Die Maschinenrichtlinie 2006/42/EG ist in Europa die Grundlage für ein einheitliches Schutzniveau zur Unfallverhütung für Maschinen. Als solche fordert sie die Risikobeurteilung einer Maschine nach der EN ISO 12100 zur Bewertung und Minderung von Risiken. Die harmonisierte Norm EN ISO 13849 beschreibt eine probabilistische Methode, um die Risiken von Steuerungen zu reduzieren. Da die Norm gleichermaßen für mechanische, pneumatische, hydraulische und elektrische Steuerungen gilt, ähneln sich grundsätzlich auch die Vo­raussetzungen für elektrische und pneumatische Steuerungen. Dennoch sind ein paar Unterschiede zu beachten, die aber eher auf den Eigenschaften der unterschiedlichen Energieformen und -aktoren beruhen als auf dem strukturellen Aufbau der Steuerungstechnik. Konkret behandelt die ISO 13849-1 (allgemeine Gestaltungsgrundsätze) für sichere Steuerungssysteme folgende Aspekte:

• Architektur des Systems: Darin wird erfasst, was unter den Kategorien B, 1, 2, 3 und 4 gebräuchlich ist.
• Daten zur Zuverlässigkeit (MTTFd, B10d), die für die einzelnen Teile des Systems erforderlich sind.
• Diagnosedeckungsgrad (DC – Diagnostic Coverage) des Systems: Dieser stellt effektiv das Ausmaß der Fehlerüberwachung im System dar.
• Schutz vor Fehlern mit gemeinsamer Ursache (CCF – Common Cause Failure).
• Schutz vor systematischen Fehlern.

Bild 1. Die Architektur für Steuerungskategorie 3 setzt auf Redundanz, Diagnose und Fehlererkennung, um eine höhere Zuverlässigkeit der Sicherheitsfunktion zu erzielen.

© Rockwell Automation

Viele Fälle im Maschinen- und Anlagenbau erfordern einen Aufbau gemäß Kategorie 3. Die dafür vorgesehene Architektur muss grundlegende und bewährte Sicherheitsprinzipien (siehe Anhang der Norm EN ISO 13849-2) verwenden. Des Weiteren ist vorgesehen, dass bei einem Ausfall einer Komponente die Sicherheit weiterhin gewährleistet sein muss. Im Hinblick auf die Sicherheitsfunktion muss das System beziehungsweise das Subsystem also über eine einfache Fehlertoleranz verfügen. In der Regel wird zur Erfüllung dieser Anforderung eine zweikanalige Architektur (siehe Bild 1) verwendet. Eine zusätzliche Anforderung ist die Erkennung des einzelnen Fehlers, soweit dies praktikabel ist. Je nachdem wie viele gefährliche Fehler in dem System erkannt werden, wird dem System ein DC-Wert (Diagnosedeckungsgrad) zugewiesen. Zusätzlich sind Maßnahmen gegen Fehler gemeinsamer Ursache (CCF) zu ergreifen. Was dies im Einzelfall bedeutet, soll im Folgenden anhand eines konkreten Fallbeispiels veranschaulicht werden.

Antriebe stoppen bei Not-Halt

Ein Aufbau der Kategorie 4 gleicht prinzipiell dem einer Kategorie 3. Der Unterschied liegt darin, dass bei einer Kategorie 4 jeder Fehler erkannt werden muss, beziehungsweise eine Anhäufung von Fehlern nicht zum Verlust der Sicherheit führt. Dafür ist eine bessere Diagnose gefordert (DC ≥99 %). Bei durchgängig elektrischen Funktionen werden zum Beispiel bei einem Kategorie-4-Aufbau zwei zwangsbetätigte Öffner-Kontakte des Not-Aus-Tasters auf ein Sicherheitsrelais geschaltet. Dieses steuert zwei Schütze an, die wiederum den Energiefluss zu den Antrieben stoppen. Das Sicherheitsrelais vergleicht dabei regelmäßig die Konsistenz der beiden Eingangs­signale. Die beiden Schütze werden ihrerseits über zwangsgeführte Hilfs- oder Spiegelkontakte in das Relais rückgelesen. Somit wird eine Fehlfunktion sowohl des Not-Halt-Tasters als auch der Schütze erkannt.

