Sicherheit in der Pneumatik

Aus FestoWiki - deutsch
Wechseln zu: Navigation, Suche

Qualität besteht für Festo aus vielen Facetten – Sicherheit im Umgang mit Maschinen gehört dazu. Die Konsequenz: unsere sicherheitsgerichtete Automatisierungstechnik. Sie gibt die Gewissheit, dass am Arbeitsplatz ein Optimum an Sicherheit erreicht wird.

Festo bietet bereits seit vielen Jahren Produkte im Bereich Sicherheitstechnik an. Diese sind zum Beispiel der Zweihandsteuerblock ZSB, die zertifizierte Bremseinheit KEC-S oder  das MS6-SV Sicherheitsventil.

Risiko mindern – präventiv denken

Maschinen müssen so gebaut werden, dass Menschen, Tiere und Sachwerte ebenso wie die Umwelt vor Schäden geschützt sind. Prävention vor physischen Schäden jeder Art ist das Ziel.
Der Einsatz sicherheitsgerichteter Pneumatik von Festo gibt Ihnen die Sicherheit konform zur Maschinenrichtlinie Sicherheitsmaßnahmen umzusetzen. So können z.B. Kollisionen oder unkontrollierter Wiederanlauf nach Not-Halt zuverlässig verhindert werden. Zugleich minimiert die Anwendung sicherheitsgerichteter Pneumatik das Risiko von Haftungsfolgen.
Für Maschinen ist eine Gefährdungsanalyse und Risikobeurteilung in der Maschinen Richtlinie vorgeschrieben. Schutzziele werden daraus abgeleitet und definiert. Diese Schutzziele werden mit unterschiedlichen Sicherheitsfunktionen erreicht. Zu berücksichtigen ist dabei der sichere Betrieb der Maschine in allen Modi und Lebensphasen.

Sicherheitsgerichtete Pneumatik

Festo bietet Lösungen für:

  • Inbetriebnahme
  • Automatik/Manuellbetrieb
  • Einrichtbetrieb
  • Gefahrensituationen und Notfunktionen wie z.B. sicherer Halt, sichere Entlüftung.
  • Wiederanlauf -> Schutz gegen unerwarteten Anlauf
  • Service/Wartung

Darüberhinaus dürfen je nach Gefährdungsrisiko auftretende Fehler nicht zum Ausfall der Sicherheitsfunktion führen.

Einfach – aber sicher!

Generell gilt: Je einfacher die eingesetzte Sicherheitstechnik in der Applikation, desto effizienter ist sie in der Regel. Die Komplexität der Sicherheitstechnik liegt eher in der Vielzahl von Zustandskombinationen und Zustandsübergängen. Eine standardisierte Umsetzung von Sicherheitstechnik scheint damit nahezu unmöglich.
Pneumatische Antriebssysteme von Festo sind auf Grund ihrer flexiblen Einsatzmöglichkeiten anwendungsabhängig in die Gefährdungsanalyse und Risikobewertung der jeweiligen
Maschine mit einzubeziehen. Damit die elektrische Sicherheitsfunktionalität Ihrer Steuerung die passende Fortsetzung im Sinne Ihres Sicherheitskonzeptes in der Pneumatik findet, bietet Festo Lösungen auf der Basis von Gefährdungsanalysen und Risikobewertungen der gängigsten Anwendungen.

Gibt es bei Festo ein Ventil zur sicheren Entlüftung?

Das elektropneumatische Druckaufbau und Entlüftungsventil MS6-SV dient dem schnellen und sicheren Druckabbau und dem sanften Druckaufbau in pneumatischen Leitungssystemen und Endgeräten der Industrie.

Das MS6-SV entspricht der Norm DIN EN ISO 13849-1

Maximal erreichbare Performance-Level „e“

MS6-SV.png

 

Kategorien der DIN EN ISO 13849-1

Es handelt sich um Basisparameter, um einen speziellen Performance Level (PL) zu erreichen Sie legen das erforderliche Verhalten von sicherheitsbezogenen Teilen einer Steuerungen bezüglich ihrer Widerstandfähigkeit gegenüber Fehlern fest.

