Embed Size (px)
Citation preview
758
26 Grundsätze der Maschinensicherheit
26.1 Maschinenbegriff Im Sinne der EG-Maschinenrichtlinie gilt als „Maschine“ eine Gesamtheit von miteinander verbundenen Teilen oder Vorrichtungen, von denen mindestens eines beweglich ist. Die für die elektrische Ausrüstung von Maschinen wichtige DIN EN 60204-1 (VDE 0113 Teil 1) enthält im Anhang A (informativ) eine Auflistung von Maschinen, die durch diese Norm abgedeckt sind. Trotzdem gibt es immer wieder Grenzfälle, bei denen zwischen einer Maschine und einer Anlage nach VDE 0100 zu unterscheiden ist. Bestehen hierbei Zweifel, so wird in den „Tech-nischen Informationen“ von Firmen dazu geraten, trotzdem auch die DIN EN 60204-1 (VDE 0113) anzuwenden. Der zusätzliche Aufwand gegenüber der VDE 0100 umfasst u. a.: Hauptschalter, Steuertransformatoren, Risikobewertung, definierte Leiterfarben, Schutz gegen automatischen Anlauf und spezifische Anforderungen an „Handlungen im Notfall“.
Die Sicherheit einer Maschine ist nicht nur im Hinblick auf die verwendete Steuerung (z. B. SPS) zu sehen, sondern sie ergibt sich aus der Gesamtheit aller Betriebsmittel an und außer-halb der Maschine. Jede Maschine ist als eine Funktionseinheit zu betrachten.
26.2 Sicherheitsbegriff Der Begriff Sicherheit eines Steuerungssystems ist auf die möglichen Folgen von auftretenden Fehlern bezogen, die Personen und Sachen betreffen. Davon zu unterscheiden ist der Begriff der Verfügbarkeit eines technischen Systems, die zwischen 0 und 100 % liegen kann, unab-hängig von der Bedeutung der möglichen Folgen eines Ausfalls. Sicherheit ist ein relativer Begriff. Sicherheit ist möglichst so zu realisieren, dass nichts passie-ren kann, jedoch ist eine „Null-Risiko-Garantie“ nicht erreichbar. Es bleibt ein Restrisiko trotz Ausführung aller Schutzmaßnahmen zur Risikominderung bestehen. Dieses Restrisiko muss jedoch geringer sein als das „tolerierbare Risiko“. Die Durchsetzung des Sicherheitsgedankens wird mit den Mitteln der Normen-Setzung ange-gangen. DIN EN ISO 12100, Sicherheit von Maschinen, Grundbegriffe, allgemeine Gestaltungsleit-
sätze Diese Grundnorm beschreibt die Sicherheit von Maschinen als deren Fähigkeit, vorgesehene Funktionen während ihrer gesamten Lebensdauer auszuführen, wobei das Risiko hinreichend verringert wird und bildet die Grundlage für die Klassifizierung der Normen nach Typ A, Typ B und Typ C. DIN EN 1050, Sicherheit von Maschinen, Leitsätze zur Risikobeurteilung.
Diese Grundnorm geht den Sicherheitsbegriff mit einem Verfahren der Risikobeurteilung an. Die Risikoquellen werden hier weiträumig erfasst und sind noch nicht auf Steuerungssysteme ausgerichtet. Die nachfolgende Darstellung vermittelt einen Eindruck und zeigt das Verfahren.
