SICK AG · Postfach 310 · 79177 Waldkirch · Deutschland

Waldkirch, 27. Sept. 2010 Ist der Einsatz von Standardsensoren in Sicherheitsfunktionen möglich? oder Wie gut ist ein guter MTTFd-Wert?

Sehr geehrte Damen und Herren, nach Erscheinen der neuen Sicherheitsnormen EN ISO 13849-1 und EN 62061 wird verstärkt die Verwendung von Standardsensoren für Sicherheitsfunktionen von den Maschinenherstellern angefragt. Von den Bauteilherstellern wie SICK wird in der Regel nur der MTTFd bzw. MTTF-Wert zur Verfügung gestellt. Ist dieser Wert allein für den Einsatz ausreichend und dürfen Standardbauteile überhaupt für Sicherheitsfunktionen verwendet werden? Warum geben die Bauteilhersteller für Standardbauteile z.B. keinen Performance Level oder Safety Integrity Level an? Dieser Artikel soll Antwort auf diese Fragen und Einblick in prinzipielle Aspekte der Verwendung von Standardsensoren für Sicherheitsfunktionen geben. Anhand von zwei Applikationsbeispielen wird der Unterschied des Einsatzes von Standard- und Sicherheitsbauteilen erläutert.

Mit freundlichen Grüßen

i.V. Hans-Jörg Stubenrauch Manager Safety Solutions SICK AG

Otto Görnemann Manager Safety Regulations SICK AG

Ist der Einsatz von Standardbauteilen in Anwendungen der Maschinensicherheit möglich?

Im Prinzip - ja. Mit den neuen Sicherheitsnormen EN ISO 13849-1 und EN 62061 ergibt sich einerseits eine höhere Flexibilität für den Maschinenhersteller und damit auch die Möglichkeit Materialkosten durch den Einsatz von Standardbauteilen in den Sicherheitskreisen zu sparen. Andererseits wird der Anspruch an den Konstrukteur erhöht, die Zulässigkeit und Auswirkung der Optimierungsmaßnahme zu bewerten.

In diesem Zusammenhang spielt u.a. der Zuverlässigkeitswert MTTF (Mean time to failure) eine Rolle. Dieser Wert wird zunehmend von den Maschinenherstellern für Standardbauteile angefordert, um diese Bauteile für Sicherheitsfunktionen einzusetzen. Der MTTF-Wert ist allerdings nur ein Teil der Daten und Maßnahmen, die für Sicherheitsfunktionen berücksichtigt werden müssen.

Was ist bei der Umsetzung von Sicherheitsfunktionen entsprechend den neuen Sicherheitsnormen EN ISO 13849-1 und EN 62061 zu beachten? Im Überblick können folgende Kriterien benannt werden:
die Hardware- und Softwarestruktur
die sicherheitstechnische Zuverlässigkeit der Bauteile
der Wirksamkeit der Fehlerdetektionsmechanismen






die Maßnahmen gegen Ausfälle gemeinsamer Ursache der Gestaltungsprozess der Hard- und Software die Eignung für die Belastung im Betrieb und für die Umgebungsbedingungen

PL

EN ISO 13849-1 Bild 1: Die Säulen zur Bestimmung des Sicherheitsniveaus eines Subsystems gemäß EN ISO 13849-1

Waldkirch, 27 Sept. 2010

Seite 2 von 17

Zur Berechnung und Bewertung einer Sicherheitsfunktion werden sogenannte Subsysteme (z.B. Sicherheits-Lichtvorhänge oder Sicherheits-Steuerungen) gebildet (siehe Bild 2).

Für diese Subsysteme wird der Performance Level PL nach EN ISO 13849-1 oder der Safety Integrity Level SIL nach EN 62061 bestimmt. Für die Fehleraufdeckung bestimmter diskreter Bauteile in der sicherheitsbezogenen Steuerungskette - beispielsweise Schaltschütze, Standardventile oder elektromechnische Schalter (Verriegelungen) - werden zusätzliche Maßnahmen durch die übergeordnete Steuerung notwendig.

Bild 2: Subsysteme in einer Sicherheitskette

Für Teilsysteme mit Optosensorik sind, zusätzlich zu den Aspekten der funktionalen Sicherheit, unbedingt die optischen Charakteristiken, die das erforderliche Detektionsvermögen bestimmen, zu berücksichtigen. Diese Charakteristiken sind unterschiedlich je nachdem, ob die Sicherheitsfunktion die Detektion von Personen oder Objekten erforderlich macht. Tabelle 1 auf Seite 13 zeigt zusätzliche optische Charakteristiken bei der Detektion von Personen.

Welche Rolle spielt der MTTFd?

