Funktionale Sicherheit...modernen Sicherheitslösungen kann die Sicherheit ein integraler Teil der Maschinenfunktionalität sein, und Sicherheitslösungen müssen nicht nachgerüstet

Technische Anleitung Nr. 10Funktionale Sicherheit

ABB Antriebstechnik

2 Technische Anleitung Nr. 10 - Funktionale Sicherheit

3Technische Anleitung Nr. 10 - Funktionale Sicherheit

ABB AntriebstechnikTechnische Anleitung Nr. 10

Funktionale Sicherheit

3AUA0000104578 REV D GÜLTIG AB: 7.12.2011

© Copyright 2011 ABB. Alle Rechte vorbehalten.



Über dieses Dokument ............................................................................... 7

Teil 1 – Theorie und Hintergrund ................................................................. 8

Sicherheit und funktionale Sicherheit ................................................................. 9Maschinenrichtlinie ......................................................................................... 10Änderungen in der neuen Maschinenrichtlinie .................................................. 11Hierarchie des europäischen harmonisierten Normungssystems ...................... 12

Teil 2 – Neuer Ansatz .................................................................................14

Zwei Normen – IEC und ISO ........................................................................... 15Normen für die Risikominimierung ................................................................... 16Normen für elektronische Sicherheitssysteme ................................................. 16Produktspezifi sche Sicherheitsnormen (Normen Typ C) ................................... 18Spezifi sche Norm für sicherheitsrelevante Antriebssysteme ............................. 19 Standardisierte Sicherheitsfunktionen .......................................................... 19

Teil 3 – Schritte zur Erfüllung der Anforderungen der Maschinenrichtlinie ...22

SCHRITT 1: Management der funktionalen Sicherheit ................................24 SCHRITT 2: Risikobewertung ...................................................................24SCHRITT 3: Risikoreduzierung ..................................................................26SCHRITT 4: Festlegen der Sicherheitsanforderungen .................................28SCHRITT 5: Umsetzen des Systems der funktionalen Sicherheit .................32SCHRITT 6: Überprüfen des Systems der funktionalen Sicherheit ...............33SCHRITT 7: Überprüfung des Systems der funktionalen Sicherheit .............37SCHRITT 8: Dokumentation des Systems der funktionalen Sicherheit .........38 SCHRITT 9: Nachweis der Konformität ......................................................38

Glossar ......................................................................................................40

Index ..........................................................................................................42

Inhalt


Haftungsausschluss

Dieses Dokument dient nur der Information und hilft Benutzern, Planern, Herstellern von Maschinen und anderen beim besseren Verständnis der Anforderungen der EU-Maschinenrichtlinie sowie der Maßnahmen zur Einhaltung der Richtlinie und der dazugehörenden harmonisierten Normen.

Dieses Dokument ist nicht wörtlich zu nehmen, sondern nur eine informative Anleitung.

Die in dieser Druckschrift enthaltenen Informationen und Beispiele sind nur für den allgemeinen Gebrauch vorgesehen und enthalten nicht sämtliche notwendigen Einzelheiten zur Realisierung eines Sicherheitssystems.

ABB Oy Drives übernimmt keinerlei Haftung für direkt oder indirekt durch die aus diesem Dokument entnommenen Informationen verur-sachten Verletzungen oder Schäden. Der Hersteller der Maschinen trägt immer die Verantwortung für die Sicherheit des Produkts und seiner Eignung im Rahmen der geltenden Gesetze. ABB über-nimmt keinerlei Haftung für Schäden, die sich eventuell aus diesem Dokument ergeben.


Über dieses Dokument

Dieses Dokument ist eine Einführung in die Maschinenrichtlinie und die Normen, die bei der Konstruktion einer Maschine berücksichtigt werden müssen, um einen sicheren Betrieb zu gewährleisten.

Zweck des Dokuments ist es, in allgemeiner Form zu erläutern, wie der Prozess zur Erfüllung der Anforderungen der Maschinenricht linie abläuft und wie das CE-Kennzeichen erworben werden kann. Das CE-Kennzeichen zeigt an, dass die Maschinen die Anforderungen der Richtlinie erfüllen.

Hinweis:Dieses Dokument gibt lediglich eine Übersicht über den Prozess zur Erfüllung der wesentlichen Anforderungen der Maschinenricht-linie. Der Hersteller der Maschine bleibt letztendlich immer für die Sicherheit und Konformität des Produkts verantwortlich.

Das Dokument ist in drei Teile untergliedert:

• Teil 1 – Theorie und Hintergrund – stellt den Gedanken, der der funktionalen Sicherheit zugrundeliegt vor, und zeigt auf, wie die Maschinenrichtlinie eingehalten werden kann. Außerdem wer-den die künftigen Änderungen in der neuen Maschinenrichtlinie aufgezeigt und die hierarchische Gliederung des Systems der harmonisierten europäischen Normen vorgestellt.

• Teil 2 – Neuer Ansatz – stellt die neue, sich auf die Maschinen-richtlinie beziehenden Normen vor, die die alten ersetzen. Außer-dem werden die beiden Normensysteme vorgestellt und werden einige sicherheitsrelevante Normen und Funktionen aufgelistet.

• Teil 3 – Schritte zur Erfüllung der Anforderungen der Maschinen-richtlinie – stellt die neun Schritte vor, die bei der Erfüllung der Anforderungen der Maschinenrichtlinie helfen.


Teil 1 – Theorie und Hintergrund

Nationale Gesetze in der Europäischen Union schreiben vor, dass Maschinen die in der Maschinenrichtlinie und den dazugehören-den harmonisierten Normen festgelegten Anforderungen der Ge-sundheits- und Sicherheitsrichtlinien ( EHSR) erfüllen müssen. Das bedeutet, dass alle neuen Maschinen die gleichen gesetzlichen Anforderungen erfüllen müssen, wenn sie in die EU geliefert werden. Die gleichen Normen werden auch in vielen Gebieten außerhalb Europas anerkannt zum Beispiel durch Äquivalenzlisten für den Maschinenhandel und Maschinenlieferungen zwischen Ländern innerhalb und außerhalb der EU.

Warum müssen Maschinen diese Anforderungen erfüllen? Die Konformität trägt dazu bei, Unfälle und in der Folge Verletzungen von Personen zu verhindern. Die Einhaltung der Anforderungen der Maschinenrichtlinie und der anzuwendenden harmonisierten Normen bietet Maschinenherstellern die Gewissheit, dass die entwickelten, produzierten und ausgelieferten Maschinen sicher sind und den nationalen Gesetzen entsprechen.

Neue und verbesserte Sicherheitsstrategien bieten Herstellern eine Möglichkeit zur Verbesserung ihrer Produktivität und Wettbewerbs-fähigkeit. Das Ziel von konventionellen Sicherheitssystemen war eine möglichst umfassende Betriebssicherheit und die Einhaltung gesetzlicher Vorschriften. Das geschah meist durch zusätzliche elektrische und mechanische Komponenten, auch auf Kosten der Produktivität. Bediener sind unter Umständen in der Lage, diese Systeme zu umgehen, um die Produktivität zu erhöhen, wobei aber die Gefahr von Unfällen ansteigt.

Moderne Sicherheitssysteme gewährleisten die Sicherheit von Prozessen und Bedienern und stellen eine hohe Produktivität sicher. Eine Maschine kann zum Beispiel mit verringerter Drehzahl weiterlaufen, um einen sicheren Betrieb aufrecht zu erhalten. Bei modernen Sicherheitslösungen kann die Sicherheit ein integraler Teil der Maschinenfunktionalität sein, und Sicherheitslösungen müssen nicht nachgerüstet werden, um die Vorschriften zu erfüllen.

Sicherheitssysteme können effektiv über definierte Prozesse imple-mentiert werden, um ein spezifisches Sicherheitsniveau ( Safety Performance) zu erreichen, und zertifizierte Teilsysteme dienen als Bausteine für Sicherheitssysteme. Die Erfüllung der Sicherheits-normen wird in der Industrie erwartet, und zertifizierte Teilsysteme wie Antriebe setzen sich auf dem Markt durch. Die Maschinen-sicherheit ist einer der am schnellsten wachsenden, bedeutenden Bereiche in der Industrieautomation.



Sicherheit und funktionale Sicherheit

Die Aufgabe der Sicherheit im Kontext dieser Anleitung ist es, Personen vor Verletzungen und die Umwelt vor Schäden durch Maschinen zu schützen. Die Systeme für die funktionale Sicherheit verringern die Wahrscheinlichkeit unerwünschter Ereignisse und Störungen durch den Betrieb von Maschinen. Die Sicherheitsnormen definieren Sicherheit als Abwesenheit nicht akzeptabler Risiken. Was akzeptabel ist, wird von der Gesellschaft definiert. Maschinenbauer sollten immer das gleiche strenge Akzeptanzkriterium für alle Märkte ungeachtet regionaler Unterschiede anwenden.

Die effektivste Art, Gefahren zu vermeiden, ist es, diese durch kons-truktive Vorkehrungen bereits in der Planungsphase auszuschließen. Eine Risikoreduzierung ist jedoch durch konstruktive Maßnahmen nicht immer möglich oder praktikabel. Die nächstbeste Option ist aus verschiedenen Gründen oft eine Sicherheitsüberwachung mit statischen Einrichtungen. Ein Sicherheitssystem mit einem schnellen und sicheren Maschinenstopp oder in bestimmten Fällen auch der Fortsetzung des Betriebs mit reduzierter Drehzahl anstatt eines abrupten Maschinenstopps verringert nicht nur das Risiko, son-dern kann auch die Maschinenproduktivität und -laufzeit erhöhen. Gleichzeitig werden die gesetzlichen Verpflichtungen erfüllt und die Sicherheit von Personen und der Schutz der Umwelt gewährleistet.

Die funktionale Sicherheit von Maschinen wird normalerweise durch Systeme erreicht, die den sicheren Betrieb überwachen und, falls erforderlich, die Maschinenanwendungen korrigieren und so einen sicheren Betrieb gewährleisten. Ein Sicherheitssystem implementiert die erforderlichen Sicherheitsfunktionen. In ein sicherheitsrelevantes System werden deshalb zur Erkennung von Gefahrensituationen die erforderlichen Sicherheitsfunktionen implementiert, die den sicheren Betrieb wieder herstellen oder notwendige Aktionen ausführen, wie beispielsweise die Maschine sicher stoppen.