26.2 Sicherheitsbegriff 759
DIN EN 1050: Leitsätze zur Risikobeurteilung Das Wichtigste in Kürze:
Schritt 1: Gefährdungsanalyse z. B. über Checkliste
Gefährdung Ereignis Ja Nein mechanisch Quetsche
Scheren/Schneiden Erfassen/Einziehen Stoßen/Stechen Reiben Hochdruckspritzen Wegschleudern von Teilen Rutschen/Stolpern/Stürzen
elektrisch direktes Berühren indirektes Berühren Elektrostatik Thermische/chemische Vorgänge bei Kurzschluss/Überlastung
thermisch Verbrennungen/Verbrühungen Kälte/Hitze in der Umgebung
Lärm Gehörschädigung Stress/Müdigkeit Beeinträchtigung der Kommunikation (Warnsignale)
Vibration Nerven- und Gefäßstörungen Durchblutungsstörungen Knochengelenkschäden
Strahlung Lichtbogen IR/UV-Strahlung Laser elektromagnetische Strahlung hochfrequente Magnetfelder (Mikrowellen) ionisierende Strahlung
Stoffe durch Kontakt oder Einatmen Explosion/Feuer biologisch/mikrobiologisch
Vernachlässigung der Ergonomie
physiologische Überlastung mentale Überlastung Fehlverhalten (z. B. Umgehen)
Ausfall Fehlfunktion
Ausfall der Energieversorgung Bauteilausfall (Steuerungsausfall) Immission
Schritt 2: Risikoeinschätzung, wie z. B. Risikobewusstsein, Ausbildungsstand und Zeit-
druck der Arbeitskräfte Schritt 3: Risikoverminderung, wie z. B. durch strukturelle Maßnahmen oder sicherheits-
relevante Steuerungsfunktionen, für deren Realisierung besondere Anforderun-gen nach DIN EN 954-1 oder DIN EN 62061 zu beachten sind (siehe Bild 26.2).
Schritt 4: Risikobewertung, z. B., hier muss entschieden werden, ob eine weitere Risiko-minderung erforderlich ist.
760 26 Grundsätze der Maschinensicherheit
Eine Vertiefung des Sicherheitsaspekts wird mit der Einführung des Begriffs der „funktionalen Sicherheit“ erreicht. Funktionale Sicherheit ist ein Teil der Gesamtsicherheit, bezogen auf die sicherheitsbezogenen Teile des Steuerungssystems, deren Ausfall zu einer Reduzierung oder zu einem gefährlichen Versagen der Sicherheitsfunktion führen kann. Die einführende Norm für den Bereich der funktionalen Sicherheit ist die DIN EN 61508-1/-4) (VDE 0803-1/-4), Funktionale Sicherheit sicherheitsbezogener elektri-scher/elektronischer/programmierbarer elektronischer Systeme, Teil 1: Allgemeine Anforde-rungen, Teil 2: Begriffe und Abkürzungen. Bei der funktionalen Sicherheit entscheidet die verwendete Steuerungstechnologie über die Auswahl der anzuwendenden Normen. Vereinfacht gesagt gilt: Bei elektrischen, mechanischen, pneumatischen Steuerungen ist die DIN EN 954-1 und in
deren Nachfolge die ISO 13849-1 anzuwenden. Die Anforderungen für Komponenten, die Software enthalten, sind in der DIN EN 954-1 von 1996 nicht ausreichend beschrieben. DIN ISO 14849-1/-2: Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steue-rungen – Teil 1: Allgemeine Gestaltungsgrundsätze, Teil 2: Validierung.
Sobald komplexe elektrische oder elektronische Steuerungsteile oder Anwenderprogramme zur Realisierung von Sicherheitsfunktionen zum Einsatz kommen ist anzuwenden: DIN EN 62061 Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme.
Bild 26.1: Wege zur sicheren Steuerung (vereinfachte Darstellung)
26.3 Risikograf und Kategorien 761
26.3 Risikograf und Kategorien Die Maschinenrichtlinie verlangt für jede Maschine eine Risikobeurteilung und ggf. eine Risi-kominderung bis das Restrisiko kleiner als das tolerierbare Risiko ist. Mit einem so genannten Risikograf kann der Anwender die erreichten Ergebnisse seiner Risikoanalyse und Risikobeur-teilung durch Einstufung in ein System qualitativer Sicherheitskategorien überführen, um dann mit Hilfe einer zum Risikograf gehörenden Spezifikationstabelle eine geeignete Steuerungs-ausführung zu entwickeln. Die sicherheitstechnischen Anforderungen für die sicherheitsbezo-genen Teile der Steuerung sind in der nachfolgend genannten Norm unabhängig von der Art der verwendeten Energie allgemein beschrieben.
