Sie haben in der Risikobeurteilung Ihrer Maschine einen zugänglichen Gefahrenraum identifiziert und wollen nun das Risiko durch eine technische Schutzmaßnahme reduzieren ? Dann ist das Kap. 6.3.2.1 der ISO 12100 Ihnen bereits bekannt und die B2-Norm DIN EN ISO 14119 ist Ihr Ratgeber in Sachen Verriegelung und Zuhaltung. In diesem Artikel möchte ich neben Best Practices auch auf einige Fallstricke und Besonderheiten eingehen. Dazu wird auf einige Besonderheiten bei der Modellierung in SISTEMA eingegangen anhand eine einfachen Beispiels. Für Newsletterabonenten wird eine Checkliste für den „Fehlerausschluss bei mechanischen Verriegelungen“ zum kostenlosen Download bereitgestellt.
Wann benötige ich eine Verriegelung ?
Wenn Sie einen oder mehrere Zugänge zu einen Gefahrenbereich durch eine beweglich trennende Schutzeinrichtung (Schütztür) an Ihrer Maschine planen, ist eine Verriegelung als technische Schutzmaßnahme im Sinne einer Sicherheitsfunktion vom Typ „sicherheitsbezogene Stoppfunktion“ erforderlich. Entscheidend für eine Verrieglung mit oder ohne Zuhaltung ist die Nachlaufzeit der erreichbaren gefahrbringenden Bewegungen im Zugangsbereich. Die Nachlaufzeit hängt vom Anwendungsfall ab, sowie den verwendeten Technologien. Je mehr Masse in der Maschine ungebremst bewegt wird, desto länger wird diese Zeit sein. Gleiches gilt für thermische Massen.
In vielen Fällen ist eine Verriegelung mit sicherheitstechnischer Zuhaltung erforderlich, gerade dort wo die Zugangszeit zum Gefahrenraum kleiner ist als die Nachlaufzeit. Der Grenzwert von 0,2 s ist typische Auslegungspraxis, denn nach ISO 13855 beträgt die max. Hand-Arm-Annäherungsgeschwindigkeit 2000 mm/s (Zugriffsgeschwindigkeit), die max. Zutrittsgeschwindigkeit liegt bei 1600 mm/s, der durchschittliche Mindestabstand der trennenden Schutzeinrichtung wird mit 400mm angenommen. Typische Berechnungen zum Abstand nach ISO 13857 erfolgen nach der Formel S = (K * T) + C unter genauer Analyse der Konstruktion.

1 Verriegelung = 2 Sicherheitsfunktionen & mehr
Verrieglungseinrichtungen dienen der Funktion „Stellungsüberwachung von Schütztüren mittels Positionsschalter“ mit zwei Reaktionen:
- Stillsetzen von gefahrbringenden Bewegungen bei öffnen der Schutztür
- Schutz vor unerwartetem Start der Maschine (manuelle Startfreigabe)
Das Stillsetzen (Energieabschaltung, Stopp Kat.0) ist für jeden Betriebszustand der Maschine zu betrachten und eine Reaktionszeit muss spezifiziert werden. Letzterer Punkt ist insbesondere bei mechanischen Konstruktionen von größerer Bedeutung, bei der die Schwerkraft wirken kann (Tür von oben schließend oder schiefe Türen, welche zufallen können). Auch wenn ein Mensch unerkannt in der Maschine gelangen kann, ist in der Risikobetrachtung in der Iteration nach Hinzufügen der Verriegelung zu betrachten. Dem Thema Manipulation ist in der ISO 14119 ein ganzes Kapitel gewidmet. Hierzu sind Anreize zum Umgehen der Verriegelung zu identifizieren und zu vermeiden. Maßnahmen gegen das Umgehen sind konstruktiv im Entwurf festzulegen (z.B. Einbaulage und Kodierung des Positionsschalters). Siehe hierzu auch ISO 12100 5.5.3.6.
Zuhaltung und Freigabebedingungen
Verrieglungseinrichtungen mit sicherheitstechnischer Zuhaltung (ISO 14119 Verriegelungseinrichtungen mit Zuhaltefunktion) sind Teil einer sicherheitstechnischen Überwachungsfunktion. Mit der Überwachung von Zuständen mittels Sensoren (Drehzahlgeber, Positionsschalter, Druckschalter, Temperatursensoren) wird das Entsperren der Zuhaltung an Bedingungen geküpft, man spricht von bedingter Zuhaltung:
- mittels Energiebabschaltung mit Zeitglied (indirekt sichere Zustand durch Verzögerungszeit größer als Worst-Case-Zeitkonstante im System)
- mittels Positionsabfrage
- mittels Drehzahlgeber
- mittels Druckniveau

