in DIN EN ISO 12100-1 dargestellt.
Prinzipiell ist davon auszugehen, dass es früher oder später zu einem Schaden kommt, wenn an einer Maschine eine Gefährdung vorhanden ist und keine Schutzmaßnahmen durchgeführt werden.
Bei einer vorhandenen Gefährdung ist eine größtmögliche Risikominderung anzustreben. Dabei geht die Sicherheit der Maschine (während ihrer gesamten Lebensdauer und über alle Betriebszustände) vor Funktionsfähigkeit, Benutzerfreundlichkeit und Kosten der Maschine.
Das gilt aber nur innerhalb der festgelegten Grenzen der Maschine, für ihre bestimmungsgemäße Verwendung, bei vernünftigerweise vorhersehbaren Fehlanwendungen, innerhalb der räumlichen Grenzen der Maschine und ihrer vorgesehenen Lebensdauer.
Die Ziele zur Risikominderung werden in der der sogenannten „3-Stufen-Methode“ erreicht durch:

Inhärent sichere Konstruktion (wird erreicht, indem Gefährdungen vermieden oder Risiken vermindert werden durch eine geeignete Auswahl von Konstruktionsmerkmalen der Maschine selbst und/oder Wechselwirkungen zwischen den gefährdeten Personen und der Maschine),
Technische Schutzmaßnahmen,
Benutzerinformation hinsichtlich des Restrisikos.

Für jedes sicherheitsbezogene Teil einer Steuerung muss eine Abschätzung des erreichten Performance Level (PL) durchgeführt werden. Folgende Aspekte müssen bestimmt werden:

des MTTFd -Wertes einzelner Bauteile (mittlere Zeit bis zum gefahrbringenden Ausfall);
der DC (Diagnosedeckungsgrad);
des CCF (Abschätzung der Ausfälle aufgrund gemeinsamer Ursache);
der Struktur;
des Verhaltens der Sicherheitsfunktion unter Fehlerbedingung(en);
sicherheitsbezogener Software;
systematischer Ausfälle;
der Fähigkeit, eine Sicherheitsfunktion unter vorhersehbaren Umgebungsbedingungen auszuführen.

Ausfälle verschiedener Einheiten aufgrund eines einzelnen Ereignisses, wobei diese Ausfälle nicht auf
gegenseitiger Ursache beruhen, nennt man Ausfall infolge gemeinsamer Ursache (CCF).

Ausfälle infolge gemeinsamer Ursache sollten nicht verwechselt werden mit gleichartigen Ausfällen.

Die Abschätzung und Auswirkung des CCF ist ein quantitativer Prozess, der für das gesamte System angewendet werden sollte und jedes sicherheitsbezogene Teil der Steuerung berücksichtigt
Dazu werden Maßnahmen genannt mit zugehörigen Werten, basierend auf einer ingenieurmäßigen
Beurteilung, die den Beitrag jeder Maßnahme zur Reduzierung der Ausfälle infolge gemeinsamer Ursache repräsentieren.

Das Verfahren zur Punktevergabe und Quantifizierung für Maßnahmen gegen Ausfall infolge gemeinsamer Ursache (CCF) ist durchzuführen nach DIN EN ISO 13849-1, Anhang F.

Die funktionalen Aspekte von Not-Halt-Einrichtungen sind in DIN EN ISO 13850:2007, Not-Halt-Gestaltungsleitsätze beschrieben. Sie hat DIN EN 418:1993 abgelöst.

Eine in der Maschine integrierte Not-Halt-Funktion hat die Aufgabe eine aufkommende Gefährdung abzuwenden bzw. eine bereits bestehende Gefährdung zu mindern.
Dabei ist die Not-Halt-Funktion durch eine einzige Handlung einer Person auszulösen.
Die Sicherheitsanforderungen nach DIN EN ISO 13850:2007 sind folgende:

• Die Not-Halt-Funktion muss jederzeit verfügbar und funktionsfähig sein und muss Vorrang vor allen anderen Funktionen und Arbeitsgängen in allen Betriebsarten der Maschine haben, ohne irgendwelche Einrichtungen zu beeinträchtigen, die vorgesehen sind, um eingeschlossene Personen zu befreien. Es darf für beliebige Startkommandos (beabsichtigt, unbeabsichtigt oder unerwartet) nicht möglich sein, auf solche Arbeitsgänge einzuwirken, die durch die Einleitung der Not-Halt-Funktion angehalten wurden, bis die Not-Halt-Funktion manuell zurückgesetzt wurde.
• Die Not-Halt-Funktion darf nicht als Ersatz für Schutzmaßnahmen oder andere Sicherheitsfunktionen verwendet werden, aber sollte als ergänzende Schutzmaßnahme konzipiert sein. Die Not-Halt-Funktion darf die Wirksamkeit von Schutzeinrichtungen oder von Einrichtungen mit anderen Sicherheitsfunktionen nicht beeinträchtigen.
• Die Not-Halt-Funktion muss so konzipiert sein, dass nach Betätigung des Not-Halt-Gerätes gefährliche Bewegungen und der Betrieb der Maschine in geeigneter Weise angehalten werden, ohne zusätzliche Gefährdungen zu verursachen und ohne jede weitere Einflussnahme durch irgendeine Person, entsprechend der Risikobeurteilung.
• Die Not-Halt-Funktion muss so konzipiert sein, dass die Entscheidung, das Not-Halt-Stellteil zu betätigen, der Person keine Überlegungen bezüglich der sich daraus ergebenden Wirkungen abverlangt.