DIN EN 954-1, Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungs-leitsätze
Die Bestimmung der Kategorien, die mit B, 1, 2, 3 ,4 benannt sind, erfolgt mit dem Risikograf, wie er nachfolgend abgebildet ist. Darin sind S, F und P beschriebene Risiko-Parameter. Die Handhabung des Risikograf beginnt am bezeichneten Ausgangspunkt mit dem anschließenden Durchlaufen von möglichen Verzweigungsstellen und endet in einem allerdings mehrdeutigen Feld von Sicherheitskategorien, die zur Auswahl stehen. Welche Qualität die fünf Sicherheits-kategorien haben, kann der Spezifikationstabelle entnommen werden. Die Kategorien unter-scheiden sich hauptsächlich darin, ob bei einem auftretenden Fehler die Sicherheitsfunktion verloren geht oder erhalten bleibt bzw. ob durch eine zusätzliche Maßnahme wie z. B. einer periodisch durchzuführenden Testung der drohende Verlust der Sicherheitsfunktion rechtzeitig erkannt werden kann.
Risikograf:
Bild 26.2: Risikograf: Bestimmung der Kategorien für sicherheitsbezogene Teile von Steuerungen
762 26 Grundsätze der Maschinensicherheit
Tabelle 26.1: Beschreibung der Anforderungen und des Systemverhaltens der Kategorien nach DIN EN 954-1
Kategorie Kurzfassung der Anforderungen Systemverhalten Maßnahmen B Sicherheitsbezogene Teile von Steuerungen
nach dem Stand der Technik. Bauteile müssen den zu erwartenden Ein-
flüssen standhalten.
Das Auftreten eines Feh-lers kann zum Verlust der Sicherheitsfunktion füh-ren.
z. B. 1-kanaliger Sicherheitskreis, Erdung des Steuer-stromkreises
1 Anforderungen von „B“ müssen erfüllt sein. Einsatz bewährter Bauteile und Sicherheits-
prinzipien.
Das Auftreten eines Feh-lers kann zum Verlust der Sicherheitsfunktion füh-ren, aber höhere Zuverläs-sigkeit als in Kategorie B.
zusätzlich z. B.: zwangsöffnende und zwangsgeführte Kontakte
2 Anforderungen von „B“ müssen erfüllt sein. Einsatz bewährter Bauteile und Sicherheits-prinzipien.
Testung der Sicherheitsfunktion in ange-messenen Zeitabständen durch die Steue-rung.
Das Auftreten eines Feh-lers kann zum Verlust der Sicherheitsfunktion zwi-schen den Prüfungsab-ständen führen. Der Ver-lust der Sicherheitsfunkti-on wird durch die Prüfung erkannt.
zusätzlich z. B.: Funktions-/ Anlauftestung
3 Anforderungen von „B“ sind zu erfüllen, Einsatz bewährter Bauteile und Sicherheits-prinzipien.
Einfehler-Sicherheit: Ein einzelner Fehler führt nicht zum Verlust der Sicherheits-funktion.
Der einzelne Fehler wird erkannt mit der Einschränkung „wann immer und in ange-messener Weise durchführbar“.
Wenn der einzelne Fehler auftritt, bleibt die Sicher-heitsfunktion immer erhalten. Einige aber nicht alle Fehler werden er-kannt. Eine Anhäufung unerkannter Fehler kann zum Verlust der Sicher-heitsfunktion führen.
zusätzlich z. B.: 2-kanalige Ausfüh-rung von Sicherheits-kreisen
4 Anforderungen von „B“ sind zu erfüllen, Anwendung bewährter Prinzipien.
1-Fehlersicherheit ist gewährleistet. Erkennung des einzelnen Fehlers vor oder
bei nächster Anforderung an die Sicher-heitsfunktion (Selbstüberwachung).
