Zur Startseite wechseln
Merk-/Anfrageliste 0 Merk-/Anfrageliste
Vergleichen 0 Vergleichen
0 0,00 €*

Steuerungsfunktionen

Steuerungstechnische Schutzmaßnahmen werden mit Sicherheitsfunktionen realisiert. Das sind Funktionen einer Maschine, deren Ausfall das Risiko erhöht, aber keine unmittelbaren Auswirkungen auf den Ablauf des Produktionsprozesses hat. Sicherheitsfunktionen werden aus Sicherheitsbauteilen aufgebaut und bestehen typischerweise aus einem Sensor, einer Steuerungslogik und einem oder mehreren Aktuatoren. Beispiel: Das Öffnen einer Schutztür, die durch einen Positionsschalter (Sensor) überwacht wird, erzeugt ein Signal zur Abschaltung (Logik) der Antriebe 1, 2 und 3 (Aktuatoren). 

Nach aktuellem Stand der Technik muss für jede verbaute Sicherheitsfunktion der erreichte Safety Performance Level PL nachgewiesen und mit dem durch die Risikoeinschätzung ermittelten erforderlichen PLr verglichen werden. Während die dafür nötigen Basisdaten für Sicherheitsbauteile heute leicht beschaffbar sind, liegen sie für ältere Steuerungen, Sensoren und Aktuatoren in der Regel nicht vor. Bereits die Einbindung von Sensoren mit Sicherheits-Funktionalität in eine Standard-SPS oder eine Relais-Steuerung (z.B. Not-Halt in Reihe mit betriebsmäßiger Start/Stopp-Schaltung) verbietet deren Bewertung im Sinne der funktionalen Sicherheit. Nur bei sicherheitsgerichteter Auslegung aller Bauteile einer Sicherheitsfunktion und klarer Trennung der Sicherheitsfunktionen von den Betriebsfunktionen kann eine PL-Berechnung zum Erfolg führen. 

Die Sicherheitstechnik verwendet verschiedene Prinzipien, die bei „normaler“ Auslegung einer Steuerung nicht zwangsläufig angewandt werden, z.B. 

  • Maßnahmen zur Erhöhung der Zuverlässigkeit von Funktionskanälen wie
    • Mehrkanaligkeit der Funktionskanäle mit Vergleich der Ergebnisse
    • Auswertung von Mehrfach-Signalen mit Sequenz- und/oder Zeiterwartung
    • Definiertes Ausfall- und Abschaltverhalten bei erkannten Fehlern
    • Anwendung bewährter Sicherheitsprinzipien (z.B. Ruhestrom-Prinzip)

  • Maßnahmen zur Diagnose durch
    • Vergleich der Ergebnisse von zwei Funktionskanälen oder
    • zyklische Testung eines Funktionskanals mit klarer Erwartungshaltung

  • Maßnahmen zur Minimierung von Entwurfsfehlern und Fehlern gemeinsamer Ursache bei der Entwicklung wie konsequentes Arbeiten nach V-Modell mit Safety Requirement Specification, Verifikation und Validierung.

 

Natürlich kann die reine Funktionalität von Sicherheitsfunktionen auch mit Standardtechnik realisiert werden, genauso wie sicherheitsgerichtet weiterzuverarbeitende Signale fälschlicherweise durch eine Standard-Steuerung erzeugt werden können. Es spricht zwar für deren Kanalzuverlässigkeit, wenn diese Funktionen langjährig intakt bleiben und deren falsches Design somit nicht zur Wirkung kommt. Sie können dennoch jederzeit unerkannt gefährlich ausfallen ⟹ Zu korrekter Sicherheitstechnik nach dem aktuellen Stand der Technik führt diese Auslegung von Sicherheitsfunktionen nicht. Allenfalls wird PL a mit Kat. B erreicht, was für praktisch keine an Maschinen verwendete Sicherheitsfunktion ausreicht.

Betriebsartenwahl

Von Maschinen dürfen während des Betriebes keine signifikanten Risiken ausgehen. Diese Anforderung der Maschinenrichtlinie MRL (für Hersteller) und der Betriebssicherheitsverordnung BetrSichV (für Betreiber) gilt für alle Lebens- und Betriebsphasen und Verwendungen. Es ist deshalb nicht ausreichend, dass Schutzeinrichtungen nur im Normalbetrieb (Automatikbetrieb) wirksam sind. Auch beim Einrichten, bei der Störungsbeseitigung, der Wartung, der Reparatur, etc. darf es nicht zu inakzeptabel hohen Risiken kommen.

Während Hersteller unsichere Maschinen in Europa nicht in Verkehr bringen dürfen, sind Betreiber laut BetrSichV dazu verpflichtet, ggf. unsichere Arbeitsmittel in ihren Betrieben mit (in dieser Reihenfolge) technischen, organisatorischen und personengebundenen Mitteln nachzurüsten, bis ein akzeptabel niedriges Restrisiko erreicht ist. Die persönliche Verantwortung dafür hat der zuständige „Arbeitgeber“ des Betreibers im Sinne der BetrSichV.

