EATON Update Sicherheitshandbuch Pu05907001z de de

MOELLER
Eaton.de/fusi SERIES
Sicherheitshandbuch
Sicherheitstechnik an Maschinen und Anlagen
gemäß den internationalen Normen
EN ISO 13849-1 und EN IEC 62061
n<x
Alle Marken- und Produktnamen sind Warenzeichen oder
-eingetragene Warenzeichen der jeweiligen Titelhalter.
Auszüge aus DIN-Normen mit VDE-Klassifikation sind

wiedergegeben mit Genehmigung 212.010 des DIN Deutsches
Institut für Normung e.V. und des VDE Verband der
Elektrotechnik Elektronik Informationstechnik e.V. Maßgebend
für das Anwenden der Normen sind deren Fassungen mit dem
neuesten Ausgabedatum, die bei der VDE VERLAG GMBH,
Bismarckstr. 33, 10625 Berlin, www.vde-verlag.de und der
Beuth Verlag GmbH, Burggrafenstr. 6, 10787 Berlin
erhältlich sind.
Die sicherheitstechnischen Inhalte in diesem Handbuch sind

von der TÜV-Rheinland Product Safety GmbH geprüft worden.
1. Auflage 2008, Redaktionsdatum 10/08,

2. Auflage 2010, Redaktionsdatum 10/10
© 2022 by Eaton Industries GmbH, 53105 Bonn
Alle Rechte, auch die der Übersetzung, vorbehalten.
Kein Teil dieses Handbuches darf in irgendeiner Form (Druck,

Fotokopie, Mikrofilm oder einem anderen Verfahren) ohne
schriftliche Zustimmung der Eaton Industries GmbH, Bonn,
reproduziert oder unter Verwendung elektronischer Systeme
verarbeitet, vervielfältigt oder verbreitet werden.
Änderungen vorbehalten.
Vorwort
Liebe Leserin, lieber Leser, Die Komponenten von Eaton erfüllen stets die höchsten internationalen
Sicherheitsanforderungen, wie sie in den einschlägigen Normen gefordert
im Leben ist es oft sinnvoll, Kompromisse einzugehen. Aber nicht, wenn
sind. Das gilt insbesondere für die aktuell gültigen Sicherheitsnormen EN
es um das Thema Sicherheit geht! Ganz gleich ob in der Freizeit oder im
ISO 13849-1 und EN IEC 62061. Mit Eaton sind Sie immer auf der
Berufsleben, Sicherheit ist stets Voraussetzung für Entwicklung und Erfolg.
sicheren Seite.
Das gilt im besonderen Maße für den Umgang mit Maschinen
und Anlagen. Was diese Normen beschreiben, erfahren Sie in dieser Ausgabe des Eaton
Sicherheitshandbuchs. Darin werden nicht nur alle einschlägigen Normen
Wir von Eaton wissen, wie sehr Maschinenbauer, Betreiber und Anwender
erklärt: Hier haben Sie eine hervorragende Möglichkeit, sich Schritt für
darauf angewiesen sind, dass alle Komponenten und Systeme stets
Schritt in die umfangreiche Materie der funktionalen Sicherheitstechnik
zuverlässig und sicher arbeiten. Der Mensch darf durch die Maschine zu
einzuarbeiten. Zahlreiche Schaltungsbeispiele mit den entsprechenden
keinem Zeitpunkt gefährdet sein. Deshalb entwickeln und produzieren
sicherheitstechnischen Kenngrößen tragen zur Veranschaulichung bei.
wir Sicherheitskomponenten, auf die Verlass ist, vor allem dann, wenn es
So ist das Sicherheitshandbuch – wie das seit Jahrzehnten bewährte
besonders darauf ankommt.
Schaltungsbuch – ein fundierter und kompetenter Begleiter für Theorie
Mit unseren Komponenten zur sicheren Stillsetzung von Anlagen und und Praxis.
Maschinen im Notfall zählen wir zu den weltweit größten Herstellern.
„Safety Technology – Control the unexpected“
Seit Jahrzehnten sind unsere Not-Halt-Taster und -Schaltgeräte erste
Wahl, wenn es darum geht, bei Gefahr sofort einen sicheren Zustand Unvorhersehbares kontrollieren – gemäß diesem Motto wünscht Eaton
herzustellen. Zu unseren zukunftweisenden Technologien zählt das allen Leserinnen und Lesern eine interessante und aufschlussreiche
innovative Steuerrelais Safety, das Standardfunktionen mit der Lektüre des „Sicherheitshandbuchs“!
sicheren Überwachung und Verarbeitung von Maschinensignalen
Es möge Ihnen ein stets „sicherer“ und zuverlässiger Begleiter sein.
verbindet. So können wir unseren Kunden eine umfassende Palette an
leistungsstarken Produkten für die funktionale Sicherheit mit einem sehr Ihre Eaton Industries GmbH
vorteilhaften Kosten-Nutzen-Verhältnis anbieten.
12/22 PU05907001Z-DE 1
Inhalt
Einleitung5
Sicherheitshinweise und Nutzungsregeln 5
Funktionale Sicherheit für Mensch, Maschine und Umwelt 8
EN ISO 13849-1 Sicherheit von Maschinen – Sicherheitsbezogene
Teile von Steuerungen 11
EN IEC 62061 Sicherheit von Maschinen – Funktionale Sicherheit
sicherheitsbezogener elektrischer, elektronischer und programmierbarer
elektronischer Steuerungssysteme 12
1 Stillsetzen im Notfall (NOT-HALT-Abschaltung)16

1.1 Im Hauptstromkreis 16
1.2 Im Steuerstromkreis für einfache Antriebe 18
1.3 Zur Unterbrechung mehrerer Stromkreise mit Sicherheitsrelais 20
1.4 Zur Unterbrechung mehrerer Stromkreise mit Safety22
1.5 Zweikanalig mit Sicherheitsrelais 24
1.6 Zweikanalig mit Safety26
1.7 Bei elektronisch geregelten Antrieben 28
1.8 Zweikanalig mit Frequenzumrichter DA1 30
1.11 Einkanalig mit Frequenzumrichter DG1 36
1.12 Bei SmartWire-DT38
1.13 Mit Schützüberwachungsrelais CMD 40
1.14 Einkanalig mit elektronischem Motorstarter EMS42
1.15 Zweikanalig mit elektronischem Motorstarter EMS,44
sicherheitsgerichtete Abschaltung
2 Bewegliche Schutzeinrichtung überwachen46

2.1 Einkanalig mit Sicherheitsrelais 46
2.2 Einkanalig mit Safety48
2.3 Mehrere trennende Schutzeinrichtungen mit Sicherheitsrelais 50
2.4 Mehrere trennende Schutzeinrichtungen mit Safety52
2.5 Zweikanalig mit Sicherheitsrelais 54
2.6 Zweikanalig mit Sicherheitsrelais und RS2 56
2.7 Zweikanalig mit Sicherheitsrelais und redundantem RS2 58
2.8 Zweikanalig mit Safety60
2.9 Mit Zuhaltung – Freigabe über Zeitglied 62
2.10 Mit Zuhaltung – Freigabe über Stillstandsüberwachung 64
3 Offenen Gefahrenbereich überwachen66
3.1 Mit Lichtgitter und Sicherheitsrelais 66
3.2 Mit Lichtgitter und Safety68
3.3 Mit Lichtgitter Muting und Safety70
2 12/22 PU05907001Z-DE
Inhalt
4 Sicheres Bedienen ermöglichen72

4.1 Mit Zweihandschaltung Typ III C 72
4.2 Mit Zweihandschaltung Typ III C 74
5 Einrichten ermöglichen76
5.1 Mit Betriebsartenwahlschalter 76
6 Kombinieren mehrerer Sicherheitsfunktionen78

6.1 Stillsetzen im Notfall (NOT-HALT-Abschaltung) 78
6.2 Bewegliche Schutzeinrichtung überwachen 80
6.3 Drehzahlüberwachung mit Safety82
7 Wiederanlauf verhindern84
7.1 Mit Schützen 84
7.2 Mit Safety86
7.3 Mit Rückführkreis 88
8 Unerwarteten Anlauf verhindern90

8.1 Für kurze Eingriffe 90
9 Bei Reparatur und Wartung sichern92

9.1 Mit Netz-Trenneinrichtung (Hauptschalter) 92
9.2 Mit Einrichtungen zum Trennen der elektrischen Ausrüstung 94
9.3 Mit Reparatur-, Wartungs- und Sicherheitsschalter 96
10 Schutz vor elektrischem Schlag98

10.1 Schutztrennung98
10.2 Schutzkleinspannung mit sicherer Trennung PELV 100
12/22 PU05907001Z-DE 3
Inhalt
11 Projektierung von Maschinen nach IEC 60204-1102

IEC 60204 11.1 Stromversorgung und Schutzorgane 102
11.2 Lange Steuerleitungen 104
11.3 Schaltungsaufbau und Betriebsmitteleinsatz 106
12 Der Weg zur sicheren Maschine108

