# Beispiel 13849-1 Verpackungsmaschine Teil 1



## Safety (30 Oktober 2011)

Umsetzung der DIN EN ISO 13849-1 anhand einer Verpackungsmaschine

Die Konformitätsvermutung der DIN EN 954-1 wird nun zum 31.12.2011 ungültig. Dies bedeutet nun für den Elektrokonstrukteur, dass die DIN EN ISO 13849-1 zur Anwendung kommt. 
Dieser Artikel soll ein Beispiel zeigen, wie eine Umsetzung anhand einer Verpackungsmaschine aussehen kann. Es werden nur sicherheitsgerichtete Funktionen nach DIN EN ISO 13849-1 betrachtet.
Ausgehend von einer Risikobeurteilung nach DIN EN ISO 12100 Abschnitt 5 und/oder einer der Verpackungsmaschinen Typ C-Normen DIN EN 415 wurde festgestellt, dass es verschiedenste mechanische Gefährdungen an einer Verpackungsmaschine gibt. Diese Risiken sollen nun nach Sicherheitsmaßnahmen gemindert werden, die in den Normen 415 -1 bis 9 und/oder DIN EN ISO 12100 Abschnitt 6 angegeben sind. Andere Gefährdungen sollen der Einfachheit halber hier nicht betrachtet werden.
Der Abschnitt 6.1 der DIN EN ISO 12100 gibt ein 3 Schrittverfahren vor, Schritt 1 inhärent sichere Konstruktion ist nicht vollkommen möglich, es kommt nun Schritt 2, die technische Schutzmaßnahme zur Anwendung. 
Um das Risiko der vielfältigen Gefährdungen an dieser Maschine zu mindern, wird eine feststehende trennende Schutzeinrichtung (Schutzzaun) nach DIN EN 953 und DIN EN 13857 bzw. nach den speziellen Vorgaben der Normen DIN EN 415 konstruiert.
z.B. gibt die DIN EN 415-5 im Anhang B (normativ) Möglichkeiten für die Sicherung kleiner und mittelgroßer Öffnungen vor.

Da aber ein regelmäßiges Eingreifen in den Gefährdungsbereich der Maschine möglich sein muss, werden 6 bewegliche trennende Schutzeinrichtungen (Schutztüren 1-6) geplant. Hier müssen jetzt, da jede bewegliche trennende Schutzeinrichtung einmal pro Schicht geöffnet werden muss, Verriegelungseinrichtungen nach DIN EN ISO 1088 eingesetzt werden. Nach Anwendung der DIN EN ISO 13855 wurde festgestellt, dass ein Erreichen der Gefährdung nach öffnen einer der verriegelten trennenden Schutzeinrichtung nur nach stillstand der Gefährdung möglich ist. Wir benötigen also aus sicherheitstechnischer Sicht keine Zuhaltung.
Beispiel aus der DIN EN 415-3:
Soweit in dieser Norm nicht ausdrücklich anders angegeben, müssen die Maschinensteuerungen sicherstellen, dass gefährliche Bewegungen innerhalb von 1,0 s nach Öffnen einer verriegelten trennenden Schutzeinrichtung zum Stillstand kommen.

Für die Handlung im Notfall nach DIN EN ISO 13850 sollen an der Maschine im Abstand von etwa 4 Meter Entfernung zwei Not-Taster angebracht werden ein weiterer Taster ist am Bedienpult geplant. DieDIN EN 415-3 fordert im Bedienpult Not-Taster einen weiteren alle 4 m und die DIN EN 415-5 fordert alle 5 m.

Der Betreiber der Maschine fordert, dass die Schutztüren nur bei Grundstellung der Maschine zu öffnen sind.
Die Maschine soll an 365 Tagen in drei Schichten betrieben werden.
Es müssen nun die durch die Antriebsbewegung von mehreren Pneumatik Zylindern und insgesamt 4 Elektromotoren entstehenden Risiken gemindert werden. 
Es muss bei dieser Maschine nicht von einer Gefährdungsüberlagerung ausgegangen werden.
Als ersten Schritt des iterativen Prozesses der DIN EN ISO 13849-1 Bild 3 müssen jetzt die notwendigen Sicherheitsfunktionen identifiziertund dann die geforderten Eigenschaften festgelegt werden. Hier empfiehlt sich das immer vom auslösenden Ereignis die Betrachtung zu starten, weiter geht man dann zur Reaktion und definiert den sicheren Zustand.





