Die Auswahl der am besten geeigneten Sicherheitsfunktion hängt von den Risiken, den angestrebten Ergebnissen, den potenziellen Fehlermodi und den verbleibenden Restrisiken ab. In allen Fällen wird das Sicherheitslogikgerät die Energiezufuhr zu den Ausgangsgeräten unterbrechen. Der Sicherheitskreis hängt davon ab, dass das Ausgangsgerät die Sicherheitsfunktion ausführt, sobald es dazu aufgefordert wird. Die Wahl des richtigen Ventils erfordert ein Verständnis der Funktionsweise und der möglichen Fehlermodi der Ventile, die zur Umsetzung der Sicherheitsfunktion verwendet werden könnten.
Sicherheitsfunktionen
Vollständige Sicherheitsfunktionen bestehen aus Eingabegeräten, Logikgeräten und Ausgabegeräten. Das Sicherheitseingabegerät dient als Auslöser für die Sicherheitsfunktion. Das Sicherheitslogikgerät überwacht das Eingabegerät und entscheidet, wie die Ausgabegeräte gesteuert werden sollen. Zudem überwacht das Sicherheitslogikgerät die Rückmeldesignale der Ausgabegeräte, um sicherzustellen, dass die Sicherheitsfunktion ordnungsgemäß ausgeführt wird..
Mithilfe von Sicherheitsreaktionstabellen kann festgelegt werden, wie einzelne Aktuatoren auf sicherheitsrelevante Ereignisse reagieren sollen (die folgende Tabelle ist nur ein Beispiel).
| Liste der Antriebe | ||||
|---|---|---|---|---|
| Auslösegeräte | Spannzylinder | Presszylinder | Nietmotor | Führungszylinder |
| Not-Aus | sichere Entlüftung | sichere Entlüftung | Leistungsfreischaltung | Sichere Entlüftung |
| Lichtsteuerung | Sicherer Druck | Sichere Steuerung und Stopp | Leistungsfreischaltung | Sicheres Reversieren |
| Türschalter | ||||
Fehlermodi
Das Verständnis der Fehlermodi der ausgewählten Geräte ist im Konstruktionsprozess äußerst wichtig, wenn Sie einen sicheren Zustand bei einem Ausfall erreichen möchten. Der häufigste Ventilfehler tritt auf, wenn ein Ventil nicht richtig schaltet, also entweder aktiviert oder deaktiviert, und die Funktion des Ventils nicht ausgeführt wird. Dies kann zu unerwarteten Bewegungen führen – entweder zur falschen Zeit oder sogar in die falsche Richtung. Abhängig von der Anwendung kann dies zu einer kritischen Situation führen.
Es gibt jedoch noch viele andere häufige Ursachen für Ventilausfälle und Fehler. In den folgenden Tabellen sind häufige Fehlermodi von fluidtechnischen Ventilen und einige Fehlermodi, die für bestimmte Ventilfunktionen spezifisch sind, aufgeführt.
| Standard-Fehlermodi für fluidtechnische Ventile | ||||
|---|---|---|---|---|
| Problem | Ergebnis | Überlegungen | ||
| Der Steuerdruck ist reduziert oder geht verloren | Das Ventil kehrt nicht in die mechanische offset (AUS) Position zurück. | Stellen Sie sicher, dass die offset (AUS) Position die Fail-to-Safe-Position ist. | ||
| Interner Verschleiß verursacht Leckage | Nicht im Voraus definierbar, da es von der Ventilkonstruktion abhängt. | Stellen Sie sicher, dass die Ventilkonstruktion keinen unsicheren Zustand zulässt. | ||
| Schmutz, Sand oder Rost dringt in das Ventil ein | Ventil kann klemmen (siehe Ventil klemmt). | Stellen Sie sicher, dass die Rohrleitungen sauber sind, unbenutzte Rohranschlüsse verschlossen sind und dass sowohl das Hydrauliköl als auch die Luft gefiltert werden. | ||
| Ventilschieber klemmt | Das Ventil kehrt nicht in die mechanische offset (AUS)Position zurück. Das Ventil kann sich in einer Vielzahl von Überkreuzungszuständen befinden |