Kategorie Abforderungen Systemverhalten Prinzip zum
Erreichen der
Sicherheit
B Die sicherheitsbezogenen Teile von Steuerungen und /oder ihre Schutzeinrichtungen sowie ihre Bauteile müssen in Übereinstimmung mit den zutreffenden Normen so gestaltet, gebaut, ausgewählt, zusammengestellt und kombiniert werden, dass sie den zu erwartenden Einflüssen standhalten können Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion führen. Überwiegend durch die Auswahl von Bauteilen charakterisiert
1 Die Anforderungen von B müssen erfüllt sein.
Bewährte Bauteile und bewährte Sicherheitsprinzipien müssen angewendet werden
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion führen. Die Wahrscheinlichkeit des Auftretens ist geringer als in Kategorie B Überwiegend durch die Auswahl von Bauteilen charakterisiert
2 Die Anforderungen von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein.
Die Sicherheitsfunktion muss in geeigneten Zeitabständen durch die Maschinensteuerung geprüft werden
Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion zwischen den Prüfungsabständen führen.
Der Verlust der Sicherheitsfunktion wird durch die Prüfung erkannt
Überwiegend durch die Struktur charakterisiert
3

Die Anforderungen von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein. Sicherheitsbezogene Teile müssen so gestaltet sein, dass: • ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt • wann immer in angemessener Weise durchführbar, der einzelne Fehler erkannt wird

Wenn der einzelne Fehler auftritt, bleibt die Sicherheitsfunktion immer erhalten.
Einige, aber nicht alle Fehler werden erkannt.
Eine Anhäufung unerkannter Fehler kann zum Verlust der Sicherheitsfunktion führen
Überwiegend durch die Struktur charakterisiert
4

Die Anforderungen von B und die Verwendung bewährter Sicherheitsprinzipien müssen erfüllt sein. Sicherheitsbezogene Teile müssen so gestaltet sein, dass: • ein einzelner Fehler in jedem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt • der einzelne Fehler bei oder vor der nächsten Anforderung an die Sicherheitsfunktion erkannt wird. Wenn dies nicht möglich ist, darf eine Anhäufung von Fehlern nicht zum Verlust der Sicherheitsfunktion führen

Wenn einzelne Fehler auftreten, bleibt die Sicherheitsfunktion immer erhalten.
Die Erkennung von Fehleranhäufungen reduziert die Wahrscheinlichkeit des Verlustes der Sicherheitsfunktion (hohe DC).
Die Fehler werden rechtzeitig erkannt, um einen Verlust der Sicherheitsfunktion zu verhindern
Überwiegend durch die Struktur charakterisiert


 

 

Welche Schutzziele müssen erreicht werden?

Schutzziel ist der Schutz von Menschen, Tieren oder Sachwerten vor Schäden.
Schäden in diesem Sinne sind physische Verletzungen, Beeinträchtigung der Gesundheit oder Kollision von Gegenständen.

Welche Sicherheitsprinzipien müssen eingehalten werden?

Für pneumatische Systeme werden grundlegende und bewährte Sicherheitsprinzipien in DIN EN ISO 13849-2, Anhang B, beschrieben.

Folgende grundlegenden Sicherheitsprinzipien werden genannt:

Anwendung geeigneter Werkstoffe und Herstellungsverfahren, richtige Dimensionierung und Formgebung, geeignete Auswahl, Kombination, Anordnungen, Zusammenbau und Einbau der Bauteile unter Berücksichtigung der Anwendungshinweise des Herstellers.
Anwendung des Prinzips der Energietrennung. Dieses Prinzip darf bei einigen Anwendungen nicht benutzt werden, z. B. wenn der Ausfall des pneumatischen Drucks eine zusätzliche Gefährdung erzeugt.
geeignete Befestigung; Druckbegrenzung, z.B. durch Druckregelventile; Begrenzung/Verringerung der Geschwindigkeit, z.B. durch Drosselventile; ausreichende Maßnahmen zur Vermeidung von Verunreinigung der Druckluft; geeigneter Schaltzeitbereich durch Berücksichtigen von z. B. der Länge der Rohrleitung, Druck, Entlüftungskapazität, Kraft, Verringerung der Federkraft, Reibung, Schmierung, Temperatur, Trägheit bei Beschleunigung und Verzögerung, Zusammenwirken von Toleranzen.
Beständigkeit gegen Umgebungsbedingungen, z. B. für Temperatur, Feuchte, Schwingungen, Verunreinigungen, Schutz gegen unerwarteten Anlauf; Vereinfachung, z.B. durch Verringern der Anzahl der Bauteile in sicherheitsbezogenen Systemen.
geeigneter Temperaturbereich
Trennung der sicherheitsbezogenen Funktionen von anderen Funktionen

Folgende bewährte Sicherheitsprinzipien werden genannt:

Überdimensionierung/Sicherheitsfaktor, Die Sicherheitsfaktoren werden in Normen angegeben oder beruhen auf Erfahrungen mit sicherheitsbezogenen Anwendungen.
gesicherte Position, Das bewegliche Element eines Bauteils wird mechanisch in einer der möglichen Positionen gehalten
erhöhte AUS-Kraft, Eine Lösung kann sein, dass das Flächenverhältnis für die Bewegung eines Ventilkolbens in die sichere Position (AUS-Stellung) gegenüber dem Flächenverhältnis für die Bewegung des Ventilkolbens in die EIN-Stellung signifikant größer ist (ein Sicherheitsfaktor).
durch den Lastdruck schließendes Ventil. Dies sind im Allgemeinen Sitzventile, z. B. Kegelsitzventile, Kugelventile.
zwangläufige mechanische Wirkung/Betätigung
Vervielfachung von Teilen, Verringerung der Fehlerwirkung durch Anwendung mehrerer gleicher Teile,
Anwendung bewährter Federn
Begrenzung/Verringerung der Geschwindigkeit durch einen Widerstand zum Erreichen eines definierten Volumenstroms, Beispiele sind Festblende, Festdrossel.
Begrenzung/Verringerung der Kraft, Dies kann erreicht werden durch ein bewährtes Druckbegrenzungsventil, das z. B. mit einer bewährten Feder ausgestattet und korrekt bemessen und ausgewählt ist.
Geeigneter Bereich für die Betriebsbedingungen, z. B. Druck-, Volumenstrom- und Temperaturbereich, sollte berücksichtigt werden.
Geeignetes Vermeiden einer Verunreinigung der Druckluft; ausreichend große positive Überdeckung in Schieberventilen, die positive Überdeckung sichert die Stopp-Funktion und verhindert unzulässige Bewegungen.
Hysteresebegrenzung, Die Hysterese erhöht sich z. B. durch stärkere Reibung. Zusammenwirken von Toleranzen beeinflusst die Hysterese ebenfalls.

Es gibt keine Liste bewährter Bauteile. Ein für bestimmte Anwendungen bewährtes Bauteil kann für andere Anwendungen ungeeignet sein.

Darüber hinaus werden in DIN EN ISO 13849-2, Anhang B, auch Fehlerlisten mit Fehlerannahmen und Fehlerausschlüssen für verschiedene pneumatische Bauteilgruppen aufgeführt.
Diese allgemeinen Fehlerannahmen sollten bei genauerer Produktkenntnis ergänzt werden durch spezifische Fehlerannahmen der einzelnen Bauteile.

Dabei ist zu untersuchen, wie sich ein Bauteilversagen auf die Sicherheitsfunktion auswirkt.

Sicherheitsbezogene Teile von Steuerungen

Als sicherheitsbezogenes Teil einer Steuerungen (SRP/CS) wird das Teil einer Steuerung bezeichnet, das auf sicherheitsbezogene Eingangssignale reagiert und sicherheitsbezogene Ausgangssignale erzeugt. In DIN EN ISO 13849-1:2007 Sicherheitsbezogene Teile von Steuerungen, Teil 1: Allgemeine Gestaltungsleitsätze wird dazu festgelegt: „Teile einer Maschinensteuerung, die Sicherheitsfunktionen liefern sollen, werden sicherheitsbezogene Teile einer Steuerung (SRP/CS) genannt, und diese Teile können entweder aus Hardware und Software bestehen und separater oder integraler Bestandteil der Maschinensteuerung sein. Zusätzlich zur Bereitstellung von Sicherheitsfunktionen kann ein SRP/CS auch Betriebsfunktionen liefern (z. B. eine Zweihandsteuerung zum Start eines Prozesses). Die Fähigkeit sicherheitsbezogener Teile von Steuerungen, eine Sicherheitsfunktion unter vorhersehbaren Bedingungen auszuführen, wird einer von fünf Stufen zugeordnet, den so genannten Performance Level (PL). Diese Performance Level werden definiert in Form der Wahrscheinlichkeit eines gefahrbringenden Ausfalls je Stunde.“

Unterschied zwischen Gefährdung und Risiko?

