Gruppensicherheitsstandards / ISO 13849-1 | EMEA
Inhalt
1. Status von ISO 13849-1 in den Risikobewertungsverfahren
2. Was sind sicherheitsbezogene Teile von Steuerungen (SRP/CS)?
3. Was ist der Performance Level (PL)?
4. Konstruktionsverfahren für sicherheitsbezogene Teile von Steuerungen gemäß ISO 13849-1
5. Verfahren zur Bewertung des Performance Level
6. Beispiele für die Berechnung des Performance Level in ISO 13849-1
7. Beispiele für die Berechnung des Performance Level in ISO/TR 23849
ISO 13849-1 ist eine der wichtigsten Sicherheitsgruppenstandards (Typ-B-Standards), bei denen es sich um internationale Sicherheitsstandards handelt, und enthält Anforderungen an sicherheitsbezogene Teile von Steuerungssystemen. Diese Norm legt die Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (Leistungsniveau) eines Systems fest, die erforderlich ist, wenn das Steuerungssystem als Maßnahme zur Risikominderung eingesetzt wird.
Diese Norm gilt nicht nur für elektrische/elektronische Systeme, sondern auch für öl-/pneumatische Systeme. Sie wird daher beispielsweise von Maschinenherstellern, Maschinenanwendern und Dienstleistern sowie von Organisationen im Bereich Gesundheit und Sicherheit häufig verwendet und gilt als wichtige Norm für die Konstruktion und Bewertung sicherheitsrelevanter Teile von Steuerungssystemen.
1. Status von ISO 13849-1 im Risikobewertungsprozess
Verfahren zur Verbesserung der Maschinensicherheit beginnen mit der Durchführung einer Risikobewertung gemäß ISO 12100, deren Ergebnis dann für einen Risikominderungsprozess verwendet wird, der als 3-Stufen-Methode bezeichnet wird und aus „inhärent sicheren Konstruktionsmaßnahmen“, „Sicherungs- und ergänzenden Schutzmaßnahmen“ sowie der Bereitstellung von „Informationen zur Verwendung“ besteht. Wenn in diesem Prozess ein Steuerungssystem zur Risikominderung eingesetzt wird, gilt diese Norm für die Konstruktion und Validierung der sicherheitsbezogenen Teile des Steuerungssystems (siehe Abbildung 1). Da diese Norm ISO 13849-1 nur sicherheitsbezogene Teile von Steuerungssystemen abdeckt, müssen andere Schutzmaßnahmen, einschließlich der Konstruktion und Installation von Schutzvorrichtungen, auf der Grundlage anderer Normen konzipiert werden. Es ist zu beachten, dass nicht alle Aspekte der Risikominderung allein durch diese Norm abgedeckt werden können.
2. Was sind die sicherheitsbezogenen Teile von Steuerungssystemen?
Die Steuerungssysteme von Maschinen können in „sicherheitsbezogene Teile“ und „nicht sicherheitsbezogene Teile“ unterteilt werden.
„Der sicherheitsbezogene Teil eines Steuerungssystems“ ist definiert als „ein Teil eines Steuerungssystems, der auf sicherheitsbezogene Eingangssignale reagiert und sicherheitsbezogene Ausgangssignale erzeugt“. Im Fall eines industriellen Robotersystems, wie in den Abbildungen 2 und 3 dargestellt, sind beispielsweise die sicherheitsbezogenen Teile des Steuerungssystems wie folgt:
・Der sicherheitsbezogene Eingangssignalteil, der übermittelt, dass sich Personen außerhalb der Schutzvorrichtung befinden, die Tür geschlossen und durch den Verriegelungsschalter verriegelt ist
・Der sicherheitsbezogene Eingangssignalteil, der übermittelt, dass der Not-Aus-Schalter nicht gedrückt ist (kein Problem)
・Der sicherheitsrelevante Logikteil, der das oben genannte Eingangssignal und den sicheren Zustand im Sicherheitsrelaismodul (Sicherheitssteuerung) bestätigt und feststellt, dass der Roboter gestartet werden kann ・Der sicherheitsrelevante Ausgangssignalteil, der als Reaktion auf die Feststellung durch den sicherheitsrelevanten Logikteil den Roboter durch Ein-/Ausschalten des Sicherheitsschützes startet/stoppt„Nicht sicherheitsrelevante Teile” sind Teile, die beispielsweise die Bewegungsgeschwindigkeit und die Positionierung eines Roboterarms steuern und nur betrieben werden können, wenn bestätigt wurde, dass die sicherheitsrelevanten Teile den Roboter ohne Probleme starten können. Die Norm (ISO 13849-1) legt Anforderungen an „sicherheitsrelevante Teile” von Steuerungssystemen fest (siehe Abbildung 3).
Sicherheitsrelevante Teile eines Steuerungssystems werden auch als SRP/CS bezeichnet. SRP/CS, eine Abkürzung für „sicherheitsrelevanter Teil eines Steuerungssystems“, wird nicht nur für die sicherheitsrelevanten Teile eines Steuerungssystems als Ganzes verwendet, sondern auch für die einzelnen Eingänge, Logikfunktionen oder Ausgänge (siehe Abbildung 4).
