Abschnitt 4.3 - 4.3 Berechnungsbeispiel des Performance Levels für die Sicherheitsfunktionen einer Roboterzelle
4.3.1 Berechnung des Performance Levels für die Sicherheitsfunktionen bei Neuanlagen
Betrachtet wird eine Roboterzelle mit einer Einlegestation und einer Wartungstür. Die Einlegestation ist mit einer Trittmatte und einer Arbeitsbereichsüberwachung abgesichert. Der Zugang zum Arbeitsraum erfolgt über eine Wartungstür, welche mit einem Türsicherheitsschalter ausgerüstet ist.
Die externen Signale werden zur Verknüpfung mit anderen Maschinen oder Maschinenteilen, die hier nicht betrachtet werden, über eine Sicherheits-SPS geführt. Die funktionsmäßige logische Verknüpfung der Wartungstürfunktion mit der Betriebsart Automatik ist bereits in der Robotersteuerung realisiert.
Alle Achsen des Roboters werden gemeinsam durch Unterbrechung der Spannungsversorgung des Zwischenkreises stillgesetzt.
Die Bewertung wird in 4 Schritten durchgeführt:
- 1.
Festlegen der Sicherheitsfunktionen
- 2.
Feststellen des geforderten Performance Levels für die jeweilige Sicherheitsfunktion
- 3.
Ermitteln der beteiligten Sicherheitskomponenten
- 4.
Berechnung des erreichten Performance Levels
Schritt 1: Sicherheitsfunktionen festlegen
Schritt 2: Feststellen des normativ geforderten Performance Levels für die jeweilige Sicherheitsfunktion
Die EN ISO 10218-1 stellt, als C-Norm für Industrieroboter, Anforderungen an die Leistungsfähigkeit sicherheitsgerichteter Steuerungssysteme und legt deren Niveau fest:
Ein einzelner Fehler darf nicht zum Verlust der Sicherheit führen.
Wenn es vernünftigerweise durchführbar ist, muss der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion ermittelt werden.
Bei Auftreten des einzelnen Fehlers muss die Sicherheitsfunktion immer ausgeführt und ein sicherer Zustand aufrechterhalten werden, bis der Fehler behoben ist.
Alle vernünftigerweise vorhersehbaren Fehler müssen erkannt werden.
Diese Anforderung wird als gleichbedeutend mit Performance Level d mit Kategorie 3 nach EN ISO 13849-1 und Sicherheits-Integritätslevel 2 (SIL 2) mit Hardwarefehlertoleranz 1 (HFT1) nach EN 62061 betrachtet. Performance Level bezeichnet die sicherheitstechnische Leistungsfähigkeit einer Sicherheitsfunktion (siehe auch Abschnitt 4.1.3). Die 5 Stufen a bis e sind festgelegt mit definierten Bereichen der Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde (PFHd).
Performance Level (PL) | Durchschnitliche Wahscheinlichkeit eines gefährlichen Ausfalls je Stunde 1/h (PFHD) | ||
---|---|---|---|
a | ≥ 10-5 | bis | < 10-4 |
b | ≥ 3 ∙ 10-6 | bis | < 10-5 |
c | ≥ 10-6 | bis | < 3 ∙ 10-6 |
d | ≥ 10-7 | bis | < 10-6 |
e | ≥ 10-8 | bis | < 10-7 |
Tab. 6 Performance Level nach EN ISO 13849-1
In Nordamerika sind für die Sicherheitsfunktionen 4 Anforderungsklassen bekannt:
SIMPLE
SINGLE CHANNEL
SINGLE CHANNEL, MONITORED
CONTROL RELIABLE
Die in EN ISO 10218-1 festgelegten Anforderungen entsprechen dort der höchsten Klasse - control reliable.
EN ISO 10218-1 lässt zu, dass abweichend von diesen festgelegten Leistungsanforderungen ein anderes Niveau als Ergebnis einer umfassenden Risikoanalyse zulässig sein kann.
Schritt 3: Ermitteln der beteiligten
Sicherheitskomponenten
Beteiligte Sicherheitskomponenten an der Sicherheitsfunktion 1 (Not-Halt)
Not-Halt-Taster Kontakte 2-kanalig | Fehlerausschluss | 6500 Schaltzyklen |
---|---|---|
Sicherheits-SPS (Herstellerangabe) | SIL 3, HFT 1 | PFHD = 1x10-8 |
Roboterfunktion Not-Halt (Herstellerangabe) | PLd, Kategorie 3 | PFHD = 1x10-7 |
Da die Mechanik des Not-Halt-Tasters nur einkanalig ist, ist ein Einsatz in einer Kategorie-3-Steuerung nur möglich, wenn ein Fehlerausschluss angenommen werden kann. Nach EN ISO 13849-1 Tabelle C.1 beträgt die für einen Not-Halt-Taster mindestens erforderliche mechanische Lebensdauer 6500 Schaltzyklen. Unter diesen Bedingungen kann für die mechanische Zwangsführung ein Fehlerausschluss angenommen werden.