Sind Maschinen nicht in allen relevanten Verwendungen hinreichend sicher auslegbar oder aktuell ausgelegt, muss das Risiko durch weitere Schutzmaßnahmen reduziert werden. Eine mögliche Maßnahme ist die manuelle Betriebsarten-Umschaltung, durch die

  • entweder relevante Kenngrößen der Maschine (z.B. Geschwindigkeiten, Drehmomente) sicher an die jeweils prozessbedingt aktiven bzw. funktionsbeschränkten Schutzeinrichtungen angepasst werden
  • oder Schutzeinrichtungen den jeweils vorhandenen Maschinenparametern anpasst werden, z.B. durch Umschaltung des aktiven Schutzfelds oder anderer Parameter der Schutzeinrichtungen.

Die Betriebsartenwahl ist allen anderen Steuerungsfunktionen außer Not-Halt übergeordnet.

 

Üblicherweise werden Betriebsarten unterschieden in

Betriebsart 1 – Automatikbetrieb / Normalbetrieb:
In dieser Betriebsart kann es zu besonders hohen Risiken für den Bediener kommen. Hier sind in der Regel alle an der Maschine vorhandenen trennenden und nicht trennenden Schutzeinrichtungen aktiv. Bei Annäherung an gefährliche Bewegungen sorgen die Schutzeinrichtungen aufgrund des Sicherheitsabstands dafür, dass diese Bewegungen nicht erreicht werden können oder zum Stillstand kommen, bevor die Gefahrstelle erreicht wird. Alternativ können Schutzeinrichtungen erst nach dem Anhalten der gefährlichen Bewegungen der Maschine geöffnet werden (Zuhaltung).

Die Risikominderung erfolgt durch Limitierung der Risikoparameter E – Exposition (trennende Schutzeinrichtungen) und O – Occurence (nicht trennende Schutzeinrichtungen). Während an die Prozess-Steuerung keine besonderen Sicherheitsanforderungen gestellt werden, muss die Auswertung und Einbindung der Schutzeinrichtungen sicher entsprechend dem aus der Risikobeurteilung abgeleiteten Safety Performance Level PLr erfolgen.

Betriebsart 2 – Einrichtbetrieb:
In dieser Betriebsart werden Maschinen für den späteren Automatikbetrieb vorbereitet. Der Begriff „Einrichtbetrieb“ deckt somit ggf. auch „Störbeseitigung“ und „Wartung“, „Teachen“ und „Umrüsten“ ab. Müssen in dieser Betriebsart Schutzeinrichtungen in ihrer Wirkung reduziert (z.B. verkleinertes Schutzfeld) oder komplett aufgehoben (überbrückt) werden, dann müssen betroffene Maschinenfunktionen entsprechend sicher eingeschränkt werden. Zu diesen Maßnahmen gehört, dass

  • alle relevanten Bewegungen nur im Tippbetrieb durch manuelle hinreichend sichere Stellelemente ausgelöst werden müssen und beim Loslassen des Stellelements sofort (Drehbewegungen nach max. 2 Umdrehungen) zum Stehen kommen,
  • die Geschwindigkeit der relevanten Linearachsen 2 m / min = 33 mm / s nicht überschreitet,
  • die Bediener für diese Betriebsart speziell geschult sind und deshalb die Risiken kennen,
  • Ein dem Einrichtbetrieb vergleichbarer Zugang zu gefährlichen Maschinenfunktionen ohne Risikominderung ist nicht durch Manipulation von sicherheitsrelevanten Sensoren möglich.

Die Risikominderung im Einrichtbetrieb erfolgt durch Vermeidung (Risikoparameter A – Avoidance). Voraussetzung dafür ist, dass die Beschränkung von Maschinenfunktionen sicher, d.h. mit dem aus der Risikobeurteilung abgeleiteten Safety Performance Level PLr, erfolgt. Die Begrenzung von Drehzahl und Geschwindigkeit der Antriebe muss deshalb sicher überwacht werden, die Steuerung im Tippbetrieb muss entsprechend PLr abgesichert erfolgen.

Betriebsart 3 – Erweiterter manueller Eingriff:
Diese Betriebsart dient zur Bearbeitung unter speziellen Bedingungen, z.B. wenn der Prozess manuell gesteuert werden muss, aber schlecht einsehbar ist. Hier ist ein manuelles Eingreifen durch den Bediener nötig und erlaubt. Im Gegensatz zum Automatikbetrieb in Betriebsart 1 kann der Prozess mit eingeschränkten oder teilweise deaktivierten Schutzeinrichtungen gesteuert werden, wenn

  • die Auswahl der Maschinenfunktionen gegenüber dem Automatikbetrieb eingeschränkt ist,
  • automatisch arbeitende Maschineteile, z.B. Zuführungen, außer Betrieb sind,
  • die Bedienung im Arbeitsraum über ein Handbediengerät erfolgt,
  • die Bediener für diese Betriebsart entsprechend geschult sind und die Risiken kennt,
  • das Handbediengerät über eine Not-Halt-Einrichtung und einen Zustimmtaster verfügt, bei dessen Loslassen alle relevanten Bewegungen sofort stoppen, Drehbewegungen nach max. 5 Umdrehungen,
  • die Geschwindigkeit von Linearachsen 5 m / min = 83 mm / s nicht überschreitet.