Die Beschreibung erfolgt in DIN EN ISO 12100-1:2004. Im Rahmen einer Gefährdungsanalyse wird das vorherrschende Risiko ermittelt. Falls nötig schließt sich ein Prozess der Risikoreduzierung an. Eine Gefährdung ist eine potentielle Schadensquelle. Wobei ein Schaden eine physische Verletzung oder Schädigung der Gesundheit darstellt. Eine Gefährdung kann spezifiziert werden, nach dem Ursprung (z. B. mechanische Gefährdung, elektrische Gefährdung) oder der Art des zu erwartenden Schadens (z. B. Gefährdung durch elektrischen Schlag, Gefährdung durch Schneiden, Gefährdung durch Vergiftung, Gefährdung durch Feuer). Die Gefährdung im Sinne dieser Definition ist entweder bei der bestimmungsgemäßen Verwendung der Maschine dauerhaft vorhanden (z. B. Bewegung von gefährdenden beweglichen Teilen, Lichtbogen beim Schweißen, ungesunde Körperhaltung, Geräuschemission, hohe Temperatur) oder kann unerwartet auftreten (z. B. Explosion, Gefährdung durch Quetschen als Folge eines unbeabsichtigten/unerwarteten Anlaufs, Herausschleudern als Folge eines Bruchs, Stürzen als Folge von Beschleunigung/Abbremsen). Das Risiko ist eine Kombination der Wahrscheinlichkeit des Eintritts eines Schadens und seines Schadensausmaßes. Nach der Gefährdungsanalyse und entsprechenden Maßnahmen zur Risikominderung kann ein Restrisiko verbleiben Im Rahmen der Risikobeurteilung, die eine Risikoanalyse und Risikobewertung umfasst, werden die Grenzen der Maschine festgelegt, erfolgt eine Identifizierung der Gefährdung und Risikoeinschätzung und eine Beurteilung, ob die Ziele zur Risikominderung erreicht wurden.

Welche Maßnahmen zur Risikominderung gibt es?

Die allgemeinen Strategien der Risikominderung werden ausführlich in DIN EN ISO 12100-1 dargestellt.
Prinzipiell ist davon auszugehen, dass es früher oder später zu einem Schaden kommt, wenn an einer Maschine eine Gefährdung vorhanden ist und keine Schutzmaßnahmen durchgeführt werden.
Bei einer vorhandenen Gefährdung ist eine größtmögliche Risikominderung anzustreben. Dabei geht die Sicherheit der Maschine (während ihrer gesamten Lebensdauer und über alle Betriebszustände) vor Funktionsfähigkeit, Benutzerfreundlichkeit und Kosten der Maschine.
Das gilt aber nur innerhalb der festgelegten Grenzen der Maschine, für ihre bestimmungsgemäße Verwendung, bei vernünftigerweise vorhersehbaren Fehlanwendungen, innerhalb der räumlichen Grenzen der Maschine und ihrer vorgesehenen Lebensdauer.
Die Ziele zur Risikominderung werden in der der sogenannten „3-Stufen-Methode“ erreicht durch:

Inhärent sichere Konstruktion (wird erreicht, indem Gefährdungen vermieden oder Risiken vermindert werden durch eine geeignete Auswahl von Konstruktionsmerkmalen der Maschine selbst und/oder Wechselwirkungen zwischen den gefährdeten Personen und der Maschine),
Technische Schutzmaßnahmen,
Benutzerinformation hinsichtlich des Restrisikos.

Fehler oder Ausfall?

Ein Fehler ist der Zustand einer funktionalen Einheit, charakterisiert durch die Unfähigkeit, eine geforderte Funktion auszuführen. Ausgenommen davon ist die Unfähigkeit während vorbeugender Wartung oder anderer geplanter Handlungen, oder aufgrund des Fehlens externer Mittel. Ein Fehler ist oft das Resultat eines Ausfalls der Einheit selbst. . Ein Ausfall ist die Beendigung der Fähigkeit einer funktionalen Einheit, eine geforderte Funktion zu erfüllen. Nach einem Ausfall hat die Einheit einen Fehler. Der „Ausfall“ ist ein Ereignis, im Unterschied zum „Fehler“, dieser ist ein Zustand. Im Weiteren muss unterschieden werden zwischen: gefahrbringender Ausfall, das ist der Ausfall der das Potential hat, ein sicherheitsbezogenes Teil einer Steuerung in einen gefährlichen Zustand oder eine Fehlfunktion zu bringen. Ausfall infolge gemeinsamer Ursache (CCF): das sind Ausfälle verschiedener Einheiten aufgrund eines einzelnen Ereignisses, wobei diese Ausfälle nicht auf gegenseitiger Ursache beruhen systematischer Ausfall: ist ein Ausfall mit deterministischem Bezug zu einer bestimmten Ursache, der nur durch Änderung der Gestaltung oder des Herstellungsprozesses, Betriebsverfahren, Dokumentation oder zugehörenden Faktoren, beseitigt werden kann.

Unterschied zwischen DIN EN 954-1 und DIN EN ISO 13849-1?

