VDW,  Stand E42 / Halle 3
Zum EMO-Ausstellerprofil
EINLOGGENREGISTRIEREN
My IndustryArena Login
Passwort vergessen?
VDW
794
VDW
794
{{ moduleLabel }}
{{ label }}

Erfahrungen im Umgang mit DIN EN ISO 13849

MarketingVerein Deutscher Werkzeugmaschinenfabriken e.V. am 24. Juni 2014 um 13:00 Uhr
vdw Blog Image

Gekürzte Fassung eines Erfahrungsberichtes von Dr.-Ing. Sigmund Chmielnicki

Als 2007 die Norm DIN EN ISO 13849-1:2007-07 publiziert wurde, waren die wenigsten Werkzeugmaschinenhersteller auf diese Norm vorbereitet. Verschiedene Hersteller von Baugruppen für sicherheitsrelevante Teile von Steuerungen der Werkzeugmaschinen konnten oft die Werkzeugmaschinenhersteller mit den für die Analyse notwendigen Daten und Informationen nicht unterstützen. Bisher war man gewohnt, dass eine Risikobeurteilung nach DIN EN 954 zu einer erforderlichen Sicherheitskategorie führte. Man hatte sein Ziel erreicht, wenn man Strukturen in der Steuerung der Werkzeugmaschinen realisierte, welche die Vorgaben der Sicherheitskategorien befriedigten. Nun stürmten neue Begriffe und Methoden auf die Werkzeugmaschinenhersteller ein, welchen den meisten davon noch unbekannt waren. Welcher Verantwortliche für Sicherheitsfunktionen hat sich bis dahin mit
Markoff-Prozessen befasst und was ist eigentlich ein Performance Level? Nun ist die
Definition des Performance Levels relativ leicht zu verstehen. Aber wer sich im Alltag nicht mit Statistik und Probabilistik (also mit den Methoden der Wahrscheinlichkeitslehre) befasst oder darin eine Ausbildung genossen hat, der tut sich mit dem theoretischen Unterbau der Norm schwer.
 
Die Geburt der Sicherheitsfunktionen einer Maschine findet in der Konstruktion statt. Dort ist Herr Gauß ein Begriff, aber Herrn Markoff kennt man weniger. Nun soll DIN EN ISO 13849 dazu dienen, dass man nicht unbedingt die profanen Kenntnisse der
Wahrscheinlichkeitslehre und Statistik besitzen sollte, um sicherheitsrelevante Teile einer Steuerung einer Werkzeugmaschine analysieren zu können. 2008 hat das BGIA (Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung, Sankt Augustin) den BGIA Report 2/2008 „Funktionelle Sicherheit von Maschinensteuerung – Anwendung der DIN EN ISO 13849“ publiziert. Mit diesem Report hatte man nun erstmals eine zusammengefasste Erläuterung der Norm und konnte sich an den darin enthaltenen Analysebeispielen orientieren. Bis dato gab es weitgehend nur Stellungnahmen, verschiedene Aufsätze und Informationsvorträge zur Norm, die aber sehr allgemein gehalten und nicht immer einfach zugänglich waren. Leider war es so, dass gerade für typische Elemente der funktionalen Sicherheit von Steuerungen in Werkzeugenmaschinen keine Beispiele im BGIA-Report enthalten waren. Zum Beispiel gibt es kein Modell von CNC-gesteuerten Achsen einer Werkzeugmaschine im Report, die oft Maßstäbe und motorinterne Drehgeber sowie motorintegrierte Haltebremsen besitzen, wobei die Steuerungskomponenten miteinander über Feldbusse kommunizieren. Der Verein Deutscher Werkzeugmaschinenfabriken, VDW, hat daraufhin einen Arbeitkreis ins Leben gerufen, der sich zur Aufgabe gestellt hat, exemplarisch solche typischen Elemente von Werkzeugmaschinen als Beispiele zur Ergänzung des Reports zu erstellen und zu veröffentlichen. Der Arbeitskreis wurde von Experten der Berufsgenossenschaften tatkräftig unterstützt. Viele der Arbeitskreisteilnehmer konnten dabei zum ersten Mal die Norm verstehen und anwenden. Es haben sich aber auch deutliche Lücken gezeigt, bei welchen selbst die Experten Schwierigkeiten hatten, eine Musteranalyse zu erstellen. Die Ergebnisse des VDW-Arbeitkreises können über die Geschäftsstelle des VDWs beschafft werden.
 