3. Was ist das Leistungsniveau (PL)?
Das Leistungsniveau wird definiert als „ein diskretes Niveau, das verwendet wird, um die Fähigkeit sicherheitsrelevanter Teile von Steuerungssystemen (SRP/CS) zur Ausführung einer Sicherheitsfunktion (*) unter vorhersehbaren Bedingungen anzugeben“ und entsprechend der „durchschnittlichen Wahrscheinlichkeit eines gefährlichen Ausfalls pro Zeiteinheit“ kategorisiert, ausgedrückt als PFHD.
Wie Tabelle 1 zeigt, wird es in fünf Stufen von PL= a bis PL = e unterteilt, wobei PL = e die geringste Ausfallwahrscheinlichkeit angibt. PL = a bedeutet beispielsweise, dass ein gefährlicher Ausfall mit einer Wahrscheinlichkeit von 1 zu 100.000 oder mehr und weniger als 1 zu 10.000 auftreten kann, wenn die Maschine eine Stunde lang in Betrieb ist. PL ist ein Indikator für eine Sicherheitsfunktion, die durch das Steuerungssystem eine Risikominderung in der Maschine erzielt.
* Sicherheitsfunktion: Eine Funktion der Maschine, deren Ausfall zu einer unmittelbaren Erhöhung des Risikos/der Risiken führen kann (ISO 13849-1).
Was ist der Performance Level (PL)?
Leistungsstufe (PL) | Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Zeiteinheit, PFHD (1/h) |
a | ≥10-5 und <10-4 |
b | ≥3 × 10-6 und <10-5 |
c | ≥10-6 und <3 × 10-6 |
d | ≥10-7 und <10-6 |
e | ≥10-8 und <10-7 |
Das Performance Level (PL) basiert auf einer Schaltungsstruktur von SRP/CS entsprechend der Kategorie (Cat), berücksichtigt jedoch auch andere Faktoren, die die Zuverlässigkeit des verwendeten Geräts anzeigen, nämlich MTTFD (die mittlere Zeit bis zum gefährlichen Ausfall), DC (Diagnosedeckung), die das Verhältnis der von SRP/CS erkannten gefährlichen Ausfälle im System angibt, und CCF (Ausfälle aufgrund gemeinsamer Ursachen), die mehrere unabhängige Ausfälle aufgrund einer einzigen Ausfallursache darstellt; somit wird sie durch die vier Faktoren bestimmt. Daraus lässt sich PL wie in Abbildung 5 beschreiben.
4. Entwurfsprozess für sicherheitsbezogene Teile von Steuerungen (SRP/CS) gemäß ISO 13849-1
Bei der Herstellung einer Maschine werden die Sicherheit, die Risikobewertung und die Risikominderung gemäß ISO 12100 verfolgt.
Wenn ein Steuerungssystem im Prozess der Risikominderung verwendet wird, wird die Gültigkeit durch Anwendung von ISO 13849-1 und Befolgung des in Abbildung 6 dargestellten Verfahrens bewertet.
Im nächsten Abschnitt wird das Verfahren im Detail erläutert.
5. Verfahren zur Bewertung des Leistungsniveaus
Abbildung 7 zeigt die Methode zur Bestimmung des Leistungsniveaus (PL), bei dem eine Risikominderung mithilfe eines Kontrollsystems angestrebt wird.
5.1. Bestimmung des erforderlichen Leistungsniveaus (PLr)
Schätzen Sie PLr * mithilfe der in Abbildung 8 dargestellten Risikodiagrammmethode.
Erforderliches Leistungsniveau (PLr) „Leistungsniveau, das angewendet wird, um die erforderliche Risikominderung für jede Sicherheitsfunktion zu erreichen“
ISO 13849-1 befasst sich nur mit den allgemeinen Grundsätzen der SRP/CS-Konstruktion und basiert daher auf der Annahme, dass andere Schutzmaßnahmen als Steuerungssysteme, einschließlich Schutzvorrichtungen, gemäß ISO 12100 ordnungsgemäß umgesetzt werden. Auf dieser Grundlage geht die Risikoschätzung von einem Fall aus, in dem ein gefährlicher Ausfall in einem der zu bauenden Steuerungssysteme auftritt. Denken Sie beispielsweise an einen Fall, in dem das Öffnen der Tür einer Schutzvorrichtung die Gefahr im Inneren nicht stoppt. In diesem Fall ・Wählen Sie für S, wenn ein Bediener oder eine andere Person aufgrund des gefährlichen Ausfalls eine Verletzung erleidet, entweder „S1 (leichte Verletzung)” oder „S2 (schwere Verletzung)”. ・Für F wählen Sie zwischen „selten” und „häufig” hinsichtlich der Häufigkeit des in S erlittenen Schadens. ・Für P wählen Sie zwischen „möglich” und „unmöglich” hinsichtlich der Möglichkeit, die Gefahr zu vermeiden.
Das Ergebnis, ausgewählt aus den Stufen a bis e, stellt das erforderliche Leistungsniveau (PLr) dar. Wie Abbildung 6 zeigt, bedeutet PLr = a, dass der zu bauende Steuerkreis nur ein geringes Maß an Risikominderung gewährleisten muss. Wenn hingegen PLr = e ausgewählt wird, muss der zu bauende Steuerkreis ein höheres Maß an Risikominderung gewährleisten. Beachten Sie, dass das auf diese Weise ermittelte PLr mit dem tatsächlich berechneten PL-Ergebnis verglichen wird, um festzustellen, ob es für das Risiko von Gefahren, die durch SRP/CS behandelt werden müssen, angemessen ist.