12.1 Fahrplan108
12.2 Für Maschinen wichtige Richtlinien 110
12.3 Relevante Sicherheits-Normen im Überblick 112
12.4 Maschinenspezifische Normen im Überblick 126
12.5 Schrittweise zum Performance Level PL nach EN ISO 13849-1 128
12.6 Schrittweise zum Safety Integrity Level SIL nach EN IEC 62061 136
13 Anhang146
13.1 Glossar146
13.2 Sicherheitsintegrität für Schaltungen der Kapitel 1 bis 6 im Überblick 156
13.3 Maschinen und Sicherheitsbauteile nach der Maschinen-Richtlinie 160
13.4 Literaturverzeichnis162
4 12/22 PU05907001Z-DE
Einleitung
Sicherheitshinweise und Nutzungsregeln
Für die Nutzung dieses Sicherheitshandbuches gelten folgende Hinweise 5. Bei der Nutzung des Sicherheitshandbuches sind vom Nutzer
und Nutzungsregeln: eigenverantwortlich einzuhalten:
1. Für die Schaltplanerstellung und Inbetriebnahme von Maschinen- und • sämtliche relevanten Regeln zur Erstellung von Schaltplänen für die
Anlagen werden sicherheits- und elektrotechnische Fachkenntnisse Maschinen- und Anlagenkomponenten gemäß den jeweils aktuellen
vorausgesetzt. Wenn Maschinen- und Anlagen falsch angeschlossen Bedienungshandbüchern des jeweiligen Herstellers,
oder fehlerhaft konfiguriert sind und aktive Komponenten wie z. B. • sämtliche für die Inbetriebnahme, Schaltplanerstellung und den Einsatz
Motoren oder Druckzylinder angesteuert werden, sind Anlagenteile und der Maschinen- und Anlagenkomponenten für die vom Nutzer geplante
Personen gefährdet. Anwendung maßgeblichen Richtlinien, Normen und Vorschriften
der Arbeitssicherheit und der Unfallverhütung, insbesondere von
2. Die in diesem Sicherheitshandbuch dargestellten Anwendungsbeispiele
Einleitung
Berufsgenossenschaften,
wurden von Eaton nach bestem Wissen und Gewissen sowie unter
• der anerkannte Stand von Wissenschaft und Technik sowie
Berücksichtigung des heutigen Standes der Technik erstellt. Dennoch
• alle sonstigen allgemeinen Sorgfaltspflichten zur Verhütung von
können Fehler in den Beispielen nicht ausgeschlossen werden. Soweit
Schäden an Leib, Leben und Gesundheit von Personen und von
Sie bei der Nutzung der Beispiele Funktionsfehler, Unstimmigkeiten
Sachschäden.
und/oder sonstige Probleme feststellen, wenden Sie sich bitte an Ihren
Ansprechpartner bei Eaton. 6. Eaton übernimmt keine Haftung für Schäden, gleich welcher Art, die
dadurch verursacht werden, dass Nutzer dieses Sicherheitshandbuches
3. Die in den Anwendungsbeispielen dargestellten Schaltungen sind
entgegen der Nutzungsbedingungen gemäß den vorstehenden Ziffern 1
nur für den Einsatz unter den im jeweiligen Beispiel ausdrücklich
bis 4 eingesetzt haben.
aufgeführten Bedingungen, Eigenschaften und Funktionsweisen
geeignet. Die Anwendungsbeispiele decken nicht sämtliche
Bedingungen, Eigenschaften und Funktionsweisen ab, die für die
Schaltplanerstellung und Inbetriebnahme von Maschinen- und Anlagen
zur Verfügung stehen.
4. Bei den in diesem Sicherheitshandbuch wiedergegebenen
Anwendungsbeispielen wurden ausschließlich die dort jeweils
ausdrücklich aufgeführten sicherheitstechnischen Kenngrößen nach
EN ISO 13849-1 und EN IEC 62061 berücksichtigt. Diese
sicherheitstechnischen Kenngrößen decken u. U. nicht sämtliche
sicherheitstechnischen Aspekte ab, die für die Schaltplanerstellung
und Inbetriebnahme von Maschinen- und Anlagen relevant werden.
Änderungen der sicherheitstechnischen Kenngrößen aufgrund von
Änderungen der EN ISO 13849-1 und der EN IEC 62061 sind in diesem
Handbuch nicht berücksichtigt.
12/22 PU05907001Z-DE 5
Einleitung
Sicherheitshinweise und Nutzungsregeln
Zielgruppe Für alle Sicherheitsanwendungen und die dort getroffenen Annahmen

wurden Sicherheitskennwerte nach EN ISO 13849-1 und EN IEC 62061
Dieses Sicherheitshandbuch richtet sich an nachfolgende Zielgruppen, die
ermittelt. Das Ergebnis ist in Form einer Tabelle jeweils im Kopf dieser
für die Maschinensicherheit verantwortlich sind:
Kapitel dargestellt.
• Hersteller.
• Betreiber. Kat B 1 2 3 4 Kategorie nach EN ISO 13849-1
• Konstrukteure und Planer.
• Sicherheitsbeauftragte. PL a b c d e Performance Level PL nach EN ISO 13849-1
• Service- und Wartungspersonal.
SIL 1 2 3 Safety Intergity Level SIL nach EN IEC 62061
Einleitung
Für den Entwurf und die Anwendung von funktionaler Sicherheit an

Maschinen werden spezielle Fachkenntnisse vorausgesetzt. Zudem
müssen geltende Richtlinien, Normen und Vorschriften des jeweiligen
Kapitel mit den Fallunterscheidungen A und B zeigen, dass die ermittelten
Landes eingehalten werden.
Sicherheitslevel durch unterschiedlich hohe Schaltzyklen voneinander
Dieses Handbuch können Sie auch in Englisch im Internet unter abweichen.
Eaton.de/shb herunterladen.
Fall A Fall B
Kat B 1 2 3 4 Kat B 1 2 3 4
PL a b c d e PL a b c d e
Aufbau des Handbuchs
SIL 1 2 3 SIL 1 2 3
In diesem Handbuch erhalten Sie einen Überblick über die wichtigsten
Zusammenhänge von Richtlinien, Normen und Vorschriften, die bei
der Anwendung von Sicherheitseinrichtungen an Maschinen zu In den Kapiteln 12.5 „Schrittweise zum Performance Level PL nach EN ISO
berücksichtigen sind. 13849-1“, Seite 128, und 12.6 „Schrittweise zum Safety Integrity Level
SIL nach EN IEC 62061“, Seite 136, wird anhand eines Beispiels detailliert
Das Handbuch zeigt anhand von Beispielschaltungen, wie die erläutert, wie die Ergebnisse zustande gekommen sind.
funktionale Sicherheit mit elektrischen, elektronischen und elektronisch
programmierbaren Komponenten und Systemen in sicherheitsrelevanten Jedes Kapitel beinhaltet darüber hinaus in der Kopfzeile ein Piktogramm,
Anwendungen erreicht werden kann. das eine schnelle Orientierung ermöglicht. Diese Piktogramme helfen
Ihnen, schnell und einfach die Beispielschaltungen den entsprechenden
Zu jeder Beispielschaltung erhalten Sie alle wichtigen Informationen Sicherheitsfunktionen zuzuordnen. Sie werden gleich im
zur gewählten Schaltung und deren Einsatzbedingungen. Alle Anschluss erläutert.
Beispielschaltungen haben den selben Aufbau, gegliedert in folgende
Themenbereiche:
Anwendung Hier erfahren Sie, in welchen Einsatzbereichen die

Anwendung eingesetzt werden kann. Anhand eines
Schaltbildes wird der Aufbau der Anwendung
dargestellt.
Bedingungen Die hier aufgelisteten Bedingungen müssen

erfüllt sein, damit die Beispielschaltung
angewendet werden kann.
Eigenschaften Zeigt besondere Eigenschaften dieser Beispielan-

wendung.
Funktion Beschreibt das Schaltbild der Beispielanwendung

in Worten.
6 12/22 PU05907001Z-DE
Begriffe, Abkürzungen und Symbole
Die in diesem Buch verwendeten Fachbegriffe werden in alphabetischer Stillstand überwachen
Reihenfolge im Kapitel 13.1 „Glossar“, Seite 146, erklärt.
Die Piktogramme in diesem Sicherheitshandbuch haben folgende
Bedeutung:
Schaltungen zum Stillsetzen im Notfall n<x Höchstdrehzahl überwachen
Einleitung
Bewegliche Schutzeinrichtungen überwachen Wiederanlauf verhindern
mit Schutztürüberwachung ohne Verriegelung/
Zuhaltung
Bewegliche Schutzeinrichtungen überwachen Überwachung extern angeschlossener Aktoren

mit Schutztürüberwachung mit Verriegelung/ über Rückführkreise
Zuhaltung 1 2 3 . .
Offenen Gefahrenbereich überwachen mit Unerwarteten Anlauf verhindern

Lichtgitter
Offenen Gefahrenbereich überwachen mit Schutz gegen elektrischen Schlag

Lichtgitter mit Mutingfunktion
Gefahr!
Sicheres Bedienen durch Zweihandschaltung warnt vor schweren Sachschäden und schweren Verletzungen
oder Tod.
→ macht Sie aufmerksam auf interessante Tipps und

Zusatzinformationen
Sicheres Einrichten ermöglichen mit

Betriebsartenwahlschalter
12/22 PU05907001Z-DE 7
Einleitung
Funktionale Sicherheit für Mensch, Maschine und Umwelt
Funktionale Sicherheit
Da von einer Maschine während des Gesamt-Lebenszyklus – von der 1. Stufe:
Gefahren vermeiden
Herstellung bis zur Demontage – Gefahren für Mensch, Maschine und
Umwelt ausgehen, ist es erforderlich, diese Gefahren bereits in der
Risiko eliminieren
Konstruktionsphase der Maschine zu ermitteln und durch geeignete
und reduzieren
Maßnahmen zu verringern. durch konstruktive
Die EG Maschinenrichtlinie 2006/42/EG verlangt, dass von Maschinen Maßnahmen während
keine Gefahr ausgehen darf. Da es allerdings keine 100%ige Sicherheit der Planungs- und
Entwicklungsphase der
in der Technik gibt, ist das Ziel, diese Gefahren durch Risikoreduzierung
Einleitung
Maschine.
auf ein tolerierbares Restrisiko zu bringen. Die Gesamtsicherheit einer
Maschine bezeichnet den Zustand, der frei von unvertretbaren Risiken für
den Menschen ist oder als gefahrenfrei angesehen wird. Die Funktionale
Sicherheit bezeichnet den Teil der Gesamtsicherheit eines Systems,
der von der korrekten Funktion der sicherheitsbezogenen Systeme und
externer Einrichtungen zur Risikominderung abhängt. 2. Stufe:
Gefahren sichern
Risiko einer Maschine mindern
Risiko reduzieren
Die internationale Norm EN ISO 12100 „Sicherheit von Maschinen –
durch Einsatz
Grundbegriffe und allgemeine Gestaltungsleitsätze“ gibt dem Konstrukteur
von notwendigen
detaillierte Hilfestellung bei der Identifizierung von Gefährdungen und Schutzmaßnahmen.
die dadurch zu betrachtenden Risiken. Sie enthält Gestaltungsleitsätze
und Methoden zur sicheren Konstruktion und Risikominderung. Die ersten
Schritte befassen sich mit der Risikoanalyse und Risikobeurteilung zum
Erreichen der erforderlichen Maschinensicherheit.
Die EN ISO 12100 beschreibt detaillierte Anforderungen, die methodisch
in einem iterativen Prozess durchgeführt und nachvollziehbar dokumentiert
werden müssen. Als Resultat werden die technischen Maßnahmen zur
Gefahrenreduzierung festgelegt. 3. Stufe:
Auf Restgefahren
Alle Schutzmaßnahmen, die zum Erreichen der Beseitigung von hinweisen
Gefährdungen oder Minderung des Risikos durch Schutzmaßnahmen
angewendet werden, sind nach EN ISO 12100 in einer fest vorgegebenen Risiko reduzieren
Reihenfolge zu ergreifen: durch Unterrichtung /
Warnhinweise über die
Restrisiken
Aus der Maschinenrichtlinie wird zukünftig die Maschinenverordnung.
Details hierzu finden Sie in unserem White Paper: "Neufassung der
Maschinenrichtlinie sowie der EN ISO 13849-1 und EN IEC 62061"
Download: Eaton.de/fusi
Wenn die Gefährdungen durch konstruktive Maßnahmen (1. Stufe)