Der MTTFd ist der Erwartungswert der mittleren Zeit bis zum Gefahr bringenden Ausfall in Jahren. Er ist ein statistischer Wert, der durch Lebensdauerversuche oder Zuverlässigkeitsprognosen anhand von Ausfallwahrscheinlichkeiten der verwendeten Bauteile ermittelt wird. Der MTTFd hat nichts mit der „garantierten Lebensdauer“, oder der „ausfallfreien Zeit“ zu tun. Ein Gefahr bringender Ausfall einer beliebigen Komponente im sicherheitsbezogenen Teil der Steuerung kann dazu führen, dass eine Sicherheitsfunktion nicht wie gewünscht ausge-

führt wird und eine potenzielle Gefährdung für das Bedienungspersonal bestehen bleibt. Der Effekt kann beispielsweise sein, dass eine Maschine beim Öffnen der Schutztür nicht anhält. Der MTTFd ist nur ein Teilaspekt, der die Güte der verwendeten Bauteile berücksichtigt. Bauteile, für die nur ein MTTFd- bzw. B10dWert vorliegt und die den grundlegenden Sicherheitsprinzipien genügen (siehe Kasten Erläuterungen auf S. 4), können als Elemente in Subsystemen berücksichtigt werden (z.B. die Schaltschütze im Bild 2).

Welche Kriterien müssen zusätzlich berücksichtigt werden? Um eine Sicherheitsfunktion, für die Standardbauteile verwendet werden, vollständig und korrekt bewerten zu können und somit mögliche Gefahr bringende Fehler zu beherrschen, sind durch den Anwender zusätzlich folgende Punkte zwingend zu berücksichtigen:
die Struktur der Hardware (Kategorie) und der Software
die Angabe zur Systemfähigkeit, interne Fehler aufzudecken bzw. zu erkennen (Diagnosedeckungsgrad DC) Waldkirch, 27 Sept. 2010




der Nachweis über getroffene Maßnahmen zur Vermeidung von Fehlern gemeinsamer Ursache (CCF) in der Anwendung der Gestaltungsprozess die Einsatzbedingungen



und
die systematischen Ausfälle (siehe Kasten Erläuterungen).

Seite 3 von 17

Bekannt aus der EN 954-1 sind z.B. die strukturellen Maßnahmen als Kategorien (ebenfalls in der EN ISO 13849-1 enthalten). Zusätzlich zu den strukturellen Kriterien wird in den neuen Normen der Diagnose und den

Fehlervermeidungsmaßnahmen cher Einfluß eingeräumt.

ein

erhebli-

Die weiteren Ausführungen konzentrieren sich auf die EN ISO 13849-1 mit dem Performance Level PL, gelten aber analog für die Anwendung der EN 62061.