5.2. Festlegung der Kategorie
Die Kategorie ist definiert als „Klassifizierung der sicherheitsrelevanten Teile eines Steuerungssystems hinsichtlich ihrer Fehlerresistenz (Fehlerfestigkeit) und ihres nachfolgenden Verhaltens im Fehlerzustand, die durch die strukturelle Anordnung der Teile, die Fehlererkennung und/oder ihre Zuverlässigkeit erreicht wird”. Das heißt, die Kategorie ist eine Anforderung an die Sicherheitsfunktionen, die zur Bestimmung der Schaltungsstruktur eines sicherheitsrelevanten Teils eines Steuerungssystems verwendet wird. Die Kategorie wird als „vorgeschriebene Architektur“ bezeichnet und, wie später erläutert, in fünf Typen unterteilt: Kategorien B, 1, 2, 3 und 4.
Abbildung 9 zeigt den Zusammenhang zwischen dem erreichten PL und der Kategorie, DCavg und MTTFD. Diese Abbildung 9 dient zur Bestimmung der Kategorie für den Aufbau eines Steuerungssystems mit einem PL, der dem erforderlichen PLr entspricht oder darüber liegt.
Wenn beispielsweise ein System mit PL = c wie in Abbildung 10 dargestellt entworfen wird, kann eine der Kategorien 1–3 für die Struktur (Architektur) ausgewählt werden.
5.2.1. Anforderungen für jede Kategorie
1) Kategorien B und 1
Die vorgesehene Architektur für die Kategorien B und 1 ist in Abbildung 11 dargestellt. Beide Kategorien haben die gleiche Architektur. In beiden Fällen gibt es keine Fehlerdiagnosefunktion, und die Signale werden in einer Richtung von I (Eingang) zu O (Ausgang) übertragen. Beachten Sie, dass die MTTFD der Kategorie 1 länger sein muss als die der Kategorie B. Das bedeutet, dass die Kategorie 1 eine geringere Wahrscheinlichkeit für gefährliche Ausfälle und den Verlust einer Sicherheitsfunktion aufweist. Da die Kategorien B und 1 keine Fehlerdiagnosefunktion haben, müssen DCavg (Diagnosedeckung) und CCF (Gemeinsame Fehlerursache) bei der Berechnung des PL nicht berücksichtigt werden.
2) Kategorie 2
Die vorgesehene Architektur für Kategorie 2 ist in Abbildung 12 dargestellt.
Diese Architektur verfügt über eine Fehlerdiagnosefunktion als zusätzliches Merkmal. Sie wird als TE (Test Equipment) bezeichnet. Die Ausgabe dieses Testgeräts wird als OTE (Output of TE) bezeichnet. TE diagnostiziert I, L und O, und jeder Fehler wird an OTE ausgegeben. In einigen Fällen ist TE in L enthalten.
Da Kategorie 2 über eine Fehlerdiagnosefunktion verfügt, müssen DCavg (Diagnosedeckung) und CCF (Fehler durch gemeinsame Ursache) berücksichtigt werden.
3) Kategorie 3
Die für Kategorie 3 vorgesehene Architektur ist in Abbildung 13 dargestellt.
Diese Architektur verfügt über redundante Signalpfade, wobei die Eingangssignale sich gegenseitig auf Signalabweichungen (Fehler) überwachen, und zwar durch die gegenseitige Überwachung von L1 und L2 (Logik). O1 und O2 (Ausgang) werden von L1 und L2 (Logik) überwacht, die eine Rückprüfung durchführen, indem sie die Ausgangssignale mit den Ausgangsbedingungen vergleichen und eine Selbstdiagnose durchführen.
Die vorgesehene Architektur für Kategorie 3 ist in Abbildung 13 dargestellt.
4) Kategorie 4
Die für Kategorie 4 vorgesehene Architektur ist in Abbildung 14 dargestellt.
Die Struktur dieser Architektur entspricht derjenigen für Kategorie 3, jedoch ist die Leistungsfähigkeit einer Selbstdiagnosefunktion für C (Cross-Monitoring) und m (Monitoring) in Kategorie 4 höher. Um dies hervorzuheben, werden statt gepunkteter Linien durchgezogene Linien verwendet.
5.3. Berechnung der MTTFD
Die MTTFD (Mean Time to Dangerous Failure) gibt die erwartete mittlere Zeit bis zum gefährlichen Ausfall eines sicherheitsrelevanten Teils des betreffenden Geräts oder Steuerungssystems an und wird in Jahren angegeben. Dieser Parameter ist aus Sicht der Systemzuverlässigkeit erforderlich.
Zur Bestimmung des PL wird die MTTFD für das gesamte System berechnet. Zunächst wird die MTTFD für jede einzelne Komponente ermittelt, dann die MTTFD für jeden Kanal, auf deren Grundlage die MTTFD für das gesamte System berechnet wird (bei Systemen mit mehreren Kanälen). Der MTTFD-Wert für jeden Kanal wird in drei Werte mit entsprechenden Ober- und Untergrenzen unterteilt, wie in Tabelle 3 dargestellt.