Aber trotz diesen Ergebnissen haben sich in der täglichen Praxis Probleme ergeben, die bisher nicht allgemein behandelt wurden. Es handelt sich bei verschiedenen davon um sehr häufig vorkommende Probleme. Aus den Arbeitskreisen heraus unterhalten einige Firmen einen regelmäßigen Erfahrungsaustausch. In diesem Rahmen haben Mitglieder dieses latent bestehenden Arbeitskreises die Idee entwickelt, dass sie ihre Erfahrungen in verschiedenen Veröffentlichungen weitergeben. Darin sehen sie eine Hilfestellung für andere. Es steckt aber auch ein gewisser Eigennutz dahinter, weil auch über solche Veröffentlichungen eine
Diskussion entsteht und zu einem einheitlichen Meinungsbild führt, das dann auch den Stand der Technik prägt, wie ihn die Maschinenrichtlinie 2006/42/EG fordert.
Die Themen der Erfahrungsberichte konzentrieren sich auf bestimmte Schwerpunkte:

- Modellbildung für die Berechnungen
- Not-Halt, Betriebsarten, Zustimmfunktion, Schutztüren
- Spannvorrichtungen
- Werkzeuge spannen
 
Sie erheben nicht den Anspruch eine Art Lehrbuch zu sein, sondern sollen Impulse geben, wie bestimmte Probleme angegangen werden können. Es gibt meist noch weitere Möglichkeiten diese Probleme zu lösen. Leider gibt es auch Probleme, die bisher nicht zufriedenstellend gelöst werden konnten. Auf solche Probleme kann in diesen Publikationen nur hingewiesen werden. Das kann aber auch nützlich sein, damit man aufgrund solcher Hinweise Alternativen ausarbeiten und so das Problem manchmal umgehen kann.
Der VDW hat nun im öffentlichen Teil seiner Homepage die Möglichkeit geschaffen,
Dokumente über Themen aus dem Anwendungsbereich im Umgang mit DIN EN ISO 13849 zur Verfügung zu stellen. Es gibt unter ein Register „Leistungen/Technik/Funktionale Sicherheit - Informationsplattform“, in welchem diese Dokumente zu finden sind. Sie sollen unverbindlich informieren und Anregungen für die tägliche Arbeit geben. Sie sollen aber auch dazu dienen, noch ungelöste Probleme anzupacken.
 
Am Anfang steht die Risikobeurteilung. Sie ist in DIN EN ISO 12100 geregelt. Aber sie stellt
in Bezug auf DIN EN ISO 13849 -1 ein organisatorisches Problem dar. Die Konzeption einer
Maschine beginnt in der Regel in der mechanischen Konstruktion. Damit beginnt die
Risikobeurteilung schon in dieser Phase und begleitet ab jetzt kontinuierlich die
Konstruktionsarbeiten. Aufgrund der erkannten Gefährdungen werden nun Lösungen zur Beseitigung der Gefahren oder zumindest zur Reduzierung des Risikos festgelegt. Das ist ein iterativer Vorgang, der auch so in DIN EN ISO 12100 beschrieben ist. Wird in diesen Vorgang noch die Überprüfung der Sicherheitsfunktionen durch eine Analyse und Berechnung nach DIN EN ISO 13849 -1 und DIN EN ISO 13849-2 eingebracht, so steigt insgesamt der Aufwand zur Festlegung von Sicherheitsfunktionen beträchtlich. Im Absatz 3.1.20 der Norm wird eine Sicherheitsfunktion als

„Funktion einer Maschine, wobei ein Ausfall der Funktion zur unmittelbaren Erhöhung des Risikos (der Risiken) führen kann“,
 
definiert.