Bei erkannter Fehlfunktion erfolgt eine Abschaltung der gesamten Funk­tion und erst nach der Fehlerbehebung kann diese wieder starten. Der Antrieb wird dabei sofort von der elektrischen Energie getrennt und trudelt aus. ­Gemäß der EN 60204-1 wird dieses sofortige Abschalten der Energie und unkontrollierte Stoppen ‚Stopp-0‘ genannt. Wird der Antrieb bei Betätigung des Not-Halt erst gezielt gebremst und dann von der Energie getrennt, spricht man von einem ‚Stopp-1‘. Als bewährtes Sicherheitsprinzip kommen beispielsweise zwangsgeführte Kontakte zum Einsatz. Weiterhin sind Maß­nahmen gegen Fehler gemeinsamer Ursache (CCF) in ausreichendem Maße zu treffen. Die Liste der mög­lichen Maßnahmen findet sich in der ISO 13849-2.

Bei einem elektrisch ausgelösten Not-Halt gibt es mehrere Möglichkeiten den pneumatischen Antrieb zu stoppen. Ein STO (Safe Torque Off – sicher kraftfrei schalten) bewirkt, dass der Antrieb druckfrei gemacht wird und je nach Einbaulage, Geschwindigkeit, Last und Reibung die kinetische Energie nicht so schnell abgebaut ist. In der Regel fährt der Antrieb aufgrund der Trägheit bis zum Ende des Hubs weiter. Der Maschinenhersteller hat dieses Risiko zu bewerten und entsprechend zu mindern. Nicht selten führt diese zerstörerische Energie auch zu Maschinenschaden. Gemäß der EN 60204-1 handelt es sich hier um einen Stopp-0.

Bild 2: Entsperrbares Rückschlagventil mit Statusabfrage: Der eingebaute Sensor erkennt die sichere Position des Rückschlagventils und meldet dies an die Steuerung.

© SMC Pneumatik

Einkanalig stoppen

Wo notwendig, kann der Antrieb durch Einsperren des Druckes gestoppt werden. Bei einkanaligen Systemen erreicht man dies durch das Abschalten des Antriebs mit einem 5/3-Wege­ventil, Mittelstellung geschlossen, oder über entsperrbare Rückschlagventile, die direkt in die Drucklufteingänge des Antriebs geschraubt werden. Der Maschinenbauer hat den Nachlauf per Test zu validieren und mit ­entsprechenden Maßnahmen ­dafür zu sorgen, dass bei einem manuellen ­Eingriff der Gefahrenbereich des ­Antriebs erst nach dessen Stillstand ­erreicht wird.

Wegeventile sind oft entfernt vom Antrieb eingebaut. Die Schlauchlänge bildet dabei eine Vergrößerung des Luftvolumens, was zu einem längeren Nachschwingen des Antriebs und somit zu einer Verzögerung des Stillstands führt. An dieser Stelle bieten sich die direkt in den Antrieb eingeschraubten entsperrbaren Rückschlagventile an. Bei einem einkanaligen System lassen sich diese mittels der Pilotluft durch Überkreuz-Entsperren ansteuern.

Zweikanalig stoppen mit Diagnose­

Auch in der Pneumatik ist bei höherem Risiko auf zweikanalige Systeme mit Diagnose zu setzen. Eine solche zweikanalige Steuerung lässt sich mit einem 5/3-Wegeventil, das gleichzeitig auch das Richtungsventil des Antriebs ist, als ersten Kanal aufbauen. Der zweite Kanal ist dann ein direkt im Antrieb eingeschraubtes entsperrbares Rückschlagventil. Dessen Pilotluft ist mit einem separaten monostabilen 5/2-Wegeventil anzusteuern.

Da entsperrbare Rückschlagventile bisher nicht über eine Statusabfrage verfügten, ließ sich nur mit einer Testroutine überprüfen, ob sie ihre sicherheitsgerichtete Funktion – und zwar das Sperren der Druckluft in der Antriebskammer – erfüllen. Hierzu musste die Pilotluft der Ventile entlüftet werden und das 5/3-Wegeventil den Antrieb ­bewegen. Zur Dia­gnose besaß der Antrieb Signalgeber an den Hub-Enden. Sofern das entsperrbare Rückschlagventil die Druckluft fehlerfrei einsperrte, fuhr der Antrieb nicht in die Endlage. Dies galt es in beide Antriebsrichtungen zu prüfen.