Wenn das Berechnungsergebnis des MTTFD für den Kanal weniger als drei Jahre beträgt, erfüllt es nicht die Anforderungen für den MTTFD-Bereich. Es ist zulässig, dass der MTTFD-Wert für jede Komponente 100 Jahre überschreitet. Der MTTFD-Wert für jeden Kanal unterliegt jedoch einer Obergrenze von 100 Jahren, auch wenn das Berechnungsergebnis 100 Jahre überschreitet. Dennoch darf eine Struktur der Kategorie 4 aufgrund ihrer Schaltungsstruktur (Redundanz) und eines hohen DC-Werts einen maximalen MTTFD von 2500 Jahren für jeden Kanal aufweisen.
5.3.1. MTTFD für jedes Gerät
Der MTTFD-Wert für jede Komponente wird nach der folgenden Prioritätsreihenfolge bestimmt: Die erste Priorität hat der vom Hersteller angegebene MTTFD-Wert, die zweite Priorität hat der in Anhang C oder D dieser Norm angegebene Wert und die dritte Priorität hat MTTFD = 10 Jahre, wenn in Anhang C kein Wert angegeben ist.
5.3.1.1. Berechnung des MTTFD aus B10D der Komponente
Nicht alle Komponenten sicherheitsrelevanter Teile haben einen MTTFD-Wert. Für Komponenten wie solche mit einem mechanischen Kontakt (d. h. Schütz, Verriegelungsschalter), deren Lebensdauer von der Häufigkeit (Anzahl) der Betätigungen beeinflusst wird, wird anstelle des MTTFD-Werts der Wert von B10D (Anmerkung 1) angegeben. Der MTTFD-Wert für die Komponente wird auf der Grundlage dieses B10D unter Berücksichtigung eines Parameters namens nop (Anmerkung 2) berechnet (siehe Gleichungen (1) und (2)).
Anmerkung 1 B10D: Die Anzahl der Zyklen (Anzahl der Betriebsvorgänge) bis 10 % der Komponenten gefährlich ausfallen Anmerkung 2 nop: Die mittlere Anzahl der jährlichen Betriebszyklen (Anzahl der Betriebsvorgänge), deren Berechnung folgende Angaben erfordert: hop: ist der durchschnittliche Betrieb in Stunden pro Tag dop: ist der durchschnittliche Betrieb in Tagen pro Jahr t cycle: ist die durchschnittliche Betriebszeit zwischen dem Beginn zweier aufeinanderfolgender Zyklen der Komponente in Sekunden pro Zyklus Diejenigen, die Sicherheitskomponenten von Steuerungssystemen entwerfen, schätzen die Häufigkeit (Anzahl) des Betriebs des Systems und seiner Komponenten und berechnen auf dieser Grundlage nop und berücksichtigen B10D, um MTTFD zu bestimmen. Wie im Fall von MTTFD wird der vom Hersteller angegebene B10D-Wert bevorzugt verwendet, sofern dieser angegeben ist.
5.3.2. Methode zur Berechnung des MTTFD für den gesamten Kanal: Teilezählmethode
Nachdem der MTTFD-Wert für jedes Gerät bestimmt wurde, wird er zur Berechnung des MTTFD für jeden Kanal verwendet (siehe (3)).
Wenn beispielsweise MTTFD1 = 30 Jahre, MTTFD2 = 30 Jahre und MTTFD3 = 30 Jahre ist, dann ist 1/ MTTFD = 1/30+1/30+1/30, was bedeutet, dass MTTFD für diesen Kanal 10 Jahre beträgt.
5.3.3 Methode zur Bestimmung des MTTFD in Fällen, in denen verschiedene Kanäle unterschiedliche MTTFD-Werte aufweisen
Bei einer 2-Kanal-Struktur wie Kategorie 3 oder 4 wird der MTTFD insgesamt anhand einer der folgenden Methoden berechnet:
Um das ungünstigste Szenario anzunehmen, wird der MTTFD-Wert des Kanals mit dem niedrigeren Wert insgesamt verwendet.
Verwendung von Gleichung (4) zur Berechnung des Gesamtwerts.
Bei Verwendung von Gleichung (4) beträgt die MTTFD insgesamt 66 Jahre, wenn MTTFD1 = 3 Jahre und MTTFD2 = 100 Jahre ist. Dies entspricht der Annahme, dass beide Kanäle jeweils eine MTTFD von 66 Jahren haben.
5.4. Berechnung von DC (Diagnosedeckung) und DCavg
Um das Leistungsniveau abzuschätzen, muss DCavg (durchschnittliche Diagnosedeckung) für das gesamte System berechnet werden. Für die Berechnung muss die DC (Diagnosedeckung) für jede Komponente bestimmt werden. Die DC (Diagnosedeckung) ist der Prozentsatz der gefährlichen Ausfälle, die erkannt werden können. Konkret wird sie als Verhältnis der Ausfallrate der erkannten gefährlichen Ausfälle (λDD) zur Ausfallrate aller gefährlichen Ausfälle (λtotal) ausgedrückt (siehe (5)).
DC (Diagnostic Coverage) berücksichtigt keine sicheren Ausfälle der Komponenten oder des Systems. Es werden nur gefährliche Ausfälle berücksichtigt. DC ist in vier Kategorien unterteilt (siehe Tabelle 4).