Falls die Erkennung des einzelnen Fehlers nicht möglich ist, darf eine Anhäufung von Fehlern nicht zum Verlust der Sicherheits-funktion führen.
Wenn Fehler auftreten, bleibt die Sicherheitsfunk-tion immer erhalten. Die Fehler werden rechtzeitig erkannt, um einen Verlust der Sicherheitsfunktion zu verhindern.
zusätzlich z. B.: Selbstüberwachung der Sicherheitskreise, Querschlusserken-nung
Im Prinzip beruht die Risikominderung bei den Kategorien B und 1 auf der Auswahl besserer Bauelemente und bei den Kategorien 2, 3 und 4 auf dem Einsatz aufwendigerer Steuerungs-strukturen. Ein Nachteil der DIN EN 954 – Kategorien ist, dass sie nur qualitativ beschrieben sind. Ein Vergleich der Kategorien untereinander im Sinne einer gestuften Sicherheitsreihen-folge ist nur bei Vorliegen sonst gleicher Bedingungen zulässig. So könnte z. B. der größere strukturelle Aufwand einer höheren Kategorie durch den Einsatz von minderzuverlässigen Bauelementen unterminiert werden. Im Endeffekt fehlt den EN 954-Kategorien eine quantita-tive Bemessungsgröße, mit der sich die Zuverlässigkeit auch in Hierarchiestufen kennzeichnen lässt. Dieser Schritt wird mit der Nachfolgenorm ISO 13849-1 (rev.) vollzogen. Der Idee, unabhängig vom Risiko grundsätzlich die höchste erreichbare Sicherheit zu realisie-ren und den Normungsaufwand zu begrenzen, steht der höhere Kostenaufwand entgegen.
26.4 Performance Level PL 763
26.4 Performance Level PL Die Nachfolgenorm der DIN EN 954-1 von 1996 ist die ISO 13849-1 (rev.), die Ende 2009 in Kraft treten soll. Sie ist anwendbar bei sicherheitsbezogenen Teilen von Steuerungen und Maschinen mit elektromechanischer, hydraulischer, pneumatischer Technologie, nicht jedoch für programmierbare elektronische Steuerungssysteme. In dieser Norm wird mit dem so ge-nannten Performance Level PL eine neue Bemessungsgröße eingeführt, die eine eindeutige hierarchische Abstufung bezüglich der Widerstandsfähigkeit gegenüber Fehlern zulässt. In den Performance Level PL fließen ein die bisherigen Kategorien B, 1, 2, 3, 4 nach DIN EN 954-1, die also weiterhin bestehen bleiben, und drei neue, mathematisch formulierte Faktoren zur Erfassung von Ausfallwahrscheinlichkeiten: CCF (Common Cause Failure), d. h.
Ausfall in Folge gemeinsamer Ursachen (z. B. Kurzschluss). DC (Diagnostic Covarage), d. h.
Diagnosedeckungsgrad berücksichtigt die Abnahme der Wahrscheinlichkeit von gefahr-bringenden Hardwareausfällen auf Grund automatisch durchgeführter Diagnosetests.
