Maschinenabsicherung

Thomas Kramer-Wolf | Günter Herkommer,

Welche Probleme der ISO/TR 24119 löst

Aus Kostengründen werden in einer Maschine häufig die Positionsschalter mehrerer Schutztüren in Serie auf ein Eingangspaar eines Sicherheitsschaltgerätes verdrahtet. Dies schränkt jedoch die Diagnostizierbarkeit von Fehlern in den Türschaltern stark ein und erschwert somit die Ermittlung des erreichbaren Performance Levels. Der kommende ISO/TR 24119 bringt in diesem Punkt Licht ins Dunkel.

© Fotolia / zhu difeng

Für gängige Fälle der Reihenschaltung von Türschaltern wurde in der Vergangenheit häufig für alle ­Türschalter irrtümlich derselbe Diagnosedeckungsgrad (DC) angenommen, welcher von den Herstellern bei direkter Auswertung durch ein Sicherheitsschaltgerät angegeben wird – meist ein DC von 99 %. In der Praxis zeigt sich aber, dass bei einer Verkettung der ­Türschalter für viele Fälle der DC ­unter 60 % sinkt und sich damit der erreichbare Performance Level (PL) von PL e auf PL c reduziert. In der Folge wird oft unerkannt ein unzureichender Performance Level umgesetzt und die Maschine ist trotz großem Aufwand unsicher.

Bild 1: Diagnosedeckungsgrad von Türschaltern in Serienschaltung © Wieland Electric

Betroffene sind von dieser Problematik grundsätzlich alle Maschinen oder Anlagen, bei denen zwei oder mehr ­mechanisch oder magnetisch betätigte Sicherheitstürschalter in einer Serienschaltung auf ein Eingangspaar eines Sicherheitsschaltgeräts (Sicherheitssteuerung oder Sicherheitsrelais) aufgelegt werden. Genauer spricht der ISO/TR hier von potenzialfreien Kontakten. Wenngleich nicht direkt vom ISO/TR betroffen, so ergibt sich eine ähnliche Situation bei der Verkettung anderer Schutzeinrichtungen wie beispielsweise Not-Halt-Taster oder Trittmatten. Auch in diesen Fällen ist der DC (siehe Bild 1) dringend zu prüfen. In der Praxis führt dies allerdings immer wieder zu Problemen.

Bild 2 illustriert ein bekanntgewordenes Szenario, bei dem aufgrund der Reihenfolge des Zutritts zum Gefahrenbereich ein verschweißter Türkontakt in Türe 1 nicht zu erkennen ist. In der Folge kann dies zu einer gefährlichen Situation führen. Zur Erläuterung: In den Schritten 1 bis 3 wird ausgehend von zwei geschlossenen Türen zunächst die Türe 2 und dann die Türe 1 geöffnet. In Schritt 3 sind beide Türen geöffnet, jedoch ist bei Türe 1 einer der beiden redundanten Schaltkontakte verschweißt (rot dargestellt).

Anzeige
Bild 2: Unerkannter Fehler eines Türschalters © Wieland Electric

Das Sicherheitsschaltgerät (Sicherheitssteuerung oder Sicherheitsrelais) meldet die Türen auch korrekt als geöffnet, kann jedoch keinen Fehler erkennen, da ja beide Kontakte aufgrund der fehlerfreien Türe 2 geöffnet wurden. Wenn nun die beiden Türen in umgekehrter Reihenfolge – also zuerst Türe 1 (Schritt 4) und dann Türe 2 (Schritt 5) – geschlossen werden, so ist im Schritt 5 ein kompletter Zyklus durchschritten und das Sicherheitsschaltgerät hat zu keinem Zeitpunkt einen Fehler erkannt. Der verschweißte Kontakt von Türe 1 ist nun unerkannt im System und im Falle eines Zweitfehlers zu einem späteren Zeitpunkt wäre eine gefährliche Situation gegeben. Diese Art der Fehler werden vom ISO/TR als Fehlerverdeckung bezeichnet. Die EN ISO 13849-1 fordert für eine Kategorie 3 oder Kategorie 4 aber, dass jeder Erstfehler vom System erkannt wird und zum sicheren Zustand führt. Somit kann hier unabhängig vom DC < 60 % keine Kategorie 3 in Anspruch genommen werden.

Dieses spezielle Szenario resultiert aus einem ungünstigen Arbeitsablauf; andere, ebenfalls kritische Szenarien können aber auch ohne diese Voraussetzung auftreten. Letztlich hängt die Möglichkeit der Fehlerverdeckung vor allem davon ab, ob Türen gleichzeitig geöffnet sind, oder ob erkannte Fehler in einer Tür durch andere fehlerfreie Türen quittiert werden können und somit dem Anwender ein fehlerfreies ­System vorgegaukelt wird. In allen ­Fällen kann die unerkannte Anhäufung von Fehlern zum Verlust der Sicherheit führen.

