SACHVERSTÄNDIGENBÜRO FÜR MASCHINENSICHERHEIT
Dipl.-Ing. Ferenc Varga
Ingenieur für Anlagenbetriebstechnik, Sicherheitsingenieur		 Fritz Flinte Ring 91, D-22309 Hamburg
Tel./Fax 040/632 20 55

5. Referate/Thema Nr. 2

1. Zur Person 2. Maschinen 3. Konditionen 4. Qualitätssicherung
Startseite 6. Spiel+Spass 7. Über uns 8. Copyright

  1. Fragen und Antworten zur Gefahrenanalyse und zur technischen Dokumentation im Sinne der EG-Maschinenrichtlinie 98/37/EG

  2. Sichere Maschinensteuerungen; eine praktische Betrachtung der Steuerungskategorien nach EN 954-1

  3. Prüfung von "Altmaschinen" nach der Betriebssicherheitsverordnung gemäß § 7 Absatz 2 Ziffer 2 durch beispielhafte Auswertung von Fehlerbildern

Thema Nr. 2: Sichere Maschinensteuerungen; eine praktische Betrachtung der Steuerungskategorien nach EN 954-1

Einführung: Der Sicherheitstechniker als Vermittler der technischen Vorschriften muß sich von den Konstrukteuren des öfteren Vorwürfe anhören. Sie halten viele Sicherheitsanforderungen der Normen nicht selten für praxisfremd und bürokratisch. Dies soll für die EN 954-1 "Sicherheitsbezogene Teile von Steuerungen" besonders zutreffen.
Mit diesem Referat soll gezeigt werden, daß die fünf Steuerungskategorien der EN 954-1 durchaus ihre logische Begründung haben und auf bewährte sicherheitstechnische Prinzipien zurückgeführt werden können.

Vorgehen: Durch konsequente Anwendung der altbekannten sicherheitstechnischen Leitsätze ist sogar möglich, ohne Kenntnis der EN 954-1, sichere Maschinensteuerungen zu entwerfen.
Man muß jedoch folgendes beachten: die oben definierten drei Sicherheitsprinzipien stehen in einer ganz bestimmten Beziehung zueinander. Ohne Ruhestromprinzip wäre die Einfehlersicherheit sinnlos und für die Fehlererkennung wäre es selbstverständlich auch zu spät. Das heißt: wenn die Einfehlersicherheit gegeben ist, muß auch das Ruhestromprinzip erfüllt sein bzw. ohne Ruhestromprinzip und Einfehlersicherheit ist keine Fehlererkennung sinnvoll. Die rechts gezeigte Darstellung verdeutlicht diesen Zusammenhang.

Der Konstrukteur der Maschinensteuerung arbeitet sich also von unten nach oben, abhängig davon, welches Risiko für den gegebenen Fall vorliegt.

Beispiel:
Eine waagerecht liegende gefahrbringende Bewegung mittels Luftzylinder ist anzusteuern. Nachfolgende Schaltpläne sollen die Erfüllung der obengenannten sicherheitstechnischen Prinzipien der Reihe nach demonstrieren.

 Definitionen:

Ruhestromprinzip: Im Fehlerfall muß die Steuerung in eine sichere Stellung zurückkehren oder in einer sicheren Stellung verbleiben.
Das Ruhestromprinzip muß bei sämtlichen sicherheitsrelevanten Anwendungen erfüllt sein.

Einfehlersicherheit: Ein einzelner Fehler in der Steuerung darf nicht zum Verlust der Sicherheitsfunktion führen.
Die Einfehlersicherheit muß erfüllt sein, wenn irreversible Verletzungen entstehen können.

Fehlererkennung: Fehler in der Steuerung müssen sich bemerkbar machen.
Die Fehlererkennung muß gegeben sein, wenn ernste irreversible Verletzungen verursacht werden können.

Bild 0 ansehen

 Zu Bild 0: Der Pneumatikzylinder wird auf die einfachste Weise angesteuert. Die Schaltung enthält so gut wie keine sicherheitstechnischen Elemente. Wenn die Maschine eingeschaltet ist, kann der Luftzylinder betätigt werden.

Bild 1 ansehen

 Zu Bild 1: Die Maschine wurde mit einer beweglichen trennenden Schutzeinrichtung ausgerüstet. Die Schaltung erfüllt das Ruhestromprinzip. Die Wertigkeit der Schaltung entspricht der Steuerungskategorie 1 nach EN 954-1.

Bild 2 ansehen

 Zu Bild 2: Der sicherheitsrelevante Teil der Steuerung erfüllt das Ruhestromprinzip und einfehlersicher. Die sicherheitstechnische Wertigkeit entspricht mindestens der Steuerungskategorie 2 nach EN 954-1.

Bild 3 ansehen

 Zu Bild 3: Die Schaltung erfüllt das Ruhestromprinzip und die Einfehlersicherheit. Fehler in der Elektrik werden erkannt, jedoch nicht in der Pneumatik. Die Wertigkeit der Schaltung entspricht der Steuerungskategorie 3 nach EN 954-1.

Anmerkungen:
  • Höherwertige Steuerungen entsprechend der Kategorie 4 der EN 954-1 werden nur für Maschinen mit Handbeschickung und/oder Handentnahme gefordert.
  • Die Erfüllung des Ruhestromprinzips und der Einfehlersicherheit ist technisch leicht zu verwirklichen. Das eigentliche Problem fängt bei der Fehlererkennung an, da die zunehmende Anzahl der Bauteile mehr Fehlermöglichkeiten zulässt. Eine vollkommene Fehlererkennung wäre mit vertretbarem Aufwand nicht möglich. Die EN-954-1 drückt diese Tatsache (siehe Steuerungskategorie 4) wie folgt aus: "Falls die Erkennung des Fehlers nicht möglich ist, darf eine Anhäufung von Fehlern nicht zum Verlust der Sicherheitsfunktion führen. Dabei kann die Fehlerbetrachtung nach 3 unabhängigen Fehlern abgebrochen werden."
  • Eine Fehlererkennung durch eine (elektrische) Stellungsüberwachung entspricht bei Einzel-Pneumatikventilen nicht dem Stand der Technik, da solche Ventile nur als Sonderanfertigung erhältlich sind.
  • Die Bedeutung der risikobedingten Bestimmung der Steuerungskategorie nach dem Muster der EN 954-1 nimmt mit der zunehmenden Anzahl der zur Verfügung stehenden C-Normen weiter ab. Für den Praktiker bedeutet dies eine Erleichterung, denn er braucht die umstrittene Prozedur der Risikobeurteilung nicht mehr durchzuführen. Die C-Norm geht der EN 954-1 (B-Norm) in jedem Fall vor, so daß die Möglichkeit unterschiedlicher Ergebnisse bei der Auslegung der Steuerung vermieden wird. Die Betriebserfahrung zeigt, daß man heute bei umfangreichen Prüfungen ganz ohne Risikobeurteilung bezüglich der Steuerungskategorie auskommt und sich nicht auf zeitraubende Diskussionen über die Schwere von "irreversiblen Verletzungen" einlassen muß.