Die Überwachung kann die Maschinendrehzahl, -drehrichtung, den Stopp und Stillstand umfassen. Bei Ausführung einer Sicher-heitsfunktion z. B. Überwachung einer Kriechdrehzahl, die vom erwarteten Wert abweicht (d. h. zu schnell ist), erkennt das Sicher-heitssystem diese Abweichung und führt den Maschinenbetrieb auf einen sicheren Status zurück. Dies kann zum Beispiel durch das sichere Stoppen der Maschine und Verringern des Drehmoments der Motorwelle erfolgen.

Ein Sicherheitssystem ist nicht Teil des Standard-Maschinenbetriebs, aber jede Störung des Sicherheitssystems erhöht die spezifischen Risiken des Maschinenbetriebs.


Maschinenrichtlinie

Die Maschinenrichtlinie mit den harmonisierten Normen definiert die Anforderungen der Gesundheits- und Sicherheitsrichtlinien ( EHSR) für Maschinen im Bereich der EU. Die EHSR sind in Anhang I der Maschinenrichtlinie aufgeführt.

Die Idee der Maschinenrichtlinie ist es sicherzustellen, dass eine Maschine so geplant und konstruiert wird, damit sie in allen Phasen ihrer Nutzung sicher betrieben, konfiguriert und gewartet werden kann und dabei ein geringstmögliches Risiko für Personen und die Umwelt darstellt.

Die EHSR verlangt, dass Maschinenhersteller bei der Konstruktion sicherer Maschinen die folgenden Prinzipien in der angegebenen Reihenfolge beachten (auch bekannt als 3-Schritt-Verfahren):

1. Vermeiden oder Minimieren von Gefahren, soweit dies möglich und angemessen ist, durch Beachten der Sicherheitsaspekte in den Planungs- und Konstruktionsphasen der Maschinen.

2. Anwendung aller notwendigen Schutzmaßnahmen gegen Gefah-ren, die nicht eliminiert werden können.

3. Information der Benutzer über alle Risiken, die trotz aller geeigne-ten Schutzmaßnahmen, Schulungen oder persönlicher Schutz-ausrüstung bestehen bleiben.

Die Erfüllung der Anforderungen der EHSR der Maschinenrichtlinie erlaubt dem Maschinenhersteller, das CE-Kennzeichen an der Ma-schine anzubringen. Mit dem CE-Kennzeichen garantiert der Herstel-ler, dass das Produkt allen Vorschriften für einen freien Warenverkehr und den wesentlichen Anforderungen der anzuwendenden europä-ischen Richtlinien, in diesem Fall der Maschinenrichtlinie, entspricht.

Hinweis: Es können auch andere Richtlinien anzuwenden sein, zum Beispiel die Niederspannungsrichtlinie und die EMV-Richtline. In dieser Anleitung werden nur die Anforderungen der Maschinenrichtlinie behandelt.

Hinweis: Gemäß der Maschinenrichtlinie wird das CE-Kennzeichen nur an einer vollständigen Maschine angebracht, nicht an den einzelnen Komponenten, aus denen die Maschine besteht. Deshalb ist der Hersteller oder der Vertreter des Herstellers der Maschine für die CE-Kennzeichnung verantwortlich, nicht der Hersteller der Kompo-nente, die in der Maschine enthalten ist.

Der Maschinenhersteller ist für die Durchführung der jeweiligen Gefahrenanalyse entsprechend den Schritten in Teil 3 und die Erfül-lung der Anforderungen zuständig. Der Hersteller der Komponente ist für die Einhaltung des Sicherheitsniveaus (SIL / PL Level) der Sicherheitsfunktion der Komponente bei bestimmungsgemäßem Gebrauch zuständig. Eine Komponente in diesem Zusammenhang könnte ein Sicherheitsrelais oder ein Frequenzumrichter mit inte-grierter Sicherheitsfunktionalität sein.



Änderungen in der neuen Maschinenrichtlinie

Eine neue Maschinenrichtlinie 2006/42/EG ersetzt die alte Richtlinie 98/37/EC mit Wirkung ab 29. Dezember 2009.

Es gibt keine grundlegenden Änderungen zwischen der alten und der neuen, revidierten Richtlinie. Ziel der neuen Richtlinie ist die Festigung der Ergebnisse der alten Maschinenrichtlinie und die Verbesserung der Sicherheit von Maschinen und Anwendungen.

Die wichtigsten Änderungen in der aktuellen Maschinenrichtlinie verglichen mit der vorherigen Fassung sind:

• Änderungen in der Bewertung der Konformität von gefähr-lichen Maschinen, die in Anhang IV der Maschinenrichtlinie aufgelistet sind. Nach der neuen Richtlinie kann der Hersteller eine Selbstzertifizie-rung ohne Beteiligung einer anerkannten Prüfstelle durchführen. Voraussetzung dafür ist, dass der Hersteller ein Qualitätsiche-rungsverfahren anwendet, dass gemäß den Anforderungen in Anhang X der Maschinenrichtlinie implementiert worden ist.

• Änderungen in den "Grundlegenden Sicherheits- und Ge-sundheitsschutzanforderungen" (EHSR) in Anhang I der Maschinenrichtlinie.Der Hersteller muss jetzt eine Riskiobewertung zu den EHSR durchführen.

• Änderungen beim Nachweis der Sicherheit von verschiedenen Produkten.Dieselben Maschinenvorschriften gelten für Maschinen, aus-tauschbare Komponenten, Sicherheitskomponenten usw. Für die Produkte muss eine CE-Konformitätsbewertung durchgeführt werden, dann müssen eine Konformitätserklärung und die not-wendigen Benutzerinformation erstellt werden.

• Änderungen der Anforderungen für Teil- oder unvollständige Maschinen.Eine Teil- oder unvollständige Maschine ist eine Komponente oder eine Reihe von Komponenten, die für sich allein keine spezifische Funktion erfüllt. Solch ein Teil wird an andere Teile, unvollständige Maschinen oder Maschinen angebaut, um mit diesen dann eine Maschine gemäß Definition in der Maschinenrichtlinie zu bilden.

Zusätzlich zur Herstellererklärung muss der Hersteller jetzt auch eine Einbauerklärung erstellen, aus der ersichtlich ist, welche Anforderungen der Richtlinie für das Teil oder die unvollstän-dige Maschine gelten, und dass diese eingehalten werden. Die Produktdokumentation muss auch Installationsanweisungen umfassen.



• Änderungen der Niederspannungsrichtlinie.Der Fokus der Niederspannungsrichtlinie richtet sich jetzt auf ein Produkt anstatt auf ein Risiko. Es gibt jetzt auch eine deutlichere Differenzierung von Maschinenrichtlinie und Niederspannungs-richtlinie.

• Änderungen der Gefahrenanalyse.Die Gefahrenanalyse wurde durch eine verpflichtende Risikobe-wertung ersetzt.

• Änderungen in der Produktionskontrolle.Für die Serienfertigung von Maschinen sind jetzt interne Pro-duktionskontrollen gemäß Anhang VIII der Maschinenrichtlinie vorgeschrieben.

• Änderungen der Gültigkeit von EG-Baumusterprüfbescheini-gungen.Eine anerkannte Prüfstelle muss die Zertifizierungen alle fünf (5) Jahre überprüfen. Hersteller und Prüfstellen müssen die relevanten technischen Dokumente für 15 Jahre aufbewahren.

Hierarchie des harmonisierten europäischen Normungssystems

Das europäische Komitee für Normung, CEN, und das europäische Komitee für elektrotechnische Normung, CENELEC beschliessen die harmonisierten Normen. Alle harmonisierten Normen haben den Präfix “EN”.

Eine Liste der harmonisierten Normen befindet sich auf den Inter-netseiten der Europäischen Kommission http://ec.europa.eu.

Die überwiegende Anzahl von harmonisierten Normen bezieht sich auf eine oder mehrere Richtlinien. Um sicher zu stellen, dass die wesentlichen Anforderungen der Maschinenrichtlinie eingehalten werden, ist es ratsam, die entsprechenden harmonisierten europäi-schen Normen anzuwenden. Durch eine den Normen entsprechende Konstruktion der Maschinen können Hersteller beweisen, dass sie die Anforderungen der Maschinenrichtlinie erfüllen, und generell eine Zertifizierung durch eine Prüfstelle nicht erforderlich ist.

Hinweis:Die Ausnahmen zu den in Anhang IV der Maschinenrichtlinie aufge-listeten Maschinen müssen beachtet werden.



BGRUPPEN-SICHERHEITSNORMEN –Konkrete Angaben zu den Basisnormen

CPRODUKTNORMEN

ABASIS-

SICHERHEITSNORMEN

Bild 1-1 Hierarchie der harmonisierten europäischen Normen

• Normen des Typs C gelten für eine Maschine oder eine Klasse von Maschinen. Wenn es eine Norm des Typs C für eine Ma-schine gibt, gelten die zugehörigen Normen des Typs B und möglicherweise auch des Typs A Normen sekundär. Bei der Planung von Sicherheitsfunktionen definieren Normen des Typs C zusätzliche, verbindliche Anforderungen für die Maschinen, für die sie gelten. Wenn jedoch keine Normen des Typs C für die Maschine existieren, bieten die Normen der Typen B und A eine Hilfestellung bei der Planung und Konstruktion der Maschinen, damit diese die Anforderungen der Maschinenrichtlinie erfüllen.

• Normen des Typs B enthalten die Sicherheitsanforderungen, die allgemeinverbindlich für die Ausführung der meisten Maschinen gelten. Diese Normen enthalten Informationen über mögliche Risiken und wie diese mit Hilfe eines Risikoreduzierungspro-zesses minimiert werden. Normen des Typs B können in zwei Gruppen, B1 und B2 eingeteilt werden. Normen des Typs B1 behandeln spezifische Sicherheitsaspekte und Normen des Typs B2 gelten für sicherheitsrelevante Einrichtungen allgemein. Normen des Typs B1 sind zum Beispiel EN 62061:2005 und EN ISO 13849-1 2008. Die Normen des Typs B2 schließen die Normen für Notstopp/Stillsetzen ein, wie beispielsweise die EN ISO 13850:2008.

• Normen des Typs A behandeln Auslegungsprinzipien und Basis-konzepte für Maschinen. Ein Beispiel einer Norm des Typs A ist die Basis-Sicherheitsnorm EN ISO 12100-1.

Hinweis:Diese Normen müssen nicht verbindlich angewendet werden, sie bieten jedoch Empfehlungen und Anleitungen für die Einhaltung der Anforderungen der Maschinenrichtlinie, die verbindlich ist.



