—Motorschutzschalter MS und MO

Normen Funktionale Sicherheit in Kombination mit einem Leistungsschütz

— Die elektrische Verschaltung und Überwachung entscheiden über das maximal erreichbare Performance Level einer Sicherheitsfunktion: Durch die sicherheitsgerichtete Einbindung des Motorschutzschalters mit Unterspannungsauslöser kann bis Performance Level d gemäß EN ISO 13849-1 auf ein zweites (redundantes) Leistungsschütz verzichtet werden.

— Inhaltsverzeichnis

004 – 005 Einführung

006 Sicherheitsgerichtete Anwendung

006 Mögliche Schaltgeräte

007 – 010 Beispiele für Verschaltungen

011 – 019 Sicherheitstechnische Bewertung

020 Literaturhinweise

020 Dokumenthistorie

InformationDieser Beitrag stammt aus dem ABB Download-Center. Es gelten die dort genannten Nutzungs- bedingungen (https://new.abb.com/de/ueber-uns/verkaufsbedingungen).

Die Funktionen und Lösungen, die in diesem Dokument beschrieben werden, konzentrieren sich auf die Automatisierung. Bei einer Vernetzung Ihrer Anlage mit anderen Anlagenteilen, dem Unterneh-mensnetz oder dem Internet müssen darüber hinaus entsprechende Schutzmaßnahmen im Rahmen von Industrial Security ergriffen werden. Weitere Informationen finden Sie unter https://new.abb.com/about/supplying/cyber-security.

4 M OTO R S CH UT Z S CH A LTE R M S U N D M O FU N K TI O N A L E S I CH ER H EIT

Für diese Teile legt sie Kategorien fest und beschreibt die Eigenschaften ihrer Sicherheits- funktionen. Hierzu zählen programmierbare Systeme für sämtliche Maschinen und zugehörige Schutzvorrichtungen.

Diese Norm gilt für alle sicherheitsbezogenen Teile von Steuerungen, unabhängig von der verwendeten Antriebsenergie (z. B. elektrisch, hydraulisch, pneumatisch, mechanisch). Sie legt aber nicht fest, welche Sicherheitsfunktionen und welche Kategorien im Einzelfall anzuwenden sind.

Die EN ISO 13849-1 erlaubt es, Sicherheitsfunk- tionen mit nicht sicherheitsgerichteten (Standard-)Komponenten qualitativ und quan- titativ zu bewerten. Zu solchen (Standard-) Komponenten zählen etwa industrielle Schalt- geräte und Schalt- und Schutzgeräte für die Energieverteilung wie Leistungsschütze und Motorschutzschalter.

Weitere Informationen rund um das Thema Maschinensicherheit finden Sie im ABB-Sicherheitshandbuch oder unter solutions.abb/maschinensicherheit.

AnwendungsbeispielWenn eine (sehr) große Leistung, etwa ein Antrieb, sicherheitsgerichtet abgeschaltet werden soll, dann ist es wirtschaftlich sinnvoll, einen bestehenden Motorschutzschalter in die Überlegungen einzubeziehen.

Die elektrische Verschaltung und Überwachung, also die Art der Verwendung, entscheiden über den maximal erreichbaren Performance Level ei-ner Sicherheitsfunktion: Durch die sicherheitsge-richtete Einbindung des Motorschutzschalters mit Unterspannungsauslöser kann maximal bis Performance Level d gemäß EN ISO 13849-1 auf ein zweites (redundantes) Leistungsschütz ver-zichtet werden.

—Einführung

Die Norm EN ISO 13849-1 stellt Sicherheitsanforderungen und einen Leitfaden für die Gestaltung sicherheitsbezogener Teile von Steuerungen bereit.

Der Performance Level spezifiziert die Fähigkeit von sicherheitsbezogenen Teilen einer Steuerung, eine Sicherheitsfunktion unter vorhersehbaren Bedingungen auszu-führen.

5

Zielgruppe des Dokuments

Dieses Dokument richtet sich an Konstrukteure von Maschinen sowie an das für die Installation und den Betrieb autorisierte Personal.

