Startseite » Allgemein »

Wegweiser im Normen-Dschungel

Darstellung und Bewertung von Sicherheitsfunktionen elektrischer Antriebe
Wegweiser im Normen-Dschungel

Anzeige
Anlagenherstellern und den Betreibern von Maschinen und Anlagen ist die Thematik rund um den sogenannten „Sicheren Stopp“ bei elektrischen Antrieben bekannt. Trotzdem wird dieses sichere Anhalten von Antrieben unter Sicherheitsaspekten oftmals nicht richtig verstanden, interpretiert oder angewendet. „Sicherer Halt“ und „Not Aus“ Funktionen sind gleichzeitig zu berücksichtigen und alle drei Funktionen zusammen sollten sich sinnvoll ergänzen.

Es soll hier in möglichst kurzer und leicht verständlicher Form eine Wissensgrundlage gegeben werden, um Verwechslungen oder Fehlinterpretationen zu vermeiden. Basis für die Betrachtungen ist der Frequenzumrichter VLT Automationdrive FC302 von Danfoss, welcher serienmäßig mit einem Digitaleingang für Sicheren Stopp nach EN 954–1 Kategorie 3 ausgestattet ist.

Personengefährdung vermeiden
Absicherung gegen gefahrbringende Bewegung: Die europäische Maschinenrichtlinie fordert, dass bei bestimmungsgemäßer Verwendung und vorhersehbarem Missbrauch einer Maschine niemand gefährdet werden darf. Hierbei ist nicht nur der Automatikbetrieb zu betrachten, sondern es müssen auch alle erforderlichen manuellen Eingriffe berücksichtigt werden. Dies verpflichtet die Hersteller, die Bauarten ihrer Maschinen anhand einer Risikoanalyse zu überprüfen, um alle möglichen Gefährdungen zu ermitteln.
Generell muss unterschieden werden zwischen Gefahren durch elektrischen Schlag (z. B. das Berühren von aktiven Teilen) und den Gefahren durch Bewegungen der Maschine (z. B. ein unerwarteter Anlauf der Maschine).
Der „Sichere Stopp“, so wie er derzeit als Funktion bei elektrischen Antrieben realisiert wird, dient zur Vermeidung von gefahrbringenden Bewegungen. Auch bei aktiviertem „Sicheren Stopp“ und sogar netzseitiger Unterbrechung des Frequenzumrichters ist eine Gefährdung durch elektrischen Schlag nicht generell auszuschließen. So könnte ein defekter Leistungshalbleiter kurz nach dem Ausschalten, die noch fast volle Zwischenkreisspannung auf das Motorklemmbrett durchschalten! Muss dies verhindert werden, um beispielsweise die Stillstandszeiten bei Reparaturen zu minimieren, so sind zusätzliche Einrichtungen vorzusehen (Schütze, Schnellentladefunktion, o. ä.).
Blick in die Normen
EN-Normen werden in die hierarchischen Kategorien A-, B- und C-Normen untergliedert:
  • Die A-Normen (Basis-Normen) behandeln grundlegende Begriffe und allgemeine Leitsätze.
  • Die B-Normen (Gruppennormen) beinhalten die anwendungsunabhängigen Basisstandards. Sie lassen sich wiederum unterteilen in B1 (Aspekte) und B2 (Einrichtungen). Im Bezug auf den „Sicheren Stopp“ sind besonders wichtig die EN 954–1, sowie die EN 60204–1, da sie quasi bei jeder Risikoabschätzung zum Tragen kommen.
  • Die C-Normen (Produktnormen) beinhalten die speziellen Anforderungen an den jeweiligen Maschinentyp. Sollte eine C-Norm für die jeweilige Maschinengattung bestehen, so ist diese vorrangig vor den A- und B-Normen anzuwenden.
Stopp-Kategorien nach EN 60204–1
Die Norm EN 60204–1 (Elektrische Ausrüstung von Maschinen) behandelt u. a. die Handlungen im Notfall und definiert die entsprechenden Begrifflichkeiten. Not-Aus (Ausschalten im Notfall) stellt eine Maßnahme gegen eine elektrische Gefährdung dar. Not-Halt (Stillsetzen im Notfall) hingegen ist eine Maßnahme, die einen Prozess oder eine Bewegung anhält, welche Personengefahr verhindern soll.