Hinweis:Die alte Norm EN 954-1 wurde durch die Normen EN ISO 13849-1 und EN 62061 im Jahr 2006 ersetzt. Bei Einhaltung der EN 954-1 gilt jedoch die Konformitätsvermutung parallel zu den neuen Normen EN ISO 13849-1 und EN 62061 während einer Übergangszeit, die am 31. Dezember 2011 ausläuft (ursprünglich galt eine Übergangszeit von drei Jahren von 2006 bis 2009, die dann um zwei Jahre bis Ende 2011 verlängert wurde).

EN ISO 13849-1

EN 954-1

EN 62061

Übergangsphase3 Jahre

11/2006

12/2009

2005 Neue Maschinen-richtlinie 2006/42/EG

Mas

chin

enba

uer

12/2011

Zweijährige Verlängerung

Abbildung 2-1 Übergangsfristen von den alten zu neuen Normen

Die Ersetzung der Norm EN 954-1 durch die EN ISO 13849-1 und die EN 62061 (die nur für elektrische Steuerungssysteme gilt) ist der Wechsel von einem deterministischen Ansatz, mit dem bekannten Zusammenhang von Ursache und Wirkung, zu einem Wahrscheinlichkeits- oder Zuverlässigkeitsansatz bei Sicherheits-systemen. Die neuen Normen berücksichtigen die Wahrschein-lichkeit von Störungen der gesamten Sicherheitsfunktion, nicht nur seiner einzelnen Komponenten. Gegenüber der alten Norm EN 954-1 erlauben die neuen Normen auch die Verwendung von programmierbaren Sicherheitssystemen.

Der neue Ansatz führt die Verwendung des Konzepts designierter Architekturen (Kategorien) der EN 954-1 fort und führt zusätzliche, neue Konzepte ein wie Lebensdauer-Denken, Quantifizierung – Komponentenzuverlässigkeit und Prüfqualität – sowie Common-Cause-Failure Analysen.

Hinweis:Die Norm EN ISO 13849-1 hat die Kategorien der EN 954-1 bei-behalten. Sie bietet Methoden für die Planung und Verifizierung auf Basis der vorhandenen Kategorien. Die Norm EN 62061 beinhaltet eine ähnliche Architektur und Methodologie.

Teil 2 – Neuer Ansatz


Die EN 954-1 war eine relativ einfache Norm, die einen direkten und schnellen Prozess zur Bestimmung der Sicherheitskategorie einer Maschine geboten hat. Der Prozess bei der Norm EN ISO 13849-1 ist ähnlich, jedoch etwas komplexer, weil zusätzlich zur Bestimmung der Kategorie oder Architektur des Systems der Maschinenherstel-ler jetzt auch die Sicherheit der Maschine durch Bewertungen und Berechnungen nachweisen muss. Für die Herstellung der Sicherheit wird die Verwendung zertifizierter Teilsysteme empfohlen, da diese die Prozess-Spezifizierung beschleunigen und weniger Berechnun-gen erforderlich sind.

Grundbegriffe, allgemeine Gestaltungsleitsätze: EN ISO 12100

Risikobewertung:ISO 14121-1

Sicherheitssystem → sichere Maschine → CE-Kennzeichen

Prozess für die Gestaltung von Sicherheitssystemen

Prozess für die Gestaltung von Sicherheitssystemen

Norm für die Gestaltung von Sicherheitssystemen: EN ISO 13849-1

Norm für die Gestaltung von Sicherheitssystemen: EN 62061

Abbildung 2-2 Einführung von Normen

Zwei Normen – IEC und ISO

Für die Implementierung von funktionalen Sicherheitssystemen in Übereinstimmung mit der Maschinenrichtlinie können alternativ zwei Normen angewendet werden: Die Normen der International Orga-nisation for Standardization (ISO) und die Normen der International Electrotechnical Commission (IEC).

Das Befolgen einer der Normen führt zu einem vergleichbaren Er-gebnis und resultiert in Safety Integrity Levels ( SIL) und Performance Levels ( PL), die vergleichbar sind. Weitere Informationen enthält die Vergleichstabelle in Teil 3, Schritt 6.

Eine Tabelle, die die Eignung der beiden neuen Normen für die Planung von Systemen mit speziellen Technologien erläutert, ist in den Normen EN ISO 13849-1 und EN 62061 enthalten.




Hinweis:Der Maschinenhersteller muss entscheiden, welche Norm für die Erstellung des Sicherheitssystems verwendet wird (EN ISO 13849-1 oder EN 62061), und dann muss durchgängig nach der gewählten Norm verfahren werden. CEN-Normen basieren auf ISO Normen und gelten grundsätzlich für mechanische Einrichtungen – neue Normen haben Nummern der Serie 10.000, während CENELEC-Normen auf IEC-Normen basieren – neue Normen haben Nummern der Serie 60.000.

Hinweis:EN ISO-Normen werden in dieser Anleitung mit “ISO” bezeichnet. EN IEC-Normen werden entsprechend der in der Liste der harmo-nisierten Normen verwendeten Konvention ohne “IEC” angegeben.

Normen für die Risikominimierung

Die grundlegenden Sicherheitsnormen für die Risikominimierung sind:

• EN ISO 12100-1:2003 (Sicherheit von Maschinen – Grundbegriffe, allgemeine Gestal-tungsleitsätze) und

• EN ISO 14121-1:2007 (Sicherheit von Maschinen – Risikobeurteilung).

EN ISO 12100 gibt den Planern einen allgemeinen Rahmen, ist Anleitung und bietet eine Strategie zur Risikoreduzierung (Drei-Schritt-Methode). EN ISO 12100-1 definiert die wichtigsten Begriffe und die Methodologie zur Erreichnung der Maschinensicherheit.

EN ISO 14121-1 ist eine neue Norm für die Risikobewertung im Rahmen des Risikoreduzierungsprozesses, der in der Norm EN ISO 12100 beschrieben ist. EN ISO 14121-1 hat die Norm EN 1050:1996 ersetzt, die bis zum 24. Juni 2008 gültig war.

Hinweis:Bezugnahmen auf diese Normen in dieser Anleitung gelten immer für die oben genannten Versionen der Normen.

Normen für elektronische Sicherheitssysteme

Normen für elektronische Sicherheitssysteme sind:

• EN ISO 13849-1:2008 (Sicherheit von Maschinen – Sicherheits-relevante Teile von Steuerungen – Teil 1: Allgemeine Gestal-tungsleitsätze),

• EN ISO 13849-2:2008 (Sicherheit von Maschinen. – Sicherheits-relevante Teile von Steuerungen - Teil 2: Validierung)

• EN 62061:2005 (Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und program-mierbarer elektronischen Steuerungssysteme),



• IEC 61508 Ausg. 2.0:2010 (Funktionale Sicherheit elektrischer / elektronischer / programmierbarer elektronischer sicherheits-bezogener Systeme) und

• EN 60204-1:2006 (Sicherheit von Maschinen – Elektrische Aus-rüstung von Maschinen – Allgemeine Anforderungen).

Hinweis:Bezugnahmen auf diese Normen in dieser Anleitung gelten immer für die oben genannten Versionen der Normen.

EN ISO 13849-1 enthält Angaben, mit denen Konstrukteure eine Maschine sicher machen. Diese Anweisungen enthalten Empfeh-lungen für die Systemausführung, Integration und Validierung. Die Norm kann unabhängig von der verwendeten Technik und Einspei-sung für die sicherheitsbezogenen Teile von Steuerungssystemen und Maschinen verwendet werden. Sie enthält auch spezielle An-forderungen für sicherheitsbezogene Teile mit programmierbaren elektronischen Systemen. Diese Norm deckt deshalb die gesamte Sicherheitsfunktion aller enthaltenen Geräte ab (d. h. eine komplette Sicherheitskette wie z. B. Geber-Logik-Stellantrieb).

Die Norm definiert, wie das erforderliche Leistungsniveau (PL – Performance Level) ermittelt und wie der erreichte PL-Wert in einem System verifiziert wird. Das Leistungsniveau (PL) be-schreibt, wie gut ein Sicherheitssystem in der Lage ist, eine Sicherheitsfunktion unter vorhersehbaren Bedingungen auszu-führen. Es gibt fünf mögliche PL-Stufen: a, b, c, d und e. PL ‘e’ hat die höchste Sicherheit/Zuverlässigkeit, PL ‘a’ die niedrigste.

EN ISO 13849-2 spezifiziert den Validierungsprozess für Sicher-heitsfunktionen, die gemäß EN ISO 13849-1 ausgelegt sind.

EN 62061-1:2006 ist eine Norm für die Auslegung elektrischer Sicherheitssysteme. Es ist eine maschinenbauspezifische Norm im Rahmen der IEC 61508. Die Norm beinhaltet Empfehlungen für die Ausführung, Integration und Validierung sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme für Maschinen. Die gesamte Sicherheitskette wie z. B. Geber-Logik-Stellantrieb wird abgedeckt. Solange die Sicherheitsfunktion des Gesamtsystems die definierten Anforderun-gen erfüllt, müssen einzelne Teilsysteme nicht zertifiziert werden. Die Verwendung zertifizierter Teilsysteme als Bausteine wird allerdings dringend empfohlen, denn so kann der Planungsaufwand erheblich reduziert werden.

Hinweis:Im Gegensatz zu EN ISO 13849-1 deckt EN 62061 nicht die Anfor-derungen für nichtelektrische, sicherheitsbezogene Einrichtungen für Maschinen ab.



Diese Norm definiert, wie der Safety Integrity Level (SIL) bestimmt wird. SIL steht für die Zuverlässigkeit von Sicherheitsfunktionen. Es gibt vier mögliche SIL-Stufen: 1, 2, 3 und 4. ‘SIL 4’ ist die höchste Stufe der Sicherheitsintegrität und ‘SIL 1’ die niedrigste. Bei Ma-schinen werden nur die Stufen 1-3 verwendet.

IEC 61508 ist eine Basisnorm für die funktionale Sicherheit. Sie umfasst den Lebenszyklus von Systemen, die aus elektrischen und/oder elektronischen und/oder programmierbaren elektronischen Komponenten bestehen, die zur Ausfühung der Sicherheitsfunktionen verwendet werden. Die IEC 61508 ist keine harmonisierte Norm, aber sie ist die Hauptnorm, die die Anforderungen und Verfahren zur Auslegung sicherheitsbezogener Steuerungssysteme mit einer komplexen Hardware und Software vorgibt. IEC 61508 wird generell bei der Auslegung zertifizierungspflichtiger Sicherheitsteilsysteme verwendet. Die Normen EN ISO 13849-1 und EN 62061 enthalten die in IEC 61508 festgelegten Grundsätze.