Voraussetzungen für den Einsatz

Um ein Leistungsschütz und einen Motorschutz-schalter (mit Unterspannungsauslöser) in einer Sicherheitsfunktion zu kombinieren, benötigt man eine sicherheitsgerichtete Auswertung, beispielsweise eine Sicherheits-SPS Pluto oder ein Sicherheitsschaltgerät Sentry. Denn durch geeignete Diagnosemaßnahmen lassen sich Ausfälle beherrschen und die geforderten Fehlerreaktionen gewährleisten.

Sentry ist eine Serie von Sicherheitsrelais, die leistungsstark und einfach zu bedienen sind. Es gibt Sentry-Grundmodelle für einfache Anwendungen und einfache Aus-gangserweiterungen sowie hochflexible Modelle mit äußerst präzisen Timerfunk- tionen und einem Display an der Vorder-seite zur Konfiguration und Fehlersuche.

Pluto ist eine programmierbare Sicher-heitssteuerung, leistungsstark und kom-pakt. Pluto eignet sich für die Steuerung der meisten Arten von Sicherheitsvor- richtungen auf dem Markt sowie für DYNlink-Sicherheitsvorrichtungen, ana-loge Sensoren, Drehgeber, Schütze, Ventile und vieles mehr. Modelle mit Sicherheitsbus-Kommunikation verein- fachen die Gestaltung von Sicherheits- systemen durch ein All-Master-Konzept.

6 M OTO R S CH UT Z S CH A LTE R M S U N D M O FU N K TI O N A L E S I CH ER H EIT

Die Anforderung an die sicherheitsgerichtete Anwendung eines Motorschutzschalters und eines Leistungsschützes lautet:

„Wenn ein Not-Halt-Befehlsgerät oder eine Verriegelungseinrichtung betätigt wird, dann muss der Antrieb stillgesetzt werden.“

HinweisIn der Maschinenrichtlinie 2006/42/EG der Europäischen Union wird grundsätzlich das Stillsetzen im Notfall (Not-Halt) gefordert. Ein Not-Halt wird aber nicht als eine risikomin-dernde Maßnahme beschrieben, sondern als eine ergänzende Maßnahme: „Not-Halt-Befehls-geräte müssen andere Schutzmaßnahmen ergänzen, aber dürfen nicht an deren Stelle treten.“ (Maschinenrichtlinie 1.2.4.3).

Bei Risikominderungen durch bewegliche tren-nende Schutzeinrichtungen mit Verriegelung sind die Anforderungen in der Maschinenrichtlinie 1.4.2.2 zu beachten.

Die sicherheitsgerichtete Anwendung lässt sich auf zwei Arten realisieren:• mit einem Sicherheitsschaltgerät der Sentry-

Reihe (keine Anwendersoftware notwendig)• mit einer sicherheitsgerichteten Steuerung

(z. B. Sicherheits-SPS Pluto mit Anwender- software)

Das Stillsetzen kann aufgrund der Risiko- beurteilung ohne Zeitverzögerung mit der Stopp-Kategorie 0 erfolgen; verzögert mit der Stopp-Kategorie 1 nach IEC 60204-1.

Die Annahme lautet, dass die Sicherheitsfunktion 1-mal pro Woche (bzw. 52-mal pro Jahr) angefor-dert wird. Ist die Anforderungsrate höher, so wirkt sich dies nicht auf das Ergebnis der Berech-nung des Performance Level aus, allerdings wird eventuell die typische Gebrauchsdauer beein-trächtigt.

Die Anzahl der Betätigungen der Sicherheits- funktion pro Jahr lässt sich folgendermaßen umrechnen:Betätigungen pro Jahr = 365/7 = 52,14

Exemplarisch wird die gesamte Sicherheits- funktion mit allen verwendeten Komponenten bewertet.

AchtungIn den nachfolgenden Erläuterungen werden lediglich die grundlegenden Verschaltungen und deren Bewertung aufgezeigt. Darüber hinaus müssen alle Anforderungen der genannten Richt-linien und Normen beachtet werden.