nicht vermieden oder ausreichend begrenzt werden können, sind in
der 2. Stufe Schutzeinrichtungen vorzusehen – durch Verwendung von
sicherheitsbezogenen Teilen von Steuerungen (SRP/CS). Diese müssen
so konstruiert und ausgewählt werden, dass die Wahrscheinlichkeit
von Funktionsfehlern ausreichend gering ist. Wenn dies nicht möglich
ist, dürfen auftretende Fehler nicht zum Verlust der Sicherheitsfunktion
führen. Ergänzend zu den vom Maschinenkonstrukteur gewählten
Schutzmaßnahmen, können seitens des Maschinenbetreibers bzw.
Maschinenbedieners weitere Schutzmaßnahmen zur Reduzierung
des verbleibenden Restrisikos erforderlich sein (z. B. persönliche
Schutzausrüstung, Ausbildung, etc.).
Auf Restgefahren
Gefahren vermeiden Gefahren sichern
hinweisen
8 12/22 PU05907001Z-DE
Risikoreduzierung durch Einsatz von sicherheitsbezogenen Teilen Allgemeine Zielsetzung ist es, diese Steuerungsteile so zu gestalten,
von Steuerungen dass die Sicherheit der Steuerungsfunktion sowie das Verhalten der
Steuerung im Fehlerfall, dem in der Risikobeurteilung ermittelten Grad an
Die Teile von Maschinensteuerungen, die Sicherheitsaufgaben
Risikoreduzierung entspricht.
übernehmen, werden in den internationalen Normen als „
sicherheitsbezogene Teile von Steuerungen“ (SRP/CS) bezeichnet. Diese Je höher also die von dem sicherheitsbezogenen Steuerungsteil
Teile können aus Hardware oder Software bestehen und separater oder zu leistende Risikoverringerung ist, desto höher ist die geforderte
integraler Bestandteil der Maschinensteuerung sein. Sicherheitsbezogene Sicherheitsstufe oder das sicherheitstechnische Leistungsniveau des
Steuerungsteile umfassen jeweils die gesamte Wirkungskette einer Steuerungsteils.
Sicherheitsfunktion, bestehend aus der Eingabeebene (Sensor), der Logik
Die Festlegung von sicherheitstechnischen Funktionen und deren
Einleitung
(sichere Signalverarbeitung) und der Ausgabeebene (Aktor).
Umsetzung wird ausführlich in den internationalen Normen EN ISO
13849-1/-2 und EN IEC 62061 beschrieben. Diese Sicherheitsnormen
benutzen unterschiedliche Klassifizierungssysteme und Definitionen für
die Sicherheitsstufen und werden nach Technologie, Risikoeinstufung und
Architektur verwendet.
EN ISO 12100
Sicherheit von Maschinen
Risikobeurteilung und Risikominderung
Funktionale und Sicherheitsanforderungen für sicherheitsrelevante Steuerungen

EN IEC 62061
EN ISO 13849 Sicherheit von Maschinen
Sicherheit von Maschinen Funktionale Sicherheit sicherheits-
Sicherheitsbezogene Teile bezogener elektrischer, elektronischer
von Steuerungen und programmierbarer,
elektronischer Steuerungssysteme
IEC 60204
Elektrische Ausrüstung von Maschinen
Abbildung 1: Die Normenlage
International Standardization Organisation International Electrotechnical Commission

Die ISO ist ein weltweiter Zusammenschluss von Die IEC ist eine globale Organisation, die internationale
Normungsorganisationen. Sie erarbeitet und publiziert Standards auf dem Gebiet der Elektrotechnik und damit
internationale Standards mit dem Schwerpunkt auf nicht verbundenen Technologien erarbeitet und publiziert.
elektrische Technologien.
12/22 PU05907001Z-DE 9
Einleitung
EN ISO 13849-1/-2 „Sicherheit von Maschinen – Sicherheits Iterativer Prozess zur Gestaltung der sicherheitsbezogenen Teile
bezogene Teile von Steuerungen“ von Steuerungen
Teil 1: Allgemeine Gestaltungsleitsätze Führt das Endergebnis aus Stufe 1 „Gefahren vermeiden“, nicht zu
einer ausreichenden Risikominderung nach EN ISO 12100, ist in Stufe 2
Teil 2: Validierung
„Gefahren sichern“, der iterative Prozess zur Gestaltung von SRP/CS nach
Mit der EN ISO 13849-1 erfolgt über den qualitativen Ansatz der EN 954-1 EN ISO 13849-1 oder EN IEC 62061 anzuwenden.
hinaus auch eine quantitative Betrachtung der Sicherheitsfunktionen. Zur
Nach beiden Normen werden zunächst die notwendigen
Einteilung unterschiedlicher sicherheitstechnischer Leistungsfähigkeit
Sicherheitsfunktionen identifiziert, die durch die SRP/CS ausgeführt
werden in der EN ISO 13849-1 Performance Level PL definiert. Die fünf PL
werden sollen, um anschließend die geforderten Eigenschaften für
Einleitung
(a, b, c, d, e) stehen für durchschnittliche Wahrscheinlichkeitswerte eines

jede Sicherheitsfunktion festzulegen. Je nach Anwendungsgebiet
gefährlichen Ausfalls pro Stunde.
und erforderlicher Gefahrenabsicherung werden die passenden
Die abschließende Validierung aller Schutzmaßnahmen, die sicherstellt, Sicherheitsfunktionen eingesetzt.
dass die angestrebte Sicherheitsfunktionalität zuverlässig wirkt, ist
Beispiele von Sicherheitsfunktionen sind:
Bestandteil der EN ISO 13849-2.
EN IEC 62061 „Sicherheit von Maschinen – Funktionale Sicherheit
Stillsetzen im Notfall
sicherheitsbezogener elektrischer und elektronischer und
programmierbarer elektronischer Steuerungssysteme“
Die Norm EN IEC 62061 dient im Gesamtrahmen der EN ISO 12100
als alternative Norm zur EN ISO 13849-1. Die sicherheitstechnische
Leistungsfähigkeit wird durch Safety Integrity Level SIL in drei Stufen
(1, 2, 3) beschrieben. Schutztürüberwachung ohne Verriegelung/
Tabelle 1: Zwei Normen für anscheinend gleiche Anwendungs- Zuhaltung
bereiche: Abgrenzung EN ISO 13849-1 / EN IEC 62061
EN ISO 13849-1 EN IEC 62061
Für hydraulische, pneumatische In der neuesten Ausgabe auch für Schutztürüberwachung mit Verriegelung/
und elektromechanische Systeme hydraulische und pneumatische Zuhaltung
ohne Einschränkung anwendbar. Systeme anwendbar.
Bei programmierbar Gemischte Systeme nach neuester

elektronischen Systemen nur unter Version auch bestimmbar.
Einschränkungen anwendbar.
Lichtgitter
Bestimmte Architektur nur bis PL d.
Berechnungskonzept basiert auf Beliebige Architektur verwendbar.

vorgegebenen Architekturen.
Geeignet zum Sicherheitsnachweis Geeignet zum Sicherheitsnachweis In den nachfolgenden Kapiteln stellen wir Ihnen eine Vielzahl von
von Geräten und der gesamten von Geräten und der gesamten
Beispielschaltungen mit unterschiedlichen Sicherheitsfunktionen vor.
Sicherheitsfunktion über Tabellen. Sicherheitsfunktion durch
Diese Beispielschaltungen sind nach beiden internationalen Normen
Berechnungen.
EN ISO 13849-1 und EN IEC 62061 betrachtet und die erreichbare
Sicherheitsintegrität (PL bzw. SIL) mit den relevanten Kennwerten
berechnet worden.
10 12/22 PU05907001Z-DE
EN ISO
ISO13849-1
1 849 1
Sicherheit
Sicherheit von
von Maschinen
Maschinen ––
Sicherheitsbezogene Teile von
von Steuerungen
Alle Schutzmaßnahmen, die

Alle Schutzmaßnahmen, diezum
zumErreichen
Erreichender
derBeseitigung
Beseitigung maßnahmen angewendet
ß ahme ngewendet n werden, Esindnach
werden,sind -EN
nachEN ISO
n ISOama 12100
12100 in einer fest vorgegebenen
Risikobeurteilung und -minderung
von
von Gefährdungen
Gefährdungenoder
oderMinderung
Minderungdes
desRisikos
Risikosdurch
durchSchutz-
Schutz- in einer fest vorgegebenen Reihenfolge zu ergreifen:
Für beide Normen gültig
Auf Restgefahren
Gefahren vermeiden Gefahren sichern hinweisen
1. Schritt: Gefahren vermeiden: Risiko eliminieren und reduzieren durch konstruktive Maßnahmen während
Einleitung
der Planungs- und Entwicklungsphase der Maschine
2. Schritt: Gefahren sichern: Risiko reduzieren durch Einsatz von notwendigen Schutzmaßnahmen
3. Schritt: Auf Restgefahren hinweisen: Risiko reduzieren durch Unterrichtung / Warnhinweise über die Restrisiken
A) Ermittlung des erforderlichen Performance Level PLr
PLr
Risikoparameter:
S Schwere der Verletzung
Risikobewertung und Aufbau der Sicherheitsfunktion
& P1 a
P2 S1 leichte (üblicherweise reversible Verletzung)