EN 60204:1 enthält Empfehlungen und Anforderungen für die elek-trische Ausrüstung von Maschinen zur Verbesserung der Sicherheit und Verwendbarkeit.

Produktspezifische Sicherheitsnormen (Normen Typ C)

Produktspezifische Sicherheitsnormen, bekannt unter der Bezeich-nung Normen Typ C, befassen sich mit einer bestimmten Maschine oder Klasse von Maschinen und basieren auf einer Konformitäts-vermutung hinsichtlich der EHSR, die von dieser Norm abgedeckt werden.

Folgendes ist anzumerken:

• Die in den Normen des Typs C genannten Anforderungen heben im Allgemeinen die Anforderungen aus den allgemeinen Sicher-heitsnormen (EN 62061, EN ISO 13849-1 usw.) auf.

• Normen des Typs C können SIL- / PL-Anforderungen für einige Sicherheitsfunktionen enthalten. Diese Anforderungen müssen unabhängig von den Ergebnissen der Gefahrenanalyse erfüllt werden.

Hinweis:Selbst wenn die Liste der möglichen Gefahren für die Maschine, die im Rahmen der Risikobewertung erstellt wurde, und die Norm des Typs C identisch sind, kann es sein, dass die Norm nicht alle rele-vanten EHSR berücksichtigt. Die Norm muss immer genau studiert werden, um festzustellen, welche Gefahren eventuell von der Liste ausgenommen wurden.


Spezifische Norm für sicherheitsbezogene Antriebssysteme

Eine spezifische Norm für sicherheitsbezogene Antriebssysteme ist:

• EN 61800-5-2:2007 (Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl – Anforderungen an die Sicherheit – Funk-tionale Sicherheit).

Hinweis:Alle anderen Verweise auf diese Norm in diesem Dokument beziehen sich ausschließlich auf die oben genannte Version der Norm.

EN 61800-5-2 enthält Spezifikationen und Empfehlungen für Leis-tungsantriebssysteme, die in sicherheitsbezogenen Anwendungen zum Einsatz kommen. Sie ist eine Produktnorm, die die sicherheits-bezogenen Aspekte im Rahmen der IEC 61508 darstellt und die Anforderungen für Leistungsantriebssysteme vorstellt, wenn diese als Teilsysteme in Sicherheitssystemen verwendet werden.

Standardisierte Sicherheitsfunktionen

Die Norm EN 61800-5-2 enthält Definitionen für verschiedene Si-cherheitsfunktionen. Ein Antrieb kann mehrere dieser Funktionen besitzen. Hier einige Beispiele:

Sicher abgeschaltetes Drehmoment (STO)Diese Funktion versetzt die Sicherheitseinrichtung der Maschine in einen drehmomentfreien Zustand und / oder verhindert einen unerwarteten Anlauf.

|n|

0t

geforderte Funktion

Sicherer Stopp 1 (SS1)Diese Funktion stoppt den Motor auf sichere Weise und aktiviert die STO-Funktion unterhalb einer festgelegten Drehzahl oder nach einer festgelegten Zeitspanne.

|n|

0t

geforderte Funktion

Sicherer Stopp 2 (SS2)Diese Funktion stoppt den Motor auf sichere Weise und aktiviert die SOS-Funktion unterhalb einer festgelegten Drehzahl oder nach einer festgelegten Zeitspanne.



Sicherer Betriebsstopp (SOS)Diese Funktion hält den Motor in einem sicheren Stillstand und hält gleichzeitig das Motormoment.

Sicherheitsbegrenzte Drehzahl (SLS)Diese Funktion verhindert, dass der Motor einen festgelegten Dreh-zahlgrenzwert überschreitet.

|n|

0t

geforderte Funktion

Sichere Drehrichtung (SDI)Diese Funktion verhindert, dass die Motorwelle in eine unerwünschte Richtung dreht.

|n|geforderte Funktion

0t

Sichere Bremsenansteuerung (SBC)Diese Funktion ermöglicht eine sichere Leistung zur Ansteuerung externer (mechanischer) Bremsen.

Sichere Drehzahlüberwachung (SSM)Diese Funktion ermöglicht eine sichere Leistung und zeigt an, dass die Drehzahl unter dem festgelegten Drehzahlgrenzwert liegt.

|n|

0t

Ausgang aktiv

geforderte Funktion

Weitere Beispiele von Sicherheitsfunktionen siehe Norm EN 61800-5-2.

NotbetriebDie Norm EN 60204-1 stellt zwei Möglichkeiten für den Notbetrieb vor: Not-Aus und Notstopp.

Not-AusDie Not-Aus-Funktion trennt das System oder ein Teilsystem vom Netz, falls die Gefahr eines elektrischen Schlags besteht.




Diese Funktion erfordert externe Schalteinrichtungen und kann nicht mit den antriebbasierten Funktionen wie sicher abgeschaltetes Drehmoment (STO) realisiert werden.

NotstoppEin Notstopp muss auf eine solche Weise erfolgen, dass bei seiner Aktivierung der gefährliche Betrieb der Maschine gestoppt wird und die Maschine unter keinen Umständen, auch nicht nach Aufhebung des Notstopps, wieder anlaufen kann. Die Aufhebung des Notstopps ermöglicht nur den Neustart der Maschine.

Mit dem Notstopp kann der gefährliche Betrieb durch folgende Maßnahmen beendet werden:• optimale Verzögerungsrate bis zum Stopp der Maschine• durch Verwendung einer der beiden Notstopp-Kategorien 0

oder 1 oder• durch Verwendung einer vordefinierten Abschaltsequenz.

Notstopp-Kategorie 0 bedeutet, dass sofort die Spannungsversor-gung des Motors abgeschaltet wird. Stopp-Kategorie 0 entspricht der Funktion sicher abgeschaltetes Drehmoment (STO), wie in der Norm EN 61800-5-2 definiert.

Notstopp-Kategorie 1 bedeutet, dass die Drehzahl der Maschine durch eine kontrollierte Verzögerung auf Null gebracht wird und dann die Spannungsversorgung des Motors abgeschaltet wird. Stopp-Kategorie 1 entspricht der Funktion sicherer Stopp (STO), wie in der Norm EN 61800-5-2 definiert.

Bei der Aktivierung darf die Notstopp-Funktion keine zusätzlichen Gefahren erzeugen oder keine weiteren Eingriffe des Bedieners erfordern.

Hinweis:Die Prinzipien für die Auslegung einer Notstopp-Funktion werden in der Norm EN ISO 13850:2008 vorgestellt.

Verhinderung des unerwarteten AnlaufsSicherstellen, dass eine Maschine gestoppt bleibt, wenn sich Personen im Gefahrenbereich aufhalten, ist eine der wichtigsten Bedingungen bei sicheren Maschinen.

Die Safe torque-off (STO) Funktion kann verwendet werden, um die Funktionalität „Verhinderung des unerwarteten Anlaufs“ auf ef-fektive Weise zu implementieren, so dass die Stoppvorgänge sicher erfolgen, indem nur die Spannungsversorgung des Motors abge-schaltet wird, während die Steuerkreise des Hauptantriebs weiter mit Spannung versorgt werden. Die Verhinderung des unerwarteten Anlaufs erfordert beispielsweise zusätzlich zu der STO-Funktion einen Schlüsselschalter.

Die Prinzipien und Anforderungen für die Verhinderung des uner-warteten Anlaufs sind in der Norm EN 1037:1995 +A1 beschrieben.


Teil 3 – Schritte zur Erfüllung der Anforderungen der Maschinenrichtlinie

Die Maschinenrichtlinie schreibt vor, dass Maschinen sicher sein müssen. Allerdings kann es eine vollständige Sicherheit nicht geben. Das Ziel ist die Minimierung der Gefahr.

Die Übereinstimmung mit der Maschinenrichtlinie kann auf folgende Weise erreicht werden:

• durch Erfüllen der Vorgaben aus den harmonisierten Normen oder • durch die Abnahme einer Maschine durch eine bevollmächtigte

Stelle.

Der Prozess zur Erfüllung der EHSR der Maschinenrichtlinie durch Anwendung der harmonisierten Normen kann in neun Schritte unter-teilt werden:

• Schritt 1: Management der funktionalen Sicherheit – Manage-ment der funktionalen Sicherheit während der gesamten Nut-zungsdauer der Maschine.

• Schritt 2: Risikobewertung – Analyse und Bewertung der Risiken.

• Schritt 3: Risikoreduzierung – Beseitigung oder Minimierung der Risiken durch eine entsprechende Konstruktion und Doku-mentation.

• Schritt 4: Festlegen der Sicherheitsanforderungen – defi-nieren, was notwendig ist (Funktionalität, Sicherheitsniveau), um Risiken auszuschließen oder auf ein vertretbares Maß zu reduzieren.

• Schritt 5: Realisierung des Systems für die funktionale Sicherheit – Sicherheitsfunktionen planen und umsetzen.

• Schritt 6: Überprüfen des Systems für funktionale Sicherheit – sicherstellen, dass das Sicherheitssystem die festgelegten Anforderungen erfüllt.

• Schritt 7: Überprüfung des Systems der funktionalen Sicher-heit – zurückgehen zur Risikobewertung und sicherstellen, dass das Sicherheitssystem tatsächlich die Risiken, wie vorgesehen, reduziert.

• Schritt 8: Dokumentation – die Ausführung dokumentieren, die Benutzer-Dokumentation erstellen.

• Schritt 9: Konformität – anhand einer Konformitätsbewertung und technischer Unterlagen nachweisen, dass die Maschine die EHSR der Maschinenrichtlinie erfüllt.

Diese einzelnen Schritte werden in den folgenden Kapiteln im Ein-zelnen erläutert.



Erfassen des Stands der vorhandenen MaschinenDie folgenden Punkte sind bei der Aktualisierung der Sicherheitsan-forderungen für vorhandene Maschinen zu berücksichtigen:• Für Maschinen, die bereits das CE-Kennzeichen tragen, – neue

Komponenten, die in die Maschine eingebaut werden, müssen das CE-Kennzeichen tragen. Im Einzelfall ist festzulegen, wie die neuen Komponenten gemäß der Maschinenrichtlinie in das alte System eingebaut werden.

• Für Maschinen ohne CE-Kennzeichen – muss das Sicherheits-niveau der Maschine durch Austausch der Komponenten gegen neue mit CE-Kennzeichen erhalten bleiben. In diesem Fall wird die Einbauerklärung nicht mit der Maschine mitgeliefert. Richtlinie 89/655/EWG und Änderung 95/63/EG müssen eingehalten werden.