Logische Geräte (z. B. Sicherheitssteuerungen) und elektrische/elektronische Geräte wie Sicherheitslichtvorhänge verfügen über eine integrierte Selbstdiagnosefunktion, mechanische Komponenten wie Verriegelungsschalter und Not-Aus-Schalter hingegen in der Regel nicht. Durch die redundante Verbindung mit dem logischen Gerät und die Überwachung von Signalabweichungen, beispielsweise im logischen Teil (z. B. einer Sicherheitssteuerung), wird jedoch ein hoher DC-Wert für die sicherheitsrelevanten Teile des gesamten Steuerungssystems erreicht.
Bei der Auswahl des DC-Werts für jede Komponente wird aus ISO 13849-1 Anhang E ein Wert ausgewählt, der für die für das Eingabegerät, das logische Gerät und das Ausgabegerät beschriebene Diagnosetechnik geeignet ist.
Nachdem der DC für die Komponente bestimmt wurde, wird dieser Wert zur Berechnung des DCavg für das gesamte System verwendet (siehe Gleichung (6)).
Beachten Sie, dass für Komponenten ohne erkannte Fehler (Teile, die nicht diagnostiziert wurden) DC = 0 ist.
5.5. Schätzung des CCF (Common Cause Failure, Fehler aufgrund gemeinsamer Ursache)
CCF (Common Cause Failure) ist definiert als „Fehler verschiedener Elemente, die aus einem einzigen Ereignis resultieren, wobei diese Fehler nicht die Folge voneinander sind”. Das bedeutet, dass die Folge eines Fehlers, der aus einer einzigen Ursache resultiert, nicht einen weiteren Fehler auslöst, der zu mehreren Fehlern führt, sondern dass eine einzige Ursache zu mehreren unabhängigen Fehlern führt. Dies bezieht sich beispielsweise auf Fehler von (mehreren) Teilen von Schaltkreisen, die unabhängig voneinander sind und durch Überspannung/abnormale Umgebungstemperatur verursacht werden. CCF ist ein Indikator, der angibt, welche Maßnahmen im System getroffen werden, um auf Ereignisse zu reagieren, die solche Ausfälle verursachen können. Die Anforderungen für CCF gelten als erfüllt, wenn bestimmte Maßnahmen getroffen werden, was durch das Erreichen von mindestens 65 von 100 Punkten durch Beantwortung der Fragen mit „Ja“ oder „Nein“ in ISO 13849-1 Anhang F, Tabelle F.1 (siehe Tabelle 5) nachgewiesen wird. Beachten Sie, dass für jede in Tabelle 5 aufgeführte Maßnahme für CCF eine teilweise Antwort keine Teilpunkte, sondern 0 (null) Punkte für die betreffende Maßnahme erhält. Im Allgemeinen werden diese Fragen von einer Person beantwortet, die sicherheitsrelevante Teile von Steuerungssystemen entwirft.
5.6. Bewertung des Performance Levels (PL)
Der für den sicherheitsbezogenen Teil eines Steuerungssystems erforderliche PLr wird mit dem PL des Systems verglichen, der anhand von ISO 13849-1 Anhang K,
Tabelle K.1 auf der Grundlage der Bewertungsergebnisse der Kategorie, MTTFD, DCavg, CCF des tatsächlich entworfenen Schaltkreises berechnet wird, um zu bestätigen, dass das PL-Niveau dem PLr entspricht oder höher ist. Wenn PLr ≤ PL bestätigt wird (d. h. wenn die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls gleich oder kleiner ist), gilt das Ziel der Risikominderung als erreicht.
6. Beispiele für die Berechnung des Performance Levels gemäß ISO 13849-1: 2015
Im Fall eines Not-Aus-Schalters + eines Sicherheitsrelaismoduls + eines Sicherheitsschützes
Beispiele für Produkte sicherheitsbezogener Teile eines Steuerungssystems sind in Abbildung 15 und der Schaltplan in Abbildung 16 dargestellt.
1. Reihenfolge der Maßnahmen und Sicherheitsgrundsätze
1) Drücken Sie den Not-Aus-Schalter. Der Ausgang des Sicherheitsrelaismoduls schaltet auf AUS, wodurch die Erregung der Schütze (K3, K4) aufgehoben wird, die Hauptkontakte (Schließer) der Schütze auf AUS geschaltet werden und der Motor (Gefahr) angehalten wird.
2) Der Not-Aus-Schalter bleibt in seiner gedrückten Position (Verriegelungsfunktion). Die Hauptkontakte der Schütze bleiben ausgeschaltet, wodurch ein unerwarteter Anlauf des Motors verhindert wird.
3) Setzen Sie den Not-Aus-Schalter zurück. Durch das Zurücksetzen selbst wird der Motor nicht gestartet.
4) Drücken Sie den Startschalter. Der Motor startet.
2. Sicherheitsgrundsätze und -bedingungen
(1) Verwenden Sie einen Not-Aus-Schalter, der den Normen IEC60947-5-5 und IEC60947-5-1 (Anhang K) entspricht. (2) Verwenden Sie ein Sicherheitsrelaismodul, das PL = e und Kategorie 4 gemäß ISO13849-1 entspricht. (3) Verwenden Sie Schütze, die IEC60947-1 (mit Spiegelkontakten) entsprechen, und ordnen Sie zwei Schütze einzeln an. (4) Verbinden Sie die Spiegelkontakte (NC-Kontakte) der Schütze mit den Rückkontrollkreisen des Sicherheitsrelaismoduls.
