DRUCKEN

Steuerungstechnische Themen


up

Lebensdauer von Sicherheitsbauteilen und deren Dokumentation beim Anwender

Wenn in der Dokumentation kein Hinweis auf das Tauschintervall der Sicherheitsbauteile vorhanden ist, liegt ein Mangel seitens des Herstellers vor (EN 13849-1, Kapitel 11).

Ein nicht Tauschen bzw. nicht Dokumentieren des Austausches eines Sicherheitsbauteiles ist ein Mangel des Betreibers.

Stand 29.11.2016


up

Gibt es eine Vorschrift bezüglich Prüfintervalle bei unterschiedlichen PL (nach EN ISO 13849) eines Sicherheitssystems (wenn Maschine schon in Betrieb ist):

up

Erforderliche Prüfungen je PL a? b? c? d? e?

Antwortmöglichkeit 1:
Sie meinen die Prüfung der PL´s nach EN ISO 13849.
Nein, es gibt keine Prüfintervalle, jedoch ein Betätigungsintervall. Das ist mindestens einmal im Jahr.

Antwortmöglichkeit 2:
Wenn Sie die Prüfung der Schutzeinrichtung meinten, dann gibt es z.B die EN 14119.
Dort wird das Prüfintervall sehr wohl festgelegt. Außerdem gibt es die Betriebsanleitung, wo die Wartungsintervalle durch den Hersteller festgelegt und beschrieben werden müssen (Risikoanalyse des Herstellers).
Aber! Der Arbeitnehmerschutz ist national geregelt und regelt die Prüfungen.  

Stand 08.09.2016


up

Nach welchen Normen oder nationalen Bestimmungen sind diese Prüfungen beschrieben?

siehe oben!

Stand: 08.09.2016


up

Was ist die Mindestinformation in der Betriebsanleitung bezüglich der Lebensdauer bzw. Tausch von Sicherheitsbauteilen (Anmerkung: wurde bereits einmal diskutiert)

Angaben, wann ein Sicherheitsbauteil zu tauschen ist, (Betriebsmittelkennzeichnung) sind vom Hersteller in der Betriebsanleitung zu geben.
Ein Austausch von nicht identen Bauteilen liegt in der Verantwortung des Betreibers und ist ein Umbau im Sinne des ASchG §35.


Stand 08.09.2016



up

Info zu neuen Normen EN ISO 13850 und EN ISO 14120

EN 13850:

Neue Regelung über zulässige Montagehöhen (0,6 – 1,7m)

Ein Kragen am Not-Halt sollte vermieden werden, darf zu keiner Verletzung führen und ist nur in Ausnahmefällen, wenn keine andere Massnahme möglich ist, erlaubt.

Für nähere Info siehe EN 13850 Siehe Pkt. 4.5

Stand 02.06.2016


up

Welche Änderungen gibt es in der EN 13849-1:

Es gibt jetzt eine EN ISO…

3.1.39 betriebsbewährt. Definition mit systematische Fehler… nicht relevant…

Neuer Risikograph: Die Wahrscheinlichkeit des Eintretens wird berücksichtigt und dadurch kann es zu einer Reduktion um einen PL-Wert kommen.

Sehr heikel und bedenklich!

Die Häufigkeit nicht höher als 1x pro15 min oder mit einer Dauer mehr als 1/20 der Betriebsdauer

Stand 02.06.2016


up

Hauptschalter - wo und wie darf dieser ausgeführt werden bzw. unter welchen Voraussetzungen darf man diesen weglassen? 

Jede Maschine muss nach der Norm ÖVE/ÖNORM EN 60204 eine Netztrenneinrichtung besitzen.

Das Aussehen ist im Punkt 5.3.2 geregelt. 
Im Punkt 5.3.3 werden die Eigenschaften definiert.
Im Punkt 5.3.3/3 wird darauf hingewiesen, dass die Netztrenneinrichtung von außen bedienbar sein muss.

Auch in der Maschinenrichtlinie wird im Punkt 1.6.3 die Trennung von den Energiequellen gefordert.

