Sichere Türzuhaltung, Betriebsartenwahlschalter und Auswertung von Analogsignalen – alle diese Safety-Funktionen haben eines gemeinsam: In den gängigen Normen gibt es nur wenig Information zur korrekten sicherheitstechnischen Umsetzung, und sicherheitstechnische Speziallösungen erscheinen für viele Anwendungen meist als zu teuer. Das enthebt den Entwickler zwar nicht von der Verantwortung – der äußere Druck führt jedoch häufig dazu, dass ungeprüfte oder ungeeignete Lösungen zum Einsatz kommen.

Die Türzuhaltung

Für Zuhaltungen an Sicherheitstüren gibt es schon länger ­Spezialprodukte, meist mit einem Sicherheitslevel bis PL e. Aber auch mit handelsüblichen federkraftverriegelnden ­Türzuhaltungen lässt sich bereits PL d erreichen. Wie dies geschehen kann, wird in der EN ISO 14119:2014 im Anhang G.3.2 erläutert.

Zunächst sei das Wesen einer Türzuhaltung betrachtet: Praktisch alle auf dem Markt verfügbaren Systeme verzichten auf eine mehrkanalige mechanische Ausführung, sodass letztendlich immer nur ein Riegel die Tür verschlossen hält. Damit ist dieser eine Riegel und dessen Ansteuerung stets das Nadelöhr für die Sicherheitstechnik. Eine Kategorie-3- oder Kategorie-4-Implementierung lässt sich damit immer nur mittels Fehlerausschlüssen auf eben dieses eine mechanische Element erreichen. Das trifft auf die herstellerseitig bewerteten Spezialprodukte genauso zu wie auf die vom Maschinenbauer selbst bewerteten Zuhaltungen.

Die Schaltzunge (siehe (1) in Bild 1) wird normalerweise an der Türe selbst befestigt. Durch Schließen der Türe fährt diese Zunge in den am Rahmen befestigten Schalter ein und betätigt einen Nocken (3). Dieser kann dann mittels eines Verriegelungsbolzens (2) am Entriegeln gehindert werden. Der Verriegelungsbolzen selbst wird üblicherweise mittels einer Feder in der geschlossenen Position gehalten und per Elektromagnet bei Bedarf entriegelt. Sind Zunge, Nocken oder Bolzen defekt, so kann dies zu einer unerwünschten Entriegelung führen und die Sicherheit wäre nicht mehr gegeben. Daher sind all diese Elemente zu betrachten. Die meist noch vorhandene Positionsüberwachung für den Bolzen spielt dabei zwar eine Rolle für das Erkennen eines möglichen Fehlers; sie kann jedoch – sofern ein Fehler auftritt – keine Fehlerreaktion mehr einleiten. Die Motivation für eine Zuhaltung ist schließlich die Unmöglichkeit, beim Öffnen der Türe die Gefährdung rechtzeitig zu beenden. 

Was ist demnach zu tun? Laut EN ISO 13849-2 und EN ISO 14119 sind begründete Fehlerausschlüsse möglich und sollen hier auch zum Einsatz kommen. Beginnen wir mit dem Bolzen und dem Nocken: Diese sind in der Türzuhaltung selbst verbaut und der Maschinenbauer hat keinen Einfluss auf deren korrekte Funktion. Er muss davon ausgehen können, dass der Bolzen und der Nocken bei bestimmungsgemäßer Verwendung ausreichend dimensioniert sind und nicht brechen können. Wird also seitens des Maschinenbauers die bestimmungsgemäße Verwendung realisiert, so ist hier in Kombination mit einer passenden Zusicherung seitens des Herstellers der Türzuhaltung ein Fehlerausschluss möglich. Ähnlich verhält es sich mit der Feder: Auch hier ist eine Vorarbeit des Herstellers erforderlich. Kann der Hersteller zusichern, dass es sich um eine bewährte Feder im Sinne der EN ISO 13849-2 handelt, so lässt sich bei bestimmungsgemäßer Verwendung ein Federbruch ebenfalls ausschließen. Da auch die Schaltzunge selbst bei nicht korrekter Verwendung brechen kann, ist der richtige Einbau wiederum von elementarer Bedeutung. Ist dieser gewährleistet, kann der Fehlerausschluss durch den Maschinenbauer erfolgen.

