Zum Hauptinhalt springen 
(Bild: getti/stock.adobe)
Maschinen- und Anlagentechnik | Steuerungstechnik

Aus dem Facharchiv: Leseranfrage

Sicherheit einer Produktionslinie

03.03.2020

Wie genau können Veränderungen von Sicherheitsbereichen durch zusätzliche Sicherheitsfunktionen in einer dezentralen SPS realisiert werden?

Frage: In unserem Betrieb gibt es eine große Produktionslinie (Baujahr 2006) zur Herstellung von Baustoffen. Aufgrund eines Vorschlages aus dem kontinuierlichen Verbesserungsprozess (KVP) sollen nun die Sicherheitsbereiche geändert werden. Die Sicherheitsfunktionen werden bisher über eine sicherheitsgerichtete SPS (Safety SPS) realisiert. Aufgrund der notwendigen Änderungen sind zusätzliche Hydraulik-Ventile sicher abzuschalten. Bisher werden die Versorgungsbaugruppen der dezentralen SPS über zwei jeweils von der Safety SPS gesteuerte Schütze abgeschaltet. Bei dem geplanten Umbau kam jetzt die Frage auf, ob dies zulässig ist. Muss davon ausgegangen werden, dass im Fehlerfall über die 5 V des Rückwandbusses der Safety SPS eine Ansteuerung der 24-V-Hydraulikspulen erfolgen kann? Müssen die Ventile mit zusätzlichen Relais allpolig hinter der dezentralen SPS abgeschaltet werden oder reicht eine Abschaltung der Versorgungsbaugruppen, um den Performance Level 3 zu erreichen? Wie wahrscheinlich ist es, dass der Rückwandbus die mit 24 V arbeitenden Aktoren erregt? Antwort:
  • Kategorie: Einstufung sicherheitsrelevanter Teile einer Steuerung hinsichtlich der Struktur, der Fehlererkennung und/oder ihrer Zuverlässigkeit zur Beschreibung der Widerstandsfähigkeit gegen Fehler.

    ❙ Mögliche Strukturen sind: einkanalige Struktur (Kategorie B oder 1), getestete Struktur (Kategorie 2) oder zweikanalige Struktur (Kategorie 3 oder 4)

  • MTTFD (Mean Time To Failure Dangerous) bezeichnet die Zeit bis zu einem gefährlichen Ausfall der Sicherheitsfunktion.
  • DC (Diagnostic Coverage; Diagnosedeckungsgrad) bezeichnet die Fähigkeit einer Steuerung, Fehler zu erkennen.
  • CCF (Common Cause Failure) steht für die Berücksichtigung von Ausfällen gemeinsamer Ursache.
Betrachtet man nun die Fragestellung unter diesen Aspekten, so meint der Leser wahrscheinlich die Umsetzung der Anforderungen einer Kategorie 3. Die Erfüllung der Anforderungen reicht jedoch keineswegs aus, um den nicht näher beschriebenen Performance Level zu erreichen. Dies kann nur das Ergebnis einer notwendigen weiteren Beurteilung sein und kann an dieser Stelle anhand der vorliegenden Informationen nicht erfolgen. Somit beziehen sich die nachfolgenden Erläuterungen auch nur auf die Umsetzung der Anforderungen einer Kategorie 3. Für die Realisierung der Kategorie 3 sind die Anforderungen der Kategorie B einzuhalten. D. h. die Anwendung grundlegender Sicherheitsprinzipien und erwarteter Betriebsbeanspruchungen sowie bewährte Sicherheitsprinzipien gemäß Kategorie 1. Die sicherheitsrelevante Funktion muss so gestaltet werden, dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt. Dies bedeutet, dass in der Kategorie 3 sicherheitsrelevante Teile in der Regel redundant ausgeführt werden, sodass bei Ausfall eines Bauteiles eines Kanals über den anderen Kanal noch immer der sichere Zustand eingeleitet werden kann. Hierbei ist zu beachten, dass, wann immer in angemessener Weise realisierbar, der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt werden muss. Die Anforderung, dass ein einzelner Fehler erkannt werden muss, bedeutet jedoch nicht, dass alle Fehler erkannt werden. Eine Anhäufung unerkannter Fehler kann zum Verlust der Sicherheitsfunktion und infolgedessen auch zu einer Gefährdungssituation an einer Maschine führen, wenn ein Ausgang unbeabsichtigt gesetzt wird. Mit der Kategorie 3 können Sicherheitsfunktionen realisiert werden, die den PL = e erfordern. Der erforderliche MTTFD-Wert kann „niedrig bis hoch“ sein. Die Parameter DCavg (avg; average diagnostic coverage; durchschnittlicher Diagnosedeckungsrad) und CCF sind relevant und die erforderlichen Grenzwerte müssen erfüllt werden. Der Diagnosedeckungsrad DCavg kann niedrig bis mittel sein. Hierdurch wird die Fehlererkennungsfähigkeit durch die jeweils redundanten Kanäle beschrieben. Um die Wahrscheinlichkeit zu verringern, dass beide Kanäle durch einen Fehler gleichzeitig ausfallen, sind Maßnahmen gegen Common Cause Failure (CCF) zu berücksichtigen. Konkret. Die Frage des Lesers lässt sich nun wie folgt beantworten:
  1. Unter Berücksichtigung der oben aufgezeigten Ausführungen können die Anforderungen einer Kategorie 3 erfüllt werden, wenn die zusätzlichen Ventile über zwei Relais abgeschaltet werden. Dabei ist zu beachten, dass auch die geforderte Fehlererkennung für die Relais bzw. Ventile umgesetzt wird. Eine Fehlererkennung (Monitoring) muss hierbei nicht zwangsläufig in einer Safety SPS erfolgen.
  2. Der Verzicht auf zusätzliche Relais und eine Abschaltung der Versorgungsbaugruppen ist abhängig von der jeweiligen Ausführung der eingesetzten Safety SPS. Da eine notwendige galvanische Trennung herstellerspezifisch ausgeführt sein kann oder auch nicht und auf dem Rückwandbus auch andere Spannungen als 5 V anliegen können, sind hier die Kenntnisse über die jeweiligen elektronischen Schaltungen erforderlich. Demnach ist die Möglichkeit der beschriebenen Umsetzung herstellerspezifisch und kann auch nur von dem Hersteller der eingesetzten Safety SPS eindeutig beantwortet werden. Eine generelle Aussage ist nicht möglich. Es ist aber unbedingt zu beachten, dass auch bei dieser Ausführung die Überwachung der eingesetzten Ventile erfolgen muss, um die Anforderungen der Kategorie 3 zu erfüllen.
Literatur: [1] DIN EN ISO 13849-1:2016-06 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze. [2] DIN EN ISO 13849-2:2013-02 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 2: Validierung. Autor: B. Heinke Der Artikel wurde unserem Facharchiv entnommen.