—Sicherheitsgerichtete Anwendung

—01

7

—Mögliche Schaltgeräte

BezeichnungTyp B10D-Wert

Not-Halt-Befehlsgeräte Smile 100.000

Leistungsschütz AFS09 bis AFS96 1.300.000

Motorschutzschalter MSxxx 1.300.000

Leistungsschütz< 100 A> 100 A

1.300.000400.000

AchtungBeim Einsatz eines Sicherheitsschaltgerätes über-nimmt die dort eingestellte Zeitverzögerung die zeitliche Überwachung des Leistungsschützes.

Wurde der endgültige Zeitwert eingestellt, so sind Maßnahmen vorzusehen, die eine uner-wünschte, nachträgliche Änderung verhindern.

Deshalb ist ein Parameterpasswort zwingend erforderlich.

Außerdem muss der eingestellte Zeitwert doku-mentiert werden.

HinweisAuf die Anforderungen der EN ISO 13849-1 bezüglich der eingesetzten Software wird in diesem Dokument nicht weiter eingegangen, da der Komponentenhersteller die qualifizierte Software-Umgebung bereitstellt.

—Das Schütze und Motorschutzschalter- Portfolio von ABB

8 M OTO R S CH UT Z S CH A LTE R M S U N D M O FU N K TI O N A L E S I CH ER H EIT

—Beispiele für VerschaltungenLösung mit und ohne sicherheits-gerichteter Anwendungssoftware

Lösung mit einem Sicherheitsschaltgerät

Ohne sicherheitsgerichtete Anwendungs-softwareDie Zeitverzögerung wird benötigt, damit ein Fehler des Leistungsschützes erkannt und eine entsprechende Fehlerreaktion – Auslösen des Motorschutzschalters mittels Unterspannungs-auslöser – eingeleitet werden kann.

Dabei sollte die Zeitverzögerung möglichst kurz gewählt werden, um die Reaktionszeit insgesamt kurz zu halten. Sie sollte jedoch länger als die benötigte Schaltzeit des Schützes sein.

Eine geeignete Zeitverzögerung kann ca. 100 Mil-lisekunden betragen. Als Sicherheitsschaltgerät kann ein Sentry USR 22 verwendet werden.

Lösung mit einer sicherheitsgerichteten Steuerung

Mit sicherheitsgerichteter Anwendungs- softwareDie unten stehende Abbildung zeigt den Aufbau der Sicherheitsfunktion mit der Sicherheits-SPS Pluto.

HinweisEin Fehler des Leistungsschützes muss erkannt und eine entsprechende Fehlerreaktion – Auslösen des Leistungsschalters mittels Unter-spannungsauslöser – eingeleitet werden. Diese zeitliche Überwachung (Diagnose) muss in der Anwendersoftware parametriert bzw. program-miert sein.

—01 Sentry + Motorschutzschalter + Leistungsschütz + Motor—02 Pluto + Motorschutzschalter + Leistungsschütz + Motor—03 Schaltplan – Lösung mit einem Sicherheitsschaltgerät—04 Schaltplan – Lösung mit einer sicherheitsgerich-teten Steuerung