Der Not-Halt muss wie in einer der folgenden Stopp-Kategorien beschrieben werden:

Stopp-Kategorie 0

Stillsetzen durch:
sofortiges Unterbrechen der Energiezufuhr zu den Maschinen-Antriebselementen oder
mechanische Trennung zwischen Gefahr bringenden Teilen und ihren Maschinen-Antriebselementen und, falls notwendig, durch Bremsen.

Stopp-Kategorie 1

Ein gesteuertes Stillsetzen mit Energiezufuhr zu den Maschinen-Antriebselementen, um den Halt zu erreichen und nachfolgend, nach erreichtem Stillstand, Unterbrechung der Energiezufuhr.
Beispiele für das Unterbrechen der Energiezufuhr beinhalten:
Abschalten der Energiezufuhr zu den Elektromotoren der Maschine,
Entkuppeln der beweglichen Teile der Maschine von der Quelle der mechanischen Energie und
Absperren der hydraulischen/pneumatischen Energieversorgung zu einem Kolben/Stößel.

Die Wahl der Stopp-Kategorie für Not-Halt muss mit der Risikobeurteilung der Maschine ermittelt werden.

Nach Auslösen eines Not-Halt-Gerätes, das einen Not-Halt-Befehl ausgelöst hat, muss die Wirkung dieses Befehls bis zu seiner manuellen Rückstellung erhalten bleiben. Diese Rückstellung darf nur an dem Ort möglich sein, an dem die Not-Halt-Befehlsgabe vorgenommen wurde. Die Rückstellung des Befehls darf die Maschine nicht wieder in Gang setzen, sondern nur das Wieder-In-Gang-Setzen ermöglichen. Das In-Gang-Setzen der Maschine darf erst möglich sein, wenn an jedem Ort, an dem Not-Halt ausgelöst wurde, ein manuelles Rücksetzen des Not-Halt-Gerätes durchgeführt wurde.

Ein Not-Halt-Gerät muss an jedem Bedienstand angebracht sein, ausgenommen, wo die Risikobeurteilung ergibt, dass dies nicht notwendig ist.

Beim Not-Halt-Gerät muss das Prinzip der direkten Betätigung mit mechanischer Verrastfunktion angewendet werden.

Im Falle eines Fehlers in dem Not-Halt-Gerät (einschließlich der Funktion, das Not-Halt-Kommando zu speichern) muss die Funktion zur Erzeugung des Not-Halt-Kommandos Vorrang vor der Speicherfunktion haben. Das Rückstellen (zum Beispiel Entriegeln) des Not-Halt darf nur als Ergebnis einer manuellen Aktion an der Stelle möglich sein, wo der Not-Halt eingeleitet wurde.

Das Not-Halt-Stellteil muss rot sein. Soweit ein Hintergrund hinter dem Stellteil vorhanden und soweit es durchführbar ist, muss dieser gelb sein.

In DIN EN 60204-1:1993 (gleichzeitig bekannt als VDE-0113), elektrische Ausrüstung von Maschinen, werden Stopp-Funktionen der Elektrik formuliert.

„Es gibt folgende drei Kategorien von Stopp-Funktionen:

Kategorie 0: Stillsetzen durch sofortiges Ausschalten der Energiezufuhr zu den Maschinenantrieben (d.h. ungesteuertes Stillsetzen);
Kategorie 1: Ein gesteuertes Stillsetzen, wobei die Energiezufuhr erst dann unterbrochen wird, wenn der Stillstand erreicht ist;
Kategorie 2: Ein gesteuertes Stillsetzen, bei dem die Energiezufuhr zu den Maschinenteilen erhalten bleibt.