Bei einer nach EN ISO 13849-1 ebenfalls anzunehmenden Lebensdauer von mindestens 20 Jahren ergibt sich mit 325 Schaltzyklen eine ungefähr einmal tägliche Betätigung. Wenn dies etwa der Praxis der geplanten Anlage entspricht, ist der Fehlerausschluss zulässig. Da die elektrischen Kontakte von Not-Halt-Tastern zwangsgeführt sind, ist der Fehlerausschluss sowohl für den mechanischen Stößel als auch für die elektrischen Kontakte zulässig.
6500 Schaltzyklen | = | 325 Schaltzyklen/Jahr |
---|---|---|
20 Jahre |
Beteiligte Sicherheitskomponenten an der Sicherheitsfunktion 2 (Wartungstür)
Türverriegelungsschalter | Fehlerausschluss für den Betätiger, 2-kanalige Kontakte | PFHD= 1,01 x 10-7 |
---|---|---|
Sicherheits-SPS (Herstellerangabe) | SIL 3, HFT 1 | PFHD= 1 x 10-8 |
Roboterfunktion Sicherheitshalt (Herstellerangabe) | PLd, Kategorie 3 | PFHD= 1 x 10-7 |
Zum Einsatz kommt ein Türverriegelungsschalter Bauart 2 mit getrenntem Betätiger (Zunge). Da die Zunge nur einmal vorhanden ist, muss wieder geprüft werden, ob ein Fehlerausschluss hinsichtlich Bruchs zulässig ist. Dieser Fehlerausschluss ist bei normaler Industrieumgebung für die meisten Schalter der Bauart 2 zulässig. Kein Fehlerausschluss ist zum Beispiel bei extremen Umgebungseinflüssen möglich, z. B. Eindringen von Klebstoffen, wodurch die Zunge im gesteckten Zustand abreißen kann.
Der Wert für die Lebensdauer des Türverriegelungsschalters wird vom Hersteller in B10d angegeben. B10d steht für die mittlere Anzahl von Schaltzyklen, bis zu welcher 10 % der Bauteile gefahrbringend ausfallen können.
Um aus diesem B10d-Wert einen MTTFd- und später einen PFHd-Wert zu erhalten, wird noch die mittlere Anzahl der Schaltspiele pro Jahr (nop) benötigt. Diese errechnet sich bei einer 6-Tage Woche und 2-Schicht-Betrieb wie folgt:
B10d | nach Herstellerangabe | = 3 x 106 |
---|---|---|
dop | die mittlere Betriebszeit in Tagen pro Jahr | = 300 |
hop | die mittlere Betriebszeit in Stunden pro Tag | = 16 |
tZyklus | die mittlere Zeit zwischen zwei aufeinanderfolgenden Zyklen | = 3600 sec (Zugang 1 x pro Stunde) |
Der PFHd-Wert kann unter den folgenden Voraussetzungen aus EN ISO 13849-1 Tabelle K.1 abgelesen werden:
MTTFd wird bei Werten über 100 Jahre generell auf 100 Jahre gedeckelt (6250 Jahre -> 100 Jahre).
Die Steuerungsstruktur ist Kategorie 3.
Es erfolgt eine Überwachung der Kontakte des Türverriegelungsschalters durch die nachfolgende Sicherheits-SPS. Da der Zugang durch die Wartungstür und damit die Möglichkeit zur Fehleraufdeckung nicht häufig ist, wird nur eine niedrige Fehleraufdeckungsrate DCavg angenommen.
Damit beträgt die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde
Beteiligte Sicherheitskomponenten an der Sicherheitsfunktion 3 (Trittmatte)
Sicherheitsschaltmatte (Herstellerangabe) | PLd, Kategorie 3 | PFHD= 3,25 x 10-8 |
---|---|---|
Sicherheits-SPS (Herstellerangabe) | SIL 3, HFT 1 | PFHD= 1 x 10-8 |
Roboterfunktion Arbeitsbereichsüberwachung (Herstellerangabe) | PLd, Kategorie 3 | PFHD= 1 x 10-7 |
Schritt 4: Berechnung des erreichten Performance Levels
Berechnung der Sicherheitsfunktion 1 (Not-Halt)
Berechnung der Sicherheitsfunktion 2 (Wartungstür)
Berechnung der Sicherheitsfunktion 3 (Trittmatte)
4.3.2 Berechnung des Performance Levels für die Sicherheitsfunktionen bei Wiederverwendung von gebrauchten Robotern in neuen Anlagen
Sollte eine Beschaffung von Daten für die Ermittlung des Performance Levels für Sicherheitsfunktionen von gebrauchten Industrierobotern nicht möglich sein, können die Teilfunktionen, die nicht nach der EN ISO 13849-1 bewertet werden, nur mit ihrer Kategorie angegeben werden (siehe auch [19]). In diesem Beispiel soll eine Roboterzelle mit zwei neuen und einem gebrauchten Industrieroboter betrachtet werden. Zur Bewertung werden die Teilsysteme "Neu" und "Alt" getrennt und die Sicherheitsfunktionen einzeln betrachtet (Abbildung 49).
Bewertung der Sicherheitsfunktion Wartungstür
a. Für den neuen Anlagenteil
b. Für den Anlagenteil mit Gebrauchtroboter
Bewertung der Sicherheitsfunktion Not-Halt
c. Für den neuen Anlagenteil
d. Für den Anlagenteil mit Gebrauchtroboter