S1
b S2 ernste (üblicherweise irreversible Verletzung
& P1
EINSCHLIELICH4OD
1 P2
& (iU½GKEITUNDODER$AUERDER'EFiHRDUNGS
c
& P1
exposition
S2 P2 & SELTENBISWENIGERHiU½GUNDODERDIE:EITDER
d Gefährdungsexposition ist kurz
& P1
& HiU½GBISDAUERNDUNDODERDIE:EITDER
P2
e Gefährdungsexposition ist lang
P Möglichkeit zur Vermeidung oder Begrenzung
des Schadens
a = niedriges Risiko ... e = hohes Risko P1 möglich unter bestimmten Bedingungen
P2 kaum möglich
B) Entwurf der Steuerungsarchitektur und Bestimmung der erreichten Leistungsfähigkeit
Der Performance Level der sicherheitsgerichteten Steue- $IAGNOSEDECKUNGSGRAD$#

rungsfunktion wird durch Abschätzung folgender Parameter !USFALLAUFGRUND&EHLERGEMEINSAMER5RSACHE##&
bestimmt:
+ATEGORIEABHiNGIGVONEINERVORGEGEBENEN3TEUERUNGS $ERERREICHTE0ERFORMANCE,EVELWIRDEINER4ABELLEENTNOM-
architektur und ihre Eigenschaften men und muss größer oder gleich dem erforderlichen
MITTLERE:EITBISZUEINEMGEFiHRLICHEN!USFALL-44&d Performance Level sein: PL PLr

Für beide Normen gültig
Validierung
Validierung
Bei der Validierung wird durch Inspektion und Prüfung sichergestellt, dass der Entwurf jeder
3ICHERHEITSFUNKTIONDIEENTSPRECHENDEN!NFORDERUNGENDER3PEZI½KATIONERF~LLT
12/22 PU05907001Z-DE 11
EN IEC 62061
Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer
und programmierbarer elektronischer Steuerungssysteme
START
$IE.ORM%.)3/ EMP½EHLTZUR!NALYSEUND6ERMEIDUNGVON
Gefährdungen an einer Maschine das Vorgehen entsprechend folgendem
&ESTLEGUNGDER'RENZENDER-ASCHINE
iterativen Prozesses:
)DENTI½ZIERUNGDER'EFiHRDUNGEN
1. $E½NIERENDERPHYSIKALISCHENUNDZEITLICHEN'RENZENDER-ASCHINE
Risikoeinschätzung
)DENTI½ZIERENDER'EFiHRDUNGENUND'EFiHRDUNGSSITUATION
Risikobewertung
%INSCHiTZUNGDES2ISIKOSJEDERIDENTI½ZIERTEN'EFiHRDUNG
4. Bewertung des Risikos und Entscheidung über die Notwendig-
Einleitung
Ist die Maschine sicher? NEIN keit einer Risikominderung
JA
ENDE
A) Ermittlung der erforderlichen Leistungsfähigkeit SIL
(iU½GKEITUND$AUER& Wahrscheinlichkeit, W Vermeidung, P

≤ 1 Stunde 5 HiU½G 5
+ + =
H¯4AG 5 wahrscheinlich 4
+LASSE+
4AG¯7OCHEN 4 möglich 3 unmöglich 5
11-13
> 2 Wochen – ≤ 1 Jahr 3 selten 2 möglich 3
> 1 Jahr 2 vernachlässigbar 1 wahrscheinlich 1
Das Ergebnis in der Beispielbetrachtung ist SIL 3:
Auswirkungen Schwere +LASSE+

S 3-4 5-7 8-10 11-13 14-15
4OD6ERLUSTEINES!UGESODER!RMS 4 SIL2 SIL2 SIL2 SIL3 SIL3
0ERMANENT6ERLUSTVON&INGERN 3 AM SIL1 SIL2 SIL3
Reversibel, medizinische Behandlung 2 AM SIL1 SIL2
2EVERSIBEL%RSTE(ILFE 1 AM SIL1
B) Entwurf der Steuerungsarchitektur und Bestimmung der erreichten Leistungsfähigkeit
Der Sicherheitsintegritätslevel SIL ergibt sich aus folgenden Werten, $IE4EILSYSTEMEKyNNENAUSVERSCHIEDENEN+OMPONENTEN4EILSYS-

DIEF~RJEDES4EILSYSTEMZUERMITTELNSIND TEM %LEMENTE AUFGEBAUTSEIN&~RJEDESDIESER%LEMENTESINDZUR
3), !NSPRUCHSGRENZE3),#,3),#LAIM,IMIT "ESTIMMUNGDES0&(d 7ERTESFOLGENDE+ENNWERTEZUERMITTELN
7AHRSCHEINLICHKEITEINES'EFAHRBRINGENDEN!USFALLS 'EFiHRLICHE!USFALLRATEλd
PRO3TUNDE0&(d !NTEILSICHERER!USFiLLE3AFE&AILURE&RACTION3&&
'EBRAUCHSDAUER4
PL und SIL sind ineinander überführbar:
Performance Level PL Mittlere Wahscheinlichkeit SIL

eines gefährlichen Ausfalls [1/h]
a ≥ 10-5 bis < 10-4 +EINEBESONDEREN3ICHERHEITSANFORDERUNGEN
b ≥ 3 x 10-6 bis < 10-5 1
c ≥ 10-6 bis < 3 x 10-6 1
d ≥ 10-7 bis < 10-6 2
e ≥ 10-8 bis < 10-7 3
12 12/22 PU05907001Z-DE
Allgemeine Bedingungen für die Anwendung der deutlich wie auch im Anhang auf Seite 158 13.2 „Sicherheitstechnische
Beispielschaltungen Kenngrößen im Überblick“ ersichtlich.
Für die Anwendung der in diesem Sicherheitshandbuch beschriebenen
Beispielschaltungen gelten allgemeine Bedingungen, die nicht in jedem
Safety Technology von Eaton
einzelnen Beispiel aufgeführt sind. Dazu zählen:
Eaton bietet Ihnen ein umfangreiches Produktportfolio für die Realisierung
• Einhaltung der Anforderungen nach IEC 60204-1.
von sicherheitstechnischen Lösungen an. Diese Komponenten mit Safety
• Absicherung der Stromkreise nach IEC 60204-1.
Technology entsprechen den höchsten Anforderungen der aktuellen
• Mechanisch sichere Verlegung von Zuleitungen und Bauteilen.
internationalen Sicherheitsnormen und sind vom TÜV Rheinland
• Die Beispielschaltungen wurden nach den Fassungen von 2015 (EN
Einleitung
sowie dem Institut für Arbeitsschutz der Deutschen Gesetzlichen
ISO 13849 und EN IEC 62061) bestimmt, die Rechenverfahren sind aber
Unfallversicherung (IFA) zertifiziert.
auch für die aktuellen Ausgaben der Normen anwendbar.
• In den Beispielschaltungen ist mit der Angabe EN ISO 13849-1:2015 Eaton Safety Technology-Komponenten decken die komplette
jeweils die Fassung EN ISO 13849-1 + AC 2009 gemeint Sicherheitskette ab:
• In den Beispielschaltungen ist mit der Angabe EN IEC 62061 Edition
• Schnelles und sicheres Erfassen im Eingabebereich.
1.2 2015-06 jeweils die Fassung EN IEC 62061 + AC 2010 +
• Sicheres Überwachen und Verarbeiten durch Logikeinheiten.
AC1 2013 gemeint.
• Zuverlässiges Abschalten im Ausgabebereich.
• Bei allen Beispielen mit Not-Halt Einrichtungen wurden mit typischen
B10d Werten für Not-Halt Geräte nach EN ISO 13849-1:2015 Tabelle
C.1 gerechnet. Die Eaton Not Halt Geräte übertreffen diesen Wert
Schnelles und sicheres Erfassen Sicheres Überwachen und Verarbeiten Zuverlässiges Abschalten
Input Logic Output
12/22 PU05907001Z-DE 13
Einleitung
NOT-HALT-Befehlsgeräte sein, dass zusätzliche Maßnahmen zur Fehlererkennung zwingend

erforderlich werden. Dies kann beispielsweise eine mechanische
NOT-HALT-Befehlsgeräte müssen nach dem Prinzip der Zwangsbetätigung
Gefährdung des Kontaktelements durch Schlag oder Stoß sein, oder
arbeiten.
auch ein mögliches Abscheren des Betätigers durch bewegte Teile in
NOT-HALT-Tasten mit Zwangsöffnung → nach IEC 60947-5-1, Anhang K, der Umgebung. In diesen Fällen ist eine erhöhte Anforderung an die
öffnen die Kontakte mit einer starren Verbindung zwischen Bedienteil und Sicherheitsfunktion gegeben und der Betreiber ist verpflichtet dem
Kontaktsatz. Darüber hinaus ist die Forderung der Überlistungssicherheit Rechnung zu tragen. Der SMC findet in diesen Fällen mit besonderer
sichergestellt. Gefährdung Anwendung und kann die erforderliche Minimierung dieser
Gefährdungen erbringen.
Einleitung
3 1
4 2
Abbildung 2: Prinzip der Zwangsbetätigung bei NOT-HALT-Befehlsgeräten Abbildung 3: Einkanalig mit Überwachungskontakt
NOT-HALT Kontaktüberwachung durch SMC (Self Monitoring