Hilfe aus dem ISO/TR 24119

Gut zwei Jahre nach der Basisnorm für Verriegelungseinrichtungen, der ISO 14119, wird in Kürze der ISO/TR 24119 erwartet, welcher den Spezialfall der Reihenschaltung von Schutzeinrichtungen auf solide Füße stellt. Die Norm zeigt, dass selbst bei einfachen Szenarien häufig ein Diagnosedeckungsgrad nicht ohne weiteres ermittelbar ist und Abschätzungen häufig auf einen DC < 60 % hinweisen. Dieser ist – wie bereits erwähnt – für eine Umsetzung in einer Kategorie-3- oder Kategorie-4-Struktur nicht ausreichend. In der Konsequenz wären derartige Umsetzungen auf maximal PL c zu begrenzen.

Da aber gleichzeitig die Unfallzahlen keine signifikanten Unfallhäufungen aufzeigen, obwohl derartige Schaltungen gängige Praxis sind, versucht der ISO/TR einen pragmatischen Ansatz zu gehen und die Randbedingungen eines solchen Einsatzes klarer zu fassen. Die Analyse hat gezeigt, dass die Wahrscheinlichkeit, auftretende Fehler durch das auswertende Sicherheitsschaltgerät tatsächlich zu erkennen, von einer Reihe von Aspekten abhängt. In dem Dokument werden dabei zwei Ansätze beschrieben. Ein vereinfachter Ansatz mit lediglich zwei Parametern und ein regulärer Ansatz mit zusätzlichen Parametern, welcher in einigen Fällen zu besseren Ergebnissen im Vergleich zum vereinfachten Ansatz führt.

Der vereinfachte Ansatz

Vereinfachter Ansatz des ISO/TR 24119

© Bild: Computer&AUTOMATION, Quelle: Wieland Electric

Die vereinfachte Betrachtung beschränkt die zu berücksichtigenden Aspekte auf die "Anzahl der häufig geöffneten Türen (N)" und die "Anzahl der zusätzlichen Türen (M)". Der Grundgedanke ist hierbei, dass im normalen Betriebsfall für das Beschicken mit Material und die Entnahme von Produkten meist eine oder mehrere Türen häufig betätigt werden. Darüber hinaus kann es eine oder mehrere Türen geben, die nur im Wartungsfall – und somit selten – betätigt werden. Anhand dieser beiden Größen ist der erreichbare DC auf 'Kein' bis 'Mittel' festgelegt. Mit einem DC von 'Mittel' wäre ein PL e grundsätzlich möglich, dies wird jedoch im ISO/TR pauschal ausgeschlossen und der erreichbare Performance Level auf PL d begrenzt. Die Zuordnung zwischen den Eingangsdaten und dem DC erfolgt hierbei über eine einfache Tabelle.

Angelehnt an die EN 62061 wurde von den Normensetzern als 'häufig' eine Frequenz von einmal je Stunde oder öfter angenommen. Des Weiteren gilt für diesen vereinfachten Ansatz die Annahme, dass, wenn mehr als ein Werker die Maschine (gleichzeitig) bedient, die Anzahl der häufig betätigten Türen (N) um eins höher als tatsächlich vorhanden angenommen werden muss. Dies ist der Tatsache geschuldete, dass bei zwei oder mehr Werkern auch die Wahrscheinlichkeit deutlich ansteigt, dass mehr als eine Türe gleichzeitig geöffnet wird und somit eine Fehlerverdeckung stattfinden kann. Für den Fall, dass alle Türen mindestens fünf Meter Abstand aufweisen oder alle zusätzlichen Türen nicht direkt erreichbar sind, kann die Anzahl zusätzlicher Türen M für die Ermittlung laut Tabelle um eins reduziert werden. Ist erkennbar, dass eine Fehlermaskierung auftreten kann, ist der DC pauschal auf 'Kein' zu begrenzen.

Der reguläre Ansatz

Im regulären Ansatz wird die Möglichkeit einer Fehlerverdeckung wesentlich umfassender betrachtet. Auch hier werden die Anzahl der Türen N und M als Kernelemente verwendet, jedoch kommen nun noch weitere Aspekte hinzu. So erfolgt beispielsweise eine Unterscheidung in verschiedene Anordnungen der Sensoren und deren mechanischer Struktur. Finden zwei getrennte Schalter an jeder Tür Verwendung, so kann dies gegenüber der Anordnung in einem Schalter als Vorteil bewertet werden. Außerdem wird die Verkabelungsart nach Aspekten der gemeinsamen oder getrennten Leitungsführung bewertet. Nicht zuletzt kommt die Art der Fehleraufdeckung ins Spiel, bei welcher die Art der Leitungstestung zu bewerten ist. Hierbei sind drei Varianten zu unterscheiden. In Variante 1 schalten beide Kanäle dasselbe Potential – zum Beispiel 24 V(DC). Die Variante 2 schaltet im einen Kanal ein Potenzial – zum Beispiel 24 V(DC) – und im zweiten Kanal das Massepotential. Die dritte Variante wird als Dynamische Signale bezeichnet und entspricht der Testung der Kanäle mit unabhängigen Testpulsen.