MTTFd (Mean Time To Failure dangerous), d. h. mittlere Zeit bis zum gefahrbringenden Ausfall als statistischer Mittelwert. Als neue Sicherheitsgröße beschreibt der Performance Level PL die Fähigkeit von sicherheits-bezogenen Steuerungsteilen, eine Sicherheitsfunktion unter vorhersehbaren Bedingungen aus-führen zu können, anschaulich in fünf Stufen von PL a bis PL e oder als nummerischer PL durch die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde. Dabei ist PL a die höchste und PL e die niedrigste durchschnittliche Wahrscheinlichkeit eines gefahrbringenden Ausfalls gemessen in h–1. In einer Tabelle der Norm werden dazu Zahlenangaben veröffent-licht, die offenbar auf statistischen Angaben von Herstellern beruhen. So wird z. B. für den Performance Level PL d die durchschnittliche Wahrscheinlichkeit eines gefahrbringenden Ausfalls mit < 10–6 h–1 angegeben. Das bedeutet durchschnittlich 1 Ausfall in 1 Million Stun-den oder alle 114 Jahre, ohne zu wissen, zu welchem Zeitpunkt der Ausfall stattfinden wird. Das folgende Bild zeigt das vereinfachte Schema einer PL-Bestimmung unter Einbeziehung der Kategorien B, 1, 2, 3, 4 und des durchschnittlichen Diagnosedeckungsgrades DCavg sowie des durchschnittlichen Ausfallzeitfaktor MTTFd . Die tatsächliche Ermittlung des PL-Wertes erfolgt jedoch in Tabellen.
Bild 26.3: Veranschaulichung einer Performance Level-Bestimmung
764 26 Grundsätze der Maschinensicherheit
Der neue Risikograf ist ein Hilfsmittel zur Risikoabschätzung und dient der Ermittlung eines Performance Level PL, der dann im Verfahren der schrittweisen Risikominderung bis hin zum noch tolerierbaren Restrisiko realisiert werden muss. Neuer Risikograf:
Bild 26.4: Neuer Risikograf nach ISO 13849-1 (rev.)
26.5 Sicherheits-Integritäts-Level SIL In der Automatisierungstechnik ist ein verstärkter Einsatz komplexer elektronischer Technolo-gien durch programmierbare Steuerungssysteme zu verzeichnen. Zur Gewährleistung der funk-tionalen Sicherheit solcher Systeme ist die sektorspezifische Norm DIN EN 62061 als Anwen-dernorm der Sicherheits-Grundnorm IEC 61508 geschaffen worden. Für diese Steuerungen, deren ausführlich-umständliche Bezeichnung „sicherheitsbezogene elektrische, elektronische und programmierbar elektronische Steuerungssysteme“ lautet, wird das Fachkürzel SRECS (Safety-Related Electrical Control Systems) verwendet. Die Anforderungen an die Sicherheitsintegrität (Sicherheits-Widerstandsfähigkeit gegenüber Fehlern) müssen bei sicherheitsbezogenen Steuerungsfunktionen aus einer Risikobeurteilung abgeleitet werden, damit die notwendige Risikominderung erreicht werden kann. Die Sicher-heitsintegrität wird mit einem Ausfallgrenzwert PFHD (Probability of dangerous failure per hour), d. h. einer Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde, beschrieben. In der Norm werden Bereiche des Ausfallgrenzwertes PFHD in einen Sicherheits-Integritäts-Level SIL gemäß folgender Tabelle übersetzt:
Sicherheits-Integritäts-Level SIL Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde
1 10–6 PFHD < 10–5
2 10–7 PFHD < 10–6
3 10–8 PFHD < 10–7
26.5 Sicherheits-Integritäts-Level SIL 765