In einigen Fällen ist die Netztrenneinrichtung durch einen Stecker bzw. eine Steckdosenkombination zulässig:

  • Bis 30A direkt möglich, unbeabsichtigtes Abziehen muss verhindert sein.
  • Ab 30A nur mit vorgeschaltetem Gerät, das ein Abziehen erst nach abgeschalteter Maschine zulässt.


Stand 02/2016


up

In einer hydraulischen Steuerung wird zum Erreichen der Sicherheitsfunktion "druckloses System" die Hydraulikpumpe über einen Frequenzumrichter (FU) mit der Sicherheitsfunktion STO abgeschaltet. Der Frequenzumrichter erreicht aber nur den Performancelevel PL=d. Da aber die Sicherheitsfunktion in Performancelevel PL=e (z. B. Presse) gefordert ist, wird ein MV mit Stellungsüberwachung als "zweiter Kanal" aufgebaut. Wie kann der nun erreichte Performancelevel (PL) errechnet werden, da es sich beim FU um ein geschlossenes System mit PFHd, Kategorie und PL handelt?

Diese Konfiguration kann mit keinem auf dem Markt befindlichen Tool berechnet werden. Das bedeutet, dass die Norm ÖNORM EN ISO 13849-1 hier nicht zur Anwendung kommen kann, was durch eine Benutzerinformation zu dokumentieren ist.

Ein anderer Ansatz wäre die Berechnung einer Konfiguration mit einem Schütz und Rückführung anstelle des Frequenzumrichters. Üblicherweise wird dabei ein Performancelevel PL=e erreicht. Da aber anstelle des Schützes eine zertifizierte Sicherheitsbaugruppe eingesetzt wird - die für sich schon einen höheren PL als der einzelne Schütz aufweist - kann davon ausgegangen werden, dass der Gesamt-PL nicht schlechter als die Lösung mit dem Schütz sein kann. Eine entsprechende Dokumentation ist zu erstellen.

Stand 09/2015


up

Wie ist die Benutzerinformation nach Punkt 11 der Norm ÖNORM EN ISO 13849-1 zu verstehen?

Bin ich als Maschinenhersteller dazu verpflichtet? Ja. Die Herstellerin bzw. der Hersteller der Maschine ist verpflichtet, die Benutzerinformationen nach Punkt 11 zu liefern.

Stand 09/2015


up

Testhäufigkeit von SicherheitssteuerungenMindestens einmal pro Schicht bzw. vor Anforderung der SI-Funktion

Stand 09/2015


up

Welche Dokumentationen muss man bei einer z. B. hydraulischen Sicherheitssteuerung der Anwenderin bzw. dem Anwender übergeben, damit der gewünschte Performancelevel erreicht werden kann (Zusammenspiel Hardware-Software)?

Der Anwenderin bzw. dem Anwender (Programmiererin bzw. Programmierer der SRP/CS) sind alle Informationen zu übergeben, die benötigt werden, um den Performancelevel der Sicherheitsfunktion zu berechnen. Diese können eine detaillierte Funktionsbeschreibung bzw. Diagnosevorgaben beinhalten. 

Stand 09/2015


up

In einer Applikation wird ein Zustimmtaster verwendet. Die beiden Kontakte des Tasters (Schließer) wurden durch eine Diskrepanz-Zeitüberwachung diagnostiziert. Das Ansprechen dieser Zeitüberwachung führte zur Abschaltung der Maschine.

  1. Dass die beiden Schließer nicht gleichzeitig schlossen bzw. einer der Kontakte überhaupt nicht schaltete, war nach Rückfrage beim Hersteller kein Fehler. Auch Tests mit Produkten anderer, namhafter Herstellerinnen bzw. Hersteller zeigten dieses Verhalten.
  2. Der Kunde hat nun die Diskrepanz-Zeitüberwachung abgeschaltet. Stellt dies ein Sicherheitsrisiko dar?

Um dies zu beantworten, muss die Funktion der Diskrepanz erläutert werden:
Bei einem 2-kanaligen System (z. B. zwei Schließer) müssen beide Signale innerhalb einer Toleranzzeit einen Signalwechsel durchführen. Aus dem Zustand 0-0 muss der Zustand 1-1 entstehen. Nur dann schaltet der Sicherheitsbaustein (Software) auf 1.