Normale Zuhaltungen bestehen aus dem Sperrmittel, dem Spermittelaktor und der Sperrmittelüberwachung (zwangsgeführte Öffnerkontakte). Sogenannte fehlschließsichere Zuhaltungen können nicht in „die Luft verschließen“. Diese Eigenschaft wird mechanisch/konstruktiv in der Zuhaltungeinheit umgesetzt und vom Hersteller garantiert (Fehlerausschluss). Damit brauchen Sie nur die zwangsgeführten Kontakte des Sperrmittels auswerten bzw. in Ihren Perfomance Level Berechnungen berücksichtigen.
Typen von Verrieglungseinrichtungen
Verrieglungseinrichtungen sind in 4 Bauarten nach ISO 14119 eingeteilt:
- mechanisch unkodiert (i.d.R. tastender Sicherheits-Positionsschalter)
- mechanisch kodiert (i.d.R. zweiteilig mit Betätiger)
- unkodierte Näherungsschalter (berührungslos wirkende Technologie)
- kodierte Näherungsschalter (berührungslos wirkende Technologie mit Datenkanal)

Die mechanischen Bauarten sind mit einer Zwangsöffnungsfunktion nach DIN EN 60947-5-1 ausgestattet. Bei den kodierten Bauarten sind 3 Kodierungsstufen (gering, mittel, hoch) klassifiziert. EIn PL e ist nur erreichbar mit zwei Verrieglungseinrichtungen der mechanischen Bauart (s. ISO 13849-2, Tabelle D.8 oder auch ISO 14119 Kap. 8.2) oder durch einen der Bauart „Naherungsschalter“. Weiterhin könenn Näherungsschalter im vergleich zu mechanischen mit mehr Robustheit aufwarten (kein Fehlerausschluss notwendig, unempfindlich gegen nicht metalischen Staub etc…)
.
Sonderfall: steuernde beweglich trennende Schutzeinrichtung
Verrieglungseinrichtungen, welche den Arbeitstakt einer Maschine automatisch starten nach in ISO 12100 Kapitel 6.3.3.2.5 mit folgenden Bedingungen erlaubt:
- kurze Zykluszeit
- kurze Offenzeit mit Überwachung (erneute manuelle Startfreigabe erforderlich)
- Gefahrenbereich / Raum klein (keine Person aufnehmbar oder Erkennung (z.B. Matte, Laserscan))
- Keine anderen Zugänge zum Gefahrenbereich
- Tür wird sicher offengehalten (z.B. keine Türen gegen die Schwerkraft)
In der Praxis finden sich diese Bedingungen jedoch nur in wenigen Anwendungsfällen, von daher ist eine manuelle Startfreigabe nach wie vor der typische Anwendungsfall.
Sicherheitskonzepte mit Verriegelung und Zuhaltung
Vorab ist eine genaue Analyse der anwendungspezifischen Anforderungen erforderlich, um die Eignung von Verrieglungseinrichtungen mit sicherheitstechnischer Zuhaltung oder Verriegelungen mit Prozesszuhaltung (unbedingte Zuhaltung) sicherzustellen. Bei einer sicherheitstechnischen Zuhaltung ist z.B. die Detektion des sicheren Zustandes bei komplexen Maschinen mit überlagerten Gefahrenbereichen und/oder unterschiedlichen Technologien (elektrisch/pneumatisch/hydraulisch) nicht trivial. Sie müssen in Fall einer Prozesszuhaltung von einer Fehlfreigabe der nicht sicheren Steuerung ausgehen und die Nachlaufzeiten müssen dann auch nach Energieabschaltung für den Worst-Case-Fall hinreichend gering sein. Weiterhin müssen Sie über den „Tellerrand“ hinaus auch bei einer Zuhaltung eine Notentriegelung oder Fluchtentriegelumg in Betracht ziehen.
- die Nachlaufzeiten sind notwendiger Teil einer ordentlichen Spezifikation und müssen VOR dem Entwurf mindestens geschätzt vorliegen
- der sichere Zustand muss sauber bis auf Aktorebene spezifiziert sein, d.h. z.B. lasthaltende Aktoren mit gespeicherter Energie müssen berücksichtigt werden (Kennzeichnung von Gefahren im vermeintlich sicheren Gefahrenbereich)
- bei überlagerten Gefahren kann eine Verriegelung das quantitative Budget des erforderlichen Performancelevel (PLr) schnell sprengen (aktorseitig)
- bei langen Nachlaufzeiten ist eine pauschale Energieabschaltung nicht immer sinnvoll (Pneumatik: STO (Entlüften) vs. SSC (Safe Stopping & Closing))
- bei unübersichtliche Maschine/Maschinananlage könnte neben der Verriegelung ein Einsatz von Schlüsseltransfersystemen sinnvoll sein
- bei mechanischen Verriegelungen ist ein Fehlerausschluss zu führen auf den mechanischen Teil (s. Checkliste im Newsletter)
- bei Zuhaltungen mit Zeitglied müssen beeinflussende Faktoren systematisch behandelt werden (zeitverlängernde Umstände)
- bei Zuhaltungen mit Fehlschließsicherung wird eine Herstellererklärung benötigt, so könnte eine Auswertung der Sperrmittelkontakte ausreichend sein
- bei Verwendung von Verriegelungen mit Sonderbetriebsarten ist die Betriebartenwahl von entscheidender Bedeutung (Schutztür 1 offen -> sicher begrenzte Drehzahl im Tippbetrieb)
- die Verriegelung muss einen Stopp-Befehl auslösen und es darf im Normalfall kein automatischer Wideranlauf erfolgen (bei Verwendung von Sicherheitsschaltgerät: kein Autostart)
- bei Verriegelungen muss die Konstruktion den erwarteten Betätigungskräften zum Öffnen oder Schließen der Schutzeinrichtung im gesamten Lebenszyklus Rechnung tragen (z.B. Positionsschalter ist kein mechanischer Anschlag)
- bei Verriegelungen mit räumlich verteilten Sicherheits-Positionsschaltern ist deren Anordnung systemisch bedeutend
- bei Zuhaltungen müssen die Kräfte im Türsystem berücksichtigt werden (statisch und ggf. dynamisch (Rückprellen bei Zuhaltung))
- Maßnahmen gegen Manipulation sind für den Anwendungsfall passend zu berücksichtigen (kodierte Schalter, verdeckte Einbaulage)
- eine Kaskadierung von Verriegelungen in einem Sicherheitskreis mit potenzialfreien Kontakten führt zur Minderung des Diagnosedeckungsgrades (DC_avg = 60%), s. ISO 24119!
Im Folgenden ist eine Verriegelung der Bauart „mechanisch, unkodiert“ modelliert. Die zwangsöffnenden Kontakte (B1, B2) in Kombination mit einem mechanisch externen Betätiger weisen typischerweise ein B10d-Wert von 2 Mio auf. Alternativ kann für B1 auch ein Zwangsöffner-Kontakt und B2 ein Schließer-Kontakt verwendet werden in Kombination mit einem Sicherheitsschaltgerät oder auch diversitärer Struktur (B1 direkt über Schütz und B2 über SPS (DC durch Kreuzvergleich) bzw. Sicherheitsschaltgerät). Bitte beachten Sie, dass Öffner-/Schließer-Kombinationen unterschiedliche B10d Werte aufweisen, meisst sind für Schließer B10d-Werte von ca. 1 Mio. angegeben.