In der Regel beschränkt man sich bei der Risikobeurteilung zunächst auf die Festlegung der Art der Risikominderung ohne ihre Qualität zu nachprüfen. Das können Schutzmaßnahmen aber auch Sicherheitsfunktionen sein. Oft kann man dabei auf seine Erfahrung in früheren Analysen zurückgreifen. Jedoch ist Erfahrung dann Voraussetzung und muss zuerst erarbeitet sein. Erst bei der Konzeption des Steuerungssystemes wird dann die Analyse nach DIN EN ISO 13849 durchgeführt. Stößt man bei dieser Konzeption auf Probleme, welche nicht allein durch die sicherheitsbezogenen Funktionen der Steuerung lösen kann, dann wird an manchen Stellen noch eine vertiefende Risikobeurteilung notwendig sein. Es ergibt sich ein iterativer Prozess, in welchem diejenigen Mitarbeiter, welche die Analyse nach EN ISO 13849 -1 und DIN EN ISO 13849-2 durchführen oft sehr spät Veränderungen von Maschinen-funktionen und Maschinenbaugruppen herbeiführen müssen. Wenn die Steuerung nicht mehr im notwendigen Maß eine Risikominderung erwirken kann, dann geht es oft darum, dass man diese Risiken mechanisch verringert, z.B.
durch zusätzliche Schutzeinrichtungen. Im Konzept wurde dies deshalb nicht erkannt, weil über den gesamten Konstruktionsbereich gestreut nicht die Kenntnisse über die Analyse nach DIN EN ISO 13849 -1 und DIN EN ISO 13849-2 vorliegen, da man sie nicht beliebig streuen kann. Sie sind so komplex, dass sie meist von einzelnen Mitarbeitern mit speziellen Kenntnissen durchgeführt werden. Die Risikobeurteilung nach DIN EN ISO 12100 ist somit ein Gemeinschaftswerk im Konstruktionsbereich.

Beispiel: Ein Konstrukteur der Mechanik stellt in einer Risikobeurteilung fest, dass der Arbeitsraum einer Maschine Gefahren wie Quetschen, Schneiden, Stoßen und Erfassen aufweist. Er wird deshalb eine trennende Schutzeinrichtung zur Risikominderung konstruieren. Da Bedienpersonen sich nicht häufig im Gefahrenbereich befinden, wird er nach dem Risikograph gemäß DIN EN ISO13849 -1 und unter der Annahme, dass eine mögliche Verletzung, welche durch diese Gefahren verursacht werden können, schwer ist, der Aufenthalt selten bis öfter ist und er unter bestimmten Bedingungen die Gefährdungen vermeiden kann (er steht außerhalb des Gefahrenbereichs mit einem sichern Stand und kann die Maschine für Arbeiten im Gefahrenbereich stillsetzen) einen erforderlichen Performance Level PLr = c nach DIN EN ISO 13849 -1 finden. Er konstruiert die Maschinenverkleidung und es ist darin eine Schutztür enthalten. Diese Schutztür wird nun abgesichert mit einem Sicherheitsschalter mit Zuhaltung. Nun entsteht der Bedarf von zusätzlichen Sicherheitsfunktionen, welche in der bisherigen Risikobeurteilung nicht berücksichtigt wurden: Die Funktion der Zuhaltung, die Auswertung der Kontakte des Sicherheitsschalters in der Steuerung, der sichere Betriebshalt bei geöffneter Schutztür, die Stoppfunktion, wenn die Schutztür geöffnet wird, die Freigabe des Öffnens der Schutztür.
 
Jede dieser Sicherheitsfunktionen kann dann einen eigenen erforderlichen Performance Level besitzen, der über eine Risikobeurteilung gefunden werden muss. DIN EN ISO 12100 verlangt in 5.4 dass die Risikobeurteilung sämtliche Lebensphasen der Maschine (Transport, Montage, Installation, in Betrieb nehmen, Verwenden, Demontage, außer Betrieb nehmen und Entsorgen) berücksichtigen soll. Vernünftigerweise orientiert sich eine solche Risikobeurteilung dann an Tätigkeiten, welche in diesen Phasen durchgeführt werden. Nun ist es aber so, dass eine  Sicherheitsfunktion, wie z.B. der Schutz gegen den unerwarteten Anlauf, keine  Tätigkeit einer Person ist, sondern eine technische Schutzmaßnahme ist. Sie wird im bisherigen Raster der Risikobeurteilung meist aufgelistet, aber nicht analysiert. Man steht nun vor der Aufgabe eine Form der Risikobeurteilung zu finden, in welcher auch
Schutzmaßnahmen abgebildet werden können. Dabei hat man zwei prinzipielle
Möglichkeiten.