Letztendlich liegt es an der zuständigen Behörde zu entscheiden, ob der Änderungsumfang so groß ist, dass eine Aktualisierung des Sicherheitsniveaus erforderlich ist.

Maschinenrichtlinie (EHSR)

Risikobewertung, Risikoreduzierung

Architektur, Teil-systeme, Sicherheits-/

Zuverlässigkeits-parameter

Funktionsprüfung, erreichtes

SIL-/PL-Niveau

Erfüllt die Funktion die Vorgaben zur

Risikoreduzierung?

Dokumentation der Konstruktion,

des Restrisikos, der Benutzeranleitung

Konformitäts-bewertung,

technische Unterlagen, Dokumentation

Spezifikation- Funktionalität

- Sicherheitsniveau(SIL, PLT)

GESETZE, VORGABEN RISIKOERKENNUNG

Schritte2 - 3 Schritt 4

Schritt 5

Schritt 6

Schritt 7Schritt 8

Schritt 9

SICHERHEITSFUNKTION

IMPLEMENTIERUNG

VERIFIZIERUNG

VALIDIERUNGDOKUMENTATION

KONFORMITÄT

Bild 3-1 Ablauf zur Erfüllung der Anforderungen der Maschinenrichtlinie



SCHRITT 1: Management der funktionalen Sicherheit

Zum Erreichen der geforderten funktionalen Sicherheit müssen ein Projektmanagement und ein Qualitätsmanagementsystem einge-richtet werden, die z. B. den Normen IEC 61508 oder ISO 9001 entsprechen. Dieses Managementsystem kann in einem Sicher-heitsplan definiert werden.

SicherheitsplanEin Sicherheitsplan zur Erfüllung der Anforderungen der Maschinen-richtlinie ist in der Norm EN 62061 enthalten. Dieser Plan muss für jedes Sicherheitssystem erstellt, dokumentiert und bei Bedarf aktualisiert werden.

Der Sicherheitsplan:

• legt alle relevanten Tätigkeiten fest,• beschreibt die Vorgehenweise und Strategie zur Erfüllung der

Anforderungen der funktionalen Sicherheit,• legt die Zuständigkeiten fest,• legt die Vorgehensweisen und Ressourcen für die Dokumenta-

tion fest,• beschreibt die Strategie für das Konfigurationsmanagement und• enthält Pläne zur Verifizierung und Validierung.

Hinweis:Selbst wenn die oben genannten Aktivitäten in der EN ISO 13849-1:2008 nicht speziell definiert sind, sind ähnliche Aktivitäten für das Erfüllen der Anforderungen der Maschinenrichtlinie erforderlich.

Wenn der Sicherheitsplan (gemäß EN 62061) erstellt ist, beginnt die Risikobewertung.

SCHRITT 2: Risikobewertung

Im Rahmen der Risikobewertung werden Risiken analysiert und be-wertet. Ein Risiko setzt sich aus den Schadensfolgen und der Wahr-scheinlichkeit des Auftretens des Schadens bei Gefahr zusammen.

Hinweis:Die neue Maschinenrichtlinie 2006/42/EG schreibt die Durchführung der Risikobewertung für eine Maschine zwingend vor.

Die Maschinenrichtlinie 2006/42/EG verlangt, dass die Hersteller Risikobewertungen durchführen und die Ergebnisse bei der Ausle-gung einer Maschine berücksichtigen. Jedes als "hoch" eingestufte Risiko muss durch Konstruktionsänderungen oder entsprechende Sicherheitstechniken auf ein akzeptables Maß reduziert werden.



Der Bewertungsprozess hilft Maschinenbauern bei der Entwicklung und Konstruktion sicherer Maschinen. Die Risikobewertung in der Planungsphase ist sehr wichtig, da sie generell effektiver ist als An-weisungen, die dem Benutzer vorschreiben, wie Maschinen sicher betrieben werden.

Die Risikobewertung gemäß EN ISO 12100-1 besteht aus zwei Teilen: Risikoanalyse und Risikobewertung. Mit der Risikoanalyse werden Gefahren erkannt und eingeschätzt. Mit der Risikobewer-tung wird entschieden, ob das Risiko akzeptabel ist oder ob eine Risikoreduzierung erforderlich ist.

Die Risikobewertung ist vom Ergebnis der Risikoanalyse abhängig. Entscheidungen über die Notwendigkeit einer Risikoreduzierung werden nach dem Ergebnis des Risikobewertungsprozesses ge-troffen.

Hinweis:Die Risikobewertung muss für jede Gefahr einzeln durchgeführt werden.

Die vier Schritte von Risikoanalyse:1. Festlegen der Grenzen und der bestimmungsgemäßen Verwen-

dung der Maschine.Die Grenzen sind:

• Grenzen der Verwendung• Räumliche Begrenzungen• Grenzwerte für Umgebungsbedingungen• die Lebensdauer betreffende Grenzen

2. Erkennen von Gefährdungen, die von der Maschine ausgehen könnten.

3. Abschätzen der ermittelten Risiken.• Schwere des Risikos (potenzielle Folgen)• Wahrscheinlichkeit des Risikos (Häufigkeit, Wahrscheinlich-

keit, Vermeidung)

4. Das Risiko bewerten: Ist eine Risikoreduzierung erforderlich?• JA: Maßnahmen zur Risikoreduzierung anwenden und zurück

zu Schritt 2 der Risikonanalyse.

Das 3-Schritt-Verfahren zur Risikoreduzierung gemäß EN ISO 12100-1 wird im folgenden Kapitel vorgestellt.

• NEIN: Das Ziel der Risikoreduzierung ist erreicht und der Risikobewertungsprozess ist beendet.

Der Risikobewertungsprozess und seine Ergebnisse müssen für jede einzelne Gefahr dokumentiert werden.



Risikobewertung

1. Grenzen / Verwendungszweck der Maschine festlegen

2. Gefahren erkennen

3. Risiken einzeln einschätzen Schwere und Wahrscheinlichkeit

4. Risiko bewerten: Risiko niedrig genug (ja / nein)

JA

zur Risikoreduzierung

Nein

Ende(siehe Bild 3-3)

Bild 3-2 Risikobewertung gemäß EN ISO 14121-1

Nach Durchführung der Risikobewertung gibt es entsprechend dem Ergebnis zwei Möglichkeiten:

Option 1Wenn die Bewertung ergibt, dass keine Risikoreduzierung erforder-lich ist, hat die Maschine das von der Maschinenrichtlinie geforderte Sicherheitsniveau erreicht .

Hinweis:Damit die Maschine das CE-Kennzeichen erhält, müssen die Rest-risiken in den Betriebs- und Wartungshandbüchern dokumentiert werden. Es wird immer ein gewisses Restrisiko bleiben.

Option 2Wenn die Bewertung ergibt, dass das verbleibende Risiko nicht akzeptabel ist, beginnt der Prozess der Risikoreduzierung.

SCHRITT 3: Risikoreduzierung

Die effektivste Art, Risiken zu minimieren, ist es, bereits in der Planungsphase diese zu eliminieren, zum Beispiel durch Änderun-gen der Konstruktion oder des Arbeitsprozesses. Wenn dies nicht möglich ist, müssen Risiken reduziert und die Konformität mit den Anforderungen der Maschinenrichtlinie sichergestellt werden, indem die entsprechenden harmonisierten Normen angewandt werden.



Wenn die Risikobewertung zu dem Schluss kommt, dass eine Risikoreduzierung notwendig ist, muss eine Strategie zur Risiko-minimierung erarbeitet werden. Gemäß der Norm EN ISO 12100-1 kann die Risikoreduzierung in drei Schritte unterteilt werden (3-Schritt-Verfahren):

3-Schritt-Verfahren1. Maßnahmen für eine sichere Konstruktion – eine sicherere Kon-

struktion erarbeiten, den Prozess ändern, das Risiko durch die geänderte Konstruktion beseitigen.

2. Sicherungsmaßnahmen und ergänzende Schutzmaßnahmen – Sicherheitsfunktionen, feste Schutzeinrichtungen

3. Nutzungsanweisungen ( Bewältigung des Restrisikos)• an der Maschine – Warnzeichen, Hinweise und Warnein-

richtungen – und• die Betriebsanleitung.

zurück zur Risikobewertung

von der Risikobewertung

Risikoreduzierung

JA

3-S

CH

RIT

T-V

ER

FAH

RE

N

Risikoreduzierungsmaß-nahmen durchführen

NEIN

NEIN

Risikoreduzierung durch Konstruktion-

sänderungen

Risikoreduzierung durch funktionale

Sicherheit

Risikoreduzierung durch Prozesse und

Anweisungen

JA

JA

JA

NEIN

NEIN

NEIN

NEIN

Angemessene Reduzierung (JA/NEIN)?

2. Sicherheits-technologie(funktionale Sicherheit)

3. Prozesse,

Nutzungsan-weisungen

?

?

?

1. Konstruk-tionsände-

rungen

Bild 3-3 Das 3-Schritt-Verfahren zur Risikoreduzierung gemäß EN ISO 12100-1



Das Restrisiko ist das Risiko, das verbleibt, wenn alle Schutz-maßnahmen beachtet werden und implementiert sind. Technische Maßnahmen allein reichen nicht aus, um den Status „Null Risiko“ zu erreichen, da ein Restrisiko immer bleibt.

Diese Risiken müssen in der Betriebsanleitung dokumentiert werden.

Zu den Pflichten des Benutzers bei der Risikoreduzierung gehört, dass er sich mit den Informationen des Maschinenbauers (Herstel-lers) befasst. Personen/Unternehmen, die die Maschine einsetzen, müssen folgende Risiko-Reduzierungsmaßnahmen ergreifen:

Von dem Unternehmen üblicherweise durchgeführte Risiko-Redu-zierungsmaßnahmen sind:

• Einführung sicherer Arbeitsabläufe,• Arbeitsüberwachung,• Arbeitserlaubnis-Systeme,• Bereitstellung und Verwendung zusätzlicher Schutzeinrichtungen,• Benutzung persönlicher Schutzausrüstungen,• Mitarbeiterschulung,• Sicherstellung, dass Betriebsanleitungen und Sicherheitsvor-

schriften gelesen werden und danach gehandelt wird.

Die Planer sollten sich bei der Auswahl der Schutzmaßnahmen auch mit den Benutzern abstimmen.