Die Auswertung all dieser Aspekte erfolgt anhand mehrerer Tabellen und führt auch hier zu einem maximal erreichbaren DC. Dabei gelten dieselben Beschränkung und Nebenanmerkungen wie im vereinfachten Ansatz sowie die Beschränkung, dass PL d der höchste erreichbare Performance Level ist.

Türen, Not-Halt und andere Sensoren

Bild 3: Verkettung von Türschalter und Not-Halt © Wieland Electric

Den ebenfalls üblichen Fall einer Kombination von Not-Halt, Türschalter und anderen Sensoren wie Trittmatten oder Schaltleisten zu einer zweikanaligen Not-Halt-Kette behandelt der ISO/TR 24119 nicht. Überträgt man allerdings das Wissen, dass Fehlerverdeckung auftreten kann, aus dieser Norm auf die Kombination von Not-Halt und Türschalter in einer Kette, so zeigt sich, dass eine Verkettung von anderen Sensoren mit Türschaltern in aller Regel eine Fehlerverdeckung sehr wahrscheinlich macht, da die gleichzeitige Betätigung mehrerer Sensoren eben nicht nur möglich, sondern wahrscheinlich ist (siehe Bild 3).

Damit greift die Begrenzung der Türschalter auf DC = 'Kein' für den Fall der Verkettung mit anderen Sensoren – und zwar selbst für eine zweikanalige Auslegung. Lediglich der verwandte Fall einer reinen Verkettung von Not-Halt-Tastern lässt sich als Sonderfall behandeln. Hier wird üblicherweise davon ausgegangen, dass immer nur ein Not-Halt-Taster betätigt wird, denn dann steht die Anlage ja bereits und die Notwendigkeit, einen weiteren Taster zu betätigen, ist nicht mehr gegeben. Bei einer ausschließlichen Verkettung von Not-Halt-Tastern braucht also keine Fehlerverdeckung angenommen werden und der erreichbare DC entspricht dem eines einzelnen Not-Halt-Tasters.

PL d für bis zu 30 Türen

Zusammenfassend lässt sich sagen: Mit dem ISO/TR 24119 wird die Ermittlung des DC nun erstmals auf eine solide Basis gestellt. Die Begrenzung auf PL d als Maximum dürfte für die meisten Applikationen kein Problem darstellen. Selbst der Fall vieler Türen, welche alle selten betätigt werden, gestattet mit bis zu 30 Türen einen PL d. Dies wäre dann auch laut Risikobeurteilung ausreichen, da mit einer als niedrig angesetzten Häufigkeit (F1) meist ein PLr d als Anforderung zu erfüllen ist. Lediglich Fälle mit niedriger Häufigkeit aber großer Aufenthaltsdauer (größer zehn Minuten) und einem PLr e sind davon nicht abgedeckt.

Der ebenfalls oft anzutreffende Fall mit einer Türe, die häufig zum Zwecke des Beschickens mit Material betätigt wird, in Kombination mit bis zu vier weiteren Türen stellt mit einem PL d eine realistische Begrenzung dar. Lediglich jene Applikationen, bei denen Türen häufig betätigt werden und die in PL e abzusichern sind, erfordern dringend eine Überprüfung. Denn hier ist es wahrscheinlich, dass Fehlerverdeckungen entstehen können. Ergo sollten in diesen Fällen alternative Lösungen gesucht werden – zum Beispiel mittels anderer Technologien wie etwa RFID-Schaltern oder auch in alternativen Diagnosemethoden wie dem direkten Auflegen auf getrennte Eingangskreise. Was sich als unhaltbar erwiesen hat, sind Anwendungen mit Kombinationen von Türschaltern, Not-Halt und anderen Schutzeinrichtungen in einer Not-Halt-Kette in PL d oder PL e. Hier gilt es jeweils individuell zu prüfen, welche Lösungen alternative Optionen darstellen können.

Autor:
Thomas Kramer-Wolf ist Fachreferent für Safety und Maschinenbau bei Wieland Electric.

  • Xing Icon
  • LinkedIn Icon
Anzeige
Anzeige

Das könnte Sie auch interessieren

Anzeige

Bihl+Wiedemann

Zukunftssicher automatisieren

AS-Interface entwickelt sich mit ASi-5 zur leistungsstarken Plattform für moderne Automatisierung. Höhere Datenraten, integrierte Safety und umfassende Diagnosefunktionen ermöglichen effiziente, flexible und zukunftssichere Lösungen – von einfachen...

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Jetzt Newsletter abonnieren