Ventilsystem Av In Einer Sicherheitsgerichteten Steuerungskette; Allgemeine Präambel (Haftungsausschluss); Der Prozess Zur Sicheren Maschine: Die Risikobeurteilung; Informationen Zu Den Beispielen - Emerson AVENTICS AV Notice D'instruction

3 Ventilsystem AV in einer sicherheitsgerichteten
Steuerungskette
3.1 Allgemeine Präambel (Haftungsausschluss)
Die in dieser Anleitung dargestellten Beispiele stellen einen Ausschnitt einer si-
cherheitsrelevanten Steuerung dar. Diese Beispiele zeigen die Prinzipien und
nicht immer alle notwendigen Bauteile. Für Anwendungen in Maschinen können
weitere Bauteile und Beurteilungen notwendig sein. Die Angaben entbinden den
Verwender nicht von eigenen Beurteilungen und Prüfungen. Es ist zu beachten,
dass unsere Produkte einem natürlichen Verschleiß- und Alterungsprozess unter-
liegen.

3.2 Der Prozess zur sicheren Maschine: die Risikobeurteilung

Die Risikobeurteilung
• muss vom Maschinenhersteller vorgenommen werden, ihre Ergebnisse ver-
bleiben beim Hersteller
• muss die bestimmungsgemäße Verwendung und auch jede vorhersehbare
Fehlanwendung der Maschine berücksichtigen
• bildet für den Maschinenhersteller eine wichtige Nachweisquelle, wenn es zu
möglichen Haftungsansprüchen aufgrund eines Unfalls kommt
Start
Grenzen der Maschine bestimmen
Risikoeinschätzung
Konstruktive Schutzmaßnahmen
Maschine sicher?
ja
Technische Schutzmaßnahmen
Maschine sicher?
ja
Instruktive Maßnahmen ausgeschöpft?
ja
Ende
Auswahl der Sicherheitsfunktion
Eigenschaften der
Sicherheitsfunktion festlegen
Bestimmung des PL
r
Gestaltung und technische
Realisierung der Sicherheitsfunktion
Bestimmung des PL
Kategorie MTTF DC
D
Abb. 1: Prozess zur Risikobeurteilung und Bestimmung des PL
In dieser Anleitung konzentrieren wir uns innerhalb des Prozesses der Risikobeur-
teilung auf die Umsetzung von technischen Schutzmaßnahmen zur Risikominde-
rung, auf die Bewertung der Sicherheitsfunktion und das Bestimmen ihres Perfor-
mance Levels. Die Abbildung zeigt Ihnen den notwendigen Prozess zur Risikobe-
urteilung. In Abhängigkeit von der Steuerungsarchitektur (Kategorie), der Mean
Time To dangerous Failure (MTTF
Fehlern gemeinsamer Ursache (CCF) muss der Performance Level (PL) mindes-
tens dem erforderlichen Performance Level (PL

3.3 Informationen zu den Beispielen

Die drei folgenden Beispiele zeigen:
• Beispiel 1: Gefährdung durch unerwarteten Anlauf, PL
• Beispiel 2: Gefährdung durch unerwarteten Anlauf, verbleibende kinetische
Energie, PL = c
r
• Beispiel 3: Gefährdung durch unerwarteten Anlauf, PL
schluss
AVENTICS™ AV | R412018148-BAL-001-AB | Deutsch
nein
z. B. inhärente Sicherheit
nein
z. B. trennende Schutzeinrichtung
und Sicherheitsfunktion
nein
Benutzerinformationen an der
Maschine und im Handbuch
PL ≥ PL
CCF
r
r
), dem Diagnosedeckungsgrad (DC) und den
D
) entsprechen.
r
= e
r
= d mit Fehleraus-
r