Sollte dies nicht geschehen, z. B. an den Eingängen stehen nur 0-1 oder 1-0, bleibt der Ausgang 0. Erst, wenn wieder ein gültiges, plausibles Signalmuster an den Eingängen ansteht, also 0-0, wird das Softwaremodul die Eingangssignale wieder verarbeiten und ein Ausgangssignal ≠ 0 liefern.

Diese Überwachung wird als Diskrepanzüberwachung bezeichnet und ist bei 2-kanaligen Systemen sowieso immer aktiv.

Was der Kunde abgeschaltet hat, war nur die Diskrepanz-Zeitüberwachung. Dieser Parameter definiert das Zeitfenster, in dem das Modul wieder ein gültiges Signalmuster erwartet. Erfolgt innerhalb dieses Fensters kein gültiges Signal, wird ein Fehlerbit gesetzt, dass je nach Verarbeitung zum Abschalten des Sicherheitskreises führen kann.

Stand 06/2015


up

Muss der Rückführkreis auf sichere Eingänge geführt werden oder kann dieser, da er ja nur zur Diagnose dient, auch auf eine funktionelle Steuerung geführt werden, die danach ein Bit in die sichere Steuerung gibt? 

Nein, der Rückführkreis muss nicht auf eine sichere Steuerung geführt oder über einen sicheren Eingang eingelesen werden, wenn eine ausreichende Selbstdiagnose dieses Signals vorhanden ist.

In diesem Zusammenhang wird oft von einer

  • statischen bzw.
  • dynamischen

Schützkontrolle gesprochen.

Statische Schützkontrolle:           
Der Zustand des Rückmeldekontakts wird nur bei Betätigung der manuellen Rückstellfunktion abgefragt.
Problem:
Ein Schützfehler in Kombination mit einem falschen Rückmeldesignals (Eingangsfehler, SPS-Fehler) führt zum Nichterkennen eines gefährlichen Ausfalls eines Aktors.

Dynamische Schützkontrolle:
Der Zustand des Rückmeldekontakts wird immer mit dem Schaltzustand des Aktors verglichen.
In dieser Variante wird ein Fehler durch Plausibilitätsüberprüfung erkannt.

Stand 03/2015


up

Gibt es irgendwo einen Hinweis, der eine Ausnahme für eine manuelle Rückstellfunktion möglich macht oder wird diese immer gefordert (eventuell Ausnahme C-Norm, Taktbetrieb)? 

Wichtig ist, zuerst die Begriffe zu definieren, die in diesem Zusammenhang üblicherweise verwendet werden: 

Reset = manuelle Rückstellfunktion einer Schutzeinrichtung (Wiederanlaufsperre)
Start = Start-/Wiederaufnahmefunktion der Maschine

Beide Begriffe sind in der Norm ÖNORM EN ISO 13849-1 in den Punkten 5.2.2 und 5.2.3 beschrieben.

Zusammenfassend möchten wir nochmals darauf hinweisen:
Nach der Einleitung eines Stoppbefehls durch eine Schutzeinrichtung muss der Stoppzustand aufrechterhalten bleiben, bis eine manuelle Rückstellung betätigt wird und der sichere Zustand für einen Wiederanalauf gegeben ist.

Die manuelle Rückstellfunktion:

  • muss durch ein getrenntes, manuell zu bedienendes Gerät in dem SRP/CS bereitgestellt werden,
  • darf nur dann erreicht werden, wenn alle Sicherheitsfunktionen und Schutzeinrichtungen funktionsfähig sind,
  • darf selbst keine Bewegung oder Gefährdungssituation einleiten,
  • muss eine beabsichtigte Handlung sein,
  • muss der Steuerung ermöglichen, einen separaten Startbefehl anzunehmen,
  • darf nur erfolgen durch das Loslassen des Antriebselements in seiner betätigten (Ein-)Position.


Weitere Forderungen wie Ort und Performancelevel sind der Norm zu entnehmen.
Wesentlich ist, dass es hier keine Ausnahme für eine manuelle Rückstellfunktion gibt.