Erläuterungen Die Einhaltung von grundlegenden Sicherheitsprinzipien ist Voraussetzung für Sicherheitsfunktionen ab Kategorie B. Sie berücksichtigen seitens des Bauteilherstellers die anerkannten Regeln der Technik, die z.B. in Produktnormen beschrieben sind (Umgebungsbedingungen, Wirkprinzipien, …). Bei Entwicklung und Produktion wurden Maßnahmen zur Beherrschung der systematischen Fehler getroffen. Seitens des Anwenders sind u.a. die Einhaltung der spezifizierten Daten und die geeignete Befestigung zu beachten (siehe EN ISO 13849-2, Abschnitte A.2, B.2, C.2 D.2). Ein Bauteil ist so auszuwählen, dass es unter allen zu erwartenden Einsatzbedingungen und Umgebungseinflüssen (z.B. Temperatur, Feuchte, Schwingungen, elektromagnetische Einflüsse, optische Störgrößen) korrekt arbeitet, bzw. muss die Maschine bei einem Bauteilausfall im sicheren Zustand verbleiben bzw. in diesen versetzt wird. Die Einhaltung von bewährten Sicherheitsprinzipien ist Voraussetzung ab Kategorie 1. Gemeint sind Prinzipien, bei denen bestimmte Fehler durch Verwendung oder Auslegung von Bauteilen ausgeschlossen werden können durch z.B. Anwendung von Bauteilen mit definiertem Ausfallverhalten oder Zwangsführung/ -öffnung oder Techniken wie Redundanz und Diversität (EN ISO 13849-2, Abschnitte A.3 und D.3). Die Verwendung von bewährten Bauteilen ist Voraussetzung für Kategorie 1. Bewährte Bauteile sind Bauteile, die in bestimmten sicherheitsbezogenen Anwendungen vielfach mit Erfolg eingesetzt worden sind oder nach Prinzipien hergestellt und verifiziert wurden, die eine Eignung und Zuverlässigkeit für sicherheitsbezogene Anwendungen zeigen. Beispiele sind in der EN ISO 13849-2, Abschnitte B.4, D.4 aufgeführt. Einige Komponenten wie Standard-SPS oder Standard-Lichtschranken sind hier nicht enthalten. Der MTTFd-Wert (Mean time to dangerous failure) ist der Erwartungswert der mittleren Zeit bis zum Gefahr bringenden Ausfall des Bauteils in Jahren. Er ist größer oder gleich dem MTTF (Mean time to failure) und berücksichtigt nur die Fehler, die zu einem Gefahr bringenden Ausfall führen. Falls vom Bauteilhersteller nur der MTTF-Wert angegeben wird, muss der Anwender entweder selbst einschätzen, welcher Anteil der Fehler in seiner Anwendung Gefahr bringend ist oder er konsultiert den Hersteller. Den MTTFd-Wert dem MTTF-Wert gleichzusetzen ist ebenfalls möglich. Anhänge C und D der EN ISO13849-1 beschreiben weitere Verfahren. Systematische Ausfälle sind die Ausfälle, die auf Fehler zurückzuführen sind, die durch bestimmte Zustände, Belastungen, Eingangsbedingungen hervorgerufen werden. Die Fehler können während der Entwicklung, der Herstellung, im Betrieb oder während der Wartung auftreten. Der B10d-Wert ist ein statistischer Wert für verschleißbehaftete Bauteile. Er gibt die durchschnittliche Anzahl der Schaltspiele an, bei der 10 % der Bauteile gefährlich ausgefallen sind. Der entsprechende MTTFd-Wert wird aus dem B10d-Wert und den Schaltzyklen dieses Bauteil berechnet (siehe EN ISO 13849-1). Maßnahmen gegen Common Cause Failure (Fehler gemeinsamer Ursache) CCF werden in der EN ISO 13849-1 beschrieben, z.B.:
physikalische Trennung zwischen den Signalpfaden
Diversität
Schutz gegen Überspannung
Berücksichtigung der Ergebnisse einer Effektanalyse in der Entwicklung
Schutz vor elektromagnetischer Beeinflussung
Schutz gegenüber allen relevanten Umgebungseinflüssen Die Norm bietet ein Punktesystem zur Bewertung der Maßnahmen an.

Waldkirch, 27 Sept. 2010

Seite 4 von 17

Wie wird das erforderliche Sicherheitsniveau bestimmt? SICK beschreibt im „Leitfaden Sichere Maschinen“ vom Anwender zu beachtende Gesetze, Normen, Regeln und mögliche Schutzmaßnahmen in sechs Schritten. Zum Schritt 3 gehört die Bestimmung des erforderlichen Sicherheitsniveaus. In der EN ISO 13849-1 wird ein Risikograph genutzt, um dieses erforderliche Sicherheitsniveau (Performance Level required – PLr) zu bestimmen (siehe Bild 4). Der Konstrukteur soll zuerst die Gefährdungen der Maschine ohne Berücksichtigung jeglicher Schutzmaßnahmen bewerten, anhand




Bild 3: In sechs Schritten zur sicheren Maschine

der Schwere der Verletzung der Häufigkeit und/oder der Dauer der Gefährdung der Möglichkeit zur Vermeidung der Gefährdung oder zur Begrenzung des Schadens

Daraus ergibt sich ein Performance Level PLr = „a“ bis „e“ für die notwendige Güte der Schutzmaßnahme, wobei „e“ die höchste Risikoreduzierung angibt.

Bild 4: Bestimmung des erforderlichen Performance Levels nach EN ISO 13849-1 (Risikograph)

Waldkirch, 27 Sept. 2010

Seite 5 von 17

Entspricht die technische Schutzmaßnahme dem erforderlichen Sicherheitsniveau? Ob die konzipierte technische Schutzmaßnahme dem erforderlichen Sicherheitsniveau (PLr) entspricht, kann nach EN ISO 13849-1 ermittelt werden. Als vereinfachte Übersicht bietet die Norm auch ein Balkendiagramm, in dem erforderli-

che Kriterien zusammengefasst sind (siehe Bild 5). Im Balkendiagramm sind nicht berücksichtigt: der Gestaltungsprozess, die Einsatzbedingungen und die Massnahmen gegen systematischen Ausfälle (siehe Kasten Erläuterungen).

Bild 5: Ermittlung des PL eines Subsystems nach dem vereinfachten Verfahren der EN ISO 13849-1

Waldkirch, 27 Sept. 2010

Seite 6 von 17

Anwendungsbeispiele zur Erläuterung der wichtigsten Aspekte Anhand von 2 Aufgabenstellungen und verschiedenen Lösungsvarianten soll die Verwen-

dung von Standardsensoren in Sicherheitsfunktionen bewertet werden.

