... Allgemeine Anforderungen. EN 999/ISO 13855 ..... Zur Anwendung stehen die
EN IEC 62061 und EN ISO 13849-1 zur Verfügung. Die bekannte EN 954-1 ist ...
Sicherheit von Maschinen
�
Inhalt Vorbemerkung....................................................4 Warum Sicherheit?............................................6 Rechtsstrukturen.............................................10 Risikobeurteilung............................................. 16 Sichere Gestaltung und technische Schutzmaßnahmen.........................................22 Funktionale Sicherheit................................... 30 Normen zum Steuerungssystem – Berechnungsbeispiele.................................. 38 Software-Assistent SISTEMA...................... 58 Zertifizierte Sicherheitslösungen..............60 Service und Schulungen............................... 64 Informationsquellen...................................... 66 Anhänge – Architekturen.............................. 68 �
Vorbemerkung
�
Die Gesetzgebung zur Maschinensicherheit ist ein komplexes Thema. Zum besseren Verständnis werden Vereinfachungen vorgenommen, welche die Anforderungen nicht im gesamten Umfang darstellen. Dieses Handbuch dient dazu, aktuelle und wertfreie Informationen zu liefern, damit Maschinenkonstrukteure und Betreiber dem Bedienpersonal sichere und leistungsfähige Maschinen liefern können, die den Gesetzen entsprechen. Es stellt keinen vollständigen Leitfaden zur Einhaltung der Sicherheitsgesetze dar und soll die relevanten Normen natürlich auch nicht ersetzen. Dieses Handbuch leitet Sie durch die logischen Schritte und verweist auf relevante Informationsquellen.
�
Warum Sicherheit?
�
Abgesehen von der moralischen Verpflichtung, Personen vor Verletzungen zu schützen, schreiben Gesetze vor, dass Maschinen sicher sein müssen. Darüber hinaus gibt es triftige wirtschaftliche Gründe, Unfälle zu vermeiden. Sicherheit muss ab Beginn der Planungsphase einer Maschine und über alle Phasen der Verwendung hinweg berücksichtigt werden: Gestaltung, Bau, Installation, Anpassung, Betrieb, Wartung und ggf. Entsorgung.
Gestaltung/Bau
Installation
Anpassung/Betrieb
Wartung
Neue Maschinen - die Maschinenrichtlinie Die Europäische Maschinenrichtlinie verpflichtet Hersteller, ein Minimum an Sicherheit für Maschinen und Ausrüstung, die innerhalb der EU verkauft werden, zu garantieren. Die Neufassung der Maschinenrichtlinie 2006/42/EG ist seit dem 29. Dezember 2009 in Kraft. Sie wurde in allen Mitgliedsstaaten in nationales Recht umgesetzt (beispielsweise in Deutschland im Geräte- und Produktsicherheitsgesetz (9. GPSGV) und in Österreich im Bundesgesetzblatt 282/Teil II/2008 (Maschinen-Sicherheitsverordnung 2010)). Darüber hinaus haben einige Länder, die nicht zur EU gehören, die Richtlinie ebenfalls in nationales Recht umgesetzt (beispielsweise die Schweiz im STEG). Maschinen müssen den grundlegenden Gesundheits- und Sicherheitsanforderungen, die in Anhang I der Richtlinie aufgeführt sind, entsprechen. Hierdurch wird ein Mindestmaß an Schutz über den gesamten europäischen Wirtschaftsraum (EWR) festgelegt. Maschinenhersteller oder ihre autorisierten Vertreter innerhalb der EU müssen sicherstellen, dass die Maschine den Gesetzen entspricht, den zuständigen Aufsichtsbehörden auf Anfrage die technischen Unterlagen bereitgestellt werden können, die e-Kennzeichnung angebracht ist und eine Konformitätserklärung unterschrieben wurde, bevor die Maschine innerhalb der EU auf den Markt gebracht wird.
�
Bestehende Maschinen – die Arbeitsmittelbenutzungsrichtlinie Der Betreiber muss den Anforderungen der Arbeitsmittelbenutzungsrichtlinie 89/655/EWG folgen. In den meisten Fällen kann dies durch die Verwendung von Maschinen erreicht werden, die der betreffenden Norm entsprechen. Die Richtlinie bezieht sich auf die gesamten Arbeitsmittel, einschließlich mobiler Ausrüstung und Hebevorrichtungen, an allen Arbeitsplätzen und in allen Arbeitssituationen. Jegliche Ausrüstung muss für die Verwendung geeignet sein und nach Bedarf geprüft und gewartet werden.
Unfallkosten Einige Kosten sind offensichtlich, wie z.B. das Krankengeld für verletzte Angestellte. Jedoch entstehen auch weitere Kosten, die nicht so leicht zu bestimmen sind. Die Health and Safety Executive (HSE) in Großbritannien gibt ein Beispiel für einen Unfall an einer Bohrmaschine, der zu Kosten in Höhe von ca. 51.300 € (HSE INDG355) führte. Hierbei sind einige weniger offensichtliche Kosten nicht berücksichtigt. Daher belaufen sich manche Schätzungen sogar auf den doppelten Betrag. Ein von Schneider Electric Ltd analysierter Unfall, eine reversible Kopfverletzung, kostete den Arbeitgeber ca. 102.600 €. Von diesem Betrag wurden nur ca. 42.200 € von der Versicherung übernommen. Die indirekten Kosten können erhöhte Versicherungsbeiträge, Produktionsverlust, Kundenverlust und sogar den Schaden des öffentlichen Rufs umfassen. Einige Maßnahmen zur Risikominderung können sogar die Produktivität steigern; so kann z.B. die Verwendung von Lichtvorhängen, die zum Schutz von Zugangspunkten zu Maschinen dienen, einen leichteren Zugang zum Be- und Entladen ermöglichen; durch das Anbringen von Trennvorrichtungen in verschiedenen Bereichen können Teile einer Maschine zu Wartungszwecken abgeschaltet werden, während andere Teile weiterarbeiten können.