3. Betriebsbedingungen des Systems
(1) Betriebsstunden/Tage und Häufigkeit ・Durchschnittliche Betriebstage pro Jahr: 365 Tage. ・Durchschnittliche Betriebsstunden pro Tag: 24 Stunden. ・Durchschnittliche Betriebsfrequenz des Not-Aus-Schalters: einmal/Tag (t = 86.400 s/Zyklus).
(2) B10D, DC usw. für die Komponenten ・Not-Aus-Schalter B10D (jeweilige NC-Kontakte): 100.000 Zyklen (gemäß Anhang C, Tabelle C.1) DC: 99 % (gemäß Anhang E, Tabelle E.1)
・Schütz B10D: 2.000.000 Zyklen (gemäß Anhang C, Tabelle C.1) DC: 99 % (gemäß Anhang E, Tabelle E.1)
・Sicherheitsrelaismodul MTTFD: 243 Jahre (vom Hersteller angegebener Wert) DC: 99 % (vom Hersteller angegebener Wert)
4. Blockdiagramm
Ein Blockdiagramm wird verwendet, um beispielsweise logische Verbindungen zwischen verschiedenen Abschnitten in SRP/CS darzustellen (dies basiert auf dem Konzept eines Zuverlässigkeitsblockdiagramms). Das Blockdiagramm kann wie in Abbildung 17 dargestellt werden. Wie die Abbildung zeigt, entspricht dieses Diagramm der Architektur der Kategorie 4 (Abbildung 18). Beachten Sie, dass in diesem Schaltkreis die maximale Anzahl der Betätigungen des Not-Aus-Schalters begrenzt ist und die in ISO 13849-2: 2012, Tabelle D.8 vorgesehene Ausschließung von Fehlern in mechanischen Aspekten angewendet wird.
5. Berechnungsergebnisse, PL und Wahrscheinlichkeit eines gefährlichen Ausfalls pro Zeiteinheit
In Tabelle 6 sind auf der linken Seite MTTFD, DC und andere Parameter für den Not-Aus-Schalter, das Sicherheitsrelaismodul und die Sicherheitsschütze aufgeführt, während auf der rechten Seite MTTFD↓, Kategorie, DCavg und andere Parameter für das System angegeben sind.
7. Beispiele für die Berechnung des Leistungsniveaus gemäß ISO/TR 23849
In ISO 13849-1 wurde die Berechnung der MTTFD für jeden Kanal des Systems durchgeführt, gefolgt von den Berechnungen von DCavg und anderen Parametern. ISO/TR 23849 hingegen verwendet eine Methode, bei der das gesamte System in Teilsysteme unterteilt wird, PL (und PFHD) für jedes Teilsystem berechnet werden und die jeweiligen Werte addiert werden, um PL und PFHD als Ganzes zu bestimmen. Im Folgenden werden Beispiele für Berechnungen auf der Grundlage von ISO/TR23849 beschrieben.
Im Fall von 2 Endschaltern (NC-Kontakt + NO-Kontakt) + einem Sicherheitsrelaismodul + Sicherheitsschützen (2 Stück)
Das Schaltbild finden Sie in Abbildung 19.
1. Reihenfolge der Maßnahmen und Sicherheitsgrundsätze
1) Öffnen Sie die bewegliche Schutzvorrichtung. Der Ausgang des Sicherheitsrelaismoduls schaltet auf AUS, wodurch die Erregung der Schütze (K3, K4) aufgehoben wird, die Hauptkontakte (Schließerkontakte) der Schütze auf AUS geschaltet werden und der Motor (Gefahr) angehalten wird. 2) Halten Sie die bewegliche Schutzvorrichtung geöffnet. Die Hauptkontakte der Schütze bleiben ausgeschaltet, wodurch ein unerwarteter Start des Motors verhindert wird. 3) Schließen Sie die bewegliche Schutzvorrichtung. Durch das bloße Schließen der beweglichen Schutzvorrichtung wird der Motor nicht gestartet. 4) Drücken Sie den Startschalter. Der Motor startet.
2. Sicherheitsgrundsätze und -bedingungen
(1) Der Positionsschalter S1 ist ein Endschalter mit direkt öffnenden NC-Kontakten und erfüllt die Anforderungen gemäß IEC60947-5-1 Anhang K. (2) Verwenden Sie für den Positionsschalter S2 einen Endschalter mit NO-Kontakten. (3) Verwenden Sie ein Sicherheitsrelaismodul, das PL = e und Kategorie 4 gemäß ISO13849-1 entspricht. (4) Verwenden Sie für K3 und K4 Produkte, die IEC60947-1 (mit Spiegelkontakten) entsprechen, und ordnen Sie zwei Einheiten einzeln an. (5) Verbinden Sie die Spiegelkontakte (NC-Kontakte) der Schütze mit den Rückkontrollkreisen des Sicherheitsrelaismoduls.