Die DIN EN 954-1:1996 wurde abgelöst durch DIN EN ISO 13849-1:2007. Beide Normen beschreiben sicherheitsbezogene Teile von Steuerungen und sind harmonisiert zur EG-Maschinenrichtlinie. Für die neue Norm gilt eine Übergangsfrist bis November 2009. Bis dahin kann sie schon angewendet werden, muss aber noch nicht. Mit der Ablösung geht eine grundsätzliche Änderung in der Herangehensweise einher. Die bisherige deterministische Betrachtungsweise nach DIN EN 954-1 wird ergänzt durch probabilistische Betrachtungen. Der Ansatz von DIN EN 954-1 basiert auf dem Berücksichtigung von Strukturen. Dabei wurden bewährte Methoden wie Sicherheitsfunktionen, Risikograph und Kategorien verwendet. Mit der neuen Norm kommt die Wahrscheinlichkeitsrechnung hinzu, es erfolgt eine Quantifizierung von Bauteilzuverlässigkeit und Testgüte und eine Betrachtung von Fehlermöglichkeiten. Der Risikograph führt nicht mehr zu einer Steuerungskategorie wie in DIN EN 954-1, sondern zu einem Performance Level PL.

Wie erfolgt die Bewertung des erreichten Performance Level PL?

Für jedes sicherheitsbezogene Teil einer Steuerung muss eine Abschätzung des erreichten Performance Level (PL) durchgeführt werden. Folgende Aspekte müssen bestimmt werden:

  • MTTFd -Wert einzelner Bauteile (mittlere Zeit bis zum gefahrbringenden Ausfall)
  • DC (Diagnosedeckungsgrad)
  • CCF (Abschätzung der Ausfälle aufgrund gemeinsamer Ursache) der Struktur
  • Verhalten der Sicherheitsfunktion unter Fehlerbedingung(en)
  • sicherheitsbezogene Software
  • systematischer Ausfälle
  • Fähigkeit, eine Sicherheitsfunktion unter vorhersehbaren Umgebungsbedingungen auszuführen

Die Bestimmung des Performance Level (PL) erfolgt nach DIN EN ISO 13849-1:2007.

Der Performance Level (PL) ist definiert in Form der Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde. Es sind fünf Performance Level (a bis e) festgelegt mit definierten Bereichen der Wahrscheinlichkeit eines gefährlichen Ausfalls.


Performance Level Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde
a ≥ 10-5 bis < 10-4
b ≥ 3 x 10-6 bis < 10-5
c ≥ 10-6 bis < 3 x 10-6
d ≥ 10-7 bis < 10-6
e ≥ 10-8 bis < 10-7

Für jede gewählte Sicherheitsfunktion, die durch ein sicherheitsbezogenes Teil einer Steuerung ausgeführt wird, muss ein erforderlicher Performance Level (PLr) festgelegt und dokumentiert werden. Die Bestimmung des erforderlichen Performance Levels ist das Ergebnis der Risikobeurteilung, bezogen auf den Anteil der Risikominderung durch die sicherheitsbezogenen Teile der Steuerung.

Der erforderlicher Performance Level (PLr) ist dabei die Anwendung des Performance Level (PL), um die erforderliche Risikominderung für jede Sicherheitsfunktion zu erreichen.

Zur durchzuführenden Risikobeurteilung wird eine Situation angenommen, bevor die vorgesehene Sicherheitsfunktion bereitgestellt wird.
Für diese Einschätzung wird ein Risikograf zur Bestimmung des erforderlicher Performance Level (PLr) für jede Sicherheitsfunktion verwendet.

Safety-PL.png

Legende:
L niedriger Beitrag zur Risikoreduzierung
H hoher Beitrag zur Risikoreduzierung
PLr erforderlicher Performance Level

Risikoparameter:
S Schwere der Verletzung
S1 leichte (üblicherweise reversible) Verletzung
S2 schwere (üblicherweise irreversible) Verletzung, einschließlich Tod
F Häufigkeit und/oder Dauer der Gefährdungsexposition
F1 selten bis weniger häufig und/oder die Zeit der Gefährdungsexposition ist kurz
F2 häufig bis dauernd und/oder die Zeit der Gefährdungsexposition ist lang
P Möglichkeit zur Vermeidung der Gefährdung oder Begrenzung des Schadens
P1 möglich unter bestimmten Bedingungen
P2 kaum möglich

Was ist der Diagnosedeckungsgrad DC?