�
Die Richtlinien gelten für alle Angestellten, Selbstständigen und weiteren Personen, die Kontrolle über die Bereitstellung von Arbeitsmitteln haben.
�9
Rechtsstrukturen
10
EU-Richtlinie:
Rechtsinstrument zur europaweiten Harmonisierung technischer Normen
Festlegung der grundlegenden Gesundheits- und Sicherheitsanforderungen
Umsetzung in nationales Recht (Verordnung, Erlass, Verfügung, Richtlinien)
Norm: �Eine „Norm“ ist eine technische Spezifikation, die von einem anerkannten Normungsgremium für die wiederholte oder ständige Anwendung zugelassen wurde und dessen Einhaltung nicht zwingend erforderlich ist.
Harmonisierte Norm: �Eine Norm wird zu einer harmonisierten Norm, wenn sie in den Mitgliedstaaten veröffentlicht wurde.
Konformitätsvermutung: Entspricht ein Produkt einer harmonisierten europäischen Norm, die im Amtsblatt der Europäischen Union für eine bestimmte Richtlinie veröffentlicht wurde und deckt es eine oder mehr der grundlegenden Sicherheitsanforderungen ab, wird angenommen, dass das Produkt mit den grundlegenden Sicherheitsanforderungen der Richtlinie übereinstimmt. Eine Liste dieser Normen finden Sie unter http://www.newapproach.org/Directives/DirectiveList.asp
Natürlich ist auch die Einhaltung aller anderen Gesundheits- und Sicherheitsanforderungen notwendig. Dies gilt ebenfalls für Produkte, für die aufgrund der Anwendung einer bestimmten Norm eine Konformitätsvermutung ausgestellt wurde.
11
A-, B- und C-Normen: Europäische Normen zur Sicherheit von Maschinen sind wie folgt aufgeteilt:
A
B1
B2
C
Typ A-Normen �(Sicherheitsgrundnormen) behandeln Grundbegriffe, Gestaltungsleitsätze und allgemeine Aspekte, die auf alle Maschinen gleichermaßen angewendet werden können;
Typ B-Normen �(Sicherheitsfachgrundnormen) behandeln Sicherheitsaspekte, die eine ganze Reihe von Maschinen betreffen oder eine bestimmte Art von Schutzeinrichtungen, die für verschiedene Maschinen verwendet werden können:
- �Typ B1-Normen für bestimmte Sicherheitsaspekte (z.B. Sicherheitsabstände, Oberflächentemperatur, Lärm);
- �Typ B2-Normen für Schutzeinrichtungen (z.B. Zweihandsteuerungen, Verriegelungseinrichtungen, druckempfindliche Geräte, Schutzeinrichtungen);
Typ C-Normen �(Maschinensicherheitsnormen) behandeln spezielle Sicherheitsanforderungen an eine bestimmte Maschine oder eine Gruppe von Maschinen.
12
Weicht eine Typ C-Norm von einer oder mehreren Bestimmungen für eine Typ A- oder Typ B-Norm ab, hat die Typ C-Norm Priorität.
Einige Beispiele dieser Art von Normen: EN ISO 12100 A
Sicherheit von Maschinen - Gestaltungsleitsätze zur Risikobeurteilung und -minderung
EN ISO 14121
A
Sicherheit von Maschinen - Risikobeurteilung - Leitsätze
EN 574
B
Zweihandschaltungen - Funktionelle Aspekte - Gestaltungsleitsätze
EN ISO 13850
B
Not-Halt - Gestaltungsleitsätze
EN IEC 62061
B �Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
EN ISO 13849-1
B �Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1 Allgemeine Gestaltungsleitsätze
EN 349
B
EN ISO 13857
B �Sicherheit von Maschinen - Sicherheitsabstände gegen das Erreichen von Gefährdungsbereichen mit den oberen und unteren Gliedmaßen
EN 60204-1
B �Sicherheit von Maschinen - Elektrische Ausrüstung von Maschinen - Teil 1: Allgemeine Anforderungen
EN 999/ISO 13855
B �Anordnung von Schutzeinrichtungen im Hinblick auf Annäherungsgeschwindigkeiten von Körperteilen
EN 1088/ISO 14119
B �Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinrichtungen - Leitsätze für Gestaltung und Auswahl
EN 61496-1
B �Berührungslos wirkende Schutzeinrichtungen Teil 1: Allgemeine Anforderungen und Prüfungen
EN 60947-5-5
B �Niederspannungsschaltgeräte - Teil 5-5: Steuerstromkreis Steuergeräte und Schaltelemente - Elektrisches Not-Aus-Gerät mit mechan. Verrastfunktion
EN 842
B �Optische Gefahrensignale - Allgemeine Anforderungen, Gestaltung und Prüfung
EN 1037
B
EN 953
B �Allgemeine Anforderungen an Gestaltung und Bau von feststehenden und beweglichen Schutzeinrichtungen
EN 201
C �Kunststoff- und Gummimaschinen - Spritzgießmaschinen - Sicherheitsanforderungen
Mindestabstände, um das Quetschen von Körperteilen zu vermeiden
Vermeidung von unerwartetem Anlauf
EN 692
C �Werkzeugmaschinen - Mechanische Pressen - Sicherheitsanforderungen
EN 693
C �Werkzeugmaschinen - Hydraulische Pressen - Sicherheitsanforderungen
EN 289
C �Kunststoff- und Gummimaschinen - Sicherheit - Blasformmaschinen zur Herstellung von Hohlkörpern - Anforderungen an Gestaltung und Bau
EN 422
C �Blasformmaschinen zur Herstellung von Hohlkörpern - Anforderungen an Gestaltung und Bau
EN ISO 10218-1
C �Industrieroboter - Sicherheitsanforderungen - Teil 1: Roboter
EN 415-4
C �Sicherheit von Verpackungsmaschinen - Teil 4: Palettierer und Depalettierer
EN 619
C �Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen an mechanische Fördereinrichtungen für Stückgut
EN 620
C �Stetigförderer und Systeme - Sicherheits- und EMV-Anforderungen für ortsfeste Gurtförderer für Schüttgut
Hinweis: Verweise auf Normen beziehen sich auf den Ausgabestand bis 2009 bzw. die letzten gültigen Normenausgaben vor 2009.