Die Risikominderung erfolgt durch Limitierung des Risikoparameters E – Exposition (eine Hand befindet sich am Zustimmtaster des Handbediengeräts, mit der anderen wird gesteuert) und Vermeidung (Risikoparameter A – Avoidance) durch Begrenzung der Geschwindigkeit. Voraussetzung dafür ist, dass die Beschränkungen sicher, d.h. mit dem aus der Risikobeurteilung abgeleiteten Safety Performance Level PLr, erfolgen. Die Begrenzung von Drehzahl und Geschwindigkeit der Antriebe muss deshalb sicher überwacht werden, die Einschränkung bei der Auswahl möglicher Maschinenfunktionen muss sicher erfolgen ⟹ dazu ist eine sichere Steuerung erforderlich.

 

Wenn jede Betriebsart in sich funktional sicher im Sinne von „Safety“ wäre, könnte die Umschaltung zwischen den Betriebsarten ohne besondere sicherheitstechnische Maßnahmen erfolgen. Da an die Bediener in den Sonderbetriebsarten 2 und 3 aber spezielle Anforderungen gestellt werden, muss sichergestellt werden, dass nur die dafür vorgesehenen Bediener die Umschaltung der Betriebsart vornehmen. Deshalb sind zusätzlich Security-Maßnahmen erforderlich. Die Betriebsartenwahl lässt sich unterteilen in das

  • Zugangssystem, beschränkt den Zugang auf eine bestimmte Personengruppe, z.B. als Schlüssel, elektronisches Schlüsselsystem, Kennwort; hat ausschließlich Berechtigungsfunktion
  • Auswahlsystem, z.B. Stellteil, Befehlsgerät, Wahlschalter zur sicheren Auswahl einer für die Person zulässigen Betriebsart
  • Aktivierungssystem, z.B. Zustimmtaster, 2-Hand-Bedienung über sichere Eingänge einer Steuerung

 

Wenn das Zugangssystem nicht sicherheitsgerichtet ausgeführt ist, müssen das Auswahl- und Aktivierungs- System sicherheitsgerichtet ausgeführt sein. Der Betriebsarten-Wahlschalter als Zugangssystem muss allen anderen Steuerungs- und Betriebsfunktionen außer Not-Halt übergeordnet sein. Zusätzlich gilt

  • Der Wahlschalter ist nur mit einem Schlüssel oder vergleichbarer Technologie, z.B. codierter RFID-Transponder, zu bedienen.
  • Der Wahlschalter ist in jeder, deutlich erkennbaren, Stellung abschließbar bzw. so blockierbar, dass eine Umschaltung ohne entsprechende Zugangsberechtigung ausgeschlossen ist.
  • Vom Betätigungsplatz des Wahlschalters aus lassen sich alle in der gewählten Betriebsart betriebenen Maschinenteile steuern.
  • Falls an einer Maschine mehrere Zugangssysteme für dieselben Betriebsarten vorhanden sind, müssen diese gegeneinander verriegelt sein, wenn durch unzulässige Umschaltung Risiken erhöht werden.

Ein elektromechanischer Betriebsarten-Wahlschalter muss in jeder Stellung abschließbar sein.
Die Betriebsarten-abhängig zu bewegenden Maschinenteile müssen sich vom Betätigungsplatz des Wahlschalters aus steuern lassen

Zustimmeinrichtungen

Die Zustimmungsfunktion ist eine, insbesondere für die Betriebsart 3 „Erweiterter manueller Eingriff“ vorgesehene, manuell aktivierte Verriegelungsfunktion, die

  • bei korrekter Betätigung erlaubt, mit einer separaten Startsteuerung einen Maschinenzyklus einzuleiten
  • und beim Beenden der Betätigung eine Stoppfunktion einleitet
  • und bei Nichtbetätigung die Einleitung einer Maschinenbewegung verhindert.

 

Eine Zustimmeinrichtung muss so aufgebaut sein, dass die Möglichkeit sie zu umgehen minimiert wird, z.B. indem die Zustimmeinrichtung deaktiviert werden muss, bevor ein erneuter Maschinenzyklus eingeleitet werden kann. Zustimmeinrichtungen müssen so ausgewählt werden, dass sie:

  • nach ergonomischen Grundsätzen konstruiert sind,

  • für einen Typ mit zwei Stellungen:
    • Stellung 1: Aus-Funktion des Schalters (Bedienteil ist nicht betätigt);
    • Stellung 2: Freigabe-Funktion (Bedienteil ist betätigt);

  •  für einen Typ mit drei Stellungen:
    • Stellung 1: Aus-Funktion des Schalters (Bedienteil ist nicht betätigt);
    • Stellung 2: Freigabe-Funktion (Bedienteil ist betätigt und in seiner Mittelstellung);
    • Stellung 3: Aus-Funktion (Bedienteil ist über seine Mittelstellung hinaus betätigt);
    • wenn von der Stellung 3 in die Stellung 2 zurückgegangen wird, ist die Freigabe-Funktion nicht aktiviert.