Im Folgenden ist eine Verriegelung der Bauart „Näherungsschalter, kodiert“ modelliert. Da die Auswertung intelligent & kontaktlos erfolgt, ist kein Fehlerausschluss für den mechanischen Teil erforderlich. Der Hersteller liefert i.d.R. alle notwendigen Informationen zur Berechnung (Kat. 4, PFHd, Testrate etc…) und damit lässt sich alles auf ein Block reduzieren. Eine mögliche Kaskadierung durch Reihenschaltung im Bussystem beeinflusst den Diagnosedeckungsgrad (DC) nicht, sondern belastet hier nur das PFH_d Budget, d.h. es können mehrere in Reihe geschaltet sein, solange kein potenzialfreier Kontakt zur Verkettung genutzt wird.

Im Folgenden ist eine Zuhaltung der Bauart „mechanisch, kodiert, fehlschließsicher“ modelliert. Die zwangsöffnenden Kontakte (B1, B2) in Kombination mit einem mechanischen Sperrmittel weisen typischerweise ein B10d-Wert von 2 Mio auf. Für den mechanischen Teil (M1) wurde ein Fehlerausschluss gemäß Checkliste durchgeführt. Es handelt sich um eine Zuhaltung nach dem Ruhestromprinzip, d.h. wenn der Hubmagnet nicht bestromt wird, verbleibt der Bolzen (Sperrmittel) durch Federkraft in seiner geschlossenen Stellung, sofern der kodierte Betätiger in das Schaltelement eingeführt wurde. Um die Anforderungen einer Kategorie 3 zu erfüllen wäre ein nachfolgendes Subsystem (Sicherheitsschaltgerät) mit Quer- und Erdschlusserkennung erforderlich.