Der Wiederanlauf darf nur dann automatisch erfolgen, wenn keine Gefährdungssituation bestehen kann. Insbesondere bei einer verriegelten, trennenden Schutzeinrichtung mit Startfunktion (z. B. Taktbetrieb).

Beim Taktbetrieb kann das Zusammenspiel der beiden Begriffe gut beschrieben werden. Zur Ingangsetzung des Ablaufs sind die Reset-Taste (manuelle Rücksetzfunktion) und die Start-Taste (in dieser Reihenfolge) zu betätigen.

Erfolgt der Eingriff in den Gefahrenbereich während der Taktpause, wird dieser nicht als Ansprechen der Schutzeinrichtung angesehen, obwohl eine Unterbrechung des Lichtgitters erfolgt ist. Nach Freiwerden des Schutzfeldes erfolgt der automatische Start des Ablaufs.

Erfolgt der Eingriff allerdings außerhalb dieser Taktpause, wird dieser als Ansprechen der Sicherheitsfunktion erkannt. In diesem Fall sind wieder ein manuelles Rückstellen sowie ein Startbefehl erforderlich!

Stand 03/2015


up

Welche Bedeutung hat die Norm ÖNORM EN ISO 13849-2:2012 und wie ist sie anzuwenden? 

Die Norm ÖNORM EN ISO 13849-1 beschreibt die Berechnung des Performancelevels für die einzelnen Sicherheitsfunktionen. Doch das ist nur ein Teil auf dem Weg zur Gestaltung von Sicherheitsfunktionen.

Noch wichtiger erscheint der Teil 2 - Validierung.

  • Der Zweck des Validierungsverfahrens ist es zu bestätigen, dass die Gestaltung der sicherheitsbezogenen Teile der Steuerung (SRP/CS) die Spezifikation der Sicherheitsanforderungen der Maschinen unterstützt.
  • Die Validierung muss aufzeigen, dass jedes SRP/CS die Anforderungen von ÖNORM EN ISO 13849-1 erfüllt,…
  • Die Validierung sollte von Personen durchgeführt werden, die unabhängig von der Gestaltung der SRP/CS sind.
  • Vor der Validierung der Gestaltung der SRP/CS oder der Kombination von SRP/CS, die die Sicherheitsfunktion enthält, muss die Spezifikation der Anforderungen für die Sicherheitsfunktion verifiziert werden, um die Übereinstimmung und Vollständigkeit für ihren vorgesehenen Verwendungszweck sicherzustellen.
  • Die Spezifikation der Sicherheitsanforderungen sollte analysiert werden, bevor mit der Gestaltung begonnen wird, da jede andere Tätigkeit auf diesen Anforderungen beruht.
  • Das Validierungsverfahren schließt die Berücksichtigung des Verhaltens von SRP/CS für alle anzunehmenden Fehler ein. Eine Grundlage für die Fehlerbetrachtung ist in den Fehlerlistentabellen der Anhänge A bis D zu finden, die auf Erfahrungen basieren und Folgendes enthalten:
    • die einzubeziehenden Bauteile/Elemente, z. B. Leiter/Kabel (siehe Annex D),
    • die zu berücksichtigenden Fehler, z. B. Kurzschlüsse zwischen Leitern,
    • die erlaubten Fehlerausschlüsse unter Berücksichtigung von Umgebungs-, Betriebs- und Anwendungsaspekten und
    • eine Spalte für Bemerkungen, die die Begründungen für Fehlerausschlüsse enthält.
  • In den Fehlerlisten sind nur dauerhafte Fehler berücksichtigt.

 
Stand 03/2015


up

Werden Überwachungssysteme zur Diagnose verwendet, werden sie wie SRP/CS behandelt? 

Nein. Die Auswertung und Abschaltung bzw. Wiederanlaufsperre haben sicher zu erfolgen. Die Bereitstellung des Signals kann aus einem "nicht-sicheren" Teil erfolgen.

Stand 12/2014


up

Ist in einem Kategorie 4 System ein Fehlerausschluss möglich? 