Schutzmaßnahmen:

Beim Öffnen einer der verriegelten trennenden Schutzeinrichtungen Tür 1-6 wird die komplette Pneumatik sicher entlüftet. Sicherer Zustand, Stillstand der gefahrbringenden Bewegung. Vor Wiedereinschalten muss die manuelle Rückstellfunktion ausgeführt werden. Hieraus ergeben sich folgende Sicherheitsfunktionen SF1-6 sicherheitsbezogene Stoppfunktion, eingeleitet durch eine Schutzeinrichtung.
Beim Öffnen einer der verriegelten trennenden Schutzeinrichtungen Tür 1-6 werden die Umrichter 1-4 in Stoppkategorie 1 nach 60204-1 schnellst möglichst elektronisch herunter gebremst und nach 0,3 Sekunden in sicher abgeschaltetes Moment geschaltet STO. Sicherer Zustand, Stillstand der Gefahrbringenden Bewegung. Vor Wiedereinschalten muss die manuelle Rückstellfunktion ausgeführt werden. Hieraus ergeben sich folgende Sicherheitsfunktionen SF 7-30 sicherheitsbezogene Stoppfunktion, eingeleitet durch eine Schutzeinrichtung.
Handlung im Notfall, nach Betätigen einer der Not-Taster 1-3 werden alle pneumatischen Antriebe sicher entlüftet. Sicherer Zustand, Stillstand der Gefahrbringenden Bewegung. Vor Wiedereinschalten muss die manuelle Rückstellfunktion ausgeführt werden. Hieraus ergeben sich folgende Sicherheitsfunktionen SF 31-33, Not-Halt Funktion.
Handlung im Notfall, nach Betätigen einer der Not-Taster werden die Umrichter 1-4 in Stoppkategorie 1 nach 60204-1 schnellst möglichst elektronisch herunter gebremst und nach 0,3 Sekunden in sicher abgeschaltetes Moment geschaltet STO. Sicherer Zustand, Stillstand der Gefahrbringenden Bewegung. Vor Wiedereinschalten muss die manuelle Rückstellfunktion ausgeführt werden. Hieraus ergeben sich folgende Sicherheitsfunktionen SF 34-45, Not-Halt Funktion.
Für die manuelle Rückstellfunktion wird eine Reset-Taste im Bedienpult vorgesehen von diesem Standort kann man den kompletten Gefährdungsbereich der Maschine überblicken. Es werden die Anforderungen der DIN EN ISO 13849-1 Abschnitt 5.2.2 erfüllt.
Der nächste Schritt ist nun die Bestimmung des erforderlichen Performance Level PLr anhand des Anhang A der DIN EN ISO 13849-1.
SF 1-6: PLr= b bis d, da wir nur einen Aktor verwenden wollen, müssen wir also PLr = d erfüllen.
SF 7-30: PLr = d
SF 31-33 PLr = d, da der PLr für eine Handlung im Notfall nur sehr schwer einzuschätzen ist, halten wir uns an die SF 1-6.
SF 34-45 PLr = d, da der PLr für eine Handlung im Notfall nur sehr schwer einzuschätzen ist, halten wir uns an die SF 7-30.
Anhand des PLr können wir nun die erforderliche Kategorie mithilfe des Säulendiagramms aus der DIN EN ISO 13849-1 Abschnitt 4.5.4 Bild 5 wählen. Hier ergibt sich die Kategorie 3. Anforderungen der Kategorie 3: 
Übereinstimmung mit zutreffenden Normen
Grundlegende und bewährte Sicherheitsprinzipien nach DIN EN ISO 13849-2
Einfehlertoleranz ist erforderlich.
Wenn immer in angemessener Weise durchführbar der einzelne Fehler erkannt wird.
MTTFd= niedrig bis hoch, DC= niedrig bis mittel, CCF relevant.
Die nächste Etappe ist nun die Gestaltung und technische Realisierung der Sicherheitsfunktionen. Hier empfiehlt es sich, die Betriebsanleitungen der infrage kommenden Produkte anzusehen und nach Schaltungsbeispielen zu suchen. 








Sensoren:
Zur Überwachung der Schutztüren wählen wir einen berührungsloswirkenden Transponder Verriegelungsschalter mit eingebauter Prozesszuhaltung PSENslock von PILZ. Sicherheitstechnische Kennwerte: PLe, Kategorie 4, PFHd 3,29E-9. 
Not-Taster PITes von PILZ. Sicherheitstechnische Kennwerte: zwangsöffnende Kontakte, B10d = 181500, Betätigungen pro Jahr: 12. Diagnose Deckungsgrad: 2 Kanaliges einlesen, Querschluss Erkennung über die Testakte des PDP 67, Kanalfehlererkennung über den zertifizierten Baustein in der PNOZ Multi. Nach DIN EN ISO 13849-1 Anhang E Kreuzvergleich von Eingangssignalen mit dynamischer Testung DC 99 %.


----------



## Safety (30 Oktober 2011)

*Beispiel 13849-1 Verpackungsmaschine Teil 2*

Logik:
PNOZmulti Mini mm0.2p mit Safelink mml0.2p und zwei dezentralen Modulen PDP 67 F 8 DI ION, hier werden die PSENslock und PITes einzeln zweikanalig eingelesen und somit ein Diagnosedeckungsgrad von 99 % erreicht. Ein weiterer Vorteil dieser Schaltung ist, es geht nur eine Busleitung vom Schaltschrank zu den Modulen, über diese werden alle Eingänge an die PNOZmulti Mini sicher übergeben und die magnetische Zuhaltung PSENslock über eingebaute nichtsichere Ausgänge angesteuert. Diese Ansteuerung erfolgt von der übergeordneten Steuerung über das Ethernet Feldbusmodul mmc1p ETH. Die sicherheitsgerichtete Abschaltung des MS6-SV erfolgt durch zwei sichere Transistorausgänge der PNOZmulti. Die Ansteuerung der STO-Eingänge der Umrichter 1-4 erfolgt durch ein Erweiterungsmodul, Sicherheitsrelais Sigma S22, 2 kanalig, welches durch einfaches Erweitern über einen Brückenstecker zwei sichere Relais Ausgänge bringt. 
Sicherheitstechnische Kennwerte:
PDP 67 F 8 DI ION: 2 kanalige Auswertung, PLe, Kategorie 4, PFHd 1,24E0-9
Safelink mml2p: PLe, Kategorie 4, PFHd 5,35E-09
CPU mm0.1p : PLe, Kategorie 4, PFHd 1,54E-09
Ausgang Transistor mm0.1p: 2 kanalig PLe, Kategorie 4, PFH 7,86E-10
Ausgang Sigma S7 oder S22: PLe, Kategorie 4, PFHd 2,31
Aktor:
Aktor zur sicheren Entlüftung, MS6-SV von Festo.
Sicherheitstechnische Kennwerte: PLe, Kategorie 4, B10d Wert von 500000, DC 99 %. 
Betätigungen pro Jahr: Anforderung der Schutztüren 6 Türen x 3 Schichten x 365 Tage = 1170 + 36 Handlungen im Notfall= 1206
Umrichter 1-4 Herstellerangabe PLd, Kategorie 3, PFHd 1,26E-07
Alle Komponenten nach Betriebsanleitung angeschlossen.
Nächster Schritt ist die Ermittlung des Performance Level jeder Sicherheitsfunktion mit der Software PAScal. Es werden nicht nur die Berechnungen mit dieser Software durch die Benutzung von Bauteil-Bibliotheken stark vereinfacht, sondern auch noch die sicherheitsgezogenen Blockdiagramme erstellt.




Es werden nur vier Sicherheitsfunktionen berechnet, da man bei diesem Beispiel bei den Schutztüren wie auch bei den Not-Tastern von gleichen Bedingungen ausgeht.
Ergebnisse, Verifikation PL≥PLr: 
SF1-6: PL=e, PFHd= 3,69E-08, gefordert ist PLd, erfüllt.
SF7-30: PL=d, PFHd= 1,4E-07, gefordert ist PLd, erfüllt.
SF31-33: PL=e, PFHd= 5,83E-08, gefordert ist PLd, erfüllt.
SF34-45: PL=d, PFHd= 1,61E-07, gefordert ist PLd, erfüllt.
Abschätzungen der Ausfälle aufgrund gemeinsamer Ursache CCF. Hier wenden wir für die zertifizierten und baumustergeprüften Bauteile konsequent die Betriebsanleitungen an. So kann man nach einer überprüfenden Betrachtung zu dem Ergebnis kommen, CCF erfüllt!
Systematische Ausfälle zu diesem Thema gibt der BGIA-Report 2/2008 und die DIN EN ISO 13849-1 im Anhang G Auskunft. 
Software Verifikation und Validierung: Wir verwenden das Software-Tool PNOZmulti-Configurator, dieses stellt uns eine Vollgraphische Konfigurierung zur Verfügung, die uns einen Großteil der Forderungen aus der DIN EN ISO 13849-1 Abschnitt 4.6.3 abnimmt. Es wird konsequent mit zertifizierten Bausteinen gearbeitet und der erzeugte Report enthält die wesentlichen Angaben zur Validierung.
Validierung der Sicherheitsfunktionen, durch den Einsatz von zertifizierten baumustergeprüften Bauteilen wird die Anwendung der Normen 13849-1 und -2 stark vereinfacht und somit auch die geforderte Validierung. Man kann beim Einsatz und der konsequenten Anwendung der Betriebsanleitungen solcher Bauteile davon ausgehen das die grundlegenden und bewährten Sicherheitsprinzipien der DIN EN ISO 13849-2, die Anforderungen der Kategorie und die Ausfälle aufgrund gemeinsamer Ursache CCF erfüllt sind.


----------