3.3.1 Systematik der Beispiele

Die Systematik der Beispiele orientiert sich am Schlüssel für die Kennzeichnung
von Teilen der Sicherheitsfunktionen aus dem Entwurf VDMA 66416:2016-01.
Die allgemeine Beschreibung ist wie folgt:
Vorbemerkung
Beschreibung der Randbedingungen:
• Maschinentyp, Betriebsart, ...
• Gefährdung durch ...
• Risikoparameter nach DIN EN ISO 13849-1:2016-06
• PL
r
Steuerungstechnische Maßnahmen (Sicherheitsfunktionen) und weitere Maß-
nahmen zur Risikoreduzierung:
• Name der Sicherheitsfunktion
• Name der Sicherheitsfunktion
• ...
Input
Auslösendes Ereignis:
• Abfrage von Zuständen von Sicherheitseinrichtungen und
• Überwachung von Ereignissen
Beispiele: Zustimmungseinrichtung, Not-Halt, Sicherheitsschalter, Schlüssel-
schalter,
• Lichtgitter, Sicherheits-Druckschalter, ...
Logik
Evaluierung der Sicherheitsfunktion:
• Abschalten der Energiezufuhren, Sicherheitsrelais, Sicherheits-SPS
Output
Sicherheitsgerichtete Reaktion:
• Beispiele: Fluidventile, Schütze, Regler, Bremsen, ...
3.3.2 Technische Schutzmaßnahmen
Wenn die Sicherheit einer Maschine von einer korrekt funktionierenden Steue-
rung abhängt, spricht man von „funktionaler Sicherheit". Die „aktiven" Teile der
Steuerung stehen im Vordergrund, d. h. Komponenten, die die gefährliche Situa-
tion erkennen (Signalerfassung, „I" = Input), daraus geeignete Reaktionen ablei-
ten (Auswertung, „L" = Logik) und dann zuverlässig Maßnahmen umsetzen (Aus-
führung, „O" = Output). Der Begriff „Steuerung" beinhaltet also das gesamte Si-
gnalverarbeitungssystem.
Die „sicherheitsbezogenen Teile einer Steuerung (SRP/CS)" sind nicht
zwangsläufig „Sicherheitsbauteile" nach Maschinenrichtlinie. SRP/CS
(Safety Related Part of a Control System) können aber derartige Si-
cherheitsbauteile sein, z. B. Zweihandsteuerungen oder Logik-Einhei-
ten mit Sicherheitsfunktion. Antriebe (Zylinder), die Energieversor-
gung (wie die Druckversorgung oder Wartungseinheiten) und Verbin-
dungen gehen nicht direkt in die Abschätzung der Gefahr bringenden
Ausfallwahrscheinlichkeiten ein.
1
SRP/CS
a
I
Sensor
Signalerfassung zur
Erkennung der Gefährdung
(Opto-)Elektronik Elektronik
z. B. Not-Aus, Zweihandbedienung, Schutz- Sicherheitsrelais, Verdrahtung, Sicherheits-
tür, Trittmatte, Lichtgitter, Laserscanner, SPS, sichere pneumatische Logik, ...
Zustimmtaster, Betriebsartenwahlschalter,
Kamerasysteme, ...
I Eingang
1 Startereignis, z. B. manuelle 2 Antriebselement der Maschine
L Logik
Betätigung eines Tasters,
O Ausgang Öffnung einer trennenden
Schutzeinrichtung
Abb. 2: Fokus auf sicherheitsbezogene Teile einer Steuerung (SRP/CS nach ISO
13849-1)

3.4 Beispiel 1 mit PLr = e

Beispiel 1, in Anlehnung an VDMA 66416:2016-01, Nummer 2.1.1.1 und 2.2.1.1
i i
ab bc
2
SRP/CS SRP/CS
b c
„aktive Teile"
L O
Logik Aktor
Auswertung Ausführung
der Gefährdung der Reaktion
Pneumatik
z. B. begrenzte oder sichere Geschwindig-
keit, Druck und Kraft reduzieren, Energie
frei schalten, sichere Bewegungsrichtung,
Anhalten oder Blockieren der Bewegung
4