3. Betriebsbedingungen des Systems
(1) Betriebsstunden/Tage und Häufigkeit ・Durchschnittliche Betriebstage pro Jahr: 365 Tage. ・Durchschnittliche Betriebsstunden pro Tag: 24 Stunden. ・Häufigkeit des Öffnens und Schließens der beweglichen Schutzvorrichtung: Einmal alle 15 Minuten (t = 900 s/Zyklus) (2) B10D, DC usw. für die Komponenten ・S1-Endschalter B10D: 1.000.000 Zyklen (Angabe des Herstellers), DC: 99 % (Anhang E, Tabelle E.1) ・S2-Endschalter B10D: 500.000 Zyklen (Angabe des Herstellers), DC: 99 % (Anhang E, Tabelle E.1) ・K3-Schütz B10D: 2.000.000 Zyklen (Angabe des Herstellers), DC: 99 % (Anhang E, Tabelle E.1) ・K4-Schütz B10D: 2.000.000 Zyklen (Angabe des Herstellers), DC: 99 % (Anhang E, Tabelle E.1)
4. Blockdiagramm
Wie in Abbildung 20 dargestellt, wird das Blockdiagramm durch Aufteilung des Systems in die Teilsysteme Eingang, Logik und Ausgang dargestellt. Da ISO/TR23849 die Integration von Subsystemen mit derselben Struktur zulässt, kann die Anzahl der Subsysteme auf zwei reduziert werden, wie in Abbildung 21 dargestellt. Das Subsystem 1 ist in die Kanäle 1 und 2 unterteilt, um deren jeweilige Parameter wie MTTFD und DCavg zu berechnen, während PL (PFHD) aus Anhang K bestimmt wird, das schließlich zu PL (PFHD) in K1 addiert wird.
5. Berechnungsergebnisse, PL und die Wahrscheinlichkeit eines gefährlichen Ausfalls pro Zeiteinheit
In Tabelle 7 sind auf der linken Seite MTTFD, DC und andere Parameter für den Endschalter, das Sicherheitsrelaismodul und die Sicherheitsschütze aufgeführt, während auf der rechten Seite unter Bezugnahme auf Anhang K die PFHD für jedes Teilsystem sowie die PFHD und PL insgesamt angegeben sind.
(Referenz)
1. PL-Bewertungsmethode in einem Fall, in dem eine Kombination aus SRP/CS einen Gesamt-PL erreicht
Wenn mehrere sicherheitsbezogene Teile des Steuerungssystems (SRP/CS), die jeweils einen eigenen PL haben, wie in Abbildung 22 dargestellt in Reihe geschaltet sind, werden die folgenden Methoden verwendet, um den Gesamt-PL zu bestimmen.
Methode 1)
Der Gesamt-PFHD für ein System, in dem einzelne SRP/CSn in Reihe geschaltet sind, wie in Abbildung 23 dargestellt, kann durch Addition der jeweiligen PFHDn ermittelt werden.
In diesem Beispiel ist . PLlow der SRP/CS-Teil von PL=c. Die Anzahl von PLlow beträgt zwei (Nlow = 2).
Aus Tabelle 8 ergibt sich für den Gesamt-PL der Wert PL = c.
Dieses System enthält Teile der Kategorie 1 oder 2 und kann daher bei einem einzelnen Ausfall seine Sicherheitsfunktionen verlieren.
2. Ausschluss von Fehlern und Ausfällen
1. Fehler und Ausfälle
In dieser Norm werden die Begriffe „Fehler” und „Ausfall” wie folgt definiert:
Fehler Bezieht sich auf einen „Zustand” eines Geräts oder Systems, der durch die Unfähigkeit gekennzeichnet ist, eine erforderliche Funktion auszuführen. In dieser Norm bedeutet dies in erster Linie einen zufälligen Hardwarefehler.
Ausfall Bezieht sich auf das Ende der Fähigkeit eines Geräts oder Systems, eine erforderliche Funktion auszuführen. Nach einem Ausfall befindet sich das Gerät oder System in einem Fehlerzustand. SRP/CS, die bestimmte PL-Anforderungen erfüllen, müssen auf Ausfallfestigkeit geprüft werden. Bei dieser Prüfung sind die folgenden Punkte zu berücksichtigen:
Einzelner Fehler Tritt ein Fehler an einer bestimmten Komponente (einem Teil) auf und führt dies zum Ausfall einer anderen Komponente, werden der erste und alle nachfolgenden Fehler als ein einziger Fehler betrachtet.
Bewertung von CCF (Common Cause Failure, Fehler durch gemeinsame Ursache) Zwei oder mehr einzelne Fehler, die eine gemeinsame Ursache haben, müssen als ein einziger Fehler betrachtet werden. Beachten Sie, dass das gleichzeitige Auftreten von zwei oder mehr Fehlern, die auf unterschiedliche Ursachen zurückzuführen sind, als nahezu unmöglich angesehen werden kann und daher nicht berücksichtigt werden muss.
2. Fehlerausschluss
Informationen zum Ausschluss von Fehlern finden Sie in ISO 13849-2. Beispielsweise sieht ISO 13849-2, Tabelle D. 8 vor, dass bei Positionsschaltern und Not-Aus-Schaltern, die über einen direkten Öffnungsmechanismus (NC-Kontakt) gemäß IEC 60947-5-1 Anhang K verfügen, die Möglichkeit eines Fehlers, bei dem der Kontakt aufgrund von Verschweißungen geschlossen bleibt, ausgeschlossen werden kann.