Es ist sicher verständlich, dass solche Testroutinen unerwünscht sind, da sie die verfügbare Zeit des Produktionsprozesses reduzieren und den Programmieraufwand erhöhen. Weiterhin wird bei jedem Antriebshub das Rückschlagventil mit der in die Antriebskammer einströmenden Druckluft wieder aus der sicheren Position gebracht. Man konnte letztlich nie sicher sein, dass eine Diagnose beider Rückschlagventile gleichzeitig in der sicheren Position erfolgte.

Aus diesem Grund hat SMC ein entsperrbares Rückschlagventil mit Statusabfrage zur Diagnose der sicheren Position der Rückschlagfunktion entwickelt. Die zeitaufwendige Testroutine kann somit entfallen. Mittels der Statusabfrage ist daneben die sichere Position des monostabilen 5/2-Wegeventils, das zur Ansteuerung der Pilotluft der Rückschlagventile genutzt wird, diagnostizierbar. Sind beide Rückschlagventile nicht in ihrer sicheren Position, lässt dies auf ein geschaltetes 5/2-Wegeventil schließen – die Rückschlagventile sind entsperrt und nicht geschlossen.

Erhöhte Vorsicht bei ­gehaltenen Lasten

Nicht nur bei Not-Halt müssen Antriebe stillgesetzt werden. Betritt zum Beispiel ein Mitarbeiter durch eine mit einem Verriegelungsschalter gesicherte Tür den gefährlichen Maschinenbereich, sind alle ihn gefährdenden Bewegungen anzuhalten.

Moderne elektrische Antriebe haben heutzutage häufig STO-Eingänge, die ein elektronisches Stillsetzen der Antriebe erlauben. STO-Funktionen in Frequenzumrichtern und Servoantrieben erhöhen die Lebensdauer der Geräte und erlauben einen schnelleren Neustart, da die internen Kondensatoren nicht ent- und somit auch nicht wieder zeitraubend aufgeladen werden müssen. Durch den Einsatz solcher Techniken werden Schütze in solchen Anwendungen oft überflüssig und Schaltschränke übersichtlicher. Aber auch bei modernen Antrieben lauern gegebenenfalls weitere Gefahren, die durch deren Abschalten hervorgerufen werden können. Zum Beispiel in puncto vertikale Achsen, die durch ihr Eigengewicht nach unten rutschen und so zu einer Gefahr für den Bediener werden können. Insofern bedarf es hier einer zusätzlichen mechanischen Haltebremse.

Bild 3: Türen werden üblicherweise mit sicheren Verriegelungsschaltern gemäß ISO 14119 auf ihren Status hin abgefragt. Bei nachlaufenden ­Bewegungen kann der Einsatz einer Verriegelungseinrichtung mit Zuhaltung not­wendig werden.

© Rockwell Automation

In der Pneumatik gibt es ähnliche Folge-Gefahren: Die größte Gefahr geht in der Regel von eingesperrter Druckluft in Antrieben oder hochgehaltenen Lasten aus. Eingesperrte Druckluft und somit gespeicherte Energie hat bei plötzlicher Freisetzung eine enorme Kraft, die oft unterschätzt wird. Falls nämlich der Antrieb durch ein Klemmen des Werkzeugs in einer Zwischenstellung verharrt, besteht die Gefahr, dass Mitarbeiter am Werkzeug rütteln, um die Störung zu beseitigen. Plötzlich kann sich dann die Klemmung lösen und die gespeicherte Energie löst eine schlagartige Bewegung aus. Hierfür gibt es Produkte zur Restdruck-Entlüftung. Eine wichtige Entscheidung des Maschinenherstellers ist, ob die Betätigung zur Entlüftung manuell am Antrieb oder durch genügend Abstand außerhalb des Gefahrenbereichs erfolgen soll.