Bild 2: Blockschaltbild und Schaltplan einer Türzuhaltung.

© Wieland Electric

Damit sind alle mechanischen Teile betrachtet. Ein weiterer Aspekt steht jedoch noch an – die elektrische Entriegelung mittels Elektromagnet. Hier könnte eine ungewollte Aktivierung zu einem Verlust der Sicherheit führen. Dies kann mittels zweier Anforderungen verhindert werden: Erstens muss die Ansteuerung des Elektromagneten mindestens im selben PL erfolgen wie der gewünschte PL der Zuhaltung. Das lässt sich über eine Sicherheitsteuerung oder ein Sicherheitsrelais ohne Probleme umsetzen. Da der Magnet aber nur ein einzelnes Element ist, muss dieser nun entweder zweipolig – also mit Masse und 24 Volt – geschaltet werden, oder es hat auch in diesem Fall ein Fehlerausschluss durch eine geschützte Verlegung oder durch Verdrahtung als geschirmte Leitung mit dem Schirm auf Masse zu erfolgen. In der Summe handelt es sich um Fehlerausschlüsse in allen Teilen der Zuhaltung, sodass auf den ersten Blick sogar ein PL e denkbar erscheint. Die EN ISO 13849-1 lässt allerdings in diesem Fall nur maximal PL d zu. 

Das entsprechende Blockschaltbild (siehe Bild 2) enthält dann die Zuhaltung selbst nur noch mit einem kompletten Fehlerausschluss und eine Begrenzung auf PL d. Insbesondere für PL-c- oder PL-d-Anwendungen bietet der beschriebene Ansatz eine kostengünstige Alternative zu herstellerseitig qualifizierten Produkten.

Die Auswahl der Betriebsart

Auch bei der Auswahl der Betriebsart gibt es fertige sicherheitstechnisch bewertete Produkte. Unbekannt ist vielen, dass bereits ein herkömmlicher Mehrstellungs-Schlüsselschalter bis PL e einsetzbar ist. Probleme bereitet meist nur die Sicherheitsbewertung.

Bild 3: Auswertung eines 1ooN-­Betriebsarten-wahlschalters im ­Sicherheitsprogramm.

© Wieland Electric

Schlüsselschalter sind in der Regel als Mehrstellungsschalter mit drei oder mehr Schaltstellungen erhältlich. Um den Normenanforderungen zu genügen, sind einige Anforderungen zu erfüllen. Zum einen muss der Schalter in jeder Schaltstellung abschließbar sein. Zum anderen muss die gewählte Betriebsart klar erkennbar sein. Wie bei allen Schaltern, bei denen eine menschliche Interaktion wichtig ist, hat auch hier ein wichtiger Fehlerausschluss zu erfolgen. Dabei ist mechanisch zu gewährleisten, dass die gewählte elektrische und die angezeigte Betriebsart übereinstimmen. Das sollte anhand von mechanischen Betrachtungen (zum Beispiel Formschluss) erfolgen. Ist dies geschehen, stellt sich lediglich die Frage nach der Modellierung der Sicherheitsfunktion. Üblich ist bei derartigen Schaltern eine 1-aus-N-Beschaltung (siehe Bild 3).