Sicherheits-schaltgerät

Motorschutzschaltermit Unterspannungs-auslöser

(Sicherheits-) Leistungsschütz

Antrieb

L1L2 L3

Sicherheits-schaltgerät

L1L2 L3

Motorschutzschaltermit Unterspannungs-auslöser

(Sicherheits-) Leistungsschütz

Antrieb

—02

—01

ARTICLE OR CHAPTER TITLE 9

11

12

13

14

21

22

L1

L+/2.1

L-/2.1

-Q2/1.4

-M1M3~

-U1

11

12

-Q2/1.4

-Q1/1.6

-S2/2.3

-S1Not -Halt

-S3/2.2

-H1 -Q2

-Q1

2 4 6

1 3 5

2I>> I>> I>>

4 6

U1 V1 W1

PE1

1 3 5

L2 L3

1.1/L-

1.1/L-

1.1/L+

1.1/L+

11

1214 24 34 44

13 23A1 A2 T1

Q11 Q12

R1 T2 R2

X1 X4

33 43

1

2

A1

A2

x1

x2

1.6L1

1.6L2

1.7L3

L+/2.5

L-/

-Q2

-M1M3~

-U1

11

12

11

12

13

14

11

12

IQ12IQ10 IQ14 IQ15 IQ16 IQ17IQ13

Failsafe inputs/Indication outputs (not failsafe)/Dynamic outputs

Inputs, individual failsafe

Relais output, individual failsafe

IdentifierinputIDFIX

0-10V/4-20mA

Pluto bus

IQ11

21

22

Q1

-S3Reset

-S2Test

-Q2-S1Not -Halt

2.1A-Plus

-H1-Q2

-Q1

2 4 6

1 3 5

2I>> I>>

U<

I>>4 6

U1 V1 W1

PE

1 3 5

1.6/L+

1.6/L-

L+2.4

L+2.4

L+2.6

A-Plus2.2

0L Q0 1L Q1 ID 0V +24V

IA0 IA1

D1

A1

D1

A1

D1

A1

D1

A1

D1 D1 D1 B

A

B

AD1

A10-24V Q2

A2.1Q3

A2.3

IA2 IA3 I4 I5 I6 I7CH CL

1

2

A1

A2

x1

x2

B

A

B

A Power

1

9

—03

—04

10 M OTO R S CH UT Z S CH A LTE R M S U N D M O FU N K TI O N A L E S I CH ER H EIT

SI_TestI1.5

3

2

1

Start

TC2T

TOF

TCfault

Test

In1 Q

In

PTOs10

Q

In2

Reset2T

IndReset

Test

Reset

In1 Q

SI_Feeback_ContactorI1.3

SO_Undervoltage_ReleaseQ1.1

SO_ContactorQ1.0

SI_Feeback_ContactorI1.3

SI_Feeback_ContactorI1.3

SI_ResetI1.2

SI_NH_CH2I1.1

O_IndicationQ1.13

SM_TC_FaultM1.2

SI_NH_CH1I1.1

SO_ContactorQ1.0

—01 beispielhafte Lösung für eine Konfiguration mit der Sicherheits-SPS Pluto.

—01

vorgegebeneArchitektur

CCF

MTTFD

DC und DCavg

Sicherheits-funktion

11

—Sicherheitstechnische Bewertung

Die beiden zuvor beschriebenen Lösungen werden im Folgenden sicherheitstechnisch bewertet. Dabei spielt der Beitrag der Schaltung zur Risikoreduzierung, also der Performance Level, eine entscheidende Rolle.

Um den Performance Level einer Schaltung für eine Sicherheitsfunktion berechnen zu können, muss man die dafür erforderlichen Parameter kennen.

Diese Parameter sind:• die Kategorie, die man auch als die vorge-

gebene Architektur der Schaltung verstehen kann und die Aufschluss über die Art und Anzahl von Kanälen gibt

• der MTTFD, was die mittlere Zeit bis zum gefahrbringenden Ausfall eines Kanals bedeutet

• der DC und DCavg, mit der Diagnose von Komponenten oder der Sicherheitsfunktion zum Aufdecken von gefahrbringenden Fehlern bewertet werden

• der CCF, mit der Maßnahme zum Vermeiden des gleichzeitigen Ausfalls von Kanälen bewertet werden

12 M OTO R S CH UT Z S CH A LTE R M S U N D M O FU N K TI O N A L E S I CH ER H EIT

Der Diagnosedeckungsgrad (DC) kann mit 99 % angenommen werden.

BegründungDer Aufbau eines Not-Halt-Befehlsgerätes und die zwangsöffnenden Schaltelemente bzw. Kontakte (siehe IEC 60947-5-1) ermöglichen diesen hohen Diagnosedeckungsgrad: Wenn ein elektrischer Kontakt einen Fehler aufweist, dann wird das Wiedereinschalten verhindert.

