Abschnitt 8.2 - 8.2 Sicherheitstechnische Steuerungen
Die Norm DIN EN ISO 13849-1 enthält Vorgaben für die Gestaltung von sicherheitsbezogenen Teilen an Steuerungen. Wichtiger Bestandteil ist die Einbeziehung wahrscheinlichkeitstheoretischer Ansätze zur sicherheitstechnischen Beurteilung und Auslegung von Steuerungen.
Der Risikoanalyse des Herstellers entsprechend wird ein Performance Level PLr für steuerungstechnische Sicherheitsfunktionen ausgewählt. Zur Realisierung von steuerungstechnischen Sicherheitsfunktionen beschreibt die Norm einkanalige Steuerungsstrukturen (als Kategorie B, 1 und 2) und zweikanalige Steuerungsstrukturen (als Kategorie 3 und 4). Diese Kategorien sind neben weiteren Aspekten (z. B. Bauteilqualität und Fehlererkennung) Basis für das Erreichen eines Performance Levels (PL). Wird der kritische Ausfall eines Verriegelungsschalters in einer einkanaligen Struktur (Kategorie 1) nicht erkannt, kann es dazu führen, dass die Anlage beim Öffnen des Schutzgitters nicht abschaltet oder, trotz geöffneter Schutzeinrichtung, wieder eingeschaltet werden kann.
Abb. 46
Elektrisch verriegelte Zugangstür
- 1.
Damit eine Anlage beim Öffnen eines Schutzgitters auch beim Ausfall einzelner Bauteile abschaltet und ein solcher Ausfall erkannt wird, ist eine redundante (zweikanalige) Steuerungs-Architektur erforderlich (wie in Kategorie 3 - siehe Abb. 48). Die Anforderungen für eine Steuerungs-Architektur müssen berücksichtigt, eine erforderliche Risikominderung muss erreicht und die grundlegenden Sicherheitsprinzipien und systematischen Aspekte müssen beachten werden, wie zum Beispiel in Abb. 47 zu sehen.
- 2.
Die Quittier-Taste darf nicht vom Gefahrbereich aus betätigt werden können.
Weitere Informationen dazu finden Sie in der DGUV Information 203-079 "Auswahl und Anbringung von Verriegelungseinrichtungen".
 | Verriegelung der Zugangstür |
|---|---|
 | Aus dem Gefahrbereich nicht erreichbare Quittier-Tasten |
Abb. 47
Verriegelung einer Zugangstür; Verriegelungsschalter muss gegen eine Beschädigung durch herabfallende Werkstücke geschützt sein
Abb. 48
Redundante Stellungsüberwachung beweglicher trennender Schutzeinrichtung in diversitärer Technologie (elektromechanisch und programmierbar elektronisch) - Bild aus IFA-Report 2/2017 "Funktionale Sicherheit von Maschinensteuerungen - Anwendung der DIN EN ISO 13849"
8.2.1
Sicherheits-SPS
Partiell abschaltbare Anlagenbereiche (Aufteilung einer Gesamtanlage in mehrere Gefahrbereiche) erhöhen die Verfügbarkeit der Gesamtanlage, erfordern aber beim Einsatz konventioneller Steuerungstechnik einen hohen Verdrahtungsaufwand. Nachträgliche Änderungen der Gefahrbereichsunterteilung sind zudem nur mit einem sehr hohen Aufwand möglich.
Einen neuen sicherheitstechnischen Ansatz bietet der Einsatz fehlersicherer SPS (Speicherprogrammierbare Steuerungen). Ein entscheidender Vorteil der SPS-basierten Sicherheitstechnik ist die Möglichkeit, sowohl verfahrenstechnische als auch sicherheitsrelevante Programme unbeeinträchtigt parallel ausführen zu können. Dadurch erübrigt sich die separate Sicherheitssteuerung inklusive der Verdrahtung, wie sie beim Einsatz einer gewöhnlichen SPS notwendig ist.
8.2.2
Maßnahmen gegen unerwarteten Maschinenanlauf bei Steuerung über einen Schalter mit Selbsthaltung
Im Rahmen der Risikobeurteilung wird in einigen Fällen der Start einer gefahrbringenden Bewegung durch einen Start-Schalter mit Selbsthaltung ohne weitere Sicherungsmaßnahmen akzeptiert, weil die Zeit zwischen dem Betätigen des Starttasters und dem Ende der gefahrbringenden Bewegung so kurz ist, dass die Gefahrstelle in der Regel nicht erreicht werden kann. Bei Maschinenbewegungen mit einer Steuerung dieser Art besteht jedoch das Risiko eines unerwarteten Anlaufs. Ist zum Beispiel der Endschalter, der die Endlage meldet, fehlerhaft belegt, wie durch ein Holzreststück, wird nach einem Startbefehl die gefahrbringende Bewegung nicht ausgeführt. Wird der Fehler jedoch am Endschalter ohne vorheriges Abschalten der Anlage beseitig, kommt es zu einem unerwarteten Maschinenanlauf.
Maßnahmen
Das Risiko kann verringert werden, wenn ein Tippschalter verwendet wird anstatt ein Schalter mit Selbsthaltung.
Lässt sich eine Tippschaltung nicht realisieren und ist - aufgrund der Risikobeurteilung des Herstellers - ein Schalter mit Selbsthaltung tolerierbar, muss die Steuerung mindestens so ausgelegt sein, dass eine Plausibilitätskontrolle des Signalwechsels an den Endschaltern erfolgt. Wird dann eine fehlerhafte Belegung der Endschalter durch die Steuerung erkannt, wenn zum Beispiel beide Endschalter für Anfangs- und Endlage zur gleichen Zeit belegt sind, muss das zu einem Programmstopp führen. Ein neuer Startbefehl nach der Störungsbeseitigung darf nur nach vorheriger Quittierung des Programmstopps möglich sein.
Diese Minimallösung ist in Ausnahmesituationen denkbar, erfordert aber zwingend weitere Sicherungsmaßnahmen gemäß der Gefahrenanalyse des Herstellers (siehe DIN EN ISO 14118.