- Integration der Risikobeurteilung für Sicherheitsfunktionen in ein einziges Dokument
der Risikobeurteilung
- Aufteilen der Risikobeurteilung in verschiedenen Dokumente

In der Praxis hat es sich bewährt, dass man eine relativ detaillierte Dokumentation der Analyse nach EN ISO 13849 -1 und DIN EN ISO 13849-2 erstellt. Es trägt zum Verständnis dieser Analyse bei, wenn dort auch die Risikobeurteilung für die Sicherheitsfunktion bzw. die Schutzmaßnahme nachzulesen ist. Damit ist die Risikobeurteilung nicht mehr zwangsläufig ein in sich geschlossenes Dokument.
 
Empfehlung: Die Anforderungen, welche an sicherheitsbezogenen Teile von Steuerungen gestellt werden, stammen aus der Risikobeurteilung. In der Dokumentation der Analyse nach EN ISO 13849 -1 und DIN EN ISO 13849-2 solltedieser Zusammenhang zum Verständnis der Analyse dargestellt werden.
 
Natürlich kann man die Berechungen nach DIN EN ISO 13849-1 ohne ein Berechnungs-hilfsmittel durchführen. Es empfiehlt sich aber ein solches anzuwenden. Es gibt von verschiedenen Herstellern von Komponenten sicherheitsbezogener Teile von Steuerungen und Schaltgeräten Programmsysteme, welche die Analyse nach DIN EN ISO 13849-1 unterstützen. Sie haben alle ihre eigenen Vor- und Nachteile. Das wohl am weitesten verbreitete Programmsystem ist SISTEMA. Es wurde von Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung IFA, Sankt Augustin, entwickelt und kann vom Institut kostenlos bezogen werden. Es gibt aber vom IFA kein ausgewiesenes Schulungsangebot für SISTEMA. Als begleitende Information gibt das IFA sogenannte SISTEMA-Kochbücher /4/, /5/, /6/, /7/ heraus. Darin findet man Hinweise für den Umgang mit SISTEMA als Vorschläge zur Lösung verschiedener Probleme. Inzwischen gibt es SISTEMA der Version 1.5. Ab der Version 1.2 konnten die früher erarbeiteten Daten in den neuen Versionen weiterhin benutzt werden.

Der Vorteil von Programmsystemen wie z.B. SET der Firma Siemens oder PasCal der Firma PILZ liegt darin, dass Anwendern dieser Programmsysteme von diesen Firmen Schulungen angeboten werden. Die Daten der Produkte dieser Hersteller sind darin schon enthalten. Daten von Geräten anderer Hersteller müssen jedoch zusätzlich in die Systeme eingegeben werden. Man hat früher über einen gemeinsamen Standard dieser Daten diskutiert, jedoch ist es nicht gelungen einen solchen Standard aufzubauen (siehe /8/ VDMA 66413 ). Das bedeutet, dass es umso schwieriger wird, ein solches System zu wechseln, je umfangreicher der schon gesammelte Datenbestand aufgebaut ist. Viele Firmen haben sich dazu bereit
erklärt, Datenbibliotheken für SISTEMA zur Verfügung zu stellen. Diese Bibliotheken kann man über den Internetzugang des IFA auf seinen eigenen Datenbestand herunterladen. Am Anfang hat man noch sehr viele Daten über die verwendeten Geräte und Baugruppen anzulegen. Der Aufwand kann beträchtlich sein. Da ist schon oft die erste Hürde, dass einige Hersteller von Geräten die Daten nicht allgemein zugänglich machen. Man muss dann die Daten anfragen und bekommt sie manchmal erst nach mehreren Wochen.