Aufgabenstellung 1 – Überwachung der Schutztür eines Mahlwerks. Die Schutztür des Mahlwerks wird ca. 4 Mal pro Stunde betätigt. Die Sicherheitsfunktion soll das sofortige Abschalten des Mahlwerkmotors beim Öffnen der Tür gewährleisten. Die Risikoeinschätzung ergab einen erforderlichen Performance Level PLr = „d“.

Bild 6: Absicherung eines Mahlwerks mit Verriegelung der Schutztür in Aufgabenstellung 1

Lösungsvariante 1.1 – ein Magnetschalter für Sicherheitsfunktionen Es wird ein Näherungsschalter für Sicherheitsfunktionen als Sensor eingesetzt. Die Sicherheitskette besteht aus dem Sicherheitssensor, einer Logikeinheit und den leistungssteuernden Elementen zur Abschaltung der Gefahr bringenden Bewegung.

Für jedes dieser Subsysteme wird der erreichte PL ermittelt. Für die verwendeten Bauteile und Sicherheitsbauteile werden durch den Bauteilhersteller die notwendigen Daten und eingehaltene Normen angegeben (siehe Bild 7).

Bild 7: Sicherheitskette mit Subsystemen für Lösungsvariante 1.1 der Aufgabenstellung 1, deren Bewertung nach EN ISO 13849-1 und Angabe der relevanten Produktnormen Waldkirch, 27 Sept. 2010

Seite 7 von 17

Im Bild 7 ist zu erkennen, dass nicht für alle verwendeten Bauteile ein Performance Level PL vom Hersteller angegeben wird. Erst mit Bewertung der Struktur (Kategorie), der Diagnose- und Testmaßnahmen (DC), z.B. durch die Logikeinheit und der Maßnahmen gegen Ausfälle gemeinsamer Ursache (CCF), wird durch den Anwender der PL ermittelt.

Der Sensor ist an der Maschine so zu positionieren, dass eine Umgehung der Schutzmaßnahme (Manipulation) verhindert wird. Das in der Lösungsvariante 1.1 ermittelte Sicherheitsniveau ist PL = „e“ und liegt damit sogar über dem erforderlichen PLr = „d“. Ergebnis: Die Sicherheitsfunktion kann für die Absicherung verwendet werden.

Lösungsvariante 1.2 – ein induktiver Standardsensor Es soll ein einzelner induktiver Standardsensor für die Sicherheitsfunktion eingesetzt werden (Bild 8). Für den Sensor wird vom Hersteller ein MTTFd von 83 Jahren angegeben (MTTFd = „Hoch“ nach EN ISO 13849-1).

Der Sensor wurde nach der Produktnorm EN 60947-5-2 entwickelt. Somit kann unterstellt werden, dass die herstellerspezifischen grundlegenden Sicherheitsprinzipien eingehalten wurden (siehe Kasten Erläuterungen).

Bild 8: Sicherheitskette mit Subsystemen für Lösungsvariante 1.2, deren Bewertung nach EN ISO 13849-1 und Angabe der relevanten Produktnormen

Dieser Standardsensor ist in der Regel mit einer komplexen Elektronik ausgestattet (z.B. µC, ASIC, Transistorarrays). Vom Hersteller wird das Ausfallverhalten bei einem internen Fehler nicht angegeben. Dadurch ist dieser Sensor kein bewährtes Bauteil mit bewährten Sicherheitsprinzipien im

Waldkirch, 27 Sept. 2010

Sinne der EN ISO 13849-2 – eben ein Standardbauteil (siehe Kasten Erläuterungen). Die sicherheitstechnische Bewertung kann durch diese Einschränkung maximal Kategorie B bzw. Performance Level b ergeben, wenn das Bauteil den zu erwartenden Umgebungseinflüssen in der Applikation genügt (siehe Kasten Erläuterungen).

Seite 8 von 17

Ergebnis: Mit der Lösungsvariante 1.2 wird der geforderte Performance Level d trotz des hohen MTTFd–Wertes des Sensors nicht erreicht (siehe Bild 5). Durch eine zusätzliche externe elektrische Testung könnte zwar ein Teil der sicherheitsrelevanten Fehler aufgedeckt werden, eine Quantifizierung der Aufdeckung (DC) ist aber

nicht möglich, da der interne Aufbau und das Ausfallverhalten des Sensors nicht bekannt sind. Es wird sich also durch die Testung keine Änderung des Ergebnisses der sicherheitstechnischen Bewertung ergeben.