Die 1-aus-N-Beschaltung entspricht nun keiner der in der EN ISO 13849-1 darstellten Kategorien. Wird diese Struktur jedoch anhand der formalen Kriterien ‚Einfehlersicherheit‘ und ‚Fehleranhäufung‘ bewertet, so lässt sich schlussfolgern, dass eine Kategorie 3 problemlos erreichbar ist. Was ist hierzu erforderlich? Es müssen alle verfügbaren (nicht nur die genutzten) Schaltstellungen in einem Sicherheitsmodul ausgewertet werden. Dieses Modul macht dabei eine einzige 
Prüfung: Es überwacht, dass immer genau einer der Ausgänge aktiv ist. Wird erkannt, dass die Anzahl der aktiven Ausgänge ungleich 1 ist, wird der sichere Zustand eingeleitet. Das geschieht am einfachsten über eine eigene Sicherheitsfunktion. Auf diese Weise kann auf die Betrachtung der Betriebsart-Umschaltung in einer Vielzahl von anderen Sicherheitsfunktionen verzichtet werden.

Die Frage nach der erreichbaren Kategorie beantwortet die EN ISO 13849-1 bei den Anforderungen für die Kat. 3: „Jeder Einzelfehler wird spätestens bei der Anforderung erkannt und führt nicht zum Verlust der Sicherheit“ und „Fehleranhäufung kann zum Verlust der Sicherheit führen“. Da dies der Fall ist, liegt eine Kat. 3 nahe. Der Diag-nosedeckungsgrad (DC) dieser Schaltung lässt sich über die EN ISO 13849-1 Anhang E beantworten. „Kreuzvergleich von Eingangssignalen mit dynamischem Test, wenn Kurzschlüsse nicht bemerkt werden können (bei Mehrfach-Ein-/Ausgängen)“ führt hier zu einem DC von 90 %. Damit ist mit einem simplen Schlüsselschalter ein PL e erreichbar.

Wer es komfortabler oder grafisch ansprechender haben möchte, kann über ein handelsübliches HMI-Panel eine sichere Betriebsart realisieren. Da ein HMI alleine für sicherheitstechnische Anforderungen nicht geeignet ist, hilft in diesem Fall die Kombination mit einem einfachen Schlüsselschalter. Anders als im obigen Fall hat dieser Schlüsselschalter nur zwei Positionen (An/Aus) und dient als zweiter Kanal für die sichere Auswahl der Betriebsart. Jedoch wird auch hier wird die Kategorie-3-Anforderung über die Einfehlersicherheit begründet. Ein möglicher Ansatz ist dabei, die Auswahl der Betriebsart mittels Schlüsselschalter auf dem HMI einzuleiten und nach getaner Auswahl zu übernehmen.

Die Auswahl der Betriebsart darf in diesem Fall nur bei Anforderung per Schlüsselschalter möglich sein. Daneben ist die gewählte Betriebsart stets auf dem HMI anzuzeigen. Wichtig ist, dass die Programmteile ‚Anzeigen der Betriebsart‘ und ‚Auswahl einer Betriebsart‘ in unterschiedlichen Funktionsbausteinen umgesetzt sind. Die letztliche Hoheit der Betriebsart ist immer in der Sicherheitssteuerung angesiedelt. Passen Wahl und Anzeige nicht zusammen, wird zur falschen Zeit eine Betriebsart im HMI gewechselt oder tauchen Kommunikationsprobleme auf, dann muss die Sicherheitssteuerung dies als Fehler interpretieren und den sicheren Zustand einleiten. 

Ein allerdings unangenehmer Nebeneffekt dieser Art der Implementierung ist die Notwendigkeit, bei der Sicherheits-Validierung das HMI-Programm mit zu berücksichtigen. Ebenso sind bei jeder Änderung am HMI eine Einflussanalyse durchzuführen und die Sicherheitstechnik zu validieren. Für Serienmaschinen kann das eine akzeptable Randbedingung sein, da so die Betriebsart-Anwahl kostengünstig ins Gesamtkonzept integrierbar ist. Für Maschinen, die häufig Änderungen am HMI bedürfen, ist es eher eine inakzeptable Anforderung.