Contact) bei besonderer Gefährdung der Betätigungseinheit
Funktionsweise:
Das SMC System ist ein Kontaktelement, das aus der Reihenschaltung
eines Öffner-Kontaktelement mit einem Schließer-Kontaktelements 3 1 1
besteht. Die zweikanalige Lösung besteht aus zwei Öffner-
Kontaktelementen. Auch hier besteht die Reihenschaltung aus einem
Öffner- und einem Schließer-Kontaktelement. Der Schließer-Kontakt 4 2 2
des SMC ist konstruktiv so mit dem Betätiger verbunden, das er
nur geschlossen ist, wenn eine betriebsmäßig richtige Verbindung
von Betätiger und Kontaktelement hergestellt ist. Ein nicht korrekt
aufgesteckter oder abgerissener Kontaktelementblock oder ein
abgerissener Deckel eines Aufbaugehäuses führt nur mit SMC zum Öffnen Abbildung 4: Zweikanalig mit Überwachungskontakt
des Schließers und damit zur Auslösung der Sicherheitsfunktion.
Sicherheitstechnische Bewertung:
Die zweikanaligen NOT-HALT-Geräte der RMQ Baureihe ohne SMC haben 3 1 1 1
einen B10d Wert von 2.000.000. Damit kann ein sicherheitstechnischer
Aufbau bis zu SIL3 bzw. PL e erreicht werden.
4 2 2 2
Beispiel:
Erfolgen beispielsweise weniger als 660.000 Betätigungen pro Jahr, was
bei einem NOT-HALT ja immer erfüllt wird, so wird ein hoher MTTFd Wert
erreicht. Ein hoher DC wird durch Maßnahmen in der angeschlossenen
Auswertelogik erreicht. Ist der Aufbau dann noch nach Kat4, so sind alle
Voraussetzungen für SIL3 bzw. PL e erreicht.
Anwendung des SMC:
Sollte bei der Risikoanalyse oder bei der Validierung für einen NOT-HALT-
Abbildung 5: Z weikanalig mit Überwachungs- und Melde-Kontakt
Taster eine besondere Gefährdung erkannt werden, so kann es über den (in einer Einbauebene)
Nachweis der Erfüllung des erforderlichen PL oder SIL hinaus erforderlich
14 12/22 PU05907001Z-DE
Sicherheitsschütze Sicherheitstechnische Kenngrößen
Alle Varianten der Sicherheitsschütze DILMS sind mit einem Zur Berechnung des Performance Level oder des Safety Integrity Level
vormontierten, nicht lösbaren Aufbauhilfsschalter ausgestattet. Dieser (SIL) werden sicherheitstechnische Kenngrößen, unabhängig von
verfügt sowohl über Spiegelkontakte als auch über eine Zwangsführung. der Applikation, herangezogen. Die SISTEMA Software des Instituts
Ein eingebautes Sichtfenster direkt über der Schaltstellungsanzeige für Arbeitsschutz verfügt über alle relevanten Komponenten und
zeigt deutlich, in welchem Status sich die Maschine oder Anlage aktuell Kenngrößen zur einfachen Bestimmung der Sicherheitskomponenten
befindet. Eine manuelle Betätigung des Sicherheitsschütz wird verhindert. und Risikoklassifizierungen. Die B10d/B10 Werte sind dabei für die
Sicherheitsschütze von besonderer Bedeutung.
Das Sortiment der Sicherheitsschütze deckt insgesamt einen Strombereich
von 7-150A ab und teilt sich auf vier Baugrößen auf. Vervollständigt wird
Einleitung
das Sortiment mit Sicherheitshilfsschützen DILAS. Norm EN ISO 13849-1 EN IEC 62061
B10d B10
Folgende Antriebsvarianten werden abgedeckt:
DILMS7-12/ XTSE007B-012B 1.782.229 1.336.672
• 110V 50Hz, 120V 60Hz
• 230V 50Hz, 240V 60Hz DILMS17-32/ XTSE018C-032C 966.617 724.963
• 24VDC (RDC24) DILMS40-65/ XTSE040D-065D 1.341.161 1.005.871
Die Sicherheitsschütze sind nach CE, UL, CSA, und SUVA zertifiziert. DILMS80-95/ XTSE080F-095F 1.058.707 772.856
DILMS115-150/ XTSE115G-150G 1.705.268 1.278.951
Übersicht:
• Sichere Statusabfrage (Sichtfenster) – keine manuelle Betätigung Offene Gefahrenbereiche überwachen
mit Lichtgitter
möglich
• NOT-HALT-Funktion mit überwachtem Start (Kategorie 4)
• Zwangsgeführte Hilfskontaktelemente nach IEC 60947-5-1
• Spiegelkontakte
• Gelbe Farbkennzeichnung (RAL 1004)
• Nichtlösbarer Aufbauhilfsschalter (frontseitig) Sicheres Bedienen durch Zweihandschaltung
Bewegliche Schutzeinrichtung überwachen

mit Schutztürüberwachung ohne Verriegelung /
Zuhaltung
Schaltungen zum Stillsetzen im Notfall
Abbildung 6: Sicherheitsschütze DILMS7 – 32 A
Abbildung 7: Sicherheitsschütze DILMS40 – 150 A
12/22 PU05907001Z-DE 15
1 Stillsetzen im Notfall (NOT-HALT-Abschaltung)
1.1 Im Hauptstromkreis
Anwendung
• Für einfache Antriebe, bei denen die Netztrenneinrichtung (Haupt- → Die NOT-HALT-Funktion ist eine ergänzende Sicherheitsfunktion.
schalter) als Gerät zum Stillsetzen im Notfall (NOT-HALT-Schalter) Sie ist nicht als ausschließlicher Schutz zulässig!
verwendet werden kann.
• Wenn sofortiges Abschalten der Energiezufuhr nicht zu gefährlichen
Zuständen führt (ungesteuertes Stillsetzen – STOPP-Kategorie 0 nach
EN ISO 13850).
L1
L2
L3
L1
L2
L3
-Q2 -Q3
I> I> I> I> I> I>

T1
T2
T3
T1
T2
T3
U<
1
3
5
Hauptschalter =
-Q1 NOT-HALT-Schalter
2
4
6
PE
1.1
W
U
U
V
M PE M PE
3h 3h
PE
L1
L2
L3
Ungefährliche Bewegung Gefährliche Bewegung
Abbildung 8: Netztrenneinrichtung mit NOT-HALT-Funktion
Bedingungen Eigenschaften
• NOT-HALT-Schalter mit rotem Griff auf gelbem Grund einsetzen. • Aufbau mit bewährten Bauteilen und bewährten Sicherheitsprinzipien
• NOT-HALT-Schalter mit definierter Schaltstellung (O/I) wählen. (EN ISO 13849-1 und EN ISO 13849-2).
• NOT-HALT-Schalter muss gut erreichbar sein. • Brückenbildung im Schalter führt zum Verlust der Sicherheitsfunktion.
• Lasttrennschalter-Eigenschaften nach IEC 60947-3, in AUS-Stellung
abschließbar.
• Ausschaltvermögen muss ausreichend für die Ströme aller Verbraucher Funktion
und Strom des größten Motors im blockierten Zustand sein. Das Betätigen des NOT-HALT-Schalters Q1 schaltet die Energiezufuhr der
• Hauptschalter nur dann als NOT-HALT-Gerät verwenden, wenn das gesamten Anlage ab. Der Unterspannungsauslöser an Q3 verhindert einen
Abschalten aller Verbraucher nicht zu gefährlichen Zuständen führt. Wiederanlauf des gefährlichen Antriebs.
• Antriebe gegebenenfalls mit Unterspannungsauslösern sichern, damit
bei Spannungswiederkehr kein gefährlicher automatischer Wieder
anlauf erfolgt.
• Zusätzlich anwendbare Normen, z.B. IEC 60204-1, einhalten.
16 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Bedingung EN ISO 13849 Bedingung EN IEC 62061
Struktur Kat. 1 Struktur TS A

MTTFd 100 Jahre PFHd 6,25 x 10-7
B10d Q1: 10000 B10 Q1: 2000
nop Q1: 360 λd/λ Q1: 0,2
CCF nicht relevant C Q1: 0,0625
DCavg nicht relevant ß nicht relevant
PL c DC nicht relevant
T10d > 20 Jahre SIL 1
Sicherheitsgerichtete Schaltgeräte
Leistungsschalter NZMB1-A63 mit Türkupplungsdrehgriff NZM1-XTVDVR
1.1
Sicherheitsnormen
Norm Inhalt
→ Seite
EN ISO 13849-1/2 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – 116
Teil 1: Allgemeine Gestaltungsleitsätze
Teil 2: Validierung
EN IEC 62061 Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, 117
elektronischer und programmierbarer elektronischer Steuerungssysteme
IEC 60947-3 Niederspannungsschaltgeräte – Teil 3: Lastschalter, Trennschalter, Lasttrennschalter und –
Schalter-Sicherungs-Einheiten
12/22 PU05907001Z-DE 17
Stillsetzen im Notfall (NOT-HALT-Abschaltung)
1.2 Im Steuerstromkreis für einfache Antriebe
Anwendung
• Für einfache Antriebe, bei denen das Motorschütz betriebsmäßig → Die NOT-HALT-Funktion ist eine ergänzende Sicherheitsfunktion.
geschaltet wird. Sie ist nicht als ausschließlicher Schutz zulässig!
EN ISO 13850).
21
-S1
NOT-HALT
22
L1
L2
L3
21
-S2
Stopp
22
PE
13
13
1
3
5
-S3 -Q1 -Q1
Start
2
4
6
14
14
W
U
V
M PE
3h
1.2
A1
-Q1
A2
Abbildung 9: NOT-HALT-Abschaltung einer Selbsthaltung
Bedingungen
• NOT-HALT-Taster mit Zwangsöffnung nach IEC 60947-5-1, Anhang K,
und Funktion nach EN ISO 13850 einsetzen.
• Mit elektromechanischen Bauteilen fest verdrahten.
• Zuleitung geschützt verlegen.
• NOT-HALT-Abschaltung regelmäßig testen.
Eigenschaften
• Aufbau mit bewährten Bauteilen und bewährten Sicherheitsprinzipien
(EN ISO 13849-1 und EN ISO 13849-2).
• Brückenbildung im Schalter oder Nicht-Abfallen von Q1 führt zum
Verlust der Sicherheitsfunktion.
• Drahtbruch führt zum sofortigen Abschalten.
Funktionsweise
Durch Betätigen des NOT-HALT-Tasters S1 wird das Sicherheitsschütz /
Leistungsschütz Q1 spannungslos. Q1 schaltet die Energiezufuhr ab
(Ruhestromprinzip).
18 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Bedingung EN ISO 13849-1 Bedingung EN IEC 62061

B10d S1: 100000, Q1: 1300000 B10 S1: 20000, Q1: 975000
nop S1: 360, Q1: 7200 λd/λ S1: 0,2, Q1: 0,75
CCF nicht relevant C S1: 0,0625, Q1: 1,25
T10d >20 Jahre SIL 1
1.2
NOT-HALT-Taster M22-FIY1-PV-FK02 Sicherheitsschütz DILMS12
Leistungsschütz DILM12
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
IEC 60947-4-1 Niederspannungsschaltgeräte – Teil 4-1: Schütze und Motorstarter; Elektromechanische Schütze –
und Motorstarter
EN ISO 13850 Sicherheit von Maschinen – Not-Halt – Gestaltungsleitsätze 121
IEC 60947-5-1 Niederspannungsschaltgeräte – –
IEC 60947-5-5 Teil 5-1: Steuergeräte und Schaltelemente – Elektromechanische Steuergeräte
Teil 5-5: Steuergeräte und Schaltelemente – Elektrisches NOT-AUS-Gerät mit mechanischer
Verrastfunktion
12/22 PU05907001Z-DE 19
1.3 Zur Unterbrechung mehrerer Stromkreise mit Sicherheitsrelais
Anwendung
• Für umfangreiche Steuerungen, bei denen mehrere Stromkreise → Die NOT-HALT-Funktion ist eine ergänzende Sicherheitsfunktion.
unterbrochen werden müssen. Sie ist nicht als ausschließlicher Schutz zulässig!
EN ISO 13850).
1L1
L1
L2
L3
1
-F1 -F2
2
1
3
5
-Q1
2
4
6
21
-S1
NOT-HALT
22
21
ESR5-NO-31-230VAC
13
23
41
33
A1
A2
S35
S10
S11
S12
-Q4
-K11
22
~
~
21
-Q3 = K1
22
K2
Logik
L1
L2
L3
L1
L2
L3
L1
L2
L3
-Q5 -Q6 -Q7
21
-Q2
S33
S34
S21
S22
22
14
24
34
42
21
I> I> I> I> I> I> I> I> I>

-Q1
1.3
22
T1
T2
T3
T1
T2
T3
T1
T2
T3
13
13
13
13
13
13
-S3 -Q2 -S4 -Q3 -S5 -Q4

Start Start Start
14
14
14
14
14
14
1
3
5
1
3
5
1
3
5
-Q2 -Q3 -Q4
13
2
4
6
2
4
6
2
4
6
-S2
21
21
21
-S6 -S7 -S8

14
Reset Stopp Stopp Stopp

22
22
22
PE
A1
A1
A1
A1
-Q1 -Q2 -Q3 -Q4

W1
W1
W1
A2
A2
A2
A2
U1
U1
U1
V1
V1
V1
N
Freigabepfade M PE M PE M PE
3 3 3
Hauptstromkreise
Abbildung 10: Einkanaliger NOT-HALT mit ESR5
• NOT-HALT-Taster mit Zwangsöffnung (IEC 60947-5-1, Anhang K) und • Aufbau mit bewährten Bauteilen und bewährten Sicherheitsprinzipien
Funktion nach EN ISO 13850. (EN ISO 13849-1 und EN ISO 13849-2).
• Sicherheitsrelais mit zwangsgeführten Kontakten verwenden. • Überwachung der redundanten Abschaltstufe über Rückführkreis (K11).
• Mit elektromechanischen Bauteilen fest verdrahten. • Brückenbildung im NOT-HALT-Taster oder in Zuleitung führt zum Verlust
• NOT-HALT-Taster erkennbar und erreichbar außerhalb des Gefahren der Sicherheitsfunktion.
bereiches anbringen.
• Gefahr bringende Bewegung nach Freigabe mit separatem Startbefehl → Eine höhere Sicherheitsintegrität kann durch eine einfache
Erweiterung auf eine redundante NOT-HALT-Abschaltung
(S3 bis S5) einschalten. erreicht werden, → Kapitel 1.5 „Zweikanalig mit Sicherheits-
• NOT-HALT-Abschaltung regelmäßig testen. relais“, Seite 24
20 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Wird die Eingangsspannung von 230 V AC an A1 und A2 angelegt, zeigt Meldepfad (Anschluss 41-42) ist geöffnet und die Freigebapfade
die LED „Power“ die Bereitschaft zum Aktivieren der Freigabepfade an. (Anschluss 13-14, 23-24 und 33-34) sind geschlossen.
Beim Betätigen des RESET-Tasters S2 wird zunächst über die Öffner des
Über den jeweils zugehörigen Startbefehl S3, S4, S5 können
Rückführkreises Q1-Q4 kontrolliert, dass sich die Sicherheitsschütze /
nun die Sicherheitsschütze / Leistungsschütze Q2, Q3 und Q4
Leistungsschütze in Ruhestellung befinden. Ist dieser Zustand gegeben,
zugeschaltet werden. Das Freigabeschütz Q1 dient der redundanten
ziehen mit der steigenden Flanke die internen Freigaberelais an, was
sicherheitsgerichteten Abschaltung der Antriebe.
über die LEDs K1 und K2 signalisiert wird. Der nicht sicherheitsgerichtete
Struktur Kat. 1 Struktur TS A und TS D, unsymmetrisch

B10d S1: 100000, Q1-Q4: 1300000 B10 S1: 20000, Q1-Q4: 975000
nop S1, Q1: 1800, Q2-Q4: 7200 λd/λ S1: 0,2, Q1-Q4: 0,75
CCF 80 C S1, Q1: 0,3125, Q2-Q4: 1,25
DCavg 61,81 % ß 0,05
PL c DC S1: 0 %, K1: 99 %, Q1-Q4: 99 %
1.3
NOT-HALT-Taster M22-FIY1-PV-FK02 Sicherheitsrelais ESR5-NO-31-230VAC Sicherheitsschütze DILMS12 und DILMS25

Leistungsschütze DILM12 und DILM25
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
und Motorstarter
Verrastfunktion
12/22 PU05907001Z-DE 21
1.4 Zur Unterbrechung mehrerer Stromkreise mit Safety
Anwendung
• Für umfangreiche Steuerungen, bei denen mehrere Stromkreise • Wenn sofortiges Abschalten der Energiezufuhr nicht zu gefährlichen
unterbrochen werden müssen. Zuständen führt (ungesteuertes Stillsetzen – STOPP-Kategorie 0 nach
• Wenn Gefahren für Bediener oder Maschine entstehen können. EN ISO 13850).
→ Die NOT-HALT-Funktion ist eine ergänzende Sicherheitsfunktion.

Sie ist nicht als ausschließlicher Schutz zulässig!
+24 V
0V
L1
L2
L3
21
2
-F2 -F1 -Q1

1
22
21
-Q2
1
3
5
-Q1
22
2
4
6
21
-Q3
13
13
13
-S3 -S5 -S7

22
1
-S1 Start 1 Start 2 Start 3

14
14
14
21
13
13
13
NOT-HALT -Q4 -Q2 -Q4

2
22
14
14
14
13
21
21
21
-S2 -S4 -S6 -S8

Reset Stopp 1 Stopp 2 Stopp 2
22
22
22
14
+24V 0V 0V IS1 IS2 IS3 IS4 IS5 IS6 IS7 IS8 IS9 IS10 IS11 IS12 IS13 IS14
-K1 NET
L1
L2
L3
L1
L2
L3
L1
L2
L3
DC 24 V Input 14 x DC
-Q5 -Q6 -Q7
DEL ALT
P2
1.4
I> I> I> I> I> I> I> I> I>

P1 P3
P4
T1
T2
T3
T1
T2
T3
T1
T2
T3
ESC OK
ES4P-221-DRXD1
1
3
5
1
3
5
1
3
5
Output 1x Relay / 6A 4x Transistor / 0,5A 4x Test Signal
-Q2 -Q3 -Q4
1 2 1 2 1 2 1 2
2
4
6
2
4
6
2
4
6
QS1 QS2 QS3 QS4 T1 T2 T3 T4
PE
A1
A1
A1
A1
W1
W1
W1
U1
U1
U1
V1
V1
V1
PE
PE
PE
-X1 -X2 -X3
-Q1 -Q2 -Q3 -Q4
W1
W1
W1
A2
A2
A2
A2
U1
U1
U1
V1
V1
M PE M PE V1
M PE
3h 3h 3h
Abbildung 11: Einkanaliger NOT-HALT mit Safety
• Mit elektromechanischen Bauteilen fest verdrahten. • Überwachung der redundanten Abschaltstufe über Rückführkreis (K1).
• NOT-HALT-Taster einsehbar und nicht im Gefahrenbereich anbringen. • Brückenbildung im NOT-HALT-Taster oder in Zuleitung führt zum Verlust
• Gefahr bringende Bewegung nach Freigabe mit separatem Startbefehl der Sicherheitsfunktion.
einschalten.
22 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Der NOT-HALT-Taster S1 muss sich in Freigabe-Stellung (Öffnerkontakt möglich. Wird während der Gefahr bringenden Bewegung der NOT-HALT-
geschlossen) befinden, damit die Freigabe über den RESET-Taster S2 erteilt Taster S1 betätigt, entzieht Safety den Ausgängen die Freigabe,
werden kann. Mit Betätigen des zu dem jeweiligen Antrieb gehörenden die Schütze Q1-Q4 fallen ab. Ein erneutes Starten ist nun erst nach
START-Tasters (S3, S5, S7) startet die Gefahr bringende Bewegung. Rücksetzen des NOT-HALT-Tasters und dessen Freigabe durch Betätigen
Die Selbsthaltung und ihre Unterbrechung realisieren zusätzliche der RESET-Taste S2 möglich.
Spiegelkontakte der Freigabeschütze Q2 bis Q4. Das entsprechende
Schütz fällt ab, ein erneutes Starten ist durch Betätigen des START-Tasters

B10d S1: 100000, Q1, Q4: 1300000 B10 S1: 20000, Q1-Q4: 975000
nop S1, Q1: 1800, Q2-Q4: 7200 λd/λ S1: 0,2, Q1-Q4: 0,75
CCF 80 C S1, Q1: 0,3125, Q2-Q4: 1,25
DCavg 39,66 % ß 0,05
PL c DC S1: 0 %, K1: 99 %, Q1-Q4: 99 %
1.4
NOT-HALT-Taster M22-FIY1-PV-FK02 Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütze DILMS12 und DILMS25

ES4P-221-DRXD1 Leistungsschütze DILM12 und DILM25
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
IEC 60947-4-1 Niederspannungsschaltgeräte – Teil 4-1: Schütze und Motorstarter; Elektromechanische –
Schütze und Motorstarter
Teil 5-5: Steuergeräte und Schaltelemente – Elektrisches NOT-AUS-Gerät mit
mechanischer Verrastfunktion
12/22 PU05907001Z-DE 23
1.5 Zweikanalig mit Sicherheitsrelais
Anwendung
• Wenn sofortiges Abschalten der Energiezufuhr nicht zu gefährlichen → Die NOT-HALT-Funktion ist eine ergänzende Sicherheitsfunktion.
Zuständen führt (ungesteuertes Stillsetzen – STOPP-Kategorie 0 nach Sie ist nicht als ausschließlicher Schutz zulässig!
EN ISO 13850).
• Wenn Gefahren für Bediener oder Maschine entstehen können.
1L1
L1
L2
L3
1
1
-F1 -F2
2
1
3
5
-Q1
.3
2
4
6
11
21
NOT-HALT
-S1
22
12
21
ESR5-NO-31-UC
A1
A2
S35
S10
S11
S12
13
23
33
41
-Q4
-K11
22
24 V … 230 V
AC/DC
21
K1
-Q3
22
Logik K2
L1
L2
L3
L1
L2
L3
L1
L2
L3
-Q5 -Q6 -Q7
21
-Q2
S33
S34
S21
S22
22
14
24
34
42
21
I> I> I> I> I> I> I> I> I>

-Q1
22
T1
T2
T3
T1
T2
T3
T1
T2
T3
1.5
13
13
13
13
13
13
-S3 -Q2 -S4 -Q3 -S5 -Q4

Start Start Start
14
14
14
14
14
14
13
1
3
5
1
3
5
1
3
5
-S2 -Q2 -Q3 -Q4
2
4
6
2
4
6
2
4
6
14
Reset
21
21
21
-S6 -S7 -S8

Stopp Stopp Stopp
22
22
22
PE
A1
A1
A1
A1
-Q1 -Q2 -Q3 -Q4

W1
W1
W1
A2
A2
A2
A2
U1
U1
U1
V1
V1
V1
N
Freigabepfade M PE M PE M PE
3 3 3
Hauptstromkreise
Abbildung 12: Zweikanaliger NOT-HALT mit ESR5
• NOT-HALT-Taster mit Zwangsöffnung nach IEC 60947-5-1, Anhang K, • Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN
und Funktion nach EN ISO 13850 zweikanalig und querschlusssicher auf ISO 13849-1 und EN ISO 13849-2).
ESR5 verdrahten. • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
• Schütze redundant und mit zwangsgeführten und mit Spiegelkontakten selbstüberwachend.
(nach IEC 6097-4-1, Anhang F) ausführen. • Einzelfehler: Drahtbruch, Brückenbildung und Querschluss werden
• Mit elektromechanischen Bauteilen fest verdrahten. sofort oder unmittelbar beim nächsten Einschaltbefehl sicher erkannt.
• Quittierung mit Reset nach Entriegelung des NOT-HALT-Tasters • Anhäufung von unerkannten Fehlern führt nicht zum Verlust der
notwendig. Sicherheitsfunktion.
• Bewegung nach Freigabe mit separatem Startbefehl einschalten. • Vervielfältigung der Freigabepfade mit Kontakterweiterungen möglich
• Zusätzlich anwendbare Normen, z.B. IEC 60204-1, einhalten. (z. B. mit ESR5-NE-51-24VAC-DC).
24 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Wird die Eingangsspannung von 230 V AC an A1 und A2 angelegt, zeigt Meldepfad (Anschluss 41-42) ist geöffnet und die Freigabepfade
die LED „Power“ die Bereitschaft zum Aktivieren der Freigabepfade an. (Anschluss 13-14, 23-24 und 33-34) sind geschlossen.
Beim Betätigen des RESET-Tasters S2 wird zunächst über die Öffner des
Über den jeweils zugehörigen Startbefehl S3, S4, S5 können nun die
Rückführkreises Q1-Q4 kontrolliert, dass sich die Sicherheitsschütze /
Sicherheitsschütze / Leistungsschütze Q2, Q3 und Q4 zugeschaltet
werden. Das Freigabeschütz Q1 dient der übergeordneten,
sicherheitsgerichteten Abschaltung der Antriebe.
Struktur Kat. 4 Struktur TS D, unsymmetrisch

B10d S1: 100000, Q1,Q4: 1300000 B10 S1: 20000, Q1,Q4: 975000
nop S1, Q1: 1800, Q2,Q4: 18000 λd/λ S1: 0,2, Q1,Q4: 0,75
CCF 80 C S1, Q1: 0,3125, Q2,Q4: 3,125
DCavg 99 % ß 0,05
PL e DC S1: 99 %, K1: 99 %, Q1,Q4: 99 %
1.5
NOT-HALT-Taster M22-PVT45P-MPI + M22-A + Sicherheitsrelais ESR5-NO-31-UC Sicherheitsschütze DILMS12 und DILMS25

M22-CK02 Leistungsschütze DILM12 und DILM25
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
12/22 PU05907001Z-DE 25
1.6 Zweikanalig mit Safety
Anwendung
• Wenn Gefahren für Bediener oder Maschine entstehen können. → Die NOT-HALT-Funktion ist eine ergänzende Sicherheitsfunktion.
• Wenn sofortiges Abschalten der Energiezufuhr nicht zu gefährlichen Sie ist nicht als ausschließlicher Schutz zulässig!
EN ISO 13850)
+24 V L1 L1
0V L2 L2
24V1 L3 L3
13
-S5
Reset
14
L1
L2
L3
-Q4
21
2
-F2 -F1 -Q1 22

1
11
21
13
13
21
21
21
-S1 -S2 -S3 -S4 -S6 I> I> I>

Start Stopp Start Stopp -Q2 NOT-HALT
22
22
14
14
22
12
Antrieb 1 Antrieb 1 Antrieb 2 Antrieb 2
22
T1
T2
T3
21
-Q3
22
1
3
5
-Q1
2
4
6
-K1 NET
DEL ALT
P2
P1 P3
P4
ESC OK
1.6
ES4P-221-DMXD1
1
3
5
1
3
5
1 2 -Q2 -Q3
QR1 +24V 0V QS1 QS2 QS3 QS4 T1 T2 T3 T4
2
4
6
2
4
6
PE
W1
W1
U1
U1
V1
V1
PE
PE
-X1 -X2
A1
A1
A1
W1
W1
-Q1 -Q2 -Q3
U1
U1
V1
V1
A2
A2
A2
0V M PE M PE
3h 3h
Gefahr bringender Antrieb Ungefährlicher Antrieb
Antrieb 1 Antrieb 2
Abbildung 13: Zweikanaliger NOT-HALT mit Safety
Safety verdrahten. • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
• Eingänge mit unterschiedlichen Testsignalen verwenden. selbstüberwachend.
• Schütze redundant und mit zwangsgeführten und mit Spiegelkontakten • Einzelfehler: Drahtbruch, Brückenbildung und Querschluss werden
(nach IEC 6097-4-1, Anhang F) ausführen. sofort oder unmittelbar beim nächsten Einschaltbefehl sicher erkannt.
• Mit elektromechanischen Bauteilen fest verdrahten. • Anhäufung von unerkannten Fehlern führt nicht zum Verlust der
• Quittierung mit Reset nach Entriegelung des NOT-HALT-Tasters Sicherheitsfunktion.
notwendig. • Vervielfältigung der Freigabepfade mit Kontakterweiterungen möglich
• Nach Freigabe die Bewegung mit separatem Startbefehl einschalten. (z. B. mit ESR5-NE-51-24VAC-DC).
26 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Der NOT-HALT-Taster S6 muss sich in Freigabe-Stellung (Öffnerkontakte Wird während der Gefahr bringenden Bewegung der NOT-HALT-Taster
geschlossen) befinden, damit die Freigabe über den Taster S5 RESET betätigt, wird die Freigabe der Ausgänge entzogen und die Schütze
erteilt werden kann. Mit dem Betätigen des START-Tasters S1 wird Q1-Q3 fallen ab. Ein erneutes Starten ist erst nach Rücksetzen des N
OT-
die Gefahr bringende Bewegung gestartet. Die Selbsthaltung und ihre HALT-Tasters und dessen Freigabe durch Betätigen des RESET-Tasters
Unterbrechung – ausgelöst durch den STOPP-Taster S2 – werden über das möglich.
Programm realisiert. Das Schütz Q2 fällt ab. Ein erneutes Starten ist durch
Betätigen der START-Taste möglich.

B10d S6: 100000, Q1-Q3: 1300000 B10 S6: 20000, Q1-Q3: 975000
nop S6, Q1: 1800, Q2-Q3: 18000 λd/λ S6: 0,2, Q1-Q3: 0,75
CCF 80 C S6, Q1: 0,3125, Q2-Q3: 3,125
DCavg 99 % ß 0,05
PL e DC S6: 99 %, K1: 99 %, Q1-Q3: 99 %
1.6
NOT-HALT-Taster M22-PVT45P-MPI + M22-A + Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütze DILMS12 und DILMS25
M22-CK02 ES4P-221-DMXD1 Leistungsschütze DILM12 und DILM25
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 1: Allgemeine Gestaltungsleitsätze, Teil 2: Validierung
und Motorstarter
Verrastfunktion
12/22 PU05907001Z-DE 27
1.7 Bei elektronisch geregelten Antrieben
Anwendung
EN ISO 13850).
• Wenn Gefahren an Maschinen mit elektronisch geregelten Antrieben
entstehen können.
+24 V L1 L1
0V L2 L2
L3 L3
PE PE
2
-F2 -F1
L1
L2
L3
1
13
13
21
-S1 -S2 -S3 -Q4

Start Stopp Reset
22
14
14
11
21
21
I> I> I>

K 11
-Q1 -S4
T1
T2
T3
NOT-HALT
22
22
-T1
12
K 14
21
-Q2
1
3
5
-Q1
22
2
4
6
-K1
1
3
5
NET
-Q2
2
4
6
DEL ALT
W1
U1
V1
P2
P1 P3 PE
-R1
13
1
P4 -QR1 -Q3
14
ESC OK
U2
V2
W2
ES4P-221-DMXD1
PE
L1
L2
L3
1.7
1 2 -R2
2
4
6
8
L1
L2
L3
PE
1
2
5
P 24
-T1
L+
DC+
DC-
K 12
K 14
K 11
A1
A1
A1
PE
W
U
-Q1 -Q2 -Q3

V
A2
A2
A2
W1
U1
V1
PE
-X1
W1
U1
V1
M PE
3h
Abbildung 14: NOT-HALT mit Safety bei elektronisch geregeltem Antrieb
Safety verdrahten. • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
• Eingänge mit unterschiedlichen Testsignalen verwenden. selbstüberwachend.
• Schütze redundant und mit zwangsgeführten und mit Spiegelkontakten • Einzelfehler: Drahtbruch, Brückenbildung und Querschluss werden
(nach IEC 6097-4-1, Anhang F) ausführen. sofort oder unmittelbar beim nächsten Einschaltbefehl sicher erkannt.
• Mit elektromechanischen Bauteilen fest verdrahten. • Anhäufung von unerkannten Fehlern führt nicht zum Verlust der
• Quittierung mit Reset nach Entriegelung des NOT-HALT-Tasters Sicherheitsfunktion
notwendig.
• Bewegung nach Freigabe mit separatem Startbefehl einschalten.
• Energiezufuhr über die Abschaltstufe trennen.
28 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Der NOT-HALT-Taster S4 muss sich in Freigabe-Stellung (Öffnerkontakte entzogen und die Schütze fallen ab. Ein erneutes Starten ist erst nach
geschlossen) befinden, damit die Freigabe über den RESET-Taster S3 Rücksetzen des NOT-HALT-Tasters und dessen Freigabe durch Betätigen
erteilt werden kann. Mit dem Betätigen des START-Tasters S1 wird die der RESET-Taste möglich.
Gefahr bringende Bewegung in Gang gesetzt. Die Selbsthaltung und ihre
Mit der Verwendung des Ausgangs QS4 kann der Antrieb aktiv gebremst
Unterbrechung wird über das Programm realisiert. Die beiden Schütze
werden. Diese Option wird jedoch nicht in die Sicherheitsbetrachtung
fallen ab, ein erneutes Starten ist durch Betätigen der START-Taste
einbezogen, da der Frequenzumrichter den sicheren Bremsvorgang nicht
möglich. Wird während der Gefahr bringenden Bewegung der NOT-
unterstützt.
HALT-Taster S4 betätigt, wird die Freigabe der Ausgänge QS1 und QS2
Struktur Kat. 4 Struktur TS D, symmetrisch

B10d S4: 100000, Q1, Q2: 1300000 B10 S4: 20000, Q1, Q2: 975000
nop 1800 λd/λ S4: 0,2, Q1-Q2: 0,75
CCF 80 C 0,3125
DCavg 99 % ß 0,05
PL e DC S4: 99 %, K1: 99 %, Q1-Q2: 99 %
1.7
Fuß- und Grobhandtaster FAK Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütz DILMS12

ES4P-221-DMXD1 Leistungsschütz DILM12
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
12/22 PU05907001Z-DE 29
1.8 Zweikanalig mit Frequenzumrichter DA1
Anwendung
• Die STO-Funktion kann überall dort eingesetzt werden, wo ein Antrieb • Wenn Gefahren an Maschinen mit elektronisch geregelten Antrieben
durch das Lastmoment oder durch Reibung in genügend kurzer Zeit entstehen können.
selbst zum Stillstand kommt oder wo der nicht geführte Auslauf des
Antriebs, das sogenannte „Austrudeln“, keine sicherhetstechnische → Die NOT-HALT-Funktion ist eine ergänzende Sicherheitsfunktion.
Relevanz hat (STOPP-Kategorie 0).
+24 V
0V
1
1
-F1 -F2
L1 L1
2
2
L2 L2
L3 L3
PE PE
13
-S1
L1
L2
L3
Reset
14
-Q1
-K11
41
A1
A2
13
23
S11
S33
S34
S12
Power I> I> I>
T1
T2
T3
24 V PES
FWD
24 V
REV
AC/DC
K1
Logik
1.8
L1/L L2/N L3  12 13 1 2 3
K2
STO+
STO-
EMC
14
-T1 24 V DC
DC- VAR
16
S21
S22
14
24
42
DC+
ESR5-NO-21-24VAC-DC
BR STO
11
21
-S2 PES
NOT-HALT
22
12
-T1 U V W  14 16
DA1 alle Typen
PES
M
3~ 
Abbildung 15: Zweikanaliger NOT-HALT über STO am DA1 mit Sicherheitsrelais ESR5
• NOT-HALT-Taster mit Zwangsöffnung (IEC 60947-5-1, Anhang K) • Aufbau mit bewährten Bauteilen und bewährten Sicherheitsprinzipien
und Funktion nach EN ISO 13850. (EN ISO 13849-1 und EN ISO 13849-2).
• Sicherheitsrelais mit zwangsgeführten Kontakten verwenden.
• Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
• NOT-HALT-Taster einsehbar und nicht im Gefahrenbereich anbringen.
selbstüberwachend.
• Gefahrbringende Bewegung erst nach Freigabe mit separatem
Reset einschalten.
• NOT-HALT-Abschaltung täglich testen. → Die STO-Funktion ist im Frequenzumrichter DA1 stets aktiviert
und freigegeben – unabhängig vom Betriebsmodus oder einer
• Zusätzlich anwendbare Normen, z.B. IEC 60204-1, einhalten. Parameteränderung durch den Benutzer.
• Versorgungsleitung zu STO+ und STO- verdrillt und geschirmt
ausführen. → Weitere Informationen zum Frequenzumrichter DA1 finden
• Versorgungsleitung in geschlossenen Kabelkanal verlegen. Sie im Handbuch MN04020005Z
• Schirmgeflecht erden (PES).
30 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Wird das ESR5 an den Klemmen A1 und A2 mit Spannung versorgt, kann Eine NOT-HALT Betätigung führt zum Abschalten der Ausgänge des
durch Betätigen des RESET-Tasters das Aktivieren des Freigabepfades Sicherheitsrelais und damit zum Abschalten der Spannung am STO
erfolgen. Durch das Ansteuern von –K1 und –K2 im Sicherheitsrelais wird Eingang des Frequenzumrichters. Nach max. 1ms sind die Ausgänge im
der STO Eingang mit Spannung versorgt und die sicherheitstechnische Leistungsteil (U, V, W) in einem Zustand, der kein Drehmoment mehr im
Freigabe zum Start erteilt. Der applikative Startbefehl und die Motor erzeugt (STO-Funktion aktiviert). Die Dauer des Austrudelns bis zum
ggf. gewünschte Drehrichtung wird über die Beschaltung des Stillstand hängt von der Massenträgheit und den Reibungskräften des
Frequenzumrichters an den Klemmen REV und FWD gegeben. mechanischen Systems ab.
Ein Kurzschluss oder ein Ausfall der Versorgungsspannung führt
ebenfalls zum sicheren Zustand, da die 24V Versorgung am STO
Eingang zusammenbricht.
Struktur Kat. 3 Struktur TS B

B10d S2: 100000 B10 S2: 20000
nop S2: 1800 λd/λ S2: 0,2
CCF 80 C S2: 0,0625
DCavg 99 % ß 0,05
PL d DC 99 %
1.8
NOT-HALT-Taster M22-PV/KC02/IY Sicherheitsrelais ESR5-NO-21-24 V AC DC Frequenzumrichter DA 1
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
IEC 61800-5-1 Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl - -
Teil 5-1: Anforderungen an die Sicherheit - Elektrische, thermische und
energetische Anforderungen
IEC 60204-1 Sicherheit von Maschinen - Elektrische Ausrüstung von Maschinen Teil 1: Allgemeine -
Anforderungen
IEC / EN 61800-5-2 Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl Teil 5-2: Anforderungen -
an die Sicherheit - Funktionale Sicherheit
12/22 PU05907001Z-DE 31
Anwendung
• Die SS1-Funktion kann überall dort eingesetzt werden, wo ein Antrieb • Wenn Gefahren an Maschinen mit elektronisch geregelten Antrieben
über eine Bremsrampe überwacht runtergefahren werden soll. Die STO- entstehen können.
Funktion kann dann entweder nach einer Verzögerungszeit oder dem
Stillstand des Antriebes aktiviert werden (STOPP-Kategorie 1). Die SS1-
Funktion ist rein funktional und nicht sicherheitsgerichtet klassifiziert.
+24 V
0V
1
1
-F1 -F2 -F3
L1 L1
2
2
L2 L2
L3 L3
PE PE
13
-S1
L1
L2
L3
Reset
14
-Q1
37
47
A1
A2
13
23
S11
S34
S12
-K11
Power I> I> I>
24 V K1
T1
T2
T3
PES
AC/DC
24 V
K2
Logik L1/L L2/N L3  12 13 1 2 3 7
K3
1.9
STO+
STO-
EMC
K4
14
-T1 24 V DC
DC- VAR
16
S21
S22
14
24
38
48
DC+
ESR5-NV3-30
BR STO
11
21
-S2 PES
NOT-HALT
22
12
-T1 U V W  14 16
DA1 alle Typen
PES
M
3~ 
• NOT-HALT-Taster mit Zwangsöffnung (IEC 60947-5-1, Anhang K) • Aufbau mit bewährten Bauteilen und bewährten Sicherheitsprinzipien
und Funktion nach EN ISO 13850. (EN ISO 13849-1 und EN ISO 13849-2).
• Sicherheitsrelais mit zwangsgeführten Kontakten verwenden. • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
• NOT-HALT-Taster einsehbar und nicht im Gefahrenbereich anbringen. selbstüberwachend.
Reset einschalten. → Die STO-Funktion ist im Frequenzumrichter DA1 stets aktiviert
• NOT-HALT