Lösungsvariante 1.3 – zwei identische, induktive Standardsensoren Zwei Sensoren aus Lösungsvariante 1.2 werden als zweikanaliger Eingangskreis verwendet. Die Logikeinheit dient der Diagnose und

prüft den Eingangskreis über die Plausibilität der Eingangssignale (beide Kanäle müssen immer identische Signalpegel haben).

Bild 9: Zwei identische Standardsensoren im zweikanaligen Eingangskreis in Lösungsvariante 1.3

Diese zweikanalige Struktur bietet in Kombination mit der Plausibilitätsprüfung durch die Logikeinheit eine verbesserte Diagnoseabdeckung gegenüber der einkanaligen Lösung. Die Prüfung erfolgt bei jeder Betätigung der Schutztür (ca. 4 Mal pro Stunde). Da kein dynamischer Test und keine Querschlusserkennung (Erkennung des Kurzschlusses der beiden Eingangskanäle) vorhanden sind, erreicht man einen mittleren Diagnosedeckungsgrad (DC 90 %) im Subsystem Sensoren + Logikeinheit. Ergebnis: Mit der Struktur einer Kategorie 3 und dem Waldkirch, 27 Sept. 2010

mittleren DC kann eventuell PL d erreicht werden (siehe Bild 5). Allerdings müssen Maßnahmen gegen das Auftreten von unerkannten Fehlern zur gleichen Zeit in beiden Kanälen des Eingangskreises, die zum Versagen der Sicherheitsfunktion führen, getroffen sein (siehe Kasten Erläuterungen CCF). Beispielsweise können Überspannungsspitzen auf den Sensorleitungen durch Schalten großer induktiver Lasten in der Nähe die Ursache für die gleichzeitige Zerstörung der Ausgangsschaltelemente der Sensoren sein (beide Kanäle bleiben auf „High“-Pegel).

Seite 9 von 17

Falls die CCF-Maßnahmen nicht ausreichend sind oder die Verhältnisse vor Ort nicht eingeschätzt werden können, darf die zweikanalige Struktur nur noch als einkanalige gewertet werden. Die erreichbare Kategorie wäre in diesem Fall wie bei Lösungsvariante 1.2 maximal B, da

auch die Kombination der zwei Standardsensoren nicht als bewährtes Sicherheitsprinzip geltend gemacht werden kann. Mit Lösungsvariante 1.3 kann der geforderte Performance Level d erreicht werden, wobei der Anwender die Einsatzbedingungen kennen und die Fehlereinflüsse bewerten muss.

Lösungsvariante 1.4 – zwei unterschiedliche Standardsensoren Gegenüber Lösungsvariante 1.3 wird die starke Maßnahme der diversitären Redundanz verwendet. Zwei Standardsensoren unterschiedlichen Typs (unterschiedlicher interner Aufbau) und

mit inversen Ausgangspegeln werden zweikanalig von der Logikeinheit überwacht (Bild 10). Die MTTFd-Werte beider Sensoren ergeben einen hohen Gesamt-MTTFd-Wert.

Bild 10: Zwei diversitäre Standardsensoren als zweikanaliger Eingangskreis in Lösungsvariante 1.4

Es liegt eine zweikanalige Struktur des Eingangskreises mit Plausibilitätsprüfung und Kurzschlusserkennung durch die Logikeinheitvor. Die Diagnoseabdeckung verbessert sich auf 99 % (DC = „Hoch“) und die Diversität trägt erheblich zur Abdeckung der Maßnahmen gegen CCF bei.

Waldkirch, 27 Sept. 2010

Ergebnis: Mit der Kategorie 4–Struktur, DC = „Hoch“, ausreichenden Maßnahmen gegen CCF und dem MTTFd = „Hoch“ kann sogar ein gesamter PL = „e“ erreicht werden (siehe Bild 5).

Seite 10 von 17

Aufgabenstellung 2 – Gefahrstellenabsicherung eines Stapelabnehmers

Die Aufgabenstellung 2 beschreibt eine Gefahrstellenabsicherung eines Stapelabnehmers in einer Backwarenstraße mit Hilfe eines Lichtvorhangs. Der erforderliche Performance Level PLr ist „c“. Neben dem Performance Level sind für den Lichtvorhang auch die optischen Eigenschaften wie Einflüsse von Fremdlicht, Umspiegelungen, u.s.w. zur Gewährleistung der Detektion zu berücksichtigen (siehe Tabelle 1). Bild 11: Absicherung eines Stapelabnehmers mit PLr = „c“ für Aufgabenstellung 2

Lösungsvariante 2.1 – Sicherheits-Lichvorhang Die Bauteile werden zunächst entsprechend

dem notwendigen Sicherheitsniveau ausgewählt (Bild 12).