Empfehlung: Zuverlässigkeitsdaten für Geräte frühzeitig bei den Herstellern anfragen

Jedoch reduziert sich dieser Aufwand nach einiger Zeit deutlich, weil doch meist mit einem relativ gleichbleibenden Gerätestamm gearbeitet wird.
Viel variantenreicher ist sind aber die sicherheitsbezogenen Blockdiagramme. Darunter versteht man nach DIN EN ISO 13849-1 eine schematische Darstellung der Kombination sicherheitsbezogener Teile von Steuerung zur Verarbeitung einer typischen Sicherheitsfunktion. In einem Modell einer solchen Sicherheitsfunktion kann da schon eine recht komplexe Struktur eines sicherheitsbezogenen Blockdiagramms zusammenkommen. Die datenmäßige Darstellung ist unter den verschiedenen marktgängigen Systemen zur Analyse nach DIN EN ISO 13849-1 nicht austauschbar. In der Regel ist man schon nach kurzer Zeit nicht mehr ohne großen Aufwand in der Lage, auf ein anderes System zu wechseln. Hier gilt: Darum prüfe wer sich ewig bindet….
 
Empfehlung: Die verschiedenen angebotenen Programmsysteme zur Analyse nach
DIN EN 13849-1 sorgfältig auswählen, da der Aufwand beträchtlich werden kann,
wenn man später zu einem anderen System wechseln will.
 
Es kommt vor, dass sich die Daten bestimmter Geräte ändern, weil die Hersteller dieser Geräte sie später neu ermittelt haben. Bisher verbesserten sich die Daten meist, so dass vorausgegangene Analysen mit den schlechteren Werten nicht neu durchgeführt werden mussten. Es empfiehlt sich aber die Quellen der Daten zu archivieren.
Diese Quellen sind sehr unterschiedlich:
- Werte, welche von Herstellern von Bauteilen in Bibliotheken für Analyseprogramme
zur Verfügung gestellt werden,
- Werte aus Katalogen und sonstigen veröffentlichten Firmenschriften,
- Werte aus Antworten zu direkt gerichteten Anfragen,
- Empfohlene Werte aus Veröffentlichungen von Experten.
 
Empfehlung: Die Quellen der Zuverlässigkeitswerte von Geräten und Bauteilen, welche bei der Analyse benutzt werden, sind sorgfältig mit den zugehörigen Angaben zur Quelle (Datum, Fundstelle) archivieren.
 
Die Dauerbrenner von Problemen findet man meist in Strukturen von sicherheitsbezogen Teilen von Steuerungen nach Kategorie 2. Die Kategorie gliedert die Struktur eines sicherheitsbezogenen Teils einer Steuerung (SRP/CS). DIN EN ISO 13849-1 definiert in 3.1.1. ein SRP/CS als

„ Teil einer Steuerung, das auf sicherheitsbezogene Eingangssignale reagiert und
sicherheitsbezogene Ausgangssignale erzeugt“.

Die Norm spricht an verschiedenen Stellen von „Kanälen“. Jedoch ist der Begriff des „Kanals“ in der Anwendung für diese Norm nicht definiert worden. Allgemein versteht man unter einem Kanal eine Architektur von Elementen eines SRP/CS, in welcher sich ein oder mehrere Fehler so auswirken kann bzw. können, dass der Verlust von einer oder mehrerer Sicherheitsfunktion(en) möglich ist. Bei einer zweikanaligen Struktur führt ein Fehler in einem Kanal nicht zum Verlust der Sicherheitsstruktur. Kategorie 2 ist eine einkanalige Struktur, bei welcher die betroffenen Sicherheitsfunktionen nach bestimmten Vorgaben zu testen sind.
Man kann mit einer Struktur nach Kategorie 2 durchaus einen passablen Performance Level
PL = d erreichen.
 