*Erfordert die Verwendung des zweiten Ventils und dessen Platzierung in einem Kreislauf, der eine ordnungsgemäße Funktion beider Ventile ermöglicht. | ||
| Ausfall des Ventilantriebs | Wenn der Stellantrieb in der deaktivierten Position ausfällt, kehrt das Ventil in die mechanisch versetzte offset (AUS) Position zurück. Wenn der Antrieb in der betätigten Position ausfällt, bleibt das Ventil betätigt. |
*Erfordert die Verwendung des zweiten Ventils und dessen Platzierung in einem Kreislauf, der eine ordnungsgemäße Funktion beider Ventile ermöglicht. | ||
| Defekt der Magnetspule | Das Ventil kehrt in die mechanisch versetzte offset (AUS) Position zurück. | Stellen Sie sicher, dass die offset (AUS) Position die Fail-to-Safe-Position ist. | ||
| Fehler aufgrund übermäßigen Durchflusses | Das Ventil schaltet möglicherweise ohne Signal. | Stellen Sie sicher, dass das Ventil so konstruiert ist, dass ein unbeabsichtigtes Schalten verhindert wird, insbesondere in der Hydraulik. | ||
| Mit bestimmten Ventilfunktionen verbundene Fehlermodi | ||||
|---|---|---|---|---|
| Ventiltyp | Fehler | Im schlimmsten Fall fehlerhaftes Ergebnis | ||
| 3/2-Wege normal geschlossen, Federrückholung | Die Luftzufuhr erfolgt weiterhin | |||
| 5/2-Wege, Federrückholung | Die Bewegung läuft mit voller Kraft weiter, kehrt sich nicht um | |||
| 5/2-Wege, Rastung | Die Bewegung wird bis zum Ende des Hubs fortgesetzt oder umgekehrt | |||
| 5/3-Wege, Mitte offen, Mitte geschlossen oder Mitte belüftet | Pilot oder Schieber klemmen, Defekte Bauteile (Feder, Dichtungen, Rastung), Kontamination | Die Bewegung läuft mit voller Kraft weiter oder kehrt sich um | ||
| Vorgesteuertes Rückschlagventil | Bewegung aufgrund von Druck oder Schwerkraft am gegenüberliegenden Ende | |||
| Durchflussregelung | Geschwindigkeitsregelung nicht wirksam, Entlüftung eingeschränkt | |||
| Sanftanlauf | Geschwindigkeitsregelung nicht wirksam, Entlüftung eingeschränkt | |||
| Abbildung 5-1 *Wie ein regelzuverlässiges Ventil, jedoch müssen Sie auch eine Überwachung integrieren. | ||||
Um zu verhindern, dass solche Ausfälle zum Verlust der Sicherheitsfunktion führen, werden Ventile der Kategorien 3 und 4 eingesetzt. Durch die Redundanz (bzw. Struktur) und die Überwachung entstehen ausfallsichere Geräte. Bei Ausfall eines Ventilelements kann das zweite Ventilelement die Sicherheitsfunktion weiterhin gewährleisten. Bei einem Defekt eines Doppelsicherheitsventils wirken sich jedoch auch andere Faktoren aus, beispielsweise eine längere Stoppzeit. Eine Änderung des normalen Strömungswegs eines defekten Ventils wirkt sich auf die Zeit aus, die benötigt wird, um den Druck zu entlüften oder bei einer sicheren Rücklauffunktion zu erhöhen. Dies sollte bei allen Sicherheitsabstandsberechnungen berücksichtigt werden.
Restrisiko
Sehr oft können Versuche zur Risikominderung zu einem inakzeptablen Restrisikoniveau führen. Aus diesem Grund ist der Risikobewertungsprozess iterativ. Der erste Versuch kann ein Restrisiko hinterlassen, das als inakzeptabel angesehen wird und daher mindestens einen zweiten Versuch erfordert, um ein akzeptables Risikoniveau zu erreichen. Der Vorgang muss wiederholt werden, bis ein akzeptables Risikoniveau erreicht ist. Die folgende Tabelle enthält eine Liste häufiger Gefahren und damit verbundener Restrisiken für jede der vier Sicherheitsfunktionen. Möglicherweise sind weitere Sicherheitsfunktionen verfügbar, mit denen die Restrisiken angegangen werden können, bis ein akzeptables Risikoniveau erreicht ist.