Jede Maschine muss mit einer Stopp-Funktion der Kategorie 0 ausgerüstet sein. Stopp-Funktionen der Kategorie 1 und/oder 2sind dann vorzusehen, wenn dies für die sicherheits- und/oder funktionstechnischen Erfordernisse der Maschine notwendig ist. Kategrie-0- und Kategorie-1-Stopps müssen unabhängig von der Betriebsart funktionsfähig sein, und ein Kategorie-0-Stopp muss Vorrang haben.“

Folgende Zuordnungen lassen sich für die Pneumatik treffen:

Kategorie 0: Druckluft und Elektro-Energie wegschalten;
Kategorie 1: Einsatz von Klemmeinheit oder Klemmpatrone;
Kategorie 2: z.B. 5/2-Wegeventil monostabil mit der Auswirkung - Zylinder fährt zurück in Grundstellung.

Zweihandschaltungen sollten nach DIN EN 574:1997 gestaltet werden.

Eine Zweihandschaltung erfordert mindestens die gleichzeitige oder aber synchrone Betätigung durch beide Hände um eine Maschine zu betreiben.

Zweihandschaltungen werden nach Typ I, II, III A, III B und III C unterteilt. Die Auswahl des entsprechenden Typs hängt ab von der vorhandenen Gefährdung, der Risikobeurteilung und weiteren Einflüssen je nach Anwendungsfall ab.

Die konstruktive Anordnung der Stellteile sollte so erfolgen, dass sowohl eine versehentliche Betätigung der Stellteile möglichst gering und die Schutzwirkung der Zweihandschaltung nicht auf einfache Art und Weise umgangen werden kann.

Der pneumatische Zweihand-Steuerblock ZSB-1/8 ist ein Sicherheitsbauteil nach Maschinenrichtlinie
89/392/EWG Anhang 4. Er entspricht der Kategorie 1 nach DIN EN 954 (nur in Verbindung mit einem Druckschaltventil, z. B. VD-3-PK-3) bzw. dem Typ III A nach DIN EN 574.

Trennende Schutzeinrichtungen sind nach DIN EN 953:1997 zu gestalten.

Man unterteilt in feststehende und bewegliche trennende Schutzeinrichtungen.
Für kraftbetriebene trennende Schutzeinrichtungen wird in DIN EN 953:1997 festgelegt:
„Kraftbetriebene trennende Schutzeinrichtungen dürfen keine Verletzungen verursachen (z.B. aufgrund von Schließdruck, Kraft, Geschwindigkeit, scharfen Kanten). Wenn eine trennende mit einer nicht trennenden Schutzeinrichtung versehen ist, die automatisch ein Wiederöffnen der trennenden
Schutzeinrichtung bewirkt, sobald eine Person oder ein Gegenstand mit der trennenden Schutzeinrichtung in Berührung kommt, darf die Kraft zum Verhindern eines Schließens der trennenden Schutzeinrichtung nicht mehr als 150 N betragen. Die kinetische Energie der trennenden Schutzeinrichtung darf nicht mehr als 10 Nm betragen. Wenn keine derartige Schutzeinrichtung angebracht ist, müssen diese Werte auf 75 N und
Nm J entsprechend verringert werden.“

Einfache pneumatisch angetriebene horizontal oder vertikal schließende Türen oder Fenster sind demzufolge auf Werte von 75 N bzw. 4 Nm auszulegen.
Erst, wenn eine funktionale Verbindung mit z.B. Trittmatten, Lichtgittern, Berührungs-Schutzleisten o.ä. hergestellt wird, die automatisch ein Wiederöffnen der trennenden Schutzeinrichtung bewirkt, können die höheren Werte angesetzt werden.

Zunächst ist eine Fehlerbetrachtung durchzuführen. DIN EN ISO 13849-2:2003 zählt die wichtigsten Fehler und Ausfälle für verschiedene Technologien auf. Die Fehlerlisten sind nicht abschließend, und wenn notwendig, müssen weitere Fehler berücksichtigt und aufgezählt werden.

Im Allgemeinen müssen folgende Fehlermerkmale in Betracht gezogen werden:

• wenn als eine Folge eines Fehlers weitere Bauteile ausfallen, müssen der erste Fehler zusammen mit allen Folgefehlern als ein Einzelfehler berücksichtigt werden;
• zwei oder mehrere einzelne Fehler, die eine gemeinsame Ursache haben, müssen als ein Fehler betrachtet werden (dies ist bekannt als ein CCF);
• das gleichzeitige Auftreten von zwei oder mehreren Fehlern unterschiedlicher Ursache wird als höchst unwahrscheinlich angesehen und braucht deswegen nicht betrachtet werden.

Es ist nicht immer möglich, die sicherheitsbezogenen Teile einer Steuerung zu bewerten ohne die Annahme, dass bestimmte Fehler ausgeschlossen werden können. Ausführlichere Information zum Fehlerausschluss sind in DIN EN ISO 13849-2:2003 zu finden.
Der Fehlerausschluss ist ein Kompromiss zwischen den technischen Sicherheitsanforderungen und der theoretischen Möglichkeit des Auftretens eines Fehlers.