Es gibt keinen Hinweis, dass in einem 2-kanaligen System nach Kategorie 4 kein Fehlerausschluss möglich ist. Vorsicht ist jedoch geboten, wenn ein Performancelevel PL=e erreicht werden muss. Die Norm ÖNORM EN ISO 13849-1 geht allerdings mit dem Begriff des Fehlerausschluss sehr kritisch um.

Zitat aus BGIA, Report 2/2008:

"6.2.10 Fehlerbetrachtungen und Fehlerausschluss
In einer realen Steuerung ist die Zahl theoretisch möglicher Fehler schier unbegrenzt. Es ist daher notwendig, sich bei der Bewertung auf die relevanten Fehler zu beschränken. Bestimmte Fehler können ausgeschlossen werden, wenn Folgendes berücksichtigt wird:

  • die technische Unwahrscheinlichkeit ihres Auftretens (um Größenordnungen geringere Wahrscheinlichkeit im Verhältnis zu anderen möglichen Fehlern und der zu erreichenden Risikoreduzierung)
  • die allgemein anerkannte technische Erfahrung, unabhängig von der betrachteten Anwendung und
  • die technischen Anforderungen in Bezug auf die Anwendung und auf die spezielle Gefährdung"

Die "technische Erfahrung" bei mechanischen Sicherheitstürschaltern hat leider gezeigt, dass das Versagen des mechanischen Elements (d. h. Schaltzunge) nicht auszuschließen ist. Dies kann sein durch unsachgemäße Befestigung der Zunge ohne Sicherheitsschrauben (Manipulation) oder die nicht "stressfreie" Betätigung. Darunter versteht man, dass bei jedem Schließvorgang der Betätiger auf Biegung beansprucht wird. Das Brechen der Schaltzunge oder die mechanische Beschädigung des Schaltelements ist vorhersehbar!

Daher gilt:
Verwendung von zwei mechanischen Sicherheitstürschaltern bei Performancelevel PL=e Anforderung.

Sollte eine Herstellerin bzw. ein Hersteller nur einen mechanischen Sicherheitstürschalter zulassen, ist ein besonderes Augenmerk auf die Montage- und Herstellerhinweise zu legen.

Stand 12/2014


up

Wenn in einem zweikanaligen System ein Kanal eine hohe Diagnosedeckung hat, kann man dann auf die Diagnose im zweiten Kanal verzichten? 

Die direkte Überwachung des Stellglieds (z. B. die Schützkontrolle) stellt die beste Möglichkeit der Funktionskontrolle dar. Auf beide Abschaltkanäle angewandt, ergibt sich daher ein DC von 99 Prozent. Bei entsprechender Zuverlässigkeit der Bauteile (MTTFd=high) kann ein Performancelevel PL=e  erreicht werden.

Wird in nur einem Abschaltpfad das Stellglied überwacht, kann maximal ein Performancelevel PL=d erreicht werden.

Achtung: 
Wird z. B. das Verschweißen eines Hauptschützes erkannt, aber ohne einer Möglichkeit zur rechtzeitigen Stillsetzung einer gefahrbringenden Bewegung, so ist die Erkennung nutzlos und mit einem DC von Null Prozent zu bewerten (siehe BGIA-Report 2/2008).

Stand 12/2014


up

Ist bei hydraulischen Pressen z. B. für das Auspressen von Lagern, Schwellenbiegen etc. als einzige Sicherheitsmaßnahme eine langsame Verfahrgeschwindigkeit von maximal 10 mm/s und Taste mit selbsttätiger Rückstellung (hold-to-run) zulässig? 

Ja, siehe ÖNORM EN 693, Tabelle 2.

Betriebsarten: Einzelhub, manuelle Zufuhr oder Entnahme

Punkt 5.3.18 beachten.

Stand 12/2014


up

Derzeit gibt es berührungslose Türschalter (Sensoren) am Markt, die einen eingebauten Magneten zum Arretieren der Türe haben. Dieser Magnet stellt keine Sicherheitsfunktion im Sinne einer Zuhaltung dar. Ist dieser Schalter alleine für eine Türüberwachung in Performancelevel PL=e zugelassen? 

