DIN EN 954

Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Allgemeine Gestaltungsleitsätze

Inhaltsverzeichnis 1 Beschreibung 1.1 Risikoparameter 1.2 Kategorien 1.2.1 Kategorie B 1.2.2 Kategorie 1 1.2.3 Kategorie 2 1.2.4 Kategorie 3 1.2.5 Kategorie 4 2 Inhalt 3 Siehe auch 4 Weblinks

Beschreibung

Risikoparameter

S Schwere der Verletzung S1 leichte (üblicherweise reversible) Verletzung) S2 schwer (üblicherweise irreversible Verletzung, einschließlich Tod F Häufigkeit und/oder Dauer der Gefährdungsexposition F1 selten bis öfter und/oder kurze Dauer der Exposition F2 häufig bis dauernd und/oder lange Dauer der Exposition P Möglichkeit zur Vermeidung der Gefährdung P1 möglich unter betimmten Bedingungen P2 kaum möglich

Kategorien

Kategorie B

Die sicherheitsbezogenen Teile von Steuerungen müssen nach den zutreffenden Normen unter Verwendung der grundlegenden Sicherheitsprinzipien für die bestimmte Anwendung mindestens so gestaltet, gebaut, ausgewählt, zusammengestellt und kombiniert werden, dass sie

• den erwarteten Betriebsbeanspruchungen, z.B. die Zuverlässigkeit hinsichtlich ihres Schaltvermögens und ihrer Schalthäufigkeit,
• dem Einfluss der im Arbeitsprozess verwendeten Stoffe, z.B. Reinigungsmittel in einer Waschmaschine,
• anderen relevanten äußeren Einflüssen, z.B. mechanische Vibration, externen Feldern, Unterbrechungen oder Störungen der Energieversorgung,

stndhaltenkönnen.

Kategorie 1

Sicherheitsbezogene Teile der Kategorie 1 müssen unter Verwendung bewährter Bauteile und bewährter Sicherheitsprinzipien gestaltet und gebaut werden. Ein bewährtes Bauteil für eine sicherheitsbezogene Anwendung ist ein Bauteil, das

• in der Vergangenheit weit verbreitet mit erfolgreichen Ergebnissen in ähnlichen Anwendungen verwendet worden ist oder
• unter Anwendung von Prinzipien hergestellt und verifiziert wurde, die seine Eignung und Zuverlässigkeit für sicherheitsbezogene Anwendungen zeigen.

Bei einigen bewährten Bauteilen können bestimmte Fehler auch ausgeschlossen werden, weil bekannt ist, dass die Fehlerrate sehr gering ist. Die Entscheidung, ein bestimmtes Bauteil als bewährt zu akzeptieren, hängt von der Anwendung ab.

Kategorie 2

Sicherheitsbezogene Teile von Steuerungen der Kategorie 2 müssen so gestaltet werden, dass ihre Sicherheitsfunktion(en) in geeigneten Zeitabständen durch die Maschinensteuerung geprüft werden. Die Prüfung der Sicherheitsfunktion(en) muss

• beim Anlauf der Maschine und vor Einleiten eines gefählichen Zustandes und
• periodisch während des Betriebs, wenn die Risikoanalyse und die Betriebsart zeigen, dass dies notwendig ist, erfolgen.

Diese Prüfung darf automatisch oder manuell eingeleitet werden. Jede Prüfung der Sicherheitsfunktion(en) muss entweder

• den Betrieb zulassen, wenn keine Fehler erkannt wurden, oder
• einen Ausgang für die Einleitung angemessener Steuerungsmaßnahmen erzeugen, wenn ein Fehler erkannt wurde. Wann immer möglich, muss dieser Ausgang einen sicheren Zustand einleiten. Wenn die Eileitung eines sicheren Zustands nicht möglich ist, z.B. durch Verscheißen des Kontaks beim Endschalter, muss der Ausgang eine Warnung vor der Gefährdung vorsehen.

Die Prüfung selbst darf nicht zu einem gefährlichen Zustand führen. Die Prüfeinrichtung darf als Bestandteil des die Sicherheitsfunktion ausführenden sicherheitsbezogenen Teiles der Steuerung oder getrenn davon gesehen sein. Nach Erkennung eines Fehlers muss ein sicherer Zustand bis zur Behebung des Fehlers aufrechterhalten werden.

Kategorie 3

Sicherheitsbezogene Teile von Steuerungen der Kategorie 3 müsssen so gestaltet werden, dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt. Fehler gemeinsamer Ursache müssen berücksichtigt werden, wenn die Wahrscheinlichkeit für das Auftreten eines solchen Fehlers von Bedeutung ist. Wann immer in angemessener Weise durchführbar, muss dereinzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt werden.

Kategorie 4

Sicherheitsbezogene Teile von Steuerungen der Kategorie 4 müssen do gestaltet werden, dass:

• ein einzelner Fehler in jedem dieser sicherheitsbezogenen Teile nicht zum Verlust der Sicherheitsfunktion führt und
• der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt wird, z.B. unmittelbar, beim Einschalten, am Ende eines Maschinenzyklus. Falls diese Erkennung nicht möglich ist, darf die Anhäufung von Fehlern nicht zum Verlust der Sicherheitsfunktion führen.

Ist die Erkennung bestimmter Fehler aufgrund der technologie oder Schaltungstechnik nicht wenigstens bei der nächsten Prüfung möglich, muss das Auftreten weiterer Fehler angenommen werden. In diesem Fall darf die Nhäufung von Fehlern nicht zum Verlust der Sicherheitsfunktion führen. Die Fehlerbetrachtung darf abgebrochen werden, wenn die Wahrscheinlichkeit des Auftretens weiterer Fehler als ausreichen gering angesehen werden kann. in diesem Fall ist die Anzahl der in Betracht zu ziehenden kombinierten Fehler von der Technologie, der Strucktur und der Anwendung abhängig, muss jedoch ausreichend sein, um die Erkennungskriterien zu erfüllen.

Inhalt

Siehe auch

• Normenübersicht
• Risikobeurteilung

Weblinks