 
Der Fehlerausschluss kann basieren auf 

• der technischen Unwahrscheinlichkeit des Auftretens einiger Fehler,
• der allgemeinen anerkannten technischen Erfahrung, unabhängig von der betrachteten Anwendung,
• den technischen Anforderungen im Bezug zur Anwendung und der speziellen Gefährdung.
• Wenn Fehler ausgeschlossen werden, muss eine genaue Begründung in der technischen Dokumentation gegeben werden.

Der Validierungsplan muss auch die Mittel identifizieren, die zu benutzen sind, um die festgelegten
Sicherheitsfunktionen und Kategorien zu validieren. Wo es angemessen ist, muss er darlegen:

• die Identität der Dokumente für die Festlegungen;
• die Betriebs- und Umgebungsbedingungen;
• die grundlegenden Sicherheitsprinzipien;
• die bewährten Sicherheitsprinzipien;
• die bewährten Bauteile;
• die Fehlerannahmen und Fehlerausschlüsse, die zu berücksichtigen sind;
• die Analysen und Prüfungen, die angewandt wurden.

Bei der Gestaltung von sicherheitsbezogenen Teilen einer Steuerung muss deren Konstrukteur nach DIN EN ISO 13849-1:2007 mindestens folgende Informationen dokumentieren:

die durch die sicherheitsbezogenen Teile einer Steuerungen bereitgestellten Sicherheitsfunktionen;
die Eigenschaften jeder Sicherheitsfunktion;
die genauen Punkte, wo die sicherheitsbezogenen Teile beginnen und enden;
die Umgebungsbedingungen;
den Performance Level (PL);
die ausgewählte Kategorie;
die auf die Zuverlässigkeit bezogenen Parameter (MTTFd, DC, CCF und Einsatzdauer);
die Maßnahmen gegen systematische Fehler;
die verwendete Technologie;
alle berücksichtigten sicherheitsbezogenen Fehler;
die Begründungen für Fehlerausschlüsse;
die Begründung der Gestaltung, (z. B. berücksichtigte Fehler, die ausgeschlossenen Fehler);
Softwaredokumentation;
Maßnahmen gegen vernünftigerweise vorhersehbare Fehlanwendung.

Im Allgemeinen ist diese Dokumentation für die herstellerinterne Verwendung gedacht und wird nicht an den Maschinennutzer weitergegeben.

Dagegen müssen die Informationen, die zur sicheren Verwendung von sicherheitsbezogenen Teilen einer Steuerung wichtig sind, dem Benutzer gegeben werden.
Dies muss einschließen, ist aber nicht auf das Folgende begrenzt:

die Grenzen der sicherheitsbezogenen Teile zu den ausgewählten Kategorien und jedem Fehlerausschluss;
die Grenzen der sicherheitsbezogenen Teile und jeden Fehlerausschluss für diese, wenn sie wesentlich zur Aufrechterhaltung der gewählten Kategorie und Sicherheitsleistung beitragen, müssen geeignete Informationen (z. B. für Änderung, Instandhaltung und Reparatur) geben, um die weitere Rechtfertigung der Fehlerausschlüsse aufrechtzuerhalten;
Wirkungen von Abweichungen von der festgelegten Leistung für die Sicherheitsfunktionen;
verständliche Beschreibungen der Schnittstellen zu den sicherheitsbezogenen Teilen und Schutzeinrichtungen;
Ansprechzeit;
Grenzen für den Betrieb (einschließlich Umgebungsbedingungen);
Anzeigen und Alarmen;
Muting und zeitweiliges Aufheben der Sicherheitsfunktionen;
Betriebsarten;
Instandhaltung;
Checklisten für die Instandhaltung;
Erleichterung der Zugänglichkeit und Ersatz interner Teile;
Mittel zur leichten und sicheren Fehlersuche;
Information zur Erklärung der Einsatzmöglichkeiten für die Verwendung der entsprechenden Kategorie, auf die verwiesen wird;
Kontrolle der Testintervalle, wenn relevant.

Besondere Informationen müssen zur Kategorie oder den Kategorien und dem Performance Level der
sicherheitsbezogenen Teile wie folgt, angegeben werden:

datierte Verweisung auf DIN EN ISO 13849-1:2006;
die Kategorie B, 1, 2, 3, oder 4;
den Performance Level a, b, c, d oder e.

BEISPIEL: Auf ein sicherheitsbezogenes Teil mit der Kategorie B und dem Performance Level a würde folgendermaßen verwiesen werden:
ISO 13849-1:2006 Kategorie B PL a