Analogsignale

Die Auswertung von Analogsignalen ist für die meisten Sicherheitssteuerungen entweder gar nicht oder nur sehr eingeschränkt möglich. Spezielle Prozesssteuerungen bieten hier zwar Abhilfe, jedoch sind diese meist in einer gänzlich anderen Preisklasse angesiedelt. Ist lediglich ein Analogsignal im Rahmen der Sicherheit einer Maschine oder Anlage erforderlich, dann ist das normalerweise ein K.-o.-Kriterium. In einigen Fällen können aber auch kleine und kostengünstige Sicherheitssteuerungen mit Analogsignalen umgehen. Die wichtigste Randbedingung ist dann neben PL und Abtastfrequenz die Frage nach dem Zweck der Analogsignale.

Bild 4: Beispiel für einen Grenzwertwandler mit digital programmierbarem Analog-Wandlermodul inklusive potenzialfreiem Relaisausgang.

© Wieland Electric

Standard-Sicherheitssteuerungen für Maschinen schaffen es, Eingangssignale mit etwa 10 bis 100 Hz auszuwerten. Das entspricht Zykluszeiten der Steuerung von 10 bis 100 ms. Der Zweck der Analogsignale ist in der Sicherheitstechnik meist die Überwachung einer simplen Über- oder Unterschreitung eines Grenzwertes. Ist dies der Fall, wird nicht der Analogwert selbst gesucht, sondern dessen Verhältnis zum Grenzwert. Dabei ist es auch möglich, dass derselbe Grenzwert auf unterschiedliche (diversitäre) Methoden erfasst wird. So kann beispielsweise der Füllstand eines Tanks mit einem Schwimmer an der Grenzfläche oder mit einem Drucksensor am Tankboden erfasst werden – aber auch mit einem Infrarot-Sensor, welcher von oben den Abstand zur Flüssigkeitsfläche misst.

In allen Fällen kann das ursprünglich analoge Signal mittels eines Grenzwertwandlers (Zweipunktregler) in ein digitales Signal gewandelt werden. Dieses ist anschließend von jeder Sicherheitssteuerung auswertbar. Begrenzende Faktoren dieses Vorgehens sind im unterschiedlichen Zeitverhalten der Messverfahren bei der redundanten Messung zu erwarten. Kritisch zu betrachten ist zudem, wenn Grenzwerte nur langsam überschritten werden, da dies häufig zu Fehlabschaltungen führt. Ist die Überwachung von mehr als einem Grenzwert gewünscht oder ist ein Test der Sensoren nicht möglich, dann können auch dies Ausschlusskriterien sein.

Grenzwertwandler unterstützen meist 0- bis 10-V- oder 4- bis 20-mA-Eingangssignale. Sofern diese nicht bereits vom Hersteller sicherheitstechnisch bewertet sind, ist ein einzelner Wandler bis maximal PL b geeignet. Dabei spielt die Beschränkung der EN ISO 13849-1 eine Rolle, welche besagt, dass komplexe Elektronik nicht als bewährt gelten kann und der Wandler dann nur als Kat. B genutzt werden darf. Kommen jedoch zwei derartige Wandler zum Einsatz, so ist – je nach Sensorqualität – PL b bis PL e erreichbar. Hauptkritikpunkte sind dabei regelmäßig die Bewertung der internen Software der Wandler als mögliche Einzelfehler selbst in redundanten Systemen. Eine einheitliche Betrachtung durch die Prüfinstitute gibt es derzeit nicht, da auch die Normenlage Interpretationsspielraum zulässt. Kurzum: Mit dem Ansatz über externe Grenzwertgeber lässt sich sogar bei Verwendung von einfachen Sicherheitsrelais eine Sicherheitsfunktion mit Analogsignalen herstellen.

Autor:
Thomas Kramer-Wolf ist Leiter des Fachbereichs ­Training & Services bei Wieland Electric.