Der Diagnosedeckungsgrad DC beschreibt die Wirksamkeit der Diagnose, die bestimmt werden kann als Verhältnis der Ausfallrate der bemerkten gefährlichen Ausfälle und Ausfallrate der gesamten gefährlichen Ausfälle. Zur Abschätzung des DC kann in den meisten Fällen die Ausfallarten- und Effektanalyse (FMEA) oder ähnliche Verfahren verwendet werden. Bezeichnung Bereich klein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Zur Abschätzung des DC in pneumatischen Systemen gilt u.a. nach DIN EN ISO 13849-1, Anhang E: Indirekte Überwachung (z. B. Überwachung durch Druckschalter, elektrische Positionsüberwachung von Antriebselementen): 90 % bis 99 % DC, abhängig von der Anwendung Direkte Überwachung (z. B. elektrische Stellungsüberwachung der Steuerungsventile, Überwachung elektromechanischer Einheiten durch Zwangsführung) : 99 % DC

Wie wird MTTFd für pneumatische Bauteile bestimmt?

Der Wert der MTTFd (mittlere Zeit bis zum gefahrbringenden Ausfall) jedes Kanals wird in drei Stufen angegeben und muss für jeden Kanal
individuell berücksichtigt werden (z. B. einzelner Kanal oder jeder Kanal eines redundanten Systems).
In Bezug auf die MTTFd kann ein maximaler Wert von 100 Jahren angesetzt werden.

MTTFd

Bezeichnung für jeden Kanal Bereich für jeden Kanal
niedrig 3 Jahre ≤ MTTFd < 10 Jahre
mittel 10 Jahre ≤ MTTFd < 30 Jahre
hoch 30 Jahre ≤ MTTFd ≤ 100 Jahre

MTTFd-Werte für einzelne Bauteile können berechnet oder abgeschätzt werden.
Die Berechnung von MTTFd erfolgt nach DIN EN ISO 13849-1, Anhang C, wie folgt:

Mit B10d und nop, der mittleren Anzahl jährlicher Betätigungen, kann die MTTFd für Bauteile wie folgt berechnet werden:

Formel MTTF.png

mit folgenden Annahmen, die in Bezug zur Anwendung des Bauteils getroffen worden sind:
- hop ist die mittlere Betriebszeit in Stunden je Tag;
- dop ist die mittlere Betriebszeit in Tagen je Jahr;
- tZyklus ist die mittlere Zeit zwischen dem Beginn zweier aufeinander folgenden Zyklen des Bauteils (z. B. Schalten eines Ventils) in Sekunden je Zyklus.

Welcher Zusammenhang besteht zwischen den Kategorien, DC, MTTFd und PL?

Hier kommt der probabilistische Ansatz von DIN EN ISO 13849-1:2007 zum Tragen.
Das Bild zeigt die Zusammenhänge zwischen den Sicherheitskategorien, DC, MTTFd und PL.

Die Kombination von Kategorie und DCavg bestimmt, welche Spalte im Bild zu wählen ist. entsprechend der MTTFd jedes Kanals muss einer der drei farbig gekennzeichneten Bereiche der zutreffenden Spalte gewählt werden.
Die vertikale Position dieser Bereiche legt den erreichten PL fest, der an der vertikalen Achse abgelesen werden kann.

Safety.png



Maßnahmen zum Schutz vor Ausfällen aufgrund gemeinsamer Ursache (CCF)

Ausfälle verschiedener Einheiten aufgrund eines einzelnen Ereignisses, wobei diese Ausfälle nicht auf gegenseitiger Ursache beruhen, nennt man Ausfall infolge gemeinsamer Ursache (CCF).

Ausfälle infolge gemeinsamer Ursache sollten nicht verwechselt werden mit gleichartigen Ausfällen.

Die Abschätzung und Auswirkung des CCF ist ein quantitativer Prozess, der für das gesamte System angewendet werden sollte und jedes sicherheitsbezogene Teil der Steuerung berücksichtigt
Dazu werden Maßnahmen genannt mit zugehörigen Werten, basierend auf einer ingenieurmäßigen
Beurteilung, die den Beitrag jeder Maßnahme zur Reduzierung der Ausfälle infolge gemeinsamer Ursache repräsentieren.

Das Verfahren zur Punktevergabe und Quantifizierung für Maßnahmen gegen Ausfall infolge gemeinsamer Ursache (CCF) ist durchzuführen nach DIN EN ISO 13849-1, Anhang F.

Welche funktionalen Aspekte sind bei einer Not-Halt-Einrichtung zu beachten?

Die funktionalen Aspekte von Not-Halt-Einrichtungen sind in DIN EN ISO 13850:2007, Not-Halt-Gestaltungsleitsätze beschrieben. Sie hat DIN EN 418:1993 abgelöst.