Zusätzlich wird ein Stopp in die Kategorien 0, 1 und 2 eingeteilt. Ein Not-Halt muss immer als Stopp der Kategorie 0 oder 1 ausgeführt werden. Während ein normaler (sicherer) Betriebshalt auch der Kategorie 2 entsprechen darf. Hier ist der Ausdruck „Sicherer Halt“ oder „Sicherer Stopp“ zutreffender. Ob Stoppkategorie 0 oder 1 bei einem Not-Halt zu verwenden ist, muss anhand einer Risikoanalyse, wie sie unter EN 954–1 beschrieben ist, ermittelt werden. Das Stillsetzen im Notfall muss gegenüber allen anderen Funktionen in allen Betriebsarten Vorrang haben. Die Energie muss so schnell wie möglich abgeschaltet werden und das Quittieren darf keinen Wiederanlauf hervorrufen.
Das Ausschalten im Notfall (Not-Aus) hat ohne Verzögerung zu erfolgen und entspricht der Stoppkategorie 0. Dies muss bei Gefährdung oder Beschädigung durch elektrische Energie geschehen.
Risikobeurteilung nach EN 954–1
Schwerpunkt der EN 954–1 (Sicherheitsbezogene Teile von Steuerungen) ist ein Verfahren zur Risikobeurteilung anhand derer die Anforderungen an die Steuerungsfunktionen unter sicherheitstechnischen Gesichtspunkten auszulegen ist. Bei diesem Verfahren werden als Risikoparameter die Schwere der möglichen Verletzung (S), die Möglichkeit/Häufigkeit der Gefährdungsposition (F) und die Möglichkeit zur Vermeidung der Gefährdung (P) betrachtet. Die daraus resultierenden Parameter S, F, P werden so miteinander kombiniert, dass sich daraus eine Abstufung des Risikos in den Kategorien B, 1, 2,3 ,4 vornehmen lässt.
Die durch dieses Verfahren ermittelte Kategorie legt gewissermaßen den steuerungstechnischen Aufwand fest, der getroffen werden muss, um dieses potentielle Risiko in einem vertretbaren Rahmen zu minimieren. Besonderer Wert wird hierbei auf die Häufung von Systemfehlern (z. B. Bauteilausfällen) gelegt.
Die EN 954–1 schreibt für die Kategorie 3 vor, dass beim Auftreten einzelner Fehler die Sicherheitsfunktion immer erhalten bleiben muss. In der Vergangenheit wurde daher der sicherheitsrelevante Teil der Ansteuerung zweikanalig aufgebaut. Nach ISO 13849–2 ist heutzutage für die Kategorie 3 eine einkanaliger Aufbau möglich, wenn in dem Sicherheitskreis keine ausfallgefährdeten Komponenten vorhanden sind.
„Sicherer Stopp“
Das in EN 954–1 geforderte „Abschalten der Antriebsenergie“ kann wahlweise über ein Schütz zwischen Netz/Umrichter bzw. Umrichter/Motor erfolgen oder über eine sichere Impulssperre des Wechselrichters. Die integrierte Funktion „Sicherer Stopp“ bei VLT FC 302 arbeitet nach dem zweiten Prinzip und dient zur Realisierung der Sicherheitsanforderungen bis Kat. 3 der EN 954–1.
Hierbei wird über einen nur für diese Funktion vorgesehenen Digitaleingang (Klemme 37) die Versorgungsspannung der Ansteuersignale für die Wechselrichter-Endstufe weggeschaltet. Daraus resultiert gemäß den Anforderungen der Kat. 3 der EN 954–1 die sichere Impulssperre. Gleichzeitig wird die Ansteuerung intern auf „Freilauf“ gesetzt und muss vor einem Neustart quittiert werden. Es ist zu berücksichtigen, dass die endgültige Abschaltung der Antriebsenergie nach dem Stillstand nicht gleichzeitig eine Trennung von der Energieversorgung bedeutet. Es wird mit dieser sicheren Impulssperre die Drehbewegung eines Motors verhindert, während trotzdem hohe Spannungen an den Motorklemmen anliegen können.