13
Herstellerverantwortung Hersteller, die Maschinen im europäischen Wirtschaftsraum (EWR) in Verkehr bringen, müssen den Anforderungen der Maschinenrichtlinie entsprechen. Die Durchführung eine Risikobeurteilung ist nach Tabelle I der Maschinenrichtlinie als obligatorisch festgelegt. Bitte beachten Sie, dass „in Verkehr bringen” auch bedeutet, dass eine Organisation sich selbst eine Maschine zuführt, d.h., Maschinen zur eigenen Verwendung baut oder umbaut, oder Maschinen in den europäischen Wirtschaftsraum importiert.
Betreiberverantwortung Betreiber von Maschinen müssen sicherstellen, dass neu gekaufte Maschinen mit dem e-Kennzeichen versehen sind und über eine Konformitätserklärung zur Maschinenrichtlinie verfügen. Maschinen müssen gemäß den Anweisungen des Herstellers verwendet werden. Bestehende Maschinen, die vor dem Inkrafttreten der Maschinenrichtlinie in Betrieb genommen wurden, müssen den Vorgaben nicht entsprechen. Sie müssen jedoch den geltenden Gesundheits- und Sicherheitsanforderungen entsprechen und für die Anwendung geeignet sein. Der Umbau einer Maschine kann als Bau einer neuen Maschine angesehen werden, selbst wenn dieser Umbau zur Verwendung im eigenen Betrieb erfolgt. Die Firma, von der die Maschine umbaut wird, muss sich bewusst sein, dass gegebenenfalls eine Konformitätserklärung und eine e-Kennzeichnung ausgestellt werden müssen.
14
15
Risikobeurteilung
16
Damit eine Maschine (oder weitere Ausrüstung) sicher ist, müssen die möglichen Risiken betrachtet werden, die durch die Verwendung entstehen können. Risikobeurteilung und Risikominderung für Maschinen werden in EN ISO 14121-1 beschrieben.
Es gibt verschiedene Techniken zur Risikobeurteilung, jedoch kann keine davon als „der richtige Weg” zum Durchführen einer Risikobeurteilung angesehen werden. In der Norm werden einige grundlegende Leitsätze festgelegt, jedoch kann nicht jeder einzelne Fall beschrieben werden. Es wäre wünschenswert, dass durch eine Norm ein Maximalwert für jedes Risiko definiert würde. Aus verschiedenen Gründen ist dies leider nicht der Fall. Die Bewertung eines zulässigen Risikos hängt von einer Reihe Faktoren ab und kann je nach Person und Umgebung variieren. So kann z.B. ein Risiko, dass in einer Fabrik mit gut geschulten Angestellten akzeptabel ist, in einer Umgebung, in der sich Privatpersonen und auch Kinder bewegen, nicht akzeptabel sein. Historische Unfall- und Zwischenfallraten können hilfreiche Indikatoren sein, sie liefern jedoch keine zuverlässigen Angaben der zu erwartenden Unfallraten.
17
Bestimmen der Maschinengrenzen Was wird dabei beurteilt? Welche Geschwindigkeiten/Ladungen/Substanzen usw. spielen eine Rolle? Zum Beispiel: Wie viele Flaschen erzeugt die Extrusionsblasmaschine pro Stunde und welche Materialmenge wird bei welcher Temperatur verarbeitet? Denken Sie auch an den vorhersehbaren Fehlgebrauch einer Maschine, wie z.B. durch eine nicht spezifikationskonforme Verwendung. Wie hoch ist die voraussichtliche Lebensdauer der Maschine und ihre Verwendung? Wie wird sie am Ende ihrer Lebensdauer voraussichtlich entsorgt?
Identifizieren der Gefährdungen Durch welche Aspekte einer Maschine können Personen verletzt werden? Berücksichtigen Sie die Möglichkeit, dass sich Personen an der Maschine verfangen, quetschen, mit dem Werkzeug schneiden oder sich an den scharfen Kanten der Maschine bzw. des zu verarbeitenden Materials schneiden. Weitere Faktoren, wie die Stabilität der Maschine, Lärm, Vibration, Emission von Substanzen oder Strahlung müssen ebenfalls berücksichtigt werden sowie Verbrennungen durch heiße Oberflächen, Chemikalien oder Reibung durch hohe Geschwindigkeiten. In diesem Schritt sollten alle Gefährdungen aufgeführt werden, die über die gesamte Lebensdauer der Maschine einschließlich Bau, Installation und Entsorgung entstehen können. Beispiele typischer Gefährdungen werden nachfolgend gezeigt, jedoch handelt es sich hierbei nicht um eine vollständige Liste. Eine detailliertere Auflistung finden Sie in EN ISO 14121-1.
Wer könnte durch die identifizierten Gefährdungen verletzt werden und wann? Wer arbeitet an der Maschine, wann und warum? Denken Sie erneut daran, vorhersehbaren Fehlgebrauch mit einzuschließen. Hierzu zählt die Möglichkeit, dass die Maschine von nicht ausgebildetem Person bedient wird und dass sich Personen im Arbeitsbereich der Maschine befinden können; nicht nur Bedienpersonal, auch Reinigungskräfte, Sicherheitspersonal, Besucher und Privatpersonen.