Wenn die Risiko-Reduzierung durchgeführt wurde, muss sie dahin-gehend überprüft werden, ob die Maßnahmen eine Reduzierung des Risikos auf ein angemessenes Maß gewährleisten. Dies kann durch Wiederholung des Risikobewertungsprozesses erfolgen.

In den folgenden Schritten wird die zweite Option des 3-Schritt-Verfahrens beschrieben: Schutz durch eine Lösung aus dem Bereich der funktionalen Sicherheit:

SCHRITT 4: Festlegen der Sicherheitsanforderungen

Nachdem die gesamten Maßnahmen zur Risikoreduzierung durch-geführt wurden, die durch Konstruktionsänderungen möglich sind, müssen zusätzlich Schutzmaßnahmen festgelegt werden. Lösungen aus dem Bereich der funktionalen Sicherheit können bei Restrisiken als zusätzliche Risikoreduzierungsmaßnahmen verwendet werden.

SicherheitsfunktionenEine Sicherheitsfunktion ist eine Schutzfunktion für eine Maschine, deren Störung zu einem plötzlichen Ansteigen eines Risikos führt. Kurz gesagt, sie ist eine Maßnahme zur Reduzierung der Wahr-scheinlichkeit des Auftretens eines unerwünschten Ereignisses, das eine Gefährdung verursacht. Eine Sicherheitsfunktion ist keine Funktion für den normalen Betrieb der Maschine. Das bedeutet, wenn diese Funktion gestört ist, kann die Maschine noch normal betrieben werden, nur das Risiko von Verletzungen oder Schäden durch den Betrieb steigt.



Die Definition einer Sicherheitsfunktion beinhaltet immer zwei Aspekte:

• notwendige Maßnahme (was zur Reduzierung des Risikos unternommen werden muss) und

• das Sicherheitsniveau (SIL oder PL – Safety Integrity Level bzw. Performance Level)

Hinweis:Eine Sicherheitsfunktion muss für jede einzelne, erkannte Gefahr spezifiziert, überprüft (Funktionalität und Sicherheitsniveau) und validiert werden.

Beispiel einer Sicherheitsfunktion:Voraussetzung: Eine freiliegende drehende Welle kann eine Person verletzen, die ihr zu nahe kommt.

Maßnahme: Zur Vermeidung der Verletzung muss der Motor innerhalb einer (1) Sekunde nach Öffnen der Sicherheitsschranke stoppen.

Nach der Identifizierung der Sicherheitsfunktion, die die Maßnahme ausführt, muss ihre erforderliche Sicherheitsstufe bestimmt werden.

Sicherheitsniveau/SicherheitsintegritätDie Sicherheitsintegrität misst die Leistung einer Sicherheitsfunktion. Sie hilft, die Wirkungswahrscheinlichkeit der Sicherheitsfunktion zu quantifizieren. Die erforderliche Sicherheitsintegrität einer Funktion wird bei der Risikobewertung bestimmt und je nach der zugrunde ge-legten Norm durch die ermittelte SIL- oder PL-Kategorie angegeben.

SIL und PL verwenden verschiedene Bewertungsverfahren für eine Sicherheitsfunktion, ihre Ergebnisse sind jedoch vergleichbar und die Begriffe und Definitionen sind für beide gleich.

Bestimmung der geforderten SIL ( EN 62061)Die Vorgehensweise bei der Bestimmung der geforderten SIL ist, wie folgt:

1. Bestimmen der Schwere der Folgen eines gefährlichen Ereig-nisses.

2. Bestimmen des Punktwerts für die Häufigkeit und Dauer, die Personen der Gefahr ausgesetzt sind.

3. Bestimmen des Punktwerts für die Wahrscheinlichkeit des Auftretens des gefährlichen Ereignisses, falls Personen der Gefahr ausgesetzt sind.

4. Bestimmen des Punktwerts für die Möglichkeit zur Verhinderung oder Begrenzung des Umfangs der Gefährdung.


Beispiel:Die bei der Bestimmung der Punktwerte verwendeten Parameter sind in dem folgenden Beispiel einer SIL-Zuweisungstabelle dar-gestellt.

5 + 3 + 3 = 11

SIL-Klasse

Klasse CI3-4 5-7 8-10 11-13 14-15

SIL2 SIL2 SIL2 SIL3 SIL3

OM SIL1 SIL2 SIL3

OM SIL1 SIL2

OM SIL1

Fr

Häufi gkeit, Dauer

<= Stunde 5

> 1h <= Tag 5

> Tag <= 2 Wochen 4

> 2 Wo. <= 1 Jahr 3

> 1 Jahr 2

Av

Vermeidung

Unmöglich 5

Möglich 3

Wahrscheinlich 1

PrWahrscheinlichkeit eines gefährlichen Ereignisses

Sehr hoch 5

Wahrscheinlich 4

Möglich 3

Selten 2

Vernachlässigbar 1

WAHRSCHEINLICHKEIT DES AUFTRETENS EINER VERLETZUNG

Eine SIL2Sicherheits-funktionist erforderlich

SCHWERE des Schadens

SeFolgen (schwere)

Tod, Verlust eines Auges o. Arms 4

Bleibender Schaden, Verlust von Fingern 3

Leichte, heilbare Verletzung 2

Leichte Verletzung, Erste Hilfe 1

Bild 3-4 Beispiel einer SIL-Zuweisungstabelle

In diesem Beispiel wird die Gefahrenanalyse für eine freiliegende drehende Welle durchgeführt.1. Schwere (Se) = 3. Die Folge der Gefahr ist eine dauerhafte

Schädigung, evtl. der Verlust von Fingern.2. Häufigkeit (Fr) = 5. Eine Person ist der Gefahr mehrmals täglich

ausgesetzt.3. Wahrscheinlichkeit (Pr) = 3. Es ist möglich, dass die Gefahr

auftritt.4. Vermeidung (Av) = 3. Die Gefahr kann vermieden werden.

• 5 + 3 + 3 = 11, mit den ermittelten Folgen entspricht dies SIL 2.

Die zur Ermittlung der Punktzahl verwendeten Tabellen sind in der Norm enthalten.

Nachdem die erforderliche SIL festgelegt ist, kann mit der Umset-zung des Sicherheitssystems begonnen werden.

Ermitteln des erforderlichen PL-Werts ( EN ISO 13849-1)Um den erforderlichen PL-Wert zu ermitteln, muss eine der Alterna-tiven aus den folgenden Kategorien ausgewählt und ein „Pfad” zu den erforderlichen PL-Wert im Diagramm erstellt werden.




1. Bestimmung der Schwere einer Verletzung oder eines Scha-dens.Die Parameter für den Schweregrad sindS1 Leicht, normalerweise heilbare VerletzungS2 Schwere Verletzung, häufig mit irreversiblem Schaden ein-schließlich Tod

2. Bestimmung von Häufigkeit und Dauer der Gefährdung.Die Parameter für die Häufigkeit und Dauer sindF1 Selten bis oft und/oder kurzF2 Häufig bis ständig und/oder lange

3. Bestimmen der Möglichkeit zur Vermeidung der Gefahr oder Begrenzung eines Schadens durch die Gefahr.Die Parameter für die Gefahrenprävention und Eingrenzung des Schadens sind:P1 Möglich unter bestimmten BedingungenP2 Kaum möglich

Beispiel:Der sich ergebende PL-Wert wird in dem folgenden, als Beispiel dienenden PL-Risikodiagramm mit a, b, c, d und e dargestellt.

HIER STARTEN

Hohes Risiko

Geringes Risiko

S1

Gering

S2

Schwer

F1

Selten bis oft

Möglich

Kaum möglich

F2

F1

F2

P2

P1

P2

P2

P2

P1

P1

P1

Häufig bis ständig

a

b

c

e

dPL d Sicher-heitsfunktionerforderlich

EN

S2

Schwer

F1

Selten bis oft

MöglichF2P2

P1

P2

P1

Bild 3-5 Beispiel für eine Kurve zur Darstellung des PL-Risikos

In diesem Beispiel wird die Gefahrenanalyse für eine freiliegende drehende Welle durchgeführt.• Die Folge der Gefahr ist eine schwerwiegende Verletzung mit

irreversiblem Schaden. Schwere = S2.• Eine Person ist der Gefahr mehrmals täglich ausgesetzt.

Häufigkeit = F2.• Es ist möglich, einen Schaden zu verhindern oder zu begrenzen.

Möglichkeit = P2.

Der Pfad führt zu dem erforderlichen PLr-Wert d. Die zur Ermittlung der Punktzahl verwendeten Tabellen sind in der Norm enthalten. Nachdem der Wert PLr festgelegt ist, kann mit der Umsetzung des Sicherheitssystems begonnen werden.


SCHRITT 5: Umsetzen der funktionalen Sicherheit

Der Grundgedanke bei der Erstellung und dem Aufbau einer Sicher-heitsfunktion ist, eine Sicherheitsfunktion so zu planen und zu reali-sieren, damit der in dem vorherigen Kapitel festgelegte SIL-/PL-Wert eingehalten wird. Durch die Verwendung zertifizierter Teilsysteme bei der Erstellung von Systemen für die funktionale Sicherheit können Konstrukteure viel Arbeit sparen. Die Implementierung von Sicher-heitsfunktionen wird komfortabler, wenn bestimmte Sicherheits- und Zuverlässigkeitsberechnungen bereits durchgeführt wurden und die Subsysteme zertifiziert sind.

Hinweis:Wenn keine zertifizierten Teilsysteme verwendet werden, können Sicherheitsberechnungen für jedes einzene Teilsystem notwendig sein. Die Normen EN 62061 und EN ISO 13849-1 enthalten Infor-mationen über die benötigten Prozess- und Berechnungsparameter.

Die Umsetzungs- und Verifizierungsprozesse sind iterativ und laufen parallel. Der Gedanke ist, während der Umsetzung mit Hilfe der Verifizierung sicherzustellen, dass in dem fertigen System die fest-gelegte Sicherheitsstufe erreicht wird. Der nächste Schritt enthält weitere Informationen über die Verifizierungsprozesse.

Hinweis:Das System ist nur so stark wie sein schwächstes Glied. Das bedeu-tet, um die in der Maschinenrichtlinie festgelegten EHSR einhalten zu können, müssen sämtliche Teilsysteme der funktionalen Sicherheit mindestens den SIL-/-PL-Wert des Gesamtsystems aufweisen.

Es gibt mehrere Berechnungsprogramme für die Verifizierung von Systemen für die funktionale Sicherheit. Diese Programme erleich-tern die Erstellung und Verifizierung des Systems.