Die Ansteuerung des Signaleingangs muss ebenfalls über Sicherheitsbausteine erfolgen, die diesen Anforderungen entsprechen. Letztendlich werden die Anforderungen an die Kat. 3 der EN 954–1 nur dann erfüllt, wenn die gesamte Installation unter dem Gesichtspunkt der Einhaltung dieser Steuerungskategorie erstellt wurde.
Die alleinige Beschaltung der Klemme 37 ist kein Garant dafür, dass die Anforderungen der EN 954–1 eingehalten werden!
Im Vergleich zur klassischen Potenzialtrennung mit Netzschützen lassen sich mit dem „Sicheren Stopp“ recht einfach einzelne Antriebe gemäß ihrer funktionalen Anlagenzugehörigkeit in Stopp-Gruppen zusammenfassen, so dass der sichere Zustand nur für die gewünschten Bereiche beschränkt werden kann. Vorteilhaft ist auch, dass bei häufigerem Auslösen der Schutzfunktion nicht auf die Be-/Entladezeit des Zwischenkreises Rücksicht genommen werden muss. Eine höhere Anlagenverfügbarkeit ist somit erreichbar.
Unabhängig von dem sicheren Stopp nach EN 954–1 ist bei Maschinen immer mindestens die Stoppkategorie 0 gemäß EN 60204–1 zu berücksichtigen und kann durch entsprechende Beschaltung erreicht werden.
Entwicklung der Sicherheits-Normen
Es besteht bereits heute „parallel“ zur EN 954–1 die IEC 61508, welche auch komplexe programmierbare Systeme berücksichtigt. Obwohl die IEC 61508 noch keine harmonisierte Norm nach EU-Richtlinien (keine A- oder B-Norm) ist, so wird sie doch bei der Beurteilung von sicherheitskritischer Software häufig zusätzlich zur EN 954–1 herangezogen. Die IEC 61508 besitzt ähnlich wie die EN 954–1 ein Verfahren zur Risikoanalyse, allerdings wird dort nach sogenannten Safety Integrity Level (SIL) klassifiziert.
Eine Produktnorm zur Sicherheit für elektrische Antriebe (IEC 61800–5–2) sowie eine harmonisierte EN Norm zur funktionalen Sicherheit von Maschinen (EN 62061) sind in Vorbereitung. Auch an einem Ersatz für die EN 954–1 wird bereits gearbeitet (ISO/IEC 13849–1).
Abhängig von der Entwicklung der Normen wird bei Inkrafttreten neuer relevanter Sicherheitsstandards für Antriebe eine entsprechende Zertifizierung für den VLT Automation Drive durchgeführt. Auch die höchste Kategorie „4“ der EN 954–1 wird zukünftig mit dem VLT FC 302 zu erreichen sein. Eine Erweiterungsoption (C-Option) kann verwendet werden, die zusätzlich den Betrieb über das Bussystem „Profi Safe“ ermöglicht. Weiterhin werden die Funktionen „Sichere Geschwindigkeit“ und „Sichere Rampenfunktionen“ sowie auch sichere Ausgänge und sichere Drehgebereingänge das Programm vervollständigen.
Halle 9, Stand D68
Frequenzumrichter VLT KEM 443
Sicherer Stopp KEM 444

Übersicht Not Aus-Relais
Elektronische Überwachungsgeräte
Anzeige
Emerson: Pneumatik 4.0

Smartenance

Pneumatik 4.0 bei Emerson im Überblick

Video aktuell

Die Zimmer Group präsentiert auf der Motek 2019 Neuheiten für die Mensch-Roboter-Kollaboration.

Aktuelle Ausgabe
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Top-Thema Spannvorrichtungen

Spannvorrichtungen

Alles über Spannvorrichtungen und welches Einsparungspotenzial sie bieten

Top-Thema Schaltschränke

Alle Infos über den Schaltschrankbau mit seinen Komponenten, Geräten und deren Verdrahtung

Kalender

Kalender

Aktuelle Termine für Konstrukteure

Webinare & Webcasts
Webinare

Technisches Wissen aus erster Hand

Whitepaper
Whitepaper

Hier finden Sie aktuelle Whitepaper

Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de