Für die Modellierung der Verriegelung in SISTEMA liegt für die elektromechanischen Blöcke B1 und B2 durch den Hersteller bestätigt eine Zwangsführung für B1 vor (Positionsschalter nach DIN EN 60947-5-1 Anhang K (s. Pfeilsymbol)) während B2 ein Standard-Schließer ist. Es handelt sich um zwei räumlich getrennte Positionsschalter ohne externen Betätiger.
Der Hersteller gibt im Datenblatt ein B10d Wert für die Öffnerkontakte von 2.000.000 an und 1.000.000 für den Schließer. Bei 300 Tagen, 16 Stunden und 4 Minuten Zykluszeit (240s) berechnet SISTEMA ein MTTFd von ca. 279a bzw. 139a je Kanal und kürzt auf 100a je Kanal.
Der Diagnosedeckungsgrad wird zu 99% angegeben, da durch das Sicherheitsschaltgerät K11 Quer- und Erdschlüsse erkannt werden sowie eine Plausibilisierungsprüfung beider Kanäle durchgeführt wird.
Die Zuverlässigkeitskenndaten des Sicherheitsschaltgerätes K11 werden dem Datenblatt oder einer verfügbaren VDMA Datenbank entnommen.
Der Abschaltpfad besteht aus redundanten Schützen mit Spiegelkontakten (nach IEC 6097-4-1, Anhang F) unterschiedlicher Hersteller, welche den Zustand an das Sicherheitsschaltgerät K11 rückmelden. Hierzu wird in SISTEMA der B10 Wert mit 73% Anteil gefahrbringender Ausfälle kombiniert, daraus errechnet SISTEMA bei gleicher Zykluszeit wie die Verriegelungskontakte (s.oben) eine MTTFd von ca. 190a und kürzt auch hier auf 100a.
SISTEMA warnt, da der Öffner und die Schütze vor Ablauf der Gebrauchsdauer von 20a vorzeitig zu wechseln sind (s. T10D) und errechnet ein PL e für diese Sicherheitsfunktion mit PFHd = 5,2E-8 1/h.



Nun handelt es sich in diesem Beispiel um ein Schaltelement in einem Gehäuse mit externen Betätiger. Hierzu muss ein Fehlerausschluss für den mechanischen Teil formuliert werden s. (Checkliste). Für die Modellierung in SISTEMA liegt für den mechanischen Teil mit gültigen Fehlerausschluss formal bis PL d eine Einfehlersicherheit vor. Damit kann für die Mechanik M1 ein Subsystem in SISTEMA der Kategorie 3 gebildet werden mit einem PFHd Wert von 0. Damit muss die Kopplung zwischen PL und PFHd Wert in SISTEMA aufgetrennt werden. Die Grenzen zwischen Mechanik und Schaltkontakt sind „fließend“. Während der Hersteller eines Positionsschalters nach DIN EN 60947-5-1 Anhang K (s. Pfeilsymbol) ein B10d Wert für sein Element angibt, stellen Sie als Maschinenhersteller oder Integrator den mechanischen Teil in der Zielapplikation her und nur Sie können den appliktionsspezifischen Fehlerausschluss hierzu begründen.
In der Regel sind B10d Werte für Positionsschalter mit internen Betätiger mit 20 Mio. anzunehmen, während Positionsschalter mit getrennten Betätiger i.d.R. mit 1/10, also 2 Mio.anzunehmen sind, sofern der Hersteller hier keine andere Angabe liefert. Der Hersteller gibt im Datenblatt ein B10d Wert für die Öffnerkontakte von 2.000.000 an. Bei 300 Tagen, 16 Stunden und 4 Minuten Zykluszeit (240s) berechnet SISTEMA ein MTTFd von ca. 279a je Kanal und kürzt auf 100a je Kanal.
Der Diagnosedeckungsgrad wird zu 99% angegeben, da durch das Sicherheitsschaltgerät K11 Quer- und Erdschlüsse erkannt werden sowie eine Plausibilisierungsprüfung beider Kanäle durchgeführt wird.
Die Logik wird durch das Sicherheitsschaltgerät K11 und der Abschaltfpad durch K1 und K2 wie zuvor beibehalten.
SISTEMA warnt, da die Schütze vor Ablauf der Gebrauchsdauer von 20a vorzeitig zu wechseln sind (s. T10D-Werte). SISTEMA errechnet ein PL d für diese Sicherheitsfunktion bei gleichen PFHd-Wert wie im vorherigen Beispiel, da nun das „schwächste Glied“ (M1) in der Kette ein PL d hat gem. DIN EN ISO 13849-2, Tabelle D8.



Weiterführende Links zum Thema:
- Prüfgrundsatz Verriegelungseinrichtungen mit Zuhaltung GS-ET-19 (DGUV Test)
- Auswahl und Anbringung von Verriegelungseinrichtungen (DGUV Information 203-079)
- Fragen und Antworten zur EN ISO 14119:2013 (Hersteller Euchner)
- Broschüre Schutzeinrichtungen nach ISO 14119 (Hersteller Schmersal)
- DIN EN ISO 14119 (Beuth Verlag)
- Kochrezept: Funktionale Sicherheit nach ISO 13849