3. Erforderliches Performance Level (PL) in der Typ-C-Norm
Für Maschinen, die in den Geltungsbereich einer Typ-C-Norm fallen, haben die Bestimmungen der Typ-C-Norm Vorrang vor den Bestimmungen der anderen Normen. Wenn die Norm Anforderungen an das PL oder die Kategorie sicherheitsbezogener Systeme festlegt, hat dieses PL oder diese Kategorie Vorrang. Da einige Typ-C-Normen die Bestimmung des PLr anhand des Ergebnisses der Risikobeurteilung zulassen, beachten Sie bitte die entsprechende Norm.
4. Beziehung zwischen PL und SIL
Die Kategorien in der Ausgabe 999 der ISO 13849-1 und der Safety Integrity Level (SIL)* gemäß IEC 61508 konnten nicht miteinander korreliert werden. In der neuesten Ausgabe der ISO 13849-1, in der Sicherheitsfunktionen anhand der durchschnittlichen Wahrscheinlichkeit eines gefährlichen Ausfalls unter Verwendung des Performance Levels (PL) bewertet werden, ist es nun jedoch möglich, PL mit dem Safety Integrity Level (SIL) in Verbindung zu bringen (siehe Tabelle 2). Beachten Sie, dass die Klassifizierungsstufe PL = a in SIL nicht existiert. Darüber hinaus gibt es bei SIL die Stufen 1 bis 4, wobei SIL4 für große Risiken in Bereichen wie Chemieanlagen und Kernkraftwerken/Eisenbahnen vorgesehen ist und daher als Stufe interpretiert wird, die außerhalb des Anwendungsbereichs der Maschinensicherheit liegt. Daher entspricht SIL3 dem PL = e, der die niedrigste Wahrscheinlichkeit eines gefährlichen Ausfalls darstellt. Die Ausfallwahrscheinlichkeit in SIL entnehmen Sie bitte Tabelle 9.
Tabelle 9. Vergleich zwischen dem Leistungsniveau und SIL
Das Leistungsniveau (PL) | Sicherheitsintegritätslevel (SIL) Häufige Betriebsanforderung oder Dauerbetrieb |
a | - |
b | 1 |
c | 1 |
d | 2 |
e | 3 |
* Sicherheitsintegritätslevel (SIL) SIL ist ein Indikator für Sicherheitsniveaus, der in der Norm für funktionale Sicherheit (IEC61508) festgelegt ist und zur Gewährleistung der Sicherheit nicht nur von Industriemaschinen, sondern auch von Chemieanlagen und Eisenbahnsystemen verwendet wird, die eine speicherprogrammierbare Steuerung oder Software verwenden. Er ist in vier Stufen von SIL1 bis SIL4 unterteilt und umfasst den Betriebsmodus mit geringen Anforderungen und den Betriebsmodus mit hohen Anforderungen (Dauerbetriebsmodus). Tabelle 10 zeigt die SIL-Kategorie für den Betriebsmodus mit hohen Anforderungen (Dauerbetriebsmodus), die in Verbindung mit PL herangezogen werden kann.
Tabelle 10 SIL und Grenzwerte für PFHD-Werte
Sicherheitsintegritätslevel (SIL) | Häufige Betriebsanforderung oder Dauerbetrieb (durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde, PFHD) |
1 | ≥ 10-6 und < 10-5 |
2 | ≥ 10-7 und < 10-6 |
3 | ≥ 10-8 und < 10-7 |
4 | ≥ 10-9 und < 10-8 |
5. Die Kategorie für das Leistungsniveau (ein Vergleich zwischen der neuesten Ausgabe und der 1. Ausgabe)
1) Risikobewertung und die in der 1. Ausgabe von ISO 13849-1: 1999 (EN 954-1) festgelegten Kategorien
Abbildung 25 zeigt den Prozess der Risikobewertung und Kategorisierung für sicherheitsrelevante Teile, der in der ersten Ausgabe festgelegt ist Bei der Risikobewertung wird die Risikodiagrammmethode verwendet, und für die Punkte „Schwere der Schädigung (S)“, „Häufigkeit der Exposition (F)“ und „Möglichkeit der Vermeidung von Schäden (P)“ wird eine Auswahl zwischen zwei Optionen für eine fünfstufige Klassifizierung getroffen. Im Fall von S1 (leicht) wird jedoch unabhängig von der Häufigkeit der Exposition und der Möglichkeit der Schadensvermeidung die Kategorie 1 ausgewählt. Für S2 (schwer), F2 (häufig) und P2 (gering) wird die Kategorie 4 ausgewählt. In den meisten anderen Fällen wird eine von zwei Kategorien ausgewählt.
Darüber hinaus enthält die alte Version Leistungsanforderungen (Ausfallsicherheit von Sicherheitsfunktionen) für jede Kategorie anhand von erläuternden Sätzen, wie in Tabelle 11 dargestellt, wobei die Kategorien B bis 4 selbst Sicherheitsstufen darstellen. Die Risikostufen sind B < 1 < 2 < 3, wobei 4 das höchste Risiko aufweist.
Die Kategorien B und 1 verfügen nicht über eine Selbstdiagnosefunktion. Die Kategorien 3 und 4 müssen die Sicherheitsfunktionen auch bei Auftreten eines einzelnen Fehlers aufrechterhalten.
Mit IDEC erhalten Sie schnell die Hilfe und Ressourcen, die Sie benötigen
Wenn Sie Fragen oder Anregungen haben, sind wir für Sie da.
Unser Vertrieb und Support setzen den Standard, um Ihnen zu ...
Die gesamte technische Dokumentation, die Sie benötigen, dam...