Anzeige

Aus dem Facharchiv: Leseranfrage
Sicherheit einer Produktionslinie

Wie genau können Veränderungen von Sicherheitsbereichen durch zusätzliche Sicherheitsfunktionen in einer dezentralen SPS realisiert werden?

(Bild: getti/stock.adobe)

Frage:

In unserem Betrieb gibt es eine große Produktionslinie (Baujahr 2006) zur Herstellung von Baustoffen. Aufgrund eines Vorschlages aus dem kontinuierlichen Verbesserungsprozess (KVP) sollen nun die Sicherheitsbereiche geändert werden.

Die Sicherheitsfunktionen werden bisher über eine sicherheitsgerichtete SPS (Safety SPS) realisiert. Aufgrund der notwendigen Änderungen sind zusätzliche Hydraulik-Ventile sicher abzuschalten. Bisher werden die Versorgungsbaugruppen der dezentralen SPS über zwei jeweils von der Safety SPS gesteuerte Schütze abgeschaltet. Bei dem geplanten Umbau kam jetzt die Frage auf, ob dies zulässig ist. Muss davon ausgegangen werden, dass im Fehlerfall über die 5 V des Rückwandbusses der Safety SPS eine Ansteuerung der 24-V-Hydraulikspulen erfolgen kann? Müssen die Ventile mit zusätzlichen Relais allpolig hinter der dezentralen SPS abgeschaltet werden oder reicht eine Abschaltung der Versorgungsbaugruppen, um den Performance Level 3 zu erreichen? Wie wahrscheinlich ist es, dass der Rückwandbus die mit 24 V arbeitenden Aktoren erregt?

Antwort:

  • Kategorie: Einstufung sicherheitsrelevanter Teile einer Steuerung hinsichtlich der Struktur, der Fehlererkennung und/oder ihrer Zuverlässigkeit zur Beschreibung der Widerstandsfähigkeit gegen Fehler.

    ❙ Mögliche Strukturen sind: einkanalige Struktur (Kategorie B oder 1), getestete Struktur (Kategorie 2) oder zweikanalige Struktur (Kategorie 3 oder 4)

  • MTTFD (Mean Time To Failure Dangerous) bezeichnet die Zeit bis zu einem gefährlichen Ausfall der Sicherheitsfunktion.
  • DC (Diagnostic Coverage; Diagnosedeckungsgrad) bezeichnet die Fähigkeit einer Steuerung, Fehler zu erkennen.
  • CCF (Common Cause Failure) steht für die Berücksichtigung von Ausfällen gemeinsamer Ursache.

Betrachtet man nun die Fragestellung unter diesen Aspekten, so meint der Leser wahrscheinlich die Umsetzung der Anforderungen einer Kategorie 3. Die Erfüllung der Anforderungen reicht jedoch keineswegs aus, um den nicht näher beschriebenen Performance Level zu erreichen. Dies kann nur das Ergebnis einer notwendigen weiteren Beurteilung sein und kann an dieser Stelle anhand der vorliegenden Informationen nicht erfolgen. Somit beziehen sich die nachfolgenden Erläuterungen auch nur auf die Umsetzung der Anforderungen einer Kategorie 3.

Für die Realisierung der Kategorie 3 sind die Anforderungen der Kategorie B einzuhalten. D. h. die Anwendung grundlegender Sicherheitsprinzipien und erwarteter Betriebsbeanspruchungen sowie bewährte Sicherheitsprinzipien gemäß Kategorie 1. Die sicherheitsrelevante Funktion muss so gestaltet werden, dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt. Dies bedeutet, dass in der Kategorie 3 sicherheitsrelevante Teile in der Regel redundant ausgeführt werden, sodass bei Ausfall eines Bauteiles eines Kanals über den anderen Kanal noch immer der sichere Zustand eingeleitet werden kann. Hierbei ist zu beachten, dass, wann immer in angemessener Weise realisierbar, der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt werden muss.