Eine in der Maschine integrierte Not-Halt-Funktion hat die Aufgabe eine aufkommende Gefährdung abzuwenden bzw. eine bereits bestehende Gefährdung zu mindern.
Dabei ist die Not-Halt-Funktion durch eine einzige Handlung einer Person auszulösen.
Die Sicherheitsanforderungen nach DIN EN ISO 13850:2007 sind folgende:

  • Die Not-Halt-Funktion muss jederzeit verfügbar und funktionsfähig sein und muss Vorrang vor allen anderen Funktionen und Arbeitsgängen in allen Betriebsarten der Maschine haben, ohne irgendwelche Einrichtungen zu beeinträchtigen, die vorgesehen sind, um eingeschlossene Personen zu befreien. Es darf für beliebige Startkommandos (beabsichtigt, unbeabsichtigt oder unerwartet) nicht möglich sein, auf solche Arbeitsgänge einzuwirken, die durch die Einleitung der Not-Halt-Funktion angehalten wurden, bis die Not-Halt-Funktion manuell zurückgesetzt wurde.
  • Die Not-Halt-Funktion darf nicht als Ersatz für Schutzmaßnahmen oder andere Sicherheitsfunktionen verwendet werden, aber sollte als ergänzende Schutzmaßnahme konzipiert sein. Die Not-Halt-Funktion darf die Wirksamkeit von Schutzeinrichtungen oder von Einrichtungen mit anderen Sicherheitsfunktionen nicht beeinträchtigen.
  • Die Not-Halt-Funktion muss so konzipiert sein, dass nach Betätigung des Not-Halt-Gerätes gefährliche Bewegungen und der Betrieb der Maschine in geeigneter Weise angehalten werden, ohne zusätzliche Gefährdungen zu verursachen und ohne jede weitere Einflussnahme durch irgendeine Person, entsprechend der Risikobeurteilung.
  • Die Not-Halt-Funktion muss so konzipiert sein, dass die Entscheidung, das Not-Halt-Stellteil zu betätigen, der Person keine Überlegungen bezüglich der sich daraus ergebenden Wirkungen abverlangt.

Der Not-Halt muss wie in einer der folgenden Stopp-Kategorien beschrieben werden:

Stopp-Kategorie 0

Stillsetzen durch:
sofortiges Unterbrechen der Energiezufuhr zu den Maschinen-Antriebselementen oder
mechanische Trennung zwischen Gefahr bringenden Teilen und ihren Maschinen-Antriebselementen und, falls notwendig, durch Bremsen.

Stopp-Kategorie 1

Ein gesteuertes Stillsetzen mit Energiezufuhr zu den Maschinen-Antriebselementen, um den Halt zu erreichen und nachfolgend, nach erreichtem Stillstand, Unterbrechung der Energiezufuhr.
Beispiele für das Unterbrechen der Energiezufuhr beinhalten:
Abschalten der Energiezufuhr zu den Elektromotoren der Maschine,
Entkuppeln der beweglichen Teile der Maschine von der Quelle der mechanischen Energie und
Absperren der hydraulischen/pneumatischen Energieversorgung zu einem Kolben/Stößel.

Die Wahl der Stopp-Kategorie für Not-Halt muss mit der Risikobeurteilung der Maschine ermittelt werden.

Nach Auslösen eines Not-Halt-Gerätes, das einen Not-Halt-Befehl ausgelöst hat, muss die Wirkung dieses Befehls bis zu seiner manuellen Rückstellung erhalten bleiben. Diese Rückstellung darf nur an dem Ort möglich sein, an dem die Not-Halt-Befehlsgabe vorgenommen wurde. Die Rückstellung des Befehls darf die Maschine nicht wieder in Gang setzen, sondern nur das Wieder-In-Gang-Setzen ermöglichen. Das In-Gang-Setzen der Maschine darf erst möglich sein, wenn an jedem Ort, an dem Not-Halt ausgelöst wurde, ein manuelles Rücksetzen des Not-Halt-Gerätes durchgeführt wurde.

Ein Not-Halt-Gerät muss an jedem Bedienstand angebracht sein, ausgenommen, wo die Risikobeurteilung ergibt, dass dies nicht notwendig ist.

Beim Not-Halt-Gerät muss das Prinzip der direkten Betätigung mit mechanischer Verrastfunktion angewendet werden.

Im Falle eines Fehlers in dem Not-Halt-Gerät (einschließlich der Funktion, das Not-Halt-Kommando zu speichern) muss die Funktion zur Erzeugung des Not-Halt-Kommandos Vorrang vor der Speicherfunktion haben. Das Rückstellen (zum Beispiel Entriegeln) des Not-Halt darf nur als Ergebnis einer manuellen Aktion an der Stelle möglich sein, wo der Not-Halt eingeleitet wurde.
Das Not-Halt-Stellteil muss rot sein. Soweit ein Hintergrund hinter dem Stellteil vorhanden und soweit es durchführbar ist, muss dieser gelb sein. 

