Abschnitt 8.2 - 8.2 Sicherheitstechnische Steuerungen
Die Norm DIN EN ISO 13849-1:2016-06 "Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen" macht Vorgaben für die Gestaltung von sicherheitsbezogenen Teilen an Steuerungen. Wichtiger Bestandteil ist die Einbeziehung wahrscheinlichkeitstheoretischer Ansätze zur sicherheitstechnischen Beurteilung und Auslegung von Steuerungen.
Der Risikoanalyse des Herstellers entsprechend wird ein Performance Level PLr für steuerungstechnische Sicherheitsfunktionen ausgewählt.
Zur Realisierung von steuerungstechnischen Sicherheitsfunktionen beschreibt die Norm einkanalige Steuerungsstrukturen (als Kategorie B, 1 und 2) und zweikanalige Steuerungsstrukturen (als Kategorie 3 und 4). Diese Kategorien sind neben weiteren Aspekten (z. B. Bauteilqualität und Fehlererkennung) Basis für das Erreichen eines Performance Levels (PL). Wird der kritische Ausfall eines Verriegelungsschalters in einer einkanaligen Struktur (Kategorie 1) nicht erkannt, kann es dazu führen, dass die Anlage beim Öffnen des Schutzgitters nicht abschaltet oder, trotz geöffneter Schutzeinrichtung, wieder eingeschaltet werden kann.
Abb. 35
Elektrisch verriegelte Zugangstür
| 1 | Stabile Türverriegelung |
|---|---|
| 2 | Riegel kann nicht vom Gefahrenbereich aus betätigt werden |
Damit eine Anlage beim Öffnen eines Schutzgitters auch bei Ausfall einzelner Bauteile abschaltet und ein solcher Ausfall erkannt wird, ist eine redundante (zweikanalige) Steuerungs-Architektur erforderlich (wie in Kategorie 3 - siehe Abbildung 37). Die Anforderungen für eine Steuerungs-Architektur müssen berücksichtigt, eine erforderliche Risikominderung muss erreicht und die grundlegenden Sicherheitsprinzipien und systematischen Aspekte müssen beachten werden, wie das folgende negative Beispiel zeigt.
Weitere Informationen dazu finden Sie in der DGUV Information 203-079 "Auswahl und Anbringung von Verriegelungseinrichtungen".
8.2.1
Sicherheits-SPS
Partiell abschaltbare Anlagenbereiche (Aufteilung einer Gesamtanlage in mehrere Gefahrenbereiche) erhöhen die Verfügbarkeit der Gesamtanlage, erfordern aber beim Einsatz konventioneller Steuerungstechnik einen hohen Verdrahtungsaufwand.
Nachträgliche Änderungen der Gefahrenbereichsunterteilung sind zudem nur mit einem sehr hohen Aufwand möglich.
Negativ-Beispiel: So nicht!
Abb. 36
Nicht geschützte, elektrische Verriegelung einer Zugangstür
| 1 | Schalter ist nicht gegen eine Beschädigung durch herabfallende Werkstücke geschützt. |
|---|---|
| 2 | Quittier-Taste kann unzulässigerweise vom Gefahrenbereich aus betätigt werden. |
Abb. 37
Redundante Stellungsüberwachung beweglicher trennender Schutzeinrichtung in diversitärer Technologie (elektromechanisch und programmierbar elektronisch) (Quelle: IFA-Report 2/2017 "Funktionale Sicherheit von Maschinensteuerungen - Anwendung der DIN EN ISO 13849")
Einen neuen sicherheitstechnischen Ansatz bietet der Einsatz fehlersicherer SPS (Speicherprogrammierbare Steuerungen). Entscheidender Vorteil dieser SPS-basierten Sicherheitstechnik ist die Möglichkeit, sowohl verfahrenstechnische als auch sicherheitsrelevante Programme unbeeinträchtigt nebeneinander ausführen zu können.
Dadurch erübrigt sich die separate Sicherheitssteuerung samt Verdrahtung, wie sie beim Einsatz einer gewöhnlichen SPS notwendig ist.
8.2.2
Maßnahmen gegen unerwarteten Maschinenanlauf bei Steuerung über einen Schalter mit Selbsthaltung
Im Rahmen der Gefahrenanalyse wird gelegentlich der Start einer gefahrbringenden Bewegung durch einen Start-Schalter mit Selbsthaltung ohne weitere Sicherungsmaßnahmen akzeptiert, weil die Zeit zwischen dem Betätigen des Starttasters und dem Ende der gefahrbringenden Bewegung so kurz ist, dass die Gefahrenstelle in der Regel nicht erreicht werden kann.
Bei Maschinenbewegungen mit einer solchen Steuerung besteht das Risiko eines unerwarteten Anlaufs. Ist der Endschalter, der die Endlage meldet, fehlerhaft belegt (z. B. durch ein Holzreststück), wird nach einem Startbefehl die gefahrbringende Bewegung nicht ausgeführt. Wird der Fehler dann am Endschalter ohne vorheriges Abschalten der Anlage beseitig, kommt es zu einem unerwarteten Maschinenanlauf.
Maßnahmen
Ein solches Risiko kann durch Verwendung eines Tippschalters, anstelle eines Schalters mit Selbsthaltung, verringert werden.
Lässt sich eine Tippschaltung nicht realisieren, und ist aufgrund der Gefahrenanalyse des Herstellers ein Schalter mit Selbsthaltung tolerierbar, muss die Steuerung mindestens so ausgelegt sein, dass eine Plausibilitätskontrolle des Signalwechsels an den Endschaltern erfolgt. Wird dann eine fehlerhafte Belegung der Endschalter durch die Steuerung erkannt (z. B. beide Endschalter für Anfangs- und Endlage zur gleichen Zeit belegt), muss das zu einem Programmstopp führen. Ein neuer Startbefehl nach der Störungsbeseitigung darf nur nach vorheriger Quittierung des Programmstopps möglich sein.
Diese Minimallösung ist in Ausnahmesituationen denkbar, erfordert aber zwingend weitere Sicherungsmaßnahmen gemäß der Gefahrenanalyse des Herstellers (siehe DIN EN ISO 14118:2018 "Sicherheit von Maschinen - Vermeidung von unerwartetem Anlauf").