Allgemeine Schritte für die Implementing eines Systems für die funktionale Sicherheit:

1. Definition der Anforderungen an die Sicherheit nach SIL oder PL gemäß der Normen EN 62061 oder EN ISO 13849-1.

2. Auswahl des Systemaufbaus für das Sicherheitssystem.Die Normen EN 62061 und ISO 13849-1 enthalten ein Grundge-rüst mit Berechnungsformeln.

• Kategorie B, 1, 2, 3 oder 4 wie in der Norm EN ISO 13849-1 dargestellt oder

• die Architektur A, B, C oder D wie in der Norm EN 62061 für die Teilsysteme und das Gesamtsystem dargestellt.

Weitere Informationen über die Architekturen sind in den jeweiligen Normen enthalten.




3. Erstellen des Systems aus sicherheitsbezogenen Teilsystemen – Geber/Schalter, Eingang, Logik, Ausgang und Steller/Hebel

Entweder:• mit Hilfe zertifizierter Teilsysteme (empfohlen) oder• anhand von Sicherheitsberechnungen für die einzelnen Teilsys-

teme.

Die Sicherheitsstufe des Gesamtsystems ergibt sich aus der Addition der Sicherheitsstufen der Teilsysteme.

4. Installieren des Sicherheitssystems

Das System muss ordnungsgemäß installiert werden, um mög-liche Fehler wie fehlerhafte Verdrahtung, Umweltbelastung oder ähnliche Faktoren zu vermeiden. Ein Sicherheitssystem, das wegen mangelhafter Installation nicht korrekt funktioniert, ist von geringem Nutzen und kann selbst ein Risiko darstellen.

5. Überprüfen der funktionalen Sicherheit

Sicherheitsschalter

Teilsystem 1

Sicherheitslogik + E/A

Teilsystem 2

Steller/Hebel (sicher abge-schaltetes Drehmoment, STO)

Teilsystem 3

Bild 3-6 Aufbau einer Sicherheitsfunktion

SCHRITT 6: Überprüfen der funktionalen Sicherheit

Durch die Verifizierung des Systems für die funktionale Sicherheit wird nachgewiesen und sichergestellt, dass das Sicherheitssystem die in der Spezifikationsphase festgelegten Anforderungen erfüllt und die Sicherheitsfunktionen realisierbar sind.

Die Übeprüfung darf nicht erst nach der Umsetzung erfolgen, son-dern muss zeitgleich durchgeführt werden, so dass auch tatsächlich ein System entsteht, das die festgelegten Anforderungen erfüllt.

Zusätzlich zu der Überprüfung des SIL- oder PL-Wertes des Systems muss auch der ordungsgemäße Betrieb des Sicherheitssystems mit Hilfe der Funktionalitätsprüfung nachgeprüft werden.



Überprüfen des SIL-Wertes des Sicherheitssystems (EN 62061)Die Sicherheitsintegritätsstufen (SIL) werden geprüft, indem aufge-zeigt wird, dass das Sicherheitsniveau der erstellten Sicherheits-funktion, d.h. die Zuverlässigkeit, gleich oder größer als das bei der Risikobewertung definierte Zielniveau ist. Zertifizierte Teilsysteme werden deshalb empfohlen, weil deren Hersteller bereits definierte Werte für ihre systematische Sicherheitsintegrität (SILCL) und Random Hardware Safety Integrity (PFHd) ermittelt haben.

Überprüfen des SIL-Wertes des Sicherheitssystems, wenn zertifi-zierte Teilsysteme verwendet werden:

1. Bestimmen der systematischen Sicherheitsintegrität anhand von SIL Claim Limit (SILCL)-Werten, die für Teilsysteme de-finiert wurden.

SILCL stellt den maximalen SIL-Wert dar, für den das Teilsystem strukturell geeignet ist. SILCL ist ein Indikator für die Bestimmung des erreichten SIL: Der SILCL-Wert des Gesamtsystems sollte nicht höher als der SILCL-Wert für das niedrigste Teilsystem sein.

2. Berechnung der Random Hardware Safety Integrity des Sys-tems anhand der Werte der Probability of a dangerous Failure per Hour (PFHd), die für die Teilsysteme definiert wurden. Hersteller zertifizierter Teilsysteme geben normalerweise die PFHd-Werte für ihre Systeme an.

PFHd ist der Wert der zufälligen Hardwarestörung, der für die Bestimmung von SIL verwendet wird.

3. Verwenden Sie die Checkliste der Fehler gemeinsamer Ursache (CCF), um sicherzustellen, dass alle notwendigen Aspekte der Erstellung des Sicherheitssystems berücksichtigt sind.

Die CCF-Checklisten sind in der Norm EN 62061, Anhang F, enthalten.

Die Punkte anhand der Liste berechnen und die Gesamtzahl mit den gelisteten Werten in der Norm EN 62061, Anhang F, Fig. 6, abgleichen; Tabelle 4 ergibt dann den CCF-Faktor (β). Dieser Wert wird für die Berechnung des Wahrscheinlichkeitswerts PFHd verwendet.

4. Den erreichten SIL-Wert aus der Tabelle für die SIL-Bestim-mung entnehmen.


Beispiel für die Überprüfung des SIL-Wertes:Überprüfen des Systems der funktionalen Sicherheit für die dre-hende Welle

SIL CL = 2PFHd = 2,4 x 10-7

SIL CL = 3PFHd = 9,8 x 10-9

SIL CL = 3PFHd = 2,0 x 10-10

Sicherheitsschalter

Teilsystem 1

Sicherheitslogik + E/A

Teilsystem 2

Steller/Hebel (sicher abge-schaltetes Drehmoment, STO)

Teilsystem 3

Bild 3-7 Beispiel für die Überprüfung des SIL

• Systematische Sicherheitsintegrität: SIL CLsys ≤ (SIL CLTeilsystem)am niedristen -> SIL-Claim-Grenzwert 2

• Random hardware safety integrity: PFHd = PFHd1+PFHd2+PFHd3 = 2,5 x 10-7 < 10-6

= das System erfüllt SIL 2.

Tabelle zur Ermittlung des SIL gemäß des PFHd-Wertes für das gesamte Sicherheitssystem (bei hoher Belastung/Dauerbetrieb):

SIL Wahrscheinlichkeit von gefährlichen Störungen pro Stunde (1/h)

SIL 1 ≥ 10-6 bis < 10-5

SIL 2 ≥ 10-7 bis < 10-6

SIL 3 ≥ 10-8 bis < 10-7

Tabelle 3-1 Tabelle zur Ermittluing des SIL

Überprüfen des PL des Sicherheitssystems ( EN ISO 13849-1)Zur Überprüfung des Leistungsniveaus (PL) muss festgestellt werden, dass der PL-Wert der entsprechenden Sicherheitsfunktion dem geforderten PLr Wert erfüllt. Wenn eine Sicherheitsfunktion aus mehreren Teilsystemen besteht, müssen die einzelnen PL-Werte größer oder gleich dem für die Sicherheitsfunktion geforderten Leistungsniveau sein. Es werden zertifizierte Teilsysteme empfohlen, denn hierfür sind die Sicherheitsniveauwerte bereits definiert.



Überprüfung des PL-Wertes eines Sicherheitssystems, für das zertifizierte Teilsysteme verwendet werden:

1. Die Anfälligkeit des Systems gegen Fehler gemeinsamer Ursache (CCF) mit Hilfe der CCF- Checkliste feststellen.

Die CCF-Checklisten sind in der Norm EN ISO 13849-1:2008 in Anhang I enthalten. Die erforderliche Mindestpunktzahl beträgt 65 Punkte.

2. Bestimmen des erreichten PL anhand des Balkendiagramms:

• Kategorie• Mittlere Zeitspanne bis zu einem gefährlichen Ausfall (MTTFd)• Fehleraufdeckungsgrad (CD - Diagnostic Coverage)

Die MTTFd ist die durchschnittliche Zeit bis zu einem gefährlichen Ausfall. Der DC gibt die Anzahl der gefährlichen Ausfälle an, die von der Diagnose erkannt werden können.

Weitere Informationen zur Berechnung siehe EN ISO 13849-1.

3. Die Ergebniswerte, anhand derer der PL-Wert ermittelt wer-den kann, in das PL-Diagramm eintragen.

Beispiel zur Überprüfung des PL:Überprüfen des Systems der funktionalen Sicherheit für die dre-hende Welle

1 = gering

2 = mittel

3 = hoch

PL

a

b

c

d

e

Cat. BDCdurchs.klein

Cat. 1DCdurchs.klein

Cat. 2DCdurchs.gering

Cat. 3DCdurchs.gering

Cat. 3DCdurchs.mittel

Cat. 3DCdurchs.hoch

Cat. 2DCdurchs.mittel

1

2

3

MTTFd für jeden Kanal

Bild 3-8 Beispiel für die Überprüfung des PL




Zur Erreichung des im vorangehenden Beispiel definierten PLr:

• die Architektur gehört zu Kategorie 3,• der MTTFd-Wert ist hoch und• der durchschnittliche DC-Wert is nieder.

= das System hat den PL-Wert d.

Tabelle zur Bestimmung des PL entsprechend dem PFHd-Wert, der sich für das gesamte Sicherheitssystem ergeben hat:

PL Wahrscheinlichkeit von gefährlichen Störungen pro Stunde (1/h)

a ≥ 10-5 bis < 10-4

b ≥ 3 x 10-6 bis < 10-5

c ≥ 10-6 bis < 3 x 10-6

d ≥ 10-7 bis < 10-6

e ≥ 10-8 bis < 10-7

Tabelle 3-2 Tabelle zur Bestimmung des PL-Wertes

Vergleich der SIL- und PL-WerteObwohl sich die Bewertungsmethoden der beiden Normen unter-scheiden, können die Bewertungsergebnisse auf Basis zufälliger Hardwarestörungen verglichen werden.

Sicherheits-Integritätslevel SIL Leistungsniveau PL

keine Entsprechung a

1 b

1 c

2 d

3 e

Tabelle 3-3 Tabelle zum Vergleich der SIL- und PL-Werte

SCHRITT 7: Überprüfung des Systems der funktionalen Sicherheit

Jede Sicherheitsfunktion muss überprüft werden, um sicherzustellen, dass sie das Risiko, wie in der Risikobewertung gefordert, reduziert.

Um die Eignung des Systems der funktionalen Sicherheit festzu-stellen, muss das System im Hinblick auf die Risikobewertung, die zu Beginn des Verfahrens zur Einhaltung der EHSR der Maschi-nenrichtlinie (siehe Schritt 2 Seite 24) durchgeführt wurde, geprüft werden. Das System ist geeignet, wenn es tatsächlich die in der Risikobewertung analysierten und bewerteten Risiken mindert.