Die Anwendung der DIN EN 62061 beginnt mit einer Risikoabschätzung zur Ermittlung des erforderlichen SIL. Das Werkzeug dazu wird als SIL-Zuordnung bezeichnet und entspricht in der Zielsetzung dem Risikograf der ISO 13849-1(rev.). Die Bestimmung des erforderlichen SIL ergibt sich aus dem Schnittpunkt der Schwere des Schadens S und einer Klasse K, die durch eine Summenbildung aus den drei Risikoelementen F, W, P gebildet wird. F = Häufigkeit und /oder Gefährungsdauer W = Eintrittswahrscheinlichkeit der Gefährung P = Möglichkeit der Vermeidung der Gefährung oder Begrenzung des Schadens
Bild 26.5: SIL-Zuordnung
Beispiel: Sicherheitsfunktion einer Schutztürüberwachung Ein Antrieb soll abgeschaltet werden, wenn die Schutztür geöffnet wird. Gefordert: SIL 3 Lösung: Das Schutztürüberwachungssystem besteht aus drei Teilsystemen, siehe Bild 26.6. Teilsystem 1: Schutztür
Zwei Positionsschalter mit zwangsöffnenden Kontakten (Redundanz) T1 = 87600 h = 10 Jahre (Herstellerangabe) B10 = 1 000 000 (Schaltspiele lt. Hersteller) Ausfallart: 20 % gefahrbringende Ausfälle (Herstellangabe) Betätigungszyklen: C = 4-mal pro Stunde Ausfall in Folge gemeinsamer Ursache CCF = 0,1 (Annahme) Diagnosedeckungsgrad DC 99 % (Annahme) Die Berechnung der Ausfallrate für elektromechanische Komponenten unter Be-rücksichtigung der Redundanz des Teilsystems (1 Fehlersicherheit, 2 Positions-schalter) sowie der obigen Annahmen und Herstellangaben ergibt mit den spe-ziellen Formeln der Norm die für Teilsystem 1 gesuchte Wahrscheinlichkeit ei-nes gefahrbringenden Ausfalls pro Stunde:
9D 108PFH .
766 26 Grundsätze der Maschinensicherheit
Teilsystem 2: Fehlersicher SPS CPU 315-F, SIL 3, PFHD < 10–10 (Herstellerangabe) Fehlersichere Eingangsbaugruppe, SIL 3, PFHD < 10–10 (Herstellerangabe) Fehlersichere Ausgangsbaugruppe, SIL 3, PFHD < 10–10 (Herstellerangabe)
Teilsystem 3: Lastschütze Zwei Lastschütze mit zwangsgeführten Überwachungskontakten zur Schalt- Überwachung sowie Reihenschaltung der Kontaktsätze im Hauptstromkreis. T1= 87600 h = 10 Jahre (Herstellerangabe) B10 = 1 000 000 (Schaltspiele lt. Hersteller) Ausfallart: 75 % gefahrbringende Ausfälle (Herstellangabe) Betätigungszyklen: C = 4-mal pro Stunde Ausfall in Folge gemeinsamer Ursache CCF = 0,1 (Annahme) Die Berechnung der Ausfallrate für elektromechanische Komponenten unter Be-rücksichtigung der Redundanz (1 Fehlersicherheit, 2 Schütze) sowie der obigen Annahmen und Herstellangaben ergibt mit speziellen Formeln der Norm die für Teilsystem 3 gesuchte Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde:
8DPFH 3 10
Bestimmung des erreichten SIL: Die Sicherheitsintegrität der Hardware berechnet sich aus der Summe der Ein-zelwahrscheinlichkeiten für gefahrbringende Ausfälle:
9 10 10 10 8 9 8
D
PFH 8 10 (10 10 10 ) 3 10 1 10 3,9 10 8
D
PFH 3,9 10 einschließlich PTE = 91 10 für Datenübertragungsfehler Die Ausfallwahrscheinlichkeit ist kleiner als 10–7 , sodass SIL 3 erreicht ist.
Ergänzung: Der Sicherheits-Integritäts-Level SIL der DIN EN 61061 ist nicht identisch mit dem hier im Beispiel berechneten SIL für die Hardware-Ausfälle. Es werden noch weiter Fak-toren berücksichtigt, wie die Einschätzung des Anteils der so genannten „sicheren Ausfälle“ und physikalische Einflüsse (Temperatur, Feuchte, Vibration u.a.m.) sowie Gefährdungen durch Unter- oder Überspannungen.
Bild 26.6: Beispiel Schutztürüberwachung, hier: so genannter Architekturentwurf