Bild 12: Sicherheitskette mit Subsystemen für Lösungsvariante 2.1 der Aufgabenstellung 2, deren Bewertung nach EN ISO 13849-1 und Angabe der relevanten Produktnormen Die im Bild 12 gezeigten Subsysteme genügen zum Teil einem höheren Performance Level als notwendig. Als Sensor wird ein Sicherheits-Lichtvorhang Typ 2 nach IEC 61496 eingesetzt. Der Typ 2 ist bei optischen Schutzeinrichtungen das „optische Pendant“ zum Performance Level c. Die einkanalige Struktur und die verwendeten Bauteile genügen der Kategorie 1. Waldkirch, 27 Sept. 2010

Ergebnis: Der erforderliche Performance Level und die Anforderungen an die optischen Eigenschaften werden mit der Lösungsvariante 2.1 erfüllt. Vorausgesetzt wird hier, dass auch das Anwendungsprogramm der Logikeinheit (programmierbare Sicherheitssteuerung) den Erfordernissen der sicherheitsrelevanten Logik-

Seite 11 von 17

programmierung nach EN ISO 13849-1 entspricht. Die im Subsystem „leistungssteuernde Elemente“ von Bild 12 gezeigte einkanalige Ansteuerung der Schaltschütze ohne Rückführung hat einen DC = "Null". Der CCF ist nicht relevant, da eine einkanalige Struktur im Ausgangskreis vorliegt.

Der erforderliche PLr = „c“ wird aber erreicht, wenn das Schaltschütz als bewährtes Bauteil einen hohen MTTFd (≥ 30 Jahre) hat. Der MTTFd-Wert ergibt sich aus dem B10dWert und der Schalthäufigkeit (siehe Kasten Erläuterungen).

Lösungsvariante 2.2 – Standard-Lichtvorhang Es wird anstelle eines SicherheitsLichtvorhangs ein Standard-Lichtvorhang für die Sicherheitsfunktion eingesetzt (Bild 13).

Bild 13: Subsysteme für Lösungsvariante 2.2, deren Bewertung nach EN ISO 13849-1 und Angabe der relevanten Produktnormen Eine Produktnorm für die optischen Eigenschaften des Standard-Lichtvorhangs gibt es nicht. Die Kriterien für die Personendetektion und der funktionalen Sicherheit nach IEC 61496 wurden vom Hersteller bei der Entwicklung nicht berücksichtigt.

währtes Bauteil mit bewährten Sicherheitsprinzipien im Sinne der EN ISO 13849-2. Die optischen Eigenschaften dieses Standardsensors genügen nicht den Anforderungen der Normenreihe IEC 61496 für optoelektronische Schutzeinrichtungen für Personenschutz (siehe Tabelle 1).

Vom Hersteller kann das Ausfallverhalten bei einem internen Fehler nicht angegeben werden, da dieses Standardbauteil mit einer komplexen Elektronik ausgestattet ist (z.B. µC, ASIC). Somit ist auch dieser Sensor kein be-

Ergebnis: Mit der Lösungsvariante 2.2 wird der geforderte Performance Level c nicht erreicht. Auch eine externe Testung verbessert wie beim induktiven Standardsensor (Variante 1.2) dieses Ergebnis nicht.

Waldkirch, 27 Sept. 2010

Seite 12 von 17

Tabelle 1: Einige Anforderungen an optoelektronische Schutzeinrichtungen zur Personendetektion

Zusätzlich zu den Aspekten der funktionalen Sicherheit müssen generell bei BWS (berührungslos wirkende Schutzeinrichtungen) zur Personendetektion unbedingt die optischen Charakteristiken, die das Detektionsvermögen bestimmen, berücksichtigt werden!

Waldkirch, 27 Sept. 2010

Seite 13 von 17

Vor- und Nachteile des Einsatzes von Standardsensoren in Sicherheitsfunktionen Es ist möglich durch den Einsatz von Standardbauteilen in Sicherheitsanwendungen Materialkosten zu sparen. Allerdings muss der Anwender, wenn es um Personenschutz geht, tiefgreifende Kenntnis aller Einsatzbedingungen, der notwendigen Maßnahmen, der Sicherheitsmechanismen – sprich der Eignung des Bauteils für den Einsatz in Sicherheitskreisen haben. Speziell bei Verwendung nur eines Standardsensors in Anwendungen ab PL = „c“ ist sogar Kenntnis der internen Fehleraufdeckungsmechanismen notwendig, was bei komplexen Bauteilen in der Regel nicht realistisch ist.

Ohne die Anwendung eines besonderen Konformitätsbewertungsverfahrens nach Maschinenrichtlinie ist der Einsatz von StandardOptosensorik zur Detektion von Personen generell nicht möglich. Dies gilt sowohl für den Hersteller als auch für den Anwender! Für Standardbauteile werden die für Sicherheitsanwendungen relevante Normen vom Hersteller nicht berücksichtig und es können im Gegensatz zu Sicherheitsbauteilen im Sinne der Maschinenrichtlinie keine weiteren sicherheitstechnischen Kenngrößen (PL, SIL, PFHd, DC, …) angegeben werden.