SCHRITT 8: Dokumentation des Systems der funktionalen Sicherheit

Die Konstruktion der Maschine muss dokumentiert und die entspre-chende Benutzer-Dokumentation erstellt werden, bevor die Maschi-ne die in der Maschinenrichtlinie angegebenen Anforderungen erfüllt.

Die Dokumentation muss sorgfältig erstellt werden, damit sie ihren Zweck erfüllt. Sie muss genau und präzise und gleichzeig auch informativ und für den Benutzer leicht verständlich sein. Sämtliche Restrisiken müssen in der Benutzer-Dokumentation zusammen mit geeigneten Anweisungen zum sicheren Betrieb der Maschine dokumentiert sein. Die Dokumentation muss zugänglich sein und aufbewahrt werden. Die Benutzer-Dokumentation wird zusammen mit der Maschine geliefert.

Weitere Informationen über die erforderliche Dokumentation und ihre Form siehe EHSR Anhang I der Maschinenrichtlinie.

SCHRITT 9: Nachweis der Konformität

Bevor eine Maschine verkauft werden darf, muss der Hersteller sicherstellen, dass die Maschine den harmonisierten Normen ent-spricht. Es muss auch belegt werden, dass die Kombination von sicherheitsbezogenen Teilen für jede einzelne Sicherheitsfunktion die definierten Anforderungen erfüllt.

Zum Nachweis der Konformität mit der Maschinenrichtlinie muss belegt werden, dass:

• die Maschinen die relevanten Anforderungen der Gesundheits-schutz- und Sicherheitsrichtlinien ( EHSR) gemäß der Maschi-nenrichtlinie erfüllen.

• die Maschine die Anforderungen anderer, diesbezüglicher Richt-linien erfüllt.

• die Einhaltung dieser Anforderungen durch Erfüllen der Anfor-derungen der relevanten harmonisierten Normen sichergestellt werden kann.

• die technische Dokumentation aktuell und verfügbar ist.Die technische Dokumentation enthält den Nachweis, dass die Maschine den Vorschriften in der Maschinenrichtlinie entspricht.

Hinweis:Fehlende technische Unterlagen sollten Anlass zu Zweifeln ge-ben, ob die Maschine die EHSR erfüllt.

Die Dokumentation muss die Konstruktion, Fertigung und den Betrieb der Maschine in dem Umfang enthalten, wie zum Nachweis der Konformität erforderlich. Weitere Informationen zum Inhalt der technischen Unterlagen siehe Anhang VII der Maschinenrichtlinie 2006/42/EG.


• das Verfahren zur Konformitätsbewertung angewandt wurde.Die speziellen, in Anhang IV der Maschinenrichtlinie genannten Anforderungen sind entsprechend erfüllt.

• die EG-Konformitätserklärung ausgefertigt wurde und der Ma-schine beiliegt.

Nach Feststellung der Konformität wurde das CE-Kennzeichen angebracht.

Bei Maschinen mit CE-Kennzeichen und EG-Konformitätserklärung wird davon ausgegangen, dass sie die Anforderungen der Maschi-nenrichtlinie erfüllen.



CE-KennzeichnungEin vorgeschriebenes Konformitätskennzeichen für Maschinen und viele andere Arten von Produkten, die im Bereich der Europäischen Gemeinschaft (European Economic Area - EEA) auf den Markt ge-bracht werden. Durch Anbringen der CE-Kennzeichnung am Produkt zeigt der Hersteller an, dass das Produkt alle Anforderungen der anzuwendenden europäischen Richtlinie(n) erfüllt.

CCF, Common Cause Failure (Störungen mit einer gemeinsa-men Ursache) Eine Situation, in der mehrere Teilsysteme durch ein einzelnes Ereignis gestört sind. Alle Störungen werden durch dieses eine Ereignis verursacht und sind nicht die Folge einer gegenseitigen Beeinflussung.

DC, Diagnostic CoverageDie Diagnostic Coverage (DC) ist die Wirksamkeit der Störungs-überwachung eines Systems oder Teilsystems. Sie ist das Verhältnis zwischen dem Anteil der erkannten gefährlichen Störungen und der Gesamtzahl der gefährlichen Störungen.

EHSR, Essential Health and Safety Requirements (grundlegende Sicherheits- und Gesundheitsschutzanforderungen)Anforderungen, denen Maschinen zur Erfüllung der Maschinenricht-linie der Europäischen Union entsprechen müssen, und die die Vor-aussetzung für eine CE-Kennzeichnung sind. Diese Anforderungen sind in Anhang I der Maschinenrichtlinie genannt.

ENSteht für “EuroNorm”. Dieses Kürzel wird für die harmonisierten Normen verwendet.

VerletzungKörperliche Verletzung oder ein anderer Gesundheitsschaden.

Harmonisierte NormEine europäische Norm, die unter dem Mandat der Europäischen Kommission oder des EFTA-Sekretariats erstellt wurde, mit dem Zweck, die wesentlichen Anforderungen einer Richtlinie zu unter-stützen, und die nach EU-Vorschriften verbindlich ist.

GefahrPotenzielle Ursache einer Verletzung.

IEC, International Electrotechnical CommissionEine weltweite aus allen nationalen elektrotechnischen Komitees bestehende Organisation zur Standardisierung.www.iec.ch

Glossar


ISO, Internationale Organisation für StandardisierungEine weltweite Föderation von nationalen Normungsstellen.www.iso.org

MTTFd, Mean Time To dangerous Failure (Mittlere Zeitspanne bis zu einer gefährlichen Störung)Durchschnittszeit, in der das Auftreten einer gefährlichen Störung erwartet wird.

PFHd, Probability of dangerous Failure per Hour (Wahrschein-lichkeit einer gefährlichen Störung pro Stunde)Durchschnittliche Wahrscheinlichkeit einer gefährlichen Störung innerhalb einer (1) Stunde. PFHd ist der Wert mit dem der SIL- oder PL-Wert einer Sicherheitsfunktion bestimmt wird.

PL, Performance LevelStufen (a, b, c, d, e) für die Fähigkeit eines Sicherheitssystems, unter vorhersehbaren Bedingungen die Sicherheitsfunktion auszuführen.

PLR

Erforderlicher Performance Level (auf Basis der Risikobewertung).

RisikoEine Kombination aus der Möglichkeit des Auftretens und der mög-lichen Schwere einer Verletzung.

SicherheitsfunktionZusätzliche Funktion zur Erhöhung der Sicherheit einer Maschine,durch deren Störung Risiken entstehen oder größer werden.

SIL, Safety Integrity LevelStufen (1, 2, 3, 4) zur Spezifikation der Fähigkeit eines elektrischen Sicherheitssystems, unter vorhersehbaren Bedingungen eine Sicherheitsfunktion auszuführen. Bei Maschinen werden nur die Stufen 1-3 benutzt.

SILCL, SIL Claim LimitMaximaler Safety Integrity Level (SIL)-Wert, der für ein elektrisches Sicherheitssystem möglich ist unter Berücksichtigung von Ein-schränkungen der Architektur und der Systematik der Sicherheits-integrität.

Sub- oder TeilsystemKomponente einer Sicherheitsfunktion, die eine eigene Sicherheits-stufe (SIL/PL) hat, die sich auf die Sicherheitstufe der Gesamtsi-cherheitsfunktion auswirkt. Wenn eines der Teilsysteme ausfällt, fällt auch die Gesamtsicherheitsfunktion aus.

Glossar


Index

AAnhang IV. 11, 12, 39

CCE-Kennzeichnung 7, 10, 23, 26, 39, 40CEN 12, 16CENELEC 12, 16

DDokumentation des Sicherheitssys-tems 38

EEHSR 8, 9, 10, 18, 22, 32, 37, 38, 40Emergency stop = Notstopp 13, 21Emergency Switching Off = Notab-schaltung 20EN 61800-5-2 18EN 62061 13, 14, 16, 24, 29, 32, 34EN ISO 13849-1 13, 14, 16, 24, 30, 32, 35

Ffunktionale Sicherheit 9, 23, 28funktionale Sicherheit, System 32, 33, 37

Hharmonisierte Normen 8, 12, 16, 22, 26, 38

IIEC, International Electrotechnical Commission 15, 40ISO, Internationale Organisation für Standardisierung 15, 41

MMaschinenrichtlinie 8, 9, 11, 12, 22, 24, 26, 32, 37, 38Maschinenrichtlinie 2006/42/EG 11, 24, 38Maschinenrichtlinie 98/37/EC 11, 39

PPL, Performance Level 15, 17, 29, 30, 35, 37, 41proving compliance = Nachweis der Konformität 40

RRestrisiko 26, 27, 28, 38Risiko-/Gefahrenanalyse 10, 18, 24, 25Risikobewertung 12, 16, 18, 24, 26, 27, 29, 37Risikoreduzierung 9, 13, 16, 24, 25, 26

SSichere Bremsenansteuerung (Safe Brake Control, SBC) 21Sichere Drehrichtung (SDI) 20Sicherheitsbegrenzte Drehzahl (SLS) 19Sicherer Betriebsstopp (Safe Opera-ting Stop SOS) 19Sichere Drehzahlüberwachung (Safe Speed Monitor SSM) 20Sicherer Stopp 1 (SS1) 19Sicherer Stopp 2 (SS2) 19Sicherheitsfunktionen 9, 10, 13, 14, 17, 18, 19, 27, 28, 32, 33, 37, 38, 41Safety Performance 8, 10, 29, 34, 35Sicherheitsplan 23SIL, Safety Integrity Level 15, 17, 29, 34, 37, 41

TÜbergangszeit 14Normen des Typs A 13Normen des Typs B 13Normen des Typs C 13

UUpdate existierender Maschinen 22

VValidierung des Sicherheitssystems 39Verifizierung des Sicherheitssystems 35


3AU

A00

0010

4578

RE

V D

DE

2.1

.201

2

Kontakt

© Copyright 2012 ABB. Alle Rechte vorbehalten. Änderungen vorbehalten.

Weitere Informationen erhalten Sievon Ihrer ABB-Vertretungen oder im Internet:

www.abb.com/driveswww.abb.com/drivespartner

Documents

Funktionale Sicherheit...modernen Sicherheitslösungen kann die Sicherheit ein integraler Teil der Maschinenfunktionalität sein, und Sicherheitslösungen müssen nicht nachgerüstet