Die Anforderung, dass ein einzelner Fehler erkannt werden muss, bedeutet jedoch nicht, dass alle Fehler erkannt werden. Eine Anhäufung unerkannter Fehler kann zum Verlust der Sicherheitsfunktion und infolgedessen auch zu einer Gefährdungssituation an einer Maschine führen, wenn ein Ausgang unbeabsichtigt gesetzt wird. Mit der Kategorie 3 können Sicherheitsfunktionen realisiert werden, die den PL = e erfordern. Der erforderliche MTTFD-Wert kann „niedrig bis hoch“ sein. Die Parameter DCavg (avg; average diagnostic coverage; durchschnittlicher Diagnosedeckungsrad) und CCF sind relevant und die erforderlichen Grenzwerte müssen erfüllt werden. Der Diagnosedeckungsrad DCavg kann niedrig bis mittel sein. Hierdurch wird die Fehlererkennungsfähigkeit durch die jeweils redundanten Kanäle beschrieben. Um die Wahrscheinlichkeit zu verringern, dass beide Kanäle durch einen Fehler gleichzeitig ausfallen, sind Maßnahmen gegen Common Cause Failure (CCF) zu berücksichtigen.

Konkret. Die Frage des Lesers lässt sich nun wie folgt beantworten:

  1. Unter Berücksichtigung der oben aufgezeigten Ausführungen können die Anforderungen einer Kategorie 3 erfüllt werden, wenn die zusätzlichen Ventile über zwei Relais abgeschaltet werden. Dabei ist zu beachten, dass auch die geforderte Fehlererkennung für die Relais bzw. Ventile umgesetzt wird. Eine Fehlererkennung (Monitoring) muss hierbei nicht zwangsläufig in einer Safety SPS erfolgen.
  2. Der Verzicht auf zusätzliche Relais und eine Abschaltung der Versorgungsbaugruppen ist abhängig von der jeweiligen Ausführung der eingesetzten Safety SPS. Da eine notwendige galvanische Trennung herstellerspezifisch ausgeführt sein kann oder auch nicht und auf dem Rückwandbus auch andere Spannungen als 5 V anliegen können, sind hier die Kenntnisse über die jeweiligen elektronischen Schaltungen erforderlich. Demnach ist die Möglichkeit der beschriebenen Umsetzung herstellerspezifisch und kann auch nur von dem Hersteller der eingesetzten Safety SPS eindeutig beantwortet werden. Eine generelle Aussage ist nicht möglich. Es ist aber unbedingt zu beachten, dass auch bei dieser Ausführung die Überwachung der eingesetzten Ventile erfolgen muss, um die Anforderungen der Kategorie 3 zu erfüllen.

Literatur:

[1] DIN EN ISO 13849-1:2016-06 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze.

[2] DIN EN ISO 13849-2:2013-02 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 2: Validierung.

Autor: B. Heinke

Der Artikel wurde unserem Facharchiv entnommen.

Kommentare

botMessage_toctoc_comments_926
Anzeige

Nachrichten zum Thema

Aus dem Facharchiv: Arbeitsschutz, Arbeitssicherheit, Betriebsführung Energy Harvesting – 
Energie aus der Umwelt, Teil 5: Magnetfeld-, Schall- und mechanische Energie

Im letzten Teil dieser Serie [1] – [4] zur Energiegewinnung aus der Umwelt bilden praktische 
Anwendungen zur Nutzung der Energie des Magnetfelds (wie energieautarke Sensoren für 
elektrische Anlagen) einen Schwerpunkt der Betrachtungen.

Weiter lesen

Aus dem Facharchiv: Elektropraxis Sichere Instandhaltung von Maschinen

Instandhaltungsarbeiten bezeichnen die Gesamtheit aller Maßnahmen zur 
Erhaltung des sicheren Zustandes oder der Rückführung in diesen. Sie umfassen insbesondere Inspektionen, Wartungen sowie Instandsetzungen und erfordern die Berücksichtigung der...

Weiter lesen

Für die Ausstattung von Wohn- und Zweckbauten mit Rollläden und Jalousien gibt es viele gute Gründe. Dazu zählen das Bedürfnis nach Komfort und Sicherheit ebenso wie der Wunsch nach Energieeffizienz.

Weiter lesen

Aus dem Facharchiv: Arbeitsschutz, Arbeitssicherheit, Betriebsführung Energy Harvesting – 
Energie aus der Umwelt, Teil 4: Strahlungsenergie

Unter Strahlungsenergie versteht man elektromagnetische Felder jeglicher Frequenz. Der sichtbare Teil des elektromagnetischen Spektrums lässt sich beispielsweise durch Solarzellen zur 
Gewinnung elektrischer Energie „anzapfen“.

Weiter lesen

Neue Produkte Flexible Mini-SPS

Das programmierbare Relais PR200 ist kompakt und modular aufgebaut.

Weiter lesen
Anzeige