Vorteile von Sicherheitsbauteilen:






Das Sicherheitsbauteil wurde vom Hersteller entsprechend dem Stand der Technik unter Berücksichtigung der relevanten Sicherheitsnormen und Einflussfaktoren für die Sicherheitsanwendung entwickelt und produziert. Das Ausfallverhalten eines Sicherheitsbauteils ist durch den Hersteller definiert. Durch die Hersteller wird für viele Arten von Sicherheitsbauteilen eine EGBaumusterprüfung bei einer notifizierten Stelle (TÜV, IFA) veranlasst.








Die Produkte im Feld werden vom Hersteller besonders beobachtet. Die sicherheitstechnischen Kenngrößen wie PL, SIL, PFHd, B10d, Kategorie zur Bewertung von Sicherheitskreisen werden durch den Hersteller zur Verfügung gestellt. Eine EG-Konformitätserklärung gemäß Maschinenrichtlinie ist beigefügt.

Fazit Mit den gezeigten Beispielen werden die prinzipiellen und wichtigsten Aspekte des Einsatzes von Standardsensoren für Sicherheitsfunktionen vorgestellt. Es ist erkennbar, dass auch mit einem guten (hohen) MTTFd-Wert nur ein kleiner Teil der notwendigen Kriterien und Maßnahmen abgedeckt ist. Optimierungen und weitere Maßnahmen beim Einsatz von Standardsensorik, die z.B. die Testung unterstützen, oder Fehlerausschlüsse, die die Verwendung erleichtern, sind denkbar und werden bereits praktiziert. Komponentenhersteller wie SICK und notifizierten Stellen wie die die IFA (ehemals BGIA) oder der TÜV stehen dafür beratend zur Verfügung.

Waldkirch, 27 Sept. 2010

Dem Maschinenhersteller ist in jedem Fall freigestellt Standardbauteile für Sicherheitsfunktionen zu verwenden. Der Nachweis der Eignung aller eingesetzten Bauteile für die Sicherheitsfunktionen gehört zu den Pflichten des Maschinenherstellers. Es ist erkennbar, dass der Nachweis dieser Eignung für Standardbauteile wesentlich schwieriger zu realisieren ist. In Tabelle 2 zeigt eine Zusammenfassung, die grob die prinzipiellen Möglichkeiten des Einsatzes von Standardsensoren in Sicherheitsfunktionen und die dafür erforderlichen Maßnahmen zeigt.

Seite 14 von 17

Tabelle 2: Empfehlung für die Anwendung von Standardsensoren in Sicherheitsfunktionen entspre1) chend EN ISO 13849-1 Standardbauteil Näherungssensoren z.B. induktive, kapazitive

bis PL = „a“

bis PL = „b“

Angaben vom Hersteller:
Einhaltung grundlegender2) Sicherheitsprinzipien
Datenblatt
Angabe von MTTFd bzw B10d Beachtung durch den Anwender:
Einhaltung grundlegender2) Sicherheitsprinzipien für die Implementierung
Einfluss der Umgebungsbedingungen (Temperatur, Feuchte, Wasser, Staub, elektromagnetische Beeinflussung, …) auf die Sicherheitsfunktion4)
Dokumentation4)

bis PL = „c“

bis PL = „d“

bis PL = „e“

Angaben vom Hersteller:
Einhaltung grundlegender2) Sicherheitsprinzipien
Datenblatt
Angabe des MTTFd bzw. B10d Beachtung durch den Anwender:
Einhaltung grundlegender2) und bewährter3) Sicherheitsprinzipien für die Implementierung
Anforderungen an die Kategorie, z.B. zweikanalige Struktur mit zwei Sensoren4)
Ermittlung/Sicherstellung des DC und Maßnahmen gegen CCF4)
Einfluss der Umgebungsbedingungen (Temperatur, Feuchte, Wasser, Staub, elektromagnetische Beeinflussung, …) auf die Sicherheitsfunktion4)
Dokumentation4)

Lichtschranken

Keine Anwendung für die Detektion von Personen5), sonst wie Näherungssensoren mit zusätzlicher Berücksichtigung der optischen Umgebungseinflüsse.