Stopp-Funktionen in der Elektrik und in der Pneumatik

In DIN EN 60204-1:1993 (gleichzeitig bekannt als VDE-0113), elektrische Ausrüstung von Maschinen, werden Stopp-Funktionen der Elektrik formuliert.

„Es gibt folgende drei Kategorien von Stopp-Funktionen:

  • Kategorie 0: Stillsetzen durch sofortiges Ausschalten der Energiezufuhr zu den Maschinenantrieben (d.h. ungesteuertes Stillsetzen);
  • Kategorie 1: Ein gesteuertes Stillsetzen, wobei die Energiezufuhr erst dann unterbrochen wird, wenn der Stillstand erreicht ist;
  • Kategorie 2: Ein gesteuertes Stillsetzen, bei dem die Energiezufuhr zu den Maschinenteilen erhalten bleibt.

Jede Maschine muss mit einer Stopp-Funktion der Kategorie 0 ausgerüstet sein. Stopp-Funktionen der Kategorie 1 und/oder 2sind dann vorzusehen, wenn dies für die sicherheits- und/oder funktionstechnischen Erfordernisse der Maschine notwendig ist. Kategrie-0- und Kategorie-1-Stopps müssen unabhängig von der Betriebsart funktionsfähig sein, und ein Kategorie-0-Stopp muss Vorrang haben.“

Folgende Zuordnungen lassen sich für die Pneumatik treffen:

  • Kategorie 0: Druckluft und Elektro-Energie wegschalten;
  • Kategorie 1: Einsatz von Klemmeinheit oder Klemmpatrone;
  • Kategorie 2: z.B. 5/2-Wegeventil monostabil mit der Auswirkung - Zylinder fährt zurück in Grundstellung.

Validierung

Zunächst ist eine Fehlerbetrachtung durchzuführen. DIN EN ISO 13849-2:2003 zählt die wichtigsten Fehler und Ausfälle für verschiedene Technologien auf. Die Fehlerlisten sind nicht abschließend, und wenn notwendig, müssen weitere Fehler berücksichtigt und aufgezählt werden.
Im Allgemeinen müssen folgende Fehlermerkmale in Betracht gezogen werden:

  • wenn als eine Folge eines Fehlers weitere Bauteile ausfallen, müssen der erste Fehler zusammen mit allen Folgefehlern als ein Einzelfehler berücksichtigt werden;
  • zwei oder mehrere einzelne Fehler, die eine gemeinsame Ursache haben, müssen als ein Fehler betrachtet werden (dies ist bekannt als ein CCF);
  • das gleichzeitige Auftreten von zwei oder mehreren Fehlern unterschiedlicher Ursache wird als höchst unwahrscheinlich angesehen und braucht deswegen nicht betrachtet werden.

Es ist nicht immer möglich, die sicherheitsbezogenen Teile einer Steuerung zu bewerten ohne die Annahme, dass bestimmte Fehler ausgeschlossen werden können. Ausführlichere Information zum Fehlerausschluss sind in DIN EN ISO 13849-2:2003 zu finden.
Der Fehlerausschluss ist ein Kompromiss zwischen den technischen Sicherheitsanforderungen und der theoretischen Möglichkeit des Auftretens eines Fehlers.

Der Fehlerausschluss kann basieren auf

  • der technischen Unwahrscheinlichkeit des Auftretens einiger Fehler,
  • der allgemeinen anerkannten technischen Erfahrung, unabhängig von der betrachteten Anwendung,
  • den technischen Anforderungen im Bezug zur Anwendung und der speziellen Gefährdung.
  • Wenn Fehler ausgeschlossen werden, muss eine genaue Begründung in der technischen Dokumentation gegeben werden.

Der Validierungsplan muss auch die Mittel identifizieren, die zu benutzen sind, um die festgelegten Sicherheitsfunktionen und Kategorien zu validieren. Wo es angemessen ist, muss er darlegen:

  • die Identität der Dokumente für die Festlegungen;
  • die Betriebs- und Umgebungsbedingungen;
  • die grundlegenden Sicherheitsprinzipien;
  • die bewährten Sicherheitsprinzipien;
  • die bewährten Bauteile;
  • die Fehlerannahmen und Fehlerausschlüsse, die zu berücksichtigen sind;
  • die Analysen und Prüfungen, die angewandt wurden. 




 

WebLinks

Leitfaden Sicherheitstechnik von Festo