Durch mit pneumatischen Antrieben hochgehaltene Lasten ergeben sich weitere Risiken, die durch entsprechende Maßnahmen zu reduzieren sind. Nach DIN EN ISO 13849-2 ist bei druck­belasteten Schläuchen zur Hochhaltung einer Last ein Fehlerausschluss bei Verwendung von Schläuchen nach ISO 4079-1 zulässig. Ansonsten ist eine Festverrohrung vorzusehen. Die DIN EN ISO 4414 als harmonisierte Sicherheitsnorm der Pneumatik schreibt bei Druckentlastung ein Ablassen oder Unterstützen beziehungsweise ein Halten der mechanischen Last vor.

Was tun bei Störungen?

Bei kleinen Störungen ohne elektrische Arbeiten kann es ausreichen, die Türschalter mit Vorhängeschlössern in geöffneter Stellung zu blockieren und somit einen unerwarteten Wiederanlauf zu unterbinden. Je nach gefordertem Performance-Level muss ausgangsseitig 1- oder 2-kanalig abgeschaltet werden. Bei Wartungsarbeiten mit elektrischen Arbeiten müssen hingegen alle gefährlichen Energien abgeschaltet werden. Diese Potenzialtrennung muss elektromechanisch erfolgen. Dabei sind folgende fünf Sicherheitsregeln (DIN VDE 0105) zu befolgen:

• Freischalten
• Gegen Wiedereinschalten sichern
• Spannungsfreiheit feststellen
• Erden und kurzschließen
• Benachbarte, unter Spannung stehende Teile abdecken oder abschranken.

In der Pneumatik geschieht dies wie folgt: Die Restdruck-Entlüftung lässt sich zum Beispiel durch manuell zu betätigende Restdruck-Entlüftungsventile durchführen. Diese gibt es in der Ausführung mit Steckverbindung für Schläuche sowie mit Gewinde für Festverrohrung. Bei Betätigung außerhalb des Gefahrenbereichs gibt es sowohl elektrisch-pneumatische als auch rein pneumatische Alternativen.

Bild 4: Eingesperrte Luft in pneumatischen Antrieben birgt ein Gefahren­potenzial, das sich mit Restdruck-Entlüftungs­ventilen reduzieren lässt.

© SMC Pneumatik

Bei größeren komplexen Anlagen mit vielen Energiequellen kann es Sinn machen, die Energietrennung der unterschiedlichen Quellen für kleine Wartungsarbeiten ohne elektrische Tätigkeiten zu kombinieren. Über einen einzigen Wartungsschalter können Teilbereiche oder die gesamte Anlage in den sicheren Zustand versetzt werden. Der Wartungsschalter wird dazu auf eine Sicherheitselektronik (Relais oder SPS) geschaltet. Diese steuert dann die Schütze und ­Ventile an und schaltet so alle Energiezuflüsse ab. Dabei empfiehlt sich wieder eine Zweikanaligkeit mit hohem Dia­gnosedeckungsgrad. Für den Bediener ist eine solche Lösung oft praktikabler, da er nur einen Schalter zu betätigen und gegen Wiedereinschalten zu sichern hat. Tiefergehende Informationen dazu finden sich in der EN 60204-1 (Kapitel 5.4).

Sehr oft wird bei dem Aufbau von Sicherheitsfunktionen nur der strukturelle Aufbau, also die Steuerungskategorie, berücksichtigt und geprüft, ob die entsprechenden B10d- beziehungsweise MTTFd-Werte vorliegen. Beim Aufbau der Funktionen sind jedoch zusätzliche Anforderungen wichtig, die in der ISO 13849-2 genannt werden. Dazu zählen grundlegende und bewährte Sicherheitsprinzipien – in Kat.1 etwa der Einsatz von bewährten Komponenten, DC-Werte sowie Maßnahmen gegen CCF und systematische Fehler. Diese Anforderungen müssen vom System und/oder den eingesetzten Komponenten erfüllt werden. Allerdings kann der Anwender dies bei den Komponenten äußerlich oft nicht erkennen. Daher empfiehlt es sich, bei Unklarheiten den Hersteller zu kontaktieren und sich das von ihm bestätigen zu lassen.

Autoren:
Christof Dörge ist TÜV-zertifizierter FS-Experte bei Rockwell Automation;
Ferdinand Rein ist Manager Actuators & Air Equipment Section bei SMC Pneumatik.