Lichttaster

Angaben vom Hersteller:
Einhaltung grundlegender2) Sicherheitsprinzipien
Datenblatt
Angabe von MTTFd Beachtung durch den Anwender:
Einhaltung grundlegender2) Sicherheitsprinzipien für die Implementierung
Einfluss der Umgebungsbedingungen (Temperatur, Feuchte, Wasser, Staub, elektromagnetische Beeinflussung, Licht…) auf die Sicherheitsfunktion4)
Dokumentation4)

Lichtgitter Laserscanner

Angaben vom Hersteller:
Einhaltung grundlegender2) und bewährter3) Sicherheitsprinzipien für die Implementierung
Datenblatt
Angabe von MTTFd Beachtung durch den Anwender:
Einhaltung grundlegender2) und bewährter3) Sicherheitsprinzipien für die Implementierung
Anforderungen an die Kategorie, z.B. zweikanalige Struktur mit zwei Sensoren4)
Ermittlung/Sicherstellung des DC und Maßnahmen gegen CCF4)
Einfluss der Umgebungsbedingungen (Temperatur, Feuchte, Wasser, Staub, elektromagnetische Beeinflussung, Licht…) auf die Sicherheitsfunktion4)
Dokumentation4)

1) Generell gehört der Nachweis der Eignung aller eingesetzten Bauteile für die Sicherheitsfunktionen zu den Pflichten des Maschinenherstellers. Für die Bewertung des Einsatzes von Standardbauteilen über diese Empfehlungen hinaus und für Optimierungen können z.B. notifizierte Stelle wie IFA oder TÜV einbezogen werden. 2) Grundlegende Sicherheitsprinzipien berücksichtigen seitens des Bauteilherstellers die anerkannten Regeln der Technik, die z.B. in Produktnormen beschrieben sind (Umgebungsbedingungen, Wirkprinzipien, …). Bei Entwicklung und Produktion wurden Maßnahmen zur Beherrschung der systematischen Fehler getroffen. Seitens des Anwenders sind u.a. die Einhaltung der spezifizierten Daten und die geeignete Befestigung zu beachten (siehe EN ISO 13849-2, Abschnitte A.2, B.2, C.2 D.2). 3) Bewährte Sicherheitsprinzipien sind Prinzipien, bei denen bestimmte Fehler durch Verwendung oder Auslegung von Bauteilen ausgeschlossen werden können durch z.B. Anwendung von Bauteilen mit definiertem Ausfallverhalten oder Zwangsführung/-öffnung oder Techniken wie Redundanz und Diversität (EN ISO 13849-2, Abschnitte A.3 und D.3). 4) Siehe EN ISO 13849-1, Abschnitt 10 bzw. Anhang G. 5) Für die Detektion von Personen werden in der IEC 61496 konkrete zusätzliche Anforderungen, z.B. an die EMV und die optischen Leistungsmerkmale gestellt. Innerhalb der EU ist nach Maschinenrichtlinie 2006/42/EG ein besonderes Konformitätsbewertungsverfahren erforderlich.

Waldkirch, 27 Sept. 2010

Seite 15 von 17

Quellen und Literatur: EN ISO 13849-1: Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze (ISO 13849-1:2006) EN ISO 13849-2: Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 2: Validierung (ISO 13849-2:2003) EN 62061: Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme (IEC 62061:2005) Normenreihe IEC 61496: Sicherheit von Maschinen – Berührungslos wirkende Schutzeinrichtungen Leitfaden Sichere Maschinen „In sechs Schritten zur sicheren Maschine“ DE, Artikelnummer 8008007 Download und Bestellung unter www.sick-safetyplus.com

Waldkirch, 27 Sept. 2010

Seite 16 von 17

Deutschland SICK Vertriebs-GmbH Willstätterstraße 30 40549 Düsseldorf Tel. +49 211 5301-301 Fax +49 211 5301-302 E-Mail [email protected] www.sick.de

Österreich SICK GmbH Straße 2A, Objekt M11, IZ NÖ-Süd 2355 Wiener Neudorf Tel. +43 22 36 62 28 8-0 Fax +43 22 36 62 28 85 E-Mail [email protected] www.sick.at

Schweiz SICK AG Breitenweg 6 6370 Stans Tel. +41 41 619 29 39 Fax +41 41 619 29 21 E-Mail [email protected] www.sick.ch

Mehr Safety Know-how unter: http://www.sick-safetyplus.com

Waldkirch, 27 Sept. 2010

Seite 17 von 17

Weltweit in Ihrer Nähe: Australien • Belgien/Luxemburg • Brasilien • China • Dänemark • Finnland • Frankreich • Großbritannien • Indien • Israel • Italien • Japan • Niederlande • Norwegen • Polen • Republik Korea • Rumänien • Russland • Schweden • Singapur • Slowenien • Spanien • Taiwan • Tschechische Republik • Türkei • USA • Vereinigte Arabische Emirate Standorte und Ansprechpartner unter: www.sick.com