AS-i Safety at Work bleibt \“Einfach sicher\“

Was ändert sich nach der EN 954-1 ? Während die alte Norm EN 954-1 einen rein deterministischen Ansatz der Sicherheitsbetrachtung verfolgt, kommt durch die neuen Normen EN ISO 13849-1 und EN IEC 62061, eine neue probabilistische Betrachtungsweise, abgeleitet aus der IEC 61508, hinzu. Der rein deterministische Ansatz geht von der eindeutigen Bestimmbarkeit und Vorhersehbarkeit von Ereignissen durch feststehende Ursachen aus. Die Probabilistik hingegen betrachtet die Wahrscheinlichkeit des Eintritts eines Ereignisses. Das bedeutet, dass zu der bisherigen rein funktionalen Betrachtung der Sicherheit einer Steuerung, jetzt zusätzlich die Wahrscheinlichkeit des Ausfalls von Sicherheitsbauteilen und Sicherheitsgeräten betrachtet werden muss. Die Anforderungen ermitteln Als erstes wird in einer Risikobeurteilung die erforderliche Sicherheit, also der erforderliche Performance-Level (PLr) nach EN ISO 13849-1, bzw. der erforderliche Safety Integrity Level (SIL) nach EN IEC 62061, ermittelt. Diese Risikobeurteilung einer Maschinenfunktion besteht aus der Risikoanalyse und den Maßnahmen zur Risikominderung. Mit Hilfe des neuen und jetzt eindeutigen Risikografen aus der EN ISO 13849-1 kann der erforderliche PLr einer Sicherheitsfunktion bewertet und ermittelt werden. Die Anforderungen umsetzen Um die Anforderungen nach der EN ISO 13849-1 oder der EN IEC 62061 umzusetzen, kann der Anwender zwei unterschiedliche Wege gehen. Bei sehr komplexen und rein elektrischen Systemen empfiehlt sich im Rahmen der neuen Normung die Betrachtung der Sicherheitskreise mit Hilfe der EN IEC 62061 / IEC 61508 auf der Basis der PFHd -Werte (Probability of Failure per Hour, dangerous in h-1 ) und des SILCL (SIL Claim Limit) der einzelnen Teile des Sicherheitskreises. Bei allen im Maschinenbau typischen Anwendungen hilft die EN ISO 13849-1. Im Kapitel 6.3 und in der Tabelle 11 der EN ISO 13849-1, wird die Berechnung eines Gesamt-PLs bei einer Reihenschaltung von Sicherheitskomponenten beschrieben. Damit kann aus den einzelnen Sub-Performance-Level (Sub-PL) von Sensor, Logik und Aktor, einem Gesamt PL, unter Berücksichtigung der Systemarchitektur, für die Sicherheitsfunktion ermittelt werden. Struktur der Sicherheitsfunktion Die grundsätzliche Struktur eines Sicherheitskreises, aufgebaut mit AS-i Safety at Work, ist in Abbildung 2 dargestellt. Die Sensorebene besteht aus den einzelnen Sicherheitsschaltgeräten, die über den AS-i Bus sozusagen \’parallel\‘ geschaltet sind. Der Sicherheitsmonitor stellt die Auswertelogik dar und überwacht unabhängig die einzelnen Sicherheitsschaltgeräte. Der Leistungsteil kann bei Einsatz eines Rückführkreises für die Leistungsschütze, dem sogenannten EDM (External Device Monitoring), durch den Sicherheitsmonitor überwacht werden. Bei entsprechender Projektierung kann der Aktor somit auch die Steuerungskategorie 4 sicherstellen. Die Aktorebene kann bei 2-kanaliger Auslegung mit EDM den Sub-PL e und SILCL 3 mit einen PFHd -Wert von < 2,5 * 10-8 erreichen. Die am Markt befindlichen Sicherheitsmonitore weisen alle einen Sub-PL e und einen SILCL 3 auf und haben PFHd -Werte von < 1,0 x 10-8. Das bedeutet, dass bei Einsatz von EDM, in der Regel nur noch der schwächste Sensor einer Sicherheitsfunktion, den erreichbaren PL bestimmt. Wichtig bei der Gesamtbetrachtung des Sicherheitskreises ist es, darauf zu achten, das in einem Sicherheitsbussystem, immer die Sicherheitsschaltgeräte betrachtet werden, die der jeweiligen Sicherheitsfunktion in der ASIMON-Konfiguration, also einem Ausgangskreis im Sicherheitsmonitor, zugeordnet sind. Der Performance-Level, der SIL-Wert und der PFHd-Wert von Sicherheitsschaltgeräten ist der produktbegleitenden Dokumentation zu entnehmen oder beim Hersteller zu erfragen. Der mit einem Sensor erreichbare PL hängt auch von den Randbedingungen in der konkreten Anwendung ab. Ein Beispiel betrachtet Moderne Sicherheitszuhaltungen mit integriertem AS-i Knoten, wie der AZM 200 AS und die abgebildete magnetische Zuhaltung MZM 100 AS der K.A. Schmersal GmbH, haben einen zusätzlichen und unabhängigen Sicherheitssensor zur Türerkennung integriert. Damit ist die Absicherung einer Schutzeinrichtung bis Kategorie 4, PL e und SIL 3, ohne einen zusätzlichen Sicherheitsschalter möglich. Der AZM 200 AS z.B. verfügt über einen Sub-PL e und einen SILCL 3 mit einem PFHd-Wert von < 0,5 x 10-8. Berührungslos wirkende Sicherheitsschalter mit integriertem AS-i Knoten, wie der BNS 260 AS, verfügen gleichfalls über einen Sub-PL e und SILCL 3 mit einen PFHd -Wert von < 0,7 x 10-8. Hier zeigt sich der Vorteil, wenn der AS-i Knoten bereits in das Sicherheitsschaltgerät integriert ist. Aufwendige Berechnungen für den Sensor, bestehend aus konventionellen Sicherheitsschaltgerät und getrennter AS-i Safety at Work Anschaltung, können entfallen. Wenn man nun eine Sicherheitsfunktion zur Abschaltung eines Antriebes betrachtet, die aus einer Einlegeklappe, abgesichert mit einem BNS 260 AS und einer Schutztür, abgesichert mit einem AZM 200 AS besteht, dann zeigt sich wie einfach die Auslegung eines Sicherheitskreises mit AS-i Safety at Work ist. Da der Sensorbereich hier aus 2 Sicherheitsschaltgeräten besteht, bestimmt der Sensor mit dem geringsten Sicherheitsniveau die Werte für den Teilbereich der Sensorik. Also in unserem Beispiel der BNS 260 AS: Ermittlung des Gesamt PL Reihenschaltung von 3 Sicherheitskomponenten gem. EN ISO 13849-1: Sensor Logik Aktorik Sub-PL e + Sub-PL e + Sub-PL e Gesamt = PL e Ermittlung des Gesamt SIL Bei der Ermittlung des Gesamt SIL gem. EN IEC 62061 werden zum einen alle PFHd-Werte der Sicherheitskomponenten addiert und zum anderen bestimmt auch hier das Gerät mit dem geringsten SILCL in der Kette, den maximal erreichbaren Gesamt SIL in der Anwendung. Sensor Logik Aktorik 0,7 x 10-8 + 1,0 x 10-8 + 2,5 x 10-8 (SILCL 3) (SILCL 3) (SILCL 3) Gesamt = 4,2 x 10-8 / SIL 3