| Gefahrenursache | Sicherheitsfunktion | Vorteil | Restrisiko |
|---|---|---|---|
| Zylinderbewegung/Arbeitspunkt | Sichere Entlüftung | Entfernen Sie die Antriebskraft von den Antrieben Kann eine Zone oder Zelle versorgen |
Erneute Anwendung von Druck und Schwerkraft |
| Sicheres Zylinderreversieren | Einzelantriebssteuerung | Rückzugsbewegung, Verlust des Versorgungsdrucks | |
| Sicherer Steuerungsstopp | Einzelantriebssteuerung | Druckstau, Leckage | |
| Klemmpunkt (Quetschstelle) | Sicherer reduzierter Druck/Kraft | Reduzieren Sie die Kraft der Antriebe Kann eine Zone oder Zelle versorgen |
Quetschstellen bleiben bei reduzierter Kraft/Druck bestehen |
| Restrisiko | Sicherheitsfunktion | Neues Restrisiko |
|---|---|---|
| Erneute Druckausübung | Saftanlauf | Das gesamte System darf nicht unter Druck stehen (d. h. stromabwärts von 5/3 CC) |
| Erneute Druckausübung | Durchflussregelung | Kein Gegendruck beim ersten Hub |
| Schwerkraft | Halten der Ladung | Leckage, langsame Bewegung, muss zur Wartung blockiert werden |
| Verlust des Versorgungsdrucks | Rückschlagventil an der Versorgung | Leckage, langsame Bewegung, muss zur Wartung blockiert werden |
| Leckage | Regelmäßige Prüfung des Sicherheitskreises | Langsame Bewegung |
| Eingeschlossener Druck | Eingeschlossener Druck | Leckage, langsame Bewegung, muss zur Wartung blockiert werden |
Es gibt vier primäre Lösungen zur Verringerung der mit pneumatischen Antrieben verbundenen Risiken:
- Blockieren Sie die Luftzufuhr zum Steuerventil und damit zu den Antrieben mit einem fehlersicheren 3/2-Wege Entlüftungssventil (Kategorie 3 oder 4). Verwenden Sie ein sicherheitsbewertetes Ventil, das der Steuerungskategorie entspricht, die in ihrer Risikobewertung festgelegt wurde. Der Vorteil dieser Methode besteht darin, dass ein sicherheitsbewertetes Entlüftungsventil verwendet werden kann, um den Versorgungsdruck von einem oder mehreren Wegeventilen und Antrieben zu entfernen und gleichzeitig die Integrität der Sicherheitssystemsteuerung aufrechtzuerhalten. Ein sicherheitsbewertetes Entlüftungsventil kann eine Maschine, Zelle oder Zone versorgen.
In einigen Fällen kann allein die Entfernung des Versorgungsdrucks dazu führen, dass eine Last aufgrund der Schwerkraft oder des Impulses frei fällt oder sich weiterbewegt. Zusätzlich zur sicheren Entlüftung müssen Sie die auf die Masse der Last wirkende Schwerkraft und den Impuls berücksichtigen und eine geeignete Lösung anwenden, um die Last anzuhalten und an Ort und Stelle zu halten. Wenn die Antriebskraft entfernt wird, hängt die geeignete Lösung von der Masse, den Werkzeugen und den Fehlermodi der Geräte ab, die zur Aufrechterhaltung eines sicheren Zustands verwendet werden. Lösungen können die Verwendung von vorgesteuerten Rückschlagventilen umfassen, um den Druck vorteilhaft abzufangen, und/oder Sicherheitsfänger oder Stangenverriegelungen, um den/die Antrieb(e) mechanisch zu halten, ohne den Druck im System einzufangen. - Verwenden Sie ein fehlersicheres 5/2-Wege-Doppelventil, um die Zylinderbewegung in eine sichere Position umzukehren. Dies führt zu einem sicheren Zustand, sofern ein Rückhub des Antriebes kein zusätzliches Risiko mit sich bringt. Im Falle von Heißversiegelung könnte dies eine sehr gute Lösung sein. Dadurch würde das Heizelement vom Werkstück (Brennstoff) entfernt und die Richtung des Zylinders vom Quetschpunkt weg umgekehrt.
- Das Stoppen der Bewegung durch Einschließen des Drucks an beiden Enden des Zylinders kann mit einem sicherheitsbewerteten 4/3- oder 5/3-Ventil mit geschlossener Mittelstellung erreicht werden. Nur ein sicherheitsbewertetes Ventil mit geschlossener Mittelstellung kann verwendet werden, um höhere Steuerungssicherheit der sicherheitsrelevanter Systeme zu erreichen, ohne dass andere in Lösung 1 erwähnte Komponenten hinzugefügt werden müssen.
- Reduzieren Sie die Kraft oder den Druck mithilfe einer Druckauswahllösung auf ein akzeptables Maß. Dadurch wird im Normalbetrieb ein höherer Druck erzeugt, aber ein geringerer Druck, wenn ein sicherer Zugang für den Bediener erforderlich ist. Damit können nachgeschaltete Ventile versorgt werden. Es ist wichtig zu beachten, dass je nach Art des Stellventils im Kreislauf immer noch ein höherer Druck stromabwärts herrschen kann. Beispielsweise hält ein 5/3-Wegeventil mit geschlossener Mittelstellung den höheren Druck aufrecht, bis es umgeschaltet wird, wodurch der niedrigere Druck in das System gelangt.