Berührungslose Türschalter (Reedkontakte mit codierten Magneten, Transpondertechnologie) sind für den Einsatz bis zu Performancelevel PL=e als alleiniger Sensor zugelassen, da im Gegensatz zu den elektromechanischen Systemen der Betätiger nicht im Schalter stecken bleiben kann. Bei den oben erwähnten Systemen mit Haltemagnet hingegen kann der Betätiger durch die Haftkraft des Magneten am Sensor "kleben" bleiben und eine geschlossene Türe simulieren.

Ein Einsatz dieses Produktes in Performancelevel PL=e nach ÖNORM EN ISO 13849-1 ist daher nur zugelassen, wenn die besonderen Montagevorschriften wie in der Norm ÖNORM EN 1088 aufgezählt eingehalten werden. Darunter sind unter anderem die Montage mit Einwegschrauben, verdeckter Einbau etc. zu verstehen.

Stand 06/2014


up

Ist es ausreichend, wenn ein Fehler im Kanal 1 erkannt wird (z. B. Zylinder erreicht Endlage nicht), diesen Fehler nur funktional zu quittieren, solange die Schutzeinrichtung aktiv bleibt?

Es muss dadurch noch zu keiner sicherheitsgerichteten Abschaltung kommen.

Fragestellung ändern: 
Alternativer Abschaltpfad, wenn die Sicherheit durch die primäre Maßnahme nicht mehr erfüllt werden kann. Keine Kategorie 3! Lösung.

Eine funktionelle Quittierung reicht.

Stand 12/2013


up

Was ist der notwendige Dokumentationsumfang bei Bestätigung eines Performancelevels (PL) von Teilsystemen?  

Es gibt zwei Varianten von Teilsystemen:

  1. Ein als eigenständig mit Logik ausgestatteter Sicherheitsbauteil. Dieser muss eine Baumusterprüfung oder ein QS-System haben.
    Beispiel:  Lichtgitter, Schaltgeräte, sichere Frequenzumrichter, Laserscanner etc.
  1. Eine Komponente, die zwar als Sicherheitsbauteil gelten kann, jedoch nicht über eine Logik verfügt. Sie benötigt eine detaillierte Beschreibung der Einbau- und Funktionsmöglichkeiten.
    Beispiel:  Schütze, Ventile, Türschalter etc. 

Stand 12/2012


up

Wie ist mit dem berechneten T10d-Wert umzugehen?

Die Betriebsanleitung muss die Tauschpflicht für Sicherheitsbauteile und Bauteile einer SRP/CS beinhalten, die für den sicheren Betrieb getauscht werden müssen. Das gilt für Bauteile, die einen T10d-Wert unter 20 Jahre haben.

Stand 12/2012


up

Im Risikograph wird die Begriffe "häufig" und "selten" verwendet. Welche Werte sind darunter zu verstehen? 

Es gibt zwei Quellen, wo die Thematik angeführt ist:

  1. eval.at: Die Angabe der Eval-Seite ist nicht sehr hilfreich, da die Krankenstandstage für einen künftigen Unfall meist nicht bekannt sind.
  2. Der in der Norm ÖNORM EN ISO 13849-1 angeführte Wert von mindestens einmal pro Stunde für häufig und die von uns vorgeschlagene Gesamtdauer von 15 Minuten werden als anwendbar angesehen. 

Bemerkung:
Seit dem Inkrafttreten der Norm ÖNORM EN ISO 13849 werden die Definition und Berechnung der Sicherheitsfunktionen gefordert. Sehr viele Sicherheitsfunktionen, die das Abschalten der gefahrenbringenden Bewegung erwirken, benötigen auch die Sicherheitsfunktion gegen unbeabsichtigten Wiederanlauf.

Beispiel: 
Nach Öffnen der Schutztüre muss der Roboter seine gefährlichen Bewegungen stoppen. In diesem Fall ist die Häufigkeit des Öffnens der Türe relevant.

Bei offener Schutztüre darf der Roboter nicht unbeabsichtigt anlaufen. Hier ist die Aufenthaltsdauer im Gefahrenbereich relevant.

Stand 12/2012