Hinweis:Ein Verschleiß der geforderten mechanischen Verrastung eines Not-Halt-Befehlsgerätes gemäß EN ISO 13850, zu dem es in der Praxis kommt, beeinträchtigt nicht die zwangsläufige Betäti-gung und die damit verbundene Zwangsöffnung der elektrischen Schaltelemente.

Sensor

Es kann eine Kategorie 4 gemäß EN ISO 13849-1 ausgewählt werden.

BegründungEin Fehler (Nichtöffnen eines zwangsöffnenden Kontaktes) des Not-Halt-Befehlsgerätes wird mittels Kreuzvergleich (Diskrepanzüberwachung) aufgedeckt.

—Lösung mit einem Sicherheitsschaltgerätohne sicherheitsgerichtete Anwendungssoftware

Die Kategorien stellen die Architekturen der sicherheitsbezogenen Teile einer Sicherheitsfunktion dar und können nicht nur als Schaltplan, sondern auch als logi-sche Schaltbilder betrachtet werden. So besitzen die Kategorien 3 und 4 bei-spielsweise 2-kanalige Architekturen.

An die Kategorien werden unterschiedliche Anforderungen gestellt, und zwar bezüg-lich des Einhaltens grundlegender und bewährter Sicherheitsprinzipien, der Verwendung bewährter Bauteile und der Möglichkeiten von Fehlerausschlüssen. In den Anhängen A, B, C und D in EN ISO 13849-2 finden sich hierzu zahlreiche Beispiele. In den Kategorien 3 und 4 ist beispielsweise eine Einfehlertoleranz gefordert und in Kategorie 4 darf eine Anhäufung von Fehlern nicht zum Ver- sagen der Sicherheitsfunktion führen.

In den Kategorien 2, 3 und 4 sind Maß- nahmen erforderlich, um rechtzeitig einen gefahrbringenden Ausfall der Sicherheits-funktion zu erkennen, um dann Maßnah-men ergreifen zu können. Es müssen also schaltungstechnische Vorkehrungen getroffen werden, um möglichst viele gefahrbringende Ausfälle zu erkennen. Das bezeichnet man als Diagnose.

Der Diagnosedeckungsgrad (DC) eines Bauteiles ist dann der Quotient aus „er-kennbaren gefahrbringenden Ausfällen“ und „allen gefahrbringenden Ausfällen“. Da in einem Kanal einzelne Bauteile mit einem unterschiedlichen DC-Wert auftau-chen können, ist aus diesen DC-Werten der durchschnittliche Diagnosedeckungsgrad DCavg zu ermitteln.

Der DCavg wird in drei Bereiche eingeteilt: niedrig – mittel – hoch.

13

Beim MTTFD handelt es um eine rein statis-tische Größe für die mittlere Zeit bis zu einem gefahrbringenden Ausfall (Mean Time To Failure) eines Kanals und der in einem Kanal befindlichen Bauteile. Der MTTFD eines Kanals wird in drei Bereiche eingeteilt: niedrig – mittel – hoch. Für mechanische, elektromechanische und pneumatische Bauteile, die einem Verschleiß unterliegen, muss der MTTFD berechnet werden. Dieser ergibt sich aus dem B10D-Wert des Bauteils – also der Anzahl von Zyklen, bis 10 % der Bauteile gefährlich ausgefallen sind, – und der mittleren Zahl der jährlichen Betätigungen dieses Bauteils.

Da die Gebrauchsdauer von sicherheits- bezogenen Teilen der Steuerung einer Sicherheitsfunktion nach EN ISO 13849 -1 auf den Wert TM = 20 Jahre begrenzt ist, muss für die verschleißbedingten Bauteile noch der T10D-Wert – die mittlere Zeit, nach der 10 % gefährlich ausgefallen sind, – berechnet werden. Falls diese Zeit weniger als 20 Jahre beträgt, ist ein vorzeitiger Austausch erforderlich.