Fehlerausschluss
Viele davon basieren einfach auf guten Ingenieurspraktiken, die in anderen Normen gefordert werden. Diese ISO 13849-2-Anhänge A–D enthalten Informationen zu Fehlerausschlüssen für mechanische, pneumatische, hydraulische bzw. elektrische Systeme. Jeder dieser Abschnitte befasst sich mit grundlegenden Sicherheitsprinzipien und anschließend mit Fehlern und Fehlerausschlüssen, die in Ventilfunktionen und spezifische Fehlermodi unterteilt sind. Der Kürze halber handelt es sich bei den unten aufgeführten Abbildungen um Auszüge aus den Tabellen und nicht um vollständige Tabellen.
Ein Beispiel für den Ausschluss von Fehlern ist, dass Sie ausschließen können, dass ein Ventil platzt, wenn es innerhalb seiner Spezifikationen verwendet wird. Der Hersteller hat die Konstruktion und die Tests des Produkts durchgeführt. Wenn das Ventil von Dritten zertifiziert ist, wäre diese Prüfung Teil des Dokumentationspakets und der technischen Unterlagen, die für die CE-Kennzeichnung erforderlich sind. Dies ist ein durchaus sinnvoller Fehlerausschluss.
Ein Fehlerausschluss von Schläuchen in fluidtechnischen Systemen ist nach ISO 13849-2 nicht möglich.
Ein weiteres wichtiges hydraulisches Problem ist die ordnungsgemäße Befestigung. Es wird ausdrücklich auf die Anwendungshinweise der Hersteller und das richtige Drehmoment hingewiesen. In den Notizen wird häufig eine bestimmte Schraubenklasse und Drehmomentanforderung erwähnt, die für die Einhaltung der Druckstufe der Geräte von entscheidender Bedeutung ist.
Einige Fehlerausschlüsse könnten dazu führen, dass unsichere Konstruktionsentscheidungen getroffen werden. Tabelle B3 ISO 13849-2 für pneumatische Wegeventile listet "Änderung der Schaltzeit“ und „Nichtschalten“ (d. h. Hängenbleiben) als Punkte auf, die basierend auf Tabelle A2 in ISO 13849-2, bewährte Sicherheitsprinzipien, ausgeschlossen werden können. Während diese Prinzipien normalerweise von Herstellern angewendet werden, würden viele Faktoren die tatsächlichen Ergebnisse beeinflussen.
Tabelle C.4 in ISO 13849-2 für hydraulische Wegeventile listet die gleichen Fehlerüberlegungen wie Tabelle B3 für pneumatische Wegeventile sowie Überlegungen zu Leckagen auf, enthält jedoch sehr spezifische Details in den Anmerkungen. Diese spezifischen Details sind dem Ventilhersteller möglicherweise bekannt, für den typischen Sicherheitssystem-Konstrukteur jedoch nicht leicht zu verstehen. Um die erforderliche detaillierte Begründung zu erstellen, müsste der in den Erläuterungen aufgeführte Detaillierungsgrad eingeholt und dokumentiert werden.
Die Tabellen B.5 und C.5 in ISO 13849-2 gelten speziell für Absperr-, Rückschlag-, Schnellentlüftungs- und Wechselventile und enthalten eine ähnliche Liste von Fehlerausschlüssen, einschließlich Leckagen. Der einzige Zweck eines Rückschlagventils besteht darin, den Druck durch vollständiges Absperren ohne Leckage abzufangen. In den Anmerkungen wird darauf hingewiesen, dass für die Filtration gesorgt werden muss und dass auch die Bedingungen des Herstellers eingehalten werden müssen. Saubere, trockene Luft verbessert die Lebensdauer aller pneumatischen Systeme. In der Realität kommt es jedoch zu Kondensation und dem Eindringen von Verunreinigungen, die die Lebensdauer beeinträchtigen und möglicherweise zu Fehlern wie Leckagen am Sitz des Rückschlagventils führen.
Alle Ventile werden irgendwann ausfallen. Das Konzept der funktionalen Sicherheit besagt, dass ein fehlersicheres Sicherheitssystem im Falle eines Fehlers sicher ausfällt und der Fehler vor der nächsten Anforderung der Sicherheitsfunktion erkannt wird. Aus diesem Grund sollten Fehlerausschlüsse mit großer Sorgfalt angewendet werden und die Begründung muss Teil der technischen Dokumentation sein. Ein gut konzipiertes Sicherheitssystem mit bewährten Prinzipien, einem Zweikanalsystem und einem hohen Diagnoseniveau erfordert keinen Fehlerausschluss und führt zur sichersten Lösung.