Detaillierte Werte findet man in der Tabelle K.1 im Anhang K der ISO 13849-1. Man kann für einen Kanal mit einem Diagnosedeckungsgrad von „mittel“ und MTTFd größer als 36 Jahren noch PL = d erreichen. Das klingt verlockend, denn man kann sich einen zweiten Kanal sparen. So ganz kann man sich aber einen zweiten Kanal nicht sparen, denn Kategorie 2 fordert den Test der Sicherheitsfunktion(en) und eine Reaktion auf den erkannten Fehler. Die Elemente des SRP/CS, welche bei diesem Test beteiligt sind, bilden wiederum eine Architektur, welche man als „Testkanal“ bezeichnet. Da die Bezeichnung „Kanal“ in dieser Struktur nicht eindeutig ist, nennt man den Kanal, welcher die Sicherheitsfunktion an sich ausübt, „Funktionskanal“. Damit ist eine Struktur eines SRP/CS keine einkanalige Struktur. Sie ist aber auch keine ausschließliche zweikanalige Struktur.
Hydraulikschaltungen sind in Werkzeugmaschinen oft in Kategorie 2 ausgeführt. Eine
hydraulisch gesteuerte Spannbewegung ist meist eine Gefahrenstelle für das Bedienpersonal der Maschine. Wenn wir den Risikographen nach DIN EN ISO 13849-1 ansetzen, so werden wir häufig einen erforderlichen Performance Level PLr = d ermitteln. Nach DIN EN ISO 13857 Tabelle 4 kann man Quetschgefahren erst dann ausschließen, wenn der Zugang zur Gefahrenstelle für Finger kleiner als 4 mm ist. Bei den meisten Spannbewegungen führen die Spannelemente eine größere Bewegung durch. Das bedeutet, dass die unerwartete Bewegung von Spannelementen mit einer Sicherheitsfunktion mit PLr = d unterbunden sein muss, wenn für Personen der Zugang zu Gefahrenstellen besteht. Das ist in der Regel der
Fall, wenn Schutztüren zum Arbeitsraum der Maschinen geöffnet sind . Ein Ventil selber kann man mit einem typischen MTTFd-Wert von 150 Jahren (DIN EN ISO 13849-1 Tabelle C.1) ansetzen.
 
kann sich für den Testkanal sehr schnell ein MTTFd ergeben, das zwischen 10 und 20 Jahren
liegt. Jetzt muss man beachten, dass MTTFd des Funktionskanals höchstens das Doppelte
von MTTFd des Testkanals sein kann. Diese Vorgabe findet man leider nicht im Abschnitt
„6.2.5 Kategorie 2“ der Norm, sondern in Abschnitt „4.5.4 Vereinfachtes Verfahren zur
Abschätzung eines PL“. Dort ist zwar angegeben, dass MTTFd des Testkanals größer als die
Hälfte von MTTFd des Funktionskanals sein soll, was aber im Rückschluss auch bedeutet, dass MTTFd des Funktionskanals nicht kleiner als das Doppelte der MTTFd des Testkanals sein darf. Damit kommt man schnell in die Schwierigkeit, dass man das in der Tabelle K.1
geforderte MTTFd mit 36 Jahren für PL = d nicht erreicht.

Empfehlung: Überprüfen, ob MTTFd für den Testkanal so niedrig wird, dass das
Zweifache dieses Werts kein MTTFd ergibt, das den erforderlichen Performance Level
erfüllt.

Eine weitere Schwierigkeit bei Kategorie-2-System ist die erforderliche Testrate von häufiger
oder gleich 1/100 der Anforderungsrate der Sicherheitsfunktion. Zuerst fordert Abschnitt
6.2.5 der Norm, dass in „angemessenen Zeitabständen durch die Maschinensteuerung“
getestet werden soll. Der Test muss aber
- beim Anlauf der Maschine, und
- vor dem Einleiten einer Gefährdungssituation, wenn die Risikobeurteilung und die
Betriebsart es zeigen, dass dies notwendig ist,
durchgeführt werden. Die Schwierigkeit ist, dass der Begriff der „Anforderungsrate einer
Sicherheitsfunktion in der Norm nicht definiert ist.
In /3/ finden wir nähere Angaben zur Testhäufigkeit in 6.2.14. Dort wird für ein System nach
Kategorie 2 erklärt, dass eine „100-mal höherer Testrate als die gefahrbringende Ausfallrate
ld bzw. als die mittlere Anforderungsrate der Sicherheitsfunktion“ als ausreichend angesehen
wird. Auch hier finden wir keine Definition des Begriffs der Anforderungsrate. Wir können
aber daraus schließen, dass die Testrate mit der Ausfallrate der Sicherheitsfunktion
zusammenhängt. Aber oft wird die Anforderungsrate auch so verstanden, dass sie diese
Rate ist, in welchem eine potentielle Gefährdung und damit Erhöhung des Risikos vorliegt
und die Sicherheitsfunktion dieses Risiko mindert. Wenn man diese beiden Ansichten am
obigen Beispiel der Spannvorrichtung verdeutlicht, dann sieht man wie groß der Unterschied
ausfallen kann. Nehmen wir an, dass eine Person durchschnittlich einmal in der Stunde sich
den Gefahren der Spannvorrichtung aussetzt. Wobei aber die Zuverlässigkeit der
verwendeten Bauelemente ein MTTFd von beispielsweise 40 Jahren ergibt. Wenn man
daraus die Testhäufigkeit als Funktion der mittleren Ausfallrate ansieht, dann müsste die
Testrate 2,5 mal im Jahr durchgeführt werden. Geht man von der Anforderung aus, bei der
die potentielle Gefährdung als Grundlage dient, dann ergibt sich daraus eine Testrate von
alle 36 Sekunden oder man testet einmal in der Stunde und verhindert den Zugang zur
Gefahrenstelle bis ein Test erfolgt ist.
In Praxis ergeben sich daraus oft unsinnige Prozesse. Dies stört vor allem bei
schwerkraftbelasteten Achsen in Maschinen, wenn der Zugang zum Arbeitsraum, in dem
solche Achsen wirken, verhindert wird, weil Tests anstehen. Aus dieser Problematik hat die
Berufsgenossenschaft Holz und Metall das Fachbereich-Informationsblatt Nr. 005 2012 /7/
erstellt, im welchem in Tabelle 2 für Systeme von Vertikalachsen in Kategorie 2 eine
Stellungnahme zur Testrate gemacht wird:

Anmerkung: Nach DIN EN ISO 13849-1 ist für Steuerungssysteme der Kategorie 2 (Testung)die Testrate 100-mal häufiger als die Anforderung der Sicherheitsfunktion anzusetzen. Aufgrund der für Vertikalachsen gegeben Risiken, d.h. insbesondere aufgrund des Unfallgeschehens wird eine derart hohe Testrate als praktisch nicht erforderlich gesehen.Eine Berechnung des Performance-Levels ist deshalb mit den nach DIN EN ISO 13849-1vorgesehenen vereinfachten Modellen nicht möglich und kann entsprechend DIN EN ISO13849-1 Abschnitt 6.2.2 entfallen.

Die Anmerkung im Fachbereich-Informationsblatt kann aber nicht einfach auf andere
Kategorie-2-Strukturen übertragen werden. Im Moment besteht damit der Zustand, dass die Interpretation des Begriffs der Anforderungsrate einer Sicherheitsfunktion mehr oder weniger willkürlich ist und sich auch nicht abzeichnet, wann dieses Problem behoben ist. Will man sicher gehen, dann verwendet man die Anforderungsrate einer Sicherheitsfunktion nach der Ansicht, dass sie von der Häufigkeit abhängt, in welcher sich Personen in eine potentielle Gefahr begeben. Ist dies nicht realisierbar, dann sollte man auf eine andere Systemstrukturausweichen, z.B. redundanter Aufbau nach Kategorie 3. Bei Kategorie-3-Systemen ist keine Testrate von Sicherheitsfunktionen vorgeschrieben. Durch den redundanten Aufbau der Sicherheitsfunktion ist gewährleistet, dass ein einzelner Fehler nicht zum Verlust der Sicherheitsfunktion führt. Ein einzelner Fehler muss aber bei oder vor der nächsten Anforderung der Sicherheitsfunktion – wie es in DIN EN ISO 13849-1 so schön heißt „wenn immer in angemessener Weise durchführbar“ – erkannt werden. Damit ist man in solchen Systemen von einem Rhythmus entbunden. Tests können aber dennoch notwendig sein, um Fehler zu erkennen.

Zusammenfassung

In der Praxis bestehen im Umgang mit DIN EN ISO 13849-1 noch deutliche Schwierigkeiten.
Firmen, welche sich keine ausgeprägten Spezialisten für die Analyse von
sicherheitsbezogenen Teilen von Steuerungen leisten können, fällt es nicht leicht, die Norm anzuwenden. Einige Firmen, welche nun auf eine mehrjährige Erfahrung mit der Norm zurückblicken können, haben sich entschlossen über ihre Erfahrungen zu berichten, die als Hilfe für weniger erfahrene Firmen dienen können. Der Verein Deutscher Werkzeugmaschinenfabriken hat in dem öffentlichen Teil seiner Homepage eine Möglichkeit geschaffen, solche Erfahrungsberichte zu sammeln und Interessenten als Downloads
unverbindlich zur Verfügung zu stellen. Im vorliegenden Erfahrungsbericht werden
verschiedene Ratschläge für die systematische Vorbereitung der Analyse gegeben.
Hilfsmittel für die Berechungen der Zuverlässigkeiten sollten sorgfältig ausgewählt werden.
Bei Strukturen von sicherheitsbezogenen Teile von Steuerungen sind Strukturen nach Kategorie 2 nicht immer einfach umzusetzen. Der Einfluss des Testkanals muss unbedingt berücksichtig werden – und der macht häufig Schwierigkeiten. Weitere Erfahrungsberichte sollen folgen.