Die Ausfallrate des Not-Halt-Befehlsgerätes wird auf der Grundlage von Betätigungszyklen berech-net. In der nachfolgenden Berechnung wird von einer Anforderung der Sicherheitsfunktion von 1-mal pro Woche (bzw. 52-mal pro Jahr) ausge-gangen.

Der MTTFD jedes Kanals errechnet sich wie folgt:nop = 52 [Betätigungen/Jahr]B10D = 100.000 (Herstellerangabe)MTTFD = B10D / (0,1 * nop) = 19.230 (Jahre)

Folgender Performance Level ist maximal erreichbar:Performance Level e nach EN ISO 13849-1 Tabelle 7• Kategorie 4• DCavg hoch (DC = 99 %)• MTTFD jedes Kanals hoch (> 30 Jahre)

mittlere Zeit bis zu gefahrbringendem Ausfall• Anhang K mit MTTFD jedes Kanals maximal

100 Jahre• PFHD = 9,1 E-10

Die Gebrauchsdauer (Herstellerangabe) wird mit 20 Jahren angenommen.

14 M OTO R S CH UT Z S CH A LTE R M S U N D M O FU N K TI O N A L E S I CH ER H EIT

HinweisWarum Kategorie 2 gemäß EN ISO 13849-1 verwendet werden kann.

Bei der Kategorie 2 handelt es sich im Sinne des vereinfachten Verfahrens der EN ISO 13849-1 um ein 1-kanaliges getestetes System: Wenn ein gefahrbringender Fehler auftritt, dann ist die Fehlererkennung nur dann sinnvoll und effektiv, wenn der den Fehler aufdeckende Test vor der nächsten Anforderung der Sicherheitsfunktion stattfindet. Vor diesem Hintergrund wird eine Testrate gefordert, die 100-mal größer ist als die Anforderungsrate der Sicherheitsfunktion.

Eine Bewertung mit Kategorie 3 gemäß EN ISO 13849-1 ist nicht möglich.Die Kategorie 3 zeichnet sich durch eine 2-kana-lige Architektur aus. Beide Kanäle sind unab- hängig voneinander zu betrachten.

Der Diagnosedeckungsgrad (DC) kann mit 90 % bis 99 % angenommen werden.

BegründungDie Diagnosefähigkeit des Leistungsschützes kann aufgrund seiner Spiegelkontakte mit 99 % angenommen werden.

Es muss berücksichtigt werden, dass diese Diagnosefähigkeit allein die Fehlerreaktion auslöst bzw. verhindert.

Es sollte zusätzlich eine Worst-Case-Betrach- tung durchgeführt werden, in der der Diagnose-deckungsgrad auf 90 % reduziert und die damit verbundene gefahrbringende Ausfallrate ent- sprechend erhöht wird. In der Tabelle E.1 der EN ISO 13849-1 finden sich weitere Maßnahmen, die die Verwendung des Diagnosedeckungs- grades von 90 % empfehlen.

Die Ausfallrate des Leistungsschützes wird auf Basis der Betätigungszyklen berechnet. Es wird von einer Anforderung der Sicherheitsfunktion von 1-mal pro Woche (bzw. 52-mal pro Jahr) aus-gegangen.

Logik

Der Hersteller gibt an, dass das Sicherheitsschalt-gerät Sentry USR 22 maximal bis Performance Level e gemäß EN ISO 13849-1 eingesetzt werden kann.

Die durchschnittliche Wahrscheinlichkeit eines gefahrbringenden Ausfalls je Stunde wird mit PFHD = 3,9 E-9 angegeben.

Das Teilsystem bzw. SRP/CS „Reagieren“ muss das Leistungsschütz zeitlich überwachen. Dies wird über die Art der Verschaltung mit dem si-cherheitsgerichteten, zeitverzögerten Ausgang realisiert.

AchtungDie eingestellte Zeitverzögerung hat Einfluss auf die maximale Reaktionszeit. Auf Basis einer Risi-kobeurteilung ist daher sicherzustellen, dass diese Reaktionszeit im Fehlerfall ausreichend ge-ring ist.