18
Durchschlagen, Einstich, Scheren, Abschneiden
Erfassen, Aufwickeln, Einziehen, Fangen
Stoß
Elektrischer Schlag
Kontakt mit gefährlichen Substanzen
Verbrennungen
Quetschen
Hier werden Beispiele typischer Gefährdungen gezeigt, jedoch handelt es sich dabei nicht um eine vollständige Liste. Eine detailliertere Auflistung finden Sie in EN ISO 14121-1.
Priorisieren der Risiken nach ihrer Schwere EN ISO 14121-1 beschreibt diesen Schritt als Risikoeinschätzung. Ein Priorisieren kann durch Multiplikation der möglichen Gefährdungen, die von einer Gefährdungsexposition ausgehen, vorgenommen werden. Dabei können eine oder auch mehrere Personen betroffen sein. Eine Einschätzung der möglichen Gefährdungen ist schwierig, da jeder Unfall möglicherweise zu einem Todesfall führen kann. Jedoch ist normalerweise immer eine Konsequenz wahrscheinlicher, wenn es mehrere mögliche Konsequenzen gibt. Alle möglichen Konsequenzen sollten berücksichtigt werden, nicht nur der schlimmste Fall. Das Ergebnis der Risikobewertung sollte in einer Tabelle dargestellt werden, die die verschiedenen Risiken einer Maschine auflistet und einen Einschätzung der Schwere jedes einzelnen Risikos gibt. Für eine Maschine gibt es keine allgemeine „Risikoeinstufung” oder „Risikokategorie” – jedes Risiko muss einzeln betrachtet werden. Beachten Sie, dass die Schwere nur geschätzt werden kann – Risikobeurteilung ist keine genaue Wissenschaft. Und es ist auch nicht das Ende der Betrachtung; Risikobeurteilung dient der Risikominderung.
Mit der möglichen Gefährdung verbundenes Risiko
Schwere des möglichen Schadens
Wahrscheinlichkeit des Auftretens Häufigkeit und Dauer der Gefährdungsexposition Möglichkeit zur Vermeidung oder Begrenzung der Wahrscheinlichkeit eines Ereignisses, durch das ein Schadens entsteht
19
Risikominderung Risikominderung ist Bestandteil der EN ISO 12100-2. Die Definition der Risikominderung ist das Beseitigen von Risiken: „das Ziel der getroffenen Maßnahmen muss die Beseitigung aller Risiken über die gesamte vorhersehbare Lebensdauer einer Maschine hinweg sein, einschließlich Transport, Aufbau, Abbau, Demontage und Entsorgung.” Generell gilt, dass ein Risiko gemindert werden sollte, wenn die Möglichkeit dazu besteht. Es muss jedoch im wirtschaftlichen Sinne realisierbar sein. In den Verordnungen werden daher Wörter wie „angemessen” verwendet, um darauf hinzuweisen, dass die Minderung eines Risikos in manchen Fällen aus wirtschaftlichen Gründen nicht möglich ist. Der Prozess der Risikobeurteilung erfolgt schrittweise – Zunächst müssen Risiken identifiziert, priorisiert und mengenmäßig bestimmt werden. Dann müssen Schritte durchgeführt werden, um diese Risiken zu mindern (zunächst durch sichere Gestaltung, dann durch technische Schutzmaßnahmen). Daraufhin muss der Prozess wiederholt werden, um zu beurteilen, ob die jeweiligen Risiken ausreichend gemindert wurden und daraus keine neuen Risiken entstanden sind. Im nächsten Kapitel beschäftigen wir uns mit sicherer Gestaltung und technischen Schutzmaßnahmen.
Risikobeurteilung Die EN ISO 14121-1 stellt nutzbare allgemeine Leitsätze auf, um die in der EN ISO 12100-1 festgelegten Ziele zur Risikominderung zu erreichen. Sie gibt eine Anleitung über die Informationen, die für die Durchführung einer Risikobeurteilung notwendig sind. Ebenso werden Verfahren zur Identifizierung von Gefährdungen sowie zur Risikoeinschätzung und -bewertung beschrieben. In dieser Norm wurden Kenntnisse und Erfahrungen über die Konstruktion, den Einsatz, das Zwischenfall- und Unfallgeschehen sowie über Schäden im Zusammenhang mit Maschinen zusammengefasst. Somit wird der Anwender in die Lage versetzt, in allen relevanten Phasen des Lebenszyklus seiner Maschine die aufgezeigten Risiken beurteilen zu können. Die Risikobeurteilung ist das zentrale Dokument für alle weiteren Vorgehensweisen zur Realisierung einer sicheren Maschine und wird explizit in der Maschinenrichtlinie (Anhang I) verlangt. Notwendige Angaben über die zu erstellende Dokumentation sind in der Norm EN ISO 14121 angegeben.
20
Identifizierung der Gefährdungen Risikoeinschätzung
Risikobewertung
Ist die Maschine sicher? Nein
Risikobeurteilung
Festlegung der Grenzen der Maschine
Risikoanalyse
Start
Ende
Ja
Risikominderung
Iterativer Prozess zur Risikominderung nach EN ISO 14121
21
Sichere Gestaltung und technische Schutzmaßnahmen
22
Maßnahmen zur inhärent sicheren Gestaltung (gemäß EN ISO 12100-2, Kapitel 4)
Einige Risiken lassen sich durch einfache Maßnahmen vermeiden; kann eine Aufgabe, aus der sich ein Risiko ergibt, vermieden werden? Eine Vermeidung ist manchmal durch Automatisierung einiger Aufgaben, wie z.B. dem Beladen einer Maschine, möglich. Kann eine Gefährdung beseitigt werden? Die Verwendung nicht brennbarer Lösungsmittel zu Reinigungszwecken kann zum Beispiel die Brandgefahr, die von brennbaren Lösungsmitteln ausgeht, beseitigen. Dieser Schritt gilt als inhärent sichere Gestaltung und ist die einzige Möglichkeit, ein Risiko auf null zu reduzieren. Durch Entfernen des Antriebs von der Endrolle eines Rollenförderers kann die Gefahr, dass sich jemand in der Rolle verfängt, reduziert werden. Das Austauschen von Scheiben mit Speichen durch glatte Scheiben kann die Gefahr von Abscheren verringern. Durch die Vermeidung von scharfen Kanten, Ecken und Überständen können Schnittwunden und Prellungen vermieden werden. Durch Erhöhen der Mindestabstände kann vermieden werden, dass Körperteile gequetscht werden, durch Reduzierung des Maximalabstands kann vermieden werden, dass Körperteile eindringen. Durch Verringerung von Kraft, Geschwindigkeit und Druck kann das Verletzungsrisiko reduziert werden.
Vermeidung von Fallen, die zum Abscheren führen können, durch inhärent sichere Gestaltungsmaßnahmen Quelle: BS PD 5304
Stellen Sie sicher, dass eine Gefährdung nicht durch eine andere ersetzt wird. Durch die Verwendung von Druckluftwerkzeuge werden die Gefährdungen durch Elektrizität vermieden, jedoch können durch Druckluft neue Gefährdungen entstehen, wie zum Beispiel das Einspritzen von Luft in den Körper und Kompressorlärm. Normen und Gesetzgebung geben eine eindeutige Hierarchie für die Schutzmaßnahmen an. Gefährdungsvermeidung oder größtmögliche Risikominderung durch inhärent sichere Gestaltungsmaßnahmen haben höchste Priorität.
23
Technische Schutzmaßnahmen und ergänzende Schutzmaßnahmen (laut EN ISO 12100-2, Kapitel 5)
Ist eine inhärent sichere Gestaltung nicht möglich, sind technische Schutzmaßnahmen der nächste Schritt. Zu diesen Maßnahmen zählen z. B. trennende und nicht trennende Schutzeinrichtungen, Anwesenheitsüberprüfung zur Vermeidung von unerwartetem Anlauf, usw. Durch technische Schutzmaßnahmen soll erreicht werden, dass Personen nicht in Kontakt mit Gefährdungen kommen oder Gefährdungen so reduziert werden, dass sie für Personen, die mit ihnen in Kontakt kommen, unbedenklich sind. Schutzeinrichtungen können entweder fest eingebaut werden, um Gefährdungen einzuschließen oder abzutrennen, oder beweglich, d.h. selbstschließend, elektrisch angetrieben oder verriegelnd, sein.
Typische Schutzeinrichtungen, die als Teil der technischen Schutzmaßnahmen dienen: Sicherheitsschalter, die durch Erkennen der Position von beweglichen Schutzeinrichtungen die Verriegelung der Steuerung vornehmen. Sie werden normalerweise für Aufgaben wie Be- und Entladen, Reinigen, Einstellen, Anpassen usw. verwendet. Der Schutz des Bedienpersonals wird durch Anhalten der Maschine erreicht, entweder durch Herausziehen des getrennten Betätigers des Schalters, durch Betätigung des Hebels oder Kolbens, durch Öffnen der Schutzeinrichtung oder durch Rotation des Scharniers um 5°– normalerweise bei Maschinen mit geringer Trägheit (d.h. mit kurzer Nachlaufzeit)
24
Lichtvorhänge zum Erkennen von Personen, die sich der Gefahrenzone nähern: mit dem Finger, der Hand oder dem Körper (bis 14 mm, bis 30 mm und über 30 mm Auflösung) Lichtvorhänge kommen üblicherweise zum Einsatz bei: Materialverarbeitung, Verpacken, Fließbandarbeiten, Lagersystemen und weiteren Anwendungen. Sie dienen zum Schutz von Personen, die in der Nähe von Maschinen arbeiten oder diese bedienen. Sobald ein Lichtstrahl unterbrochen wird, stoppt die gefahrbringende Bewegung des Gerätes. Durch Lichtvorhänge kann das Personal geschützt und gleichzeitig ein freier Zugang zu den Maschinen ermöglicht werden. Da keine Tür oder Schutzeinrichtung verwendet wird, kann die Zeit, die für das Beladen, Überprüfen oder Anpassen der Maschine benötigt wird, reduziert werden. Darüber hinaus wird der Zugang zur Maschine erleichtert.
Sicherheitsmatten zum Erkennen von Personen, die sich der Gefahrenzone nähern, sich dort aufhalten oder in die Gefahrenzone eintreten. Sicherheitsmatten werden üblicherweise vor oder um potenziell gefährliche Maschinen oder Roboter verwendet. Sie bieten dem Bedienpersonal einen Schutz vor gefahrbringenden Bewegungen. Sie dienen hauptsächlich zum Schutz des Personals und ergänzen Sicherheitsprodukte, wie z.B. Lichtvorhänge. Sie bieten einen freien Zugang zu Maschinen zum Be- und Entladen. Sie erkennen Personen, die auf die Matten treten und bewirken das Stoppen der gefahrbringenden Bewegung.
25
Sicherheitsschalter mit funktionsüberwachter und elektromagnetischer Zuhaltung während gefahrbringenden Phasen des Arbeitszyklusses. Sie werden für Maschinen eingesetzt, die eine lange Nachlaufzeit haben, d.h., wenn das Stoppen der Maschine lange dauert und der Zugang erst nach Abschluss der gefahrbringenden Bewegung ermöglicht werden soll. Sie werden häufig entweder mit Zeitverzögerungsschaltung (wenn die Nachlaufzeit definiert und bekannt ist) oder mit Motorstillstandserkennung (wenn Nachlaufzeiten variieren können) verwendet, damit der Zugang zur Maschine nur unter sicheren Bedingungen möglich ist. Sicherheitsschalter sollten so ausgewählt und eingebaut werden, dass ein Versagen oder Ausfall möglichst vermieden wird. Die gesamten technischen Schutzmaßnahmen sollten die Produktionsaufgaben nicht unnötigerweise behindern. Hierzu zählen die folgenden Schritte: - �Sichere Befestigung der Geräte. Ein Werkzeug wird benötigt, um sie zu entfernen oder einzustellen; - �Verwendung von codierten Geräten oder Systemen, z.B. mechanisch, elektrisch, magnetisch oder optisch; - �Physikalische Hindernisse oder Abschirmung zum Verhindern des Zugangs zum Verriegelungsgerät bei geöffneter Schutzeinrichtung; - �Fester Stand, um den einwandfreien Betrieb zu gewährleisten
Zweihand-Steuerpulte und Fußschalter werden verwendet um sicherzustellen, dass sich das Bedienpersonal bei gefahrbringenden Bewegungen nicht im Gefahrenbereich aufhält (z.B. Abwärtshub bei Pressen) Sie dienen hauptsächlich zum Schutz des Bedienpersonals. Zusätzlicher Schutz für weiteres Personal kann durch zusätzliche Maßnahmen, wie z.B. durch das Anbringen von Lichtvorhängen, realisiert werden.
Zustimmschalter ermöglichen den Zugang unter speziellen Bedingung, die ein geringeres Risiko darstellen zum Auffinden von Fehlern, zur Inbetriebnahme usw. (z.B. Tippbetrieb), mit zentraler Position und 2 Stellungen für die AusFunktion (mit und ohne Zwangstrennung). Somit ist sichergestellt, dass beim Loslassen oder Verkrampfen der Hand eine sichere Abschaltung erfolgt.
26
Überwachung der Sicherheitssignale – Steuerungssysteme Die Signale von Sicherheitskomponenten werden üblicherweise über Sicherheitsrelais, Sicherheitscontroller oder Sicherheits-SPS (insgesamt bezeichnet als „Sicherheitslogiksystem”) überwacht, und dienen zum Ansteuern (und manchmal Überwachen) von Ausgabegeräten, wie z.B. Schützen. Die Wahl der Sicherheitslogik hängt von vielen Faktoren ab, wie z.B. Anzahl der zu verarbeitenden Sicherheitseingänge, Kosten, Komplexität der Sicherheitsfunktionen selbst, Notwendigkeit der Kabelreduzierung durch Dezentralisation mit Hilfe eines Feldbusses wie z.B. der AS-Interface „Safety at Work” oder SafeEthernet. Sicherheitssignale und Daten müssen in manchen Fällen auch über große Entfernungen gesendet werden, z.B. bei großen Maschinen oder zwischen Maschinen in großen Anlagen. Die heute übliche Verwendung von komplexer Elektronik und Software bei Sicherheitscontrollern und Sicherheit-SPS hat zum Teil zu einer Weiterentwicklung der Normen in Bezug auf elektrische Steuerungssysteme geführt.
Sicherheitsrelais
Sicherheitscontroller
Kompakte Sicherheitssteuerung
Modulare Sicherheitssteuerung
Technische Schutzmaßnahmen werden normalerweise durch ein Steuerungssystem überwacht. Die Maschinenrichtlinie stellt diverse Anforderungen an die Leistung dieser Steuerungssysteme. Es wird ausgesagt, dass „Steuerungssysteme so gestaltet und gebaut werden müssen, dass das Entstehen von gefahrbringende Situationen vermieden wird”. Die Maschinenrichtlinie schreibt nicht die Verwendung einer speziellen Norm vor, aber die Verwendung eines Steuerungssystems, das den Anforderungen der harmonisierten Normen entspricht, ist ein Mittel, die Konformität mit den Anforderungen der Maschinenrichtlinie aufzuzeigen. Zwei dieser Normen sind die EN ISO 13849-1 und EN IEC 62061.
27
Ergänzende Schutzmaßnahmen – Not-Halt Auch wenn Not-Halt-Geräte für alle Maschinen erforderlich sind (die Maschinenrichtlinie nennt zwei spezielle Ausnahmen), werden sie nicht als wichtigste Mittel zur Risikominderung angesehen. Sie werden stattdessen als „ergänzende Schutzmaßnahmen” bezeichnet. Sie dienen nur als redundantes System für den Notfall. Sie müssen robust, zuverlässig und an allen Stellen verfügbar sein, wo sie gegebenenfalls benötigt werden. EN 60204-1 unterscheidet die folgenden drei Kategorien für Stopp-Funktionen: - �Stopp-Kategorie 0: Stillsetzen durch sofortige Abschaltung der Energiezufuhr zum Antriebselement (ungesteuertes Stillsetzen); - �Stopp-Kategorie 1: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement, um den Halt zu erreichen. Nach erfolgtem Stillstand ist die Energiezufuhr zu unterbrechen; - �Stopp-Kategorie 2: Gesteuertes Stillsetzen ohne Unterbrechung der Energiezufuhr zum Antriebselement. Stopp-Kategorie 2 ist normalerweise für Not-Halt-Anwendungen nicht geeignet. Not-Halt-Geräte müssen bei Maschinen „direkt wirken”. Das bedeutet, dass durch ihre Gestaltung sichergestellt wird, dass der Mechanismus sofort verriegelt, wenn sich der normalerweise geschlossene Kontakt öffnet, auch wenn der Knopf sehr langsam gedrückt oder das Kabel sehr langsam gezogen wird (überlistungssicher). Dadurch wird ein langsames Anhalten verhindert, da daraus gefährliche Situationen entstehen können. Der umgekehrte Fall ist genauso wichtig, d.h. das Verriegeln darf nur erfolgen, wenn sich der Öffnerkontakt öffnet. Not-Halt-Geräte sollten EN/IEC 60947-5-5 entsprechen.
Restrisiken Nachdem alle Risiken so weit wie möglich durch Gestaltung und technische Schutzmaßnahmen reduziert wurden, sollte der Prozess der Risikobeurteilung wiederholt werden, um sicherzustellen, dass keine neuen Risiken entstanden sind (so können zum Beispiel angetriebene Schutzeinrichtungen zu einer Falle werden) und um einzuschätzen, ob jedes Risiko auf ein annehmbares Maß reduziert werden konnte. Auch nach einigen Wiederholungen der Risikobeurteilung und Risikominderung werden wahrscheinlich noch Restrisiken bestehen. Abgesehen von Maschinen, die einer speziellen harmonisierten Norm (C-Norm) entsprechen, ist es die Aufgabe es Entwicklers zu entscheiden, ob das Restrisiko toleriert werden kann oder ob weitere Maßnahmen ergriffen werden müssen. Darüber hinaus muss der Gestalter Informationen über diese Restrisiken in Form von Warnhinweisen, Gebrauchsanweisung, usw. liefern. In Gebrauchsanweisungen kann zwar die Verwendung von Schutzkleidung und speziellen Arbeitsprozessen festgelegt werden, diese Maßnahmen sind jedoch nicht so effektiv wie Gestaltungsmaßnahmen.
28
29
Funktionale Sicherheit
30
Funktionale Sicherheit Die Internationale Elektromagnetische Kommission (IEC) hat eine Reihe von häufig gestellten Fragen zur funktionalen Sicherheit herausgegeben unter: http://www.iec.ch/zone/fsafety/ In den letzten Jahren wurden etliche Normen veröffentlicht, die sich mit funktionaler Sicherheit beschäftigen. Hierzu zählen EN IEC 61508, EN IEC 62061, EN IEC 61511, EN ISO 13849-1, und EN IEC 61800-5-2. Alle Normen wurden in Europa eingeführt und als Europäische Normen (EN) veröffentlicht. Funktionale Sicherheit ist ein eher neues Konzept und ersetzt die alten „Kategorien“ zum Verhalten im Fehlerfall, die in EN 954-1 festgelegt wurden und häufig fälschlicherweise als ‘Sicherheitskategorien’ beschrieben wurden.
Eine Erinnerung an die Leitsätze der EN 954-1 Anwendern der EN 954-1 wird der alte „Risikograph” bekannt sein, der von vielen verwendet wurde, um die sicherheitsbezogenen Teile von elektrischen Steuerschaltkreisen gemäß der Kategorien B, 1, 2, 3 oder 4 zu gestalten. Der Betreiber wurde aufgefordert, eine subjektive Beurteilung der Schwere der Verletzung, Häufigkeit der Gefährdungsexposition und der Möglichkeit zur Vermeidung der Gefährdung durch Einstufung in leicht bis schwer, selten bis häufig und möglich bis kaum möglich, vorzunehmen und daraus die erforderliche Kategorie für jedes sicherheitsbezogene Teil zu ermitteln.
B
1
2
3
4
S1 P1 F1 P2 S2 P1 F2 P2
Hierdurch wird verdeutlicht, dass je mehr die Risikominderung vom sicherheitsbezogenen Steuerungssystem* (SRECS) abhängt, umso fehlerresistenter muss es sein (z.B. gegen Kurzschlüsse, verschweißen von Kontakten usw.). Das Verhalten der Kategorien bei Fehlereintritt wurde wie folgt definiert: - �Steuerschaltkreise der Kategorie B sind einfach und können zum Verlust der Sicherheitsfunktion infolge eines Fehlers führen. - �Schaltkreise der Kategorie 1 können auch zum Verlust der Sicherheitsfunktion führen, aber die Wahrscheinlichkeit ist geringer als in Kategorie B. - �Schaltkreise der Kategorie 2 erkennen Fehler durch Überprüfung in geeigneten Zeitabständen (ein Verlust der Sicherheitsfunktion kann zwischen diesen Überprüfungen erfolgen) KM1
KM1
KM1
*Das sicherheitsbezogene Maschinensteuerungssystem wird bezeichnet als: - Sicherheitsbezogene Teile von Steuerungssystemen (SRP/CS) in EN ISO 13849-1 - Sicherheitsbezogenes, elektrisches Steuerungssystem (SRECS) in EN IEC 62061
31
- �Schaltkreise der Kategorie 3 führen bei einem einzelnen Fehler nicht zum Verlust der Sicherheitsfunktion, z.B. durch die Verwendung von zwei (redundanten) Kanälen, jedoch kann der Verlust der Sicherheitsfunktion durch einer Ansammlung von Fehlern auftreten. 1
2
KM1 KM2 KM1 KM2
- �Durch Schaltkreise der Kategorie 4 wird sichergestellt, dass die Sicherheitsfunktion immer zur Verfügung steht, selbst beim Auftreten eines oder mehrerer Fehler. Meist wird dies durch redundante Ein- und Ausgänge sichergestellt und durch eine Rückkopplungsschleife zur ständigen Überwachung der Ausgänge
1
2
KM1 KM2 KM1 KM2 KM1 KM2
32
Funktionale Sicherheit ist „Teil der Gesamtsicherheit, bezogen auf die EUC* und das EUC-Steuerungssystem, die von der korrekten Funktion der E/E/PE**- sicherheitsbezogenen Systeme, sicherheitsbezogenen Systeme anderer Technologien und externer Einrichtungen zur Risikominderung abhängt”. Beachten Sie, dass es sich nur um ein Merkmal der Betriebseinrichtung und des Steuerungssystems handelt, nicht um eine bestimmte Komponente oder eine spezielle Geräteart. Die funktionale Sicherheit bezieht sich auf alle Komponenten, die zur Leistung der Sicherheitsfunktion beitragen, einschließlich Eingangsschaltern, Sicherheitslogiksystemen, wie Steuerungen und IPCs (inklusive Software und Firmware), und Ausgabegeräten, wie Schütze und Frequenzumrichter. * EUC steht für Equipment Under Control (Betriebseinrichtung) **Hinweis: E/E/PE steht für elektrisch/elektronisch/programmierbar elektronisch. Es sollte darauf geachtet werden, dass die Funktionsweise korrekt ist, d.h. die jeweils passenden Funktionen müssen ausgewählt werden. In der Vergangenheit gab es die Tendenz, dass Komponenten mit einer höheren Kategorie der EN 954-1 eher ausgewählt wurden als Komponenten einer niedrigeren Kategorie, obwohl sie eigentlich die passenderen Funktionen boten. Das könnte daran liegen, dass fälschlicherweise angenommen wurde, die Kategorien seinen hierarchischer Struktur, also beispielsweise Kategorie 3 „besser” sei als Kategorie 2 usw. Normen zur funktionalen Sicherheit sollen Entwickler dazu anhalten, den Blick mehr auf die Funktionen zu richten, die zur Minderung eines bestimmten Risikos dienen und was sie leisten müssen, anstatt sich nur auf die jeweiligen Komponenten zu verlassen.
33
Welche Normen werden für die Sicherheitsfunktion angewendet? Zur Anwendung stehen die EN IEC 62061 und EN ISO 13849-1 zur Verfügung. Die bekannte EN 954-1 ist zwar noch bis Dezember 2011 anwendbar, jedoch kann die Anwendung nicht uneingeschränkt empfohlen werden. Die Leistung einer Sicherheitsfunktion wird in EN IEC 62061 als SIL (Sicherheits-Integritätslevels) und in EN 13849-1 als PL (Performance Level) angegeben. Bei beiden Normen wird die Architektur der Steuerungsschaltkreise, die die Sicherheitsfunktion ausführen, betrachtet. Im Gegensatz zu EN 954-1 muss jedoch gemäß der neuen Normen die Zuverlässigkeit der ausgewählten Komponenten berücksichtigt werden.
EN IEC 62061 Jede Funktion muss genau betrachtet werden; Laut EN IEC 62061 muss eine Spezifikation der Sicherheitsanforderungen (Safety Requirements Specification SRS) erstellt werden. Sie umfasst eine funktionale Spezifikation (genaue Funktionsweise) und eine Spezifikation der Sicherheitsintegrität, in der die erforderliche Wahrscheinlichkeit, mit der eine Funktion unter den angegebenen Umständen ausgeführt wird, definiert ist. Ein häufig verwendetes Beispiel ist „Maschine anhalten, wenn die Schutzeinrichtung offen ist”. Der Fall muss jedoch genauer betrachtet werden, zunächst in Bezug auf die funktionale Spezifikation. Wird die Maschine zum Beispiel durch Wegnahme der Spulenspannung vom Schütz angehalten oder durch Herunterregeln der Geschwindigkeit mit Hilfe eines drehzahlvariablen Antriebs? Muss die Schutzeinrichtung zugehalten werden bis gefahrbringende Bewegungen abgeschlossen sind? Müssen weitere Geräte, die vor- oder nachgelagert sind, abgeschaltet werden? Wie wird das Öffnen der Schutzeinrichtung erkannt? In der Spezifikation der Sicherheitsintegrität müssen sowohl zufällige Hardwarefehler als auch systematische Fehler berücksichtigt werden. Systematische Fehler entstehen durch eine spezielle Ursache und können nur durch Vermeidung dieser Ursache beseitigt werden, normalerweise durch eine Modifikation der Gestaltung. In der Praxis sind die meisten Fehler systematisch und entstehen durch falsche Spezifikation. Als Teil des normalen Gestaltungsprozesses sollte diese SRS-Spezifikation zur Auswahl von passenden Gestaltungsmaßnahmen führen; z.B. können schwere oder falsch ausgerichtete Schutzeinrichtungen zur Beschädigung von Verriegelungsschaltern führen, wenn keine Stoßdämpfer und Führungsstifte verwendet werden. Eine ausreichende Menge an Schützen muss vorhanden sein und sie müssen gegen Überlastung geschützt sein. Wie oft wird die Schutzeinrichtung geöffnet? Welche Konsequenzen können sich aus dem Ausfall der Funktion ergeben? Welche Umgebungsbedingungen (Temperatur, Vibration, Feuchtigkeit, usw.) wird es geben? In EN IEC 62061 wird die Anforderung der Sicherheitsintegrität als Ausfallrate für die Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde für jede sicherheitsbezogene Steuerungsfunktion (SRCF) angegeben. Die Ausfallrate kann für jede Komponente oder jedes Teilsystem aus den Zuverlässigkeitsdaten ermittelt werden und steht in Beziehung zum SIL-Wert, wie Tabelle 3 der Norm zeigt:
Sicherheits- Integritätslevel (SIL) 3 2 1
Tabelle 1: Beziehung zwischen SIL und PFHD
34
Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde PFHD
>10-8 bis 10-7 bis 10-6 bis 3 Jahre bis 10 Jahre bis 30 Jahre bis