Abkürzungen:

BGIA Ehemalige Bezeichung des IFAs
IFA Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung
MTTFd Mittlere Zeit bis zum gefahrbringenden Ausfall
(Mean Time to Failure Dangerous)
PL Performance Level
 
Bei Interesse kann die vollständige Version des Erfahrungsberichtes bei der VDW-GEschäftstelle angefordert werden.

Jetzt anmelden oder registrieren und alle Vorteile einer Community nutzen!

Um das Forum der IndustryArena aktiv nutzen zu können, ist eine Anmeldung oder Registrierung als Mitglied notwendig. Dieser Vorgang ist absolut kostenfrei und ohne jegliche Verpflichtung.

Passwort vergessen?
Kontaktanfrage
Guest Photo
Ihre Nachricht:
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist: IndustryArena GmbH, Schneiderstr. 6, 40764 Langenfeld.
Unseren Datenschutzbeauftragten erreichen Sie unter [email protected].

Verarbeitungszweck
Wir verarbeiten Ihre personenbezogenen Daten zur Nutzung des Kontaktanfrageformulars bzw. um den hiermit von Ihnen gewünschten Kontakt zum Unternehmen des Newsrooms herzustellen und Ihre Angaben an dieses Unternehmen zu übertragen bzw. zur damit zusammenhängenden Kommunikation gemäß Art.6 Abs. 1 S. 1 lit. a DSGVO. Dies stellt für uns ein berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO dar.

Empfänger der Daten
Innerhalb unseres Unternehmens erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der oben genannten Zwecke benötigen.
An Dritte werden personenbezogene Daten nur übermittelt, wenn dies für die vorgenannten Zwecke erforderlich ist oder eine andere Rechtsgrundlage besteht. Sofern erforderlich, schließen wir mit Dritten die entsprechenden datenschutzrechtlichen Vereinbarungen, insbesondere gemäß Art. 28 DSGVO.

Speicherdauer
Die von Ihnen hinterlegten Daten werden an das Unternehmen des Newsrooms übermittelt und dort entsprechend weiterverarbeitet. - Die Speicherdauer beläuft sich auf die Notwendigkeitsdauer der Bearbeitung Ihrer Anfrage durch das jeweilige Unternehmen.
Zurück

Ansprechpartner wählen

Newsroom Logo

Designoptionen

  • Titel Schriftfarbe:
  • Content Hintergrundfarbe:
  • Content Schriftfarbe:
  • Navigation Hintergrund:
  • Reiter Schriftfarbe:
  • Aktiver Reiter Schriftfarbe:
  • Link Schriftfarbe:
  • Aktiver Link Schriftfarbe:
  • Hintergrundbild Hintergrundfarbe:

    Wie wollen Sie das Hintergrundbild positionieren?

    Bitte beachten Sie: Banner und Skyscraper werden nur für die aktuelle Sprache gespeichert. Für andere Sprachen, wechseln Sie die Sprache mit dem Button rechts oben.

    Geben Sie das Link-Ziel für das Hintergrundbild

  • Header grafik

    Wie wollen Sie das Banner ausrichten?

    Bitte beachten Sie: Banner und Skyscraper werden nur für die aktuelle Sprache gespeichert. Für andere Sprachen, wechseln Sie die Sprache mit dem Button rechts oben.

    Geben Sie das Link-Ziel für das Banner

  • Skyscraper

    Geben Sie das Link-Ziel für das Skyscraper

Bitte beachten Sie:

Banner und Skyscraper werden nur für die aktuelle Sprache gespeichert. Für andere Sprachen, wechseln Sie die Sprache mit dem Button rechts oben.