Aktor

Es kann gemäß EN ISO 13849-1 die Kategorie 2 ausgewählt werden.

BegründungBei Versagen (Verschweißen der Hauptkontakte) des Leistungsschützes erfolgt eine zeitnahe Fehlerreaktion: Im Fehlerfall wird der Leistungs-schalter mittels Unterspannungsauslöser aus- gelöst.

Es handelt sich um eine 1-kanalige Architektur mit einer spezifizierten Fehlerreaktion.

Das Leistungsschütz und der Leistungsschalter stellen sicherheitstechnisch bewährte Bauteile gemäß EN ISO 13849-2 dar.

15

Für die Worst-Case-Betrachtung des Motor-schutzschalters wird die gleiche Anforderungs-rate angenommen.

AchtungUm eine unerkannte Fehleranhäufung zu ver- meiden, sollte der Leistungsschalter spätestens nach 6 bis 12 Monaten geprüft werden. Diese Prüfung sollte in der Beschreibung der Sicher-heitsfunktion und in der Bedienungsanleitung (der Maschine) dokumentiert werden. Der Anwen-der muss die durchgeführten Prüfungen nach-weislich dokumentieren.

Folgender Performance Level gemäß EN ISO 13849-1 ist maximal erreichbar:• Leistungsschütz AFSxxx

Der MTTFD jedes Kanals errechnet sich wie folgt: nop = 52 [Betätigungen/Jahr] B10D = 1.300.000 [Schaltspiele] Herstellerangaben MTTFD = B10D / 0,1 * nop = 2,5 E+05 [Jahre]

• Motorschutzschalter MSS < 100 A, als Ausgang der Testeinrichtung (TE) Der MTTFD, TE jedes Kanals errechnet sich wie folgt: nop = 52 [Betätigungen/Jahr] B10D = 1.300.000 [Schaltspiele] Herstellerangaben MTTFD = B10D / 0,1 * nop = 2,5 E+05 [Jahre] Der MTTFD,TE jedes Kanals des Motorschutz-schalters ist höher als 100 Jahre.

• Performance Level d nach EN ISO 13849-1 Tabelle 6 - Kategorie 2 - DCavg mittel (DC = 90 %) - MTTFD jedes Kanals hoch (> 30 Jahre)

(Motorschutzschalter)• Durchschnittliche Wahrscheinlichkeit eines

gefahrbringenden Ausfalls - Ermittelt nach EN ISO 13849-1 Anhang K

mit MTTFD jedes Kanals maximal 100 Jahre - PFHD = 2,29 E-07

Die Gebrauchsdauer (Herstellerangaben) wird mit 20 Jahren angenommen.

Ergebnis

Die gesamte Sicherheitsfunktion erfüllt folgen-den Performance Level (PL):

EN ISO 13849-1 EN ISO 13849-1

SRP/CS PL PFHD

Sensor PL e 9,10 E-10

Logik PL e 3,90 E-09

Aktor PL d 2,29 E-07

Ergebnis PL d 2,34 E-07

HinweisWenn Performance Level e gemäß EN ISO 13849-1 angestrebt wird, dann sind andere Lösungen zu betrachten, wie z. B. die Verwendung zweier Leistungsschütze.

16 M OTO R S CH UT Z S CH A LTE R M S U N D M O FU N K TI O N A L E S I CH ER H EIT

—Lösung mit einer sicherheitsgerichteten Steuerungmit sicherheitsgerichteter Anwendungssoftware

Aktor

Siehe Lösung mit einem SicherheitsschaltgerätSeite 14.

AchtungUm eine unerkannte Fehleranhäufung zu ver- meiden, sollte der Leistungsschalter spätestens nach 6 bis 12 Monaten geprüft werden. Diese Prüfung sollte in der Beschreibung der Sicher-heitsfunktion und in der Bedienungsanleitung (der Maschine) dokumentiert werden. Der Anwen-der muss die durchgeführten Prüfungen nach-weislich dokumentieren.

Ergebnis

Die gesamte Sicherheitsfunktion erfüllt folgen-den Performance Level (PL):

EN ISO 13849-1 EN ISO 13849-1

SRP/CS PL PFHD

Sensor PL e 9,10 E-10

Logik PL e 2,00 E-09

Aktor PL d 2,29 E-07

Ergebnis PL d 2,56 E-07

HinweisWenn Performance Level e gemäß EN ISO 13849-1 angestrebt wird, dann sind andere Lösungen zu betrachten, wie z. B. die Verwendung zweier Leistungsschütze.

Sensor

Siehe Lösung mit einem SicherheitsschaltgerätSeite 12.

BegründungEin Fehler (Nichtöffnen eines zwangsöffnenden Kontaktes) des Not-Halt-Befehlsgerätes wird mittels Kreuzvergleich (Diskrepanzüberwachung) aufgedeckt.Der Diagnosedeckungsgrad (DC) kann mit 99 % angenommen werden.

Logik

Der Hersteller gibt an, dass die Sicherheits-SPS Pluto maximal bis Performance Level e gemäß EN ISO 13849 eingesetzt werden kann.

Die durchschnittliche Wahrscheinlichkeit eines gefahrbringenden Ausfalls je Stunde wird mit PFHD = 2 E-09 angegeben.

Das Teilsystem bzw. SRP/CS „Reagieren“ muss das Leistungsschütz zeitlich überwachen: Dies wird durch die Anwendersoftware realisiert.

AchtungDie programmierte Zeitverzögerung hat Einfluss auf die maximale Reaktionszeit. Auf Basis der Risikobeurteilung ist sicherzustellen, dass diese Reaktionszeit im Fehlerfall ausreichend gering ist.

Durch eine Fehlersimulation muss die zeitliche Überwachung des Leistungsschützes geprüft und dokumentiert werden.

17

18 M OTO R S CH UT Z S CH A LTE R M S U N D M O FU N K TI O N A L E S I CH ER H EIT

Quellen

Quelle Titel

EN ISO 13849-1Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen, Teil 1: Allgemeine Gestaltungsleitsätze

EN ISO 13849-2Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen, Teil 2: Validierung

EN ISO 13850 Sicherheit von Maschinen – Not-Halt-Funktion

IEC 60204-1Sicherheit von Maschinen – Elektrische Ausrüstung von Maschinen, Teil 1: Allgemeine Anforderungen

IEC 60947-5-1Niederspannungsschaltgeräte – Teil 5-1: Steuergeräte und Schaltelemente – elektromechanische Steuergeräte

MRL 2006-42-EG Richtlinie 2006/42/EG des Europäischen Parlaments und des Rates über Maschinen

ABB Functional safety and reliability data (2CMT2016-005511)

Fachbuch VDE-Schriftenreihe Band 167

Dokumenthistorie

Version Datum Link

1 07.11.19

—Literaturhinweise

9A

KK

1076

80

A38

19 1

6.3

.20

20

—ABB STOTZ-KONTAKT GmbHKundencenterEppelheimer Straße 8269123 HeidelbergDeutschlandTelefon: +49 (0)6221 701-777Telefax: +49 (0)6221 701-771E-Mail: info.stotz@de.abb.com

abb.de/motorschutz-und-steuerung

Technische Änderungen der Produkte sowie Änderungen im Inhalt dieses Dokuments behalten wir uns jederzeit ohne Vorankündigung vor. Bei Bestellungen sind die jeweils vereinbarten Beschaffenheiten maßgebend.Die ABB übernimmt keinerlei Verantwortung für eventuelle Fehler oder Unvollständigkeiten in diesem Dokument.

Wir behalten uns alle Rechte an diesem Dokument und den darin enthaltenen Gegenständen und Abbildungen vor.Vervielfältigung, Bekanntgabe an Dritte oder Verwertung seines Inhaltes – auch von Teilen – ist ohne vorherige schriftliche Zustimmung durch die ABB verboten.Copyright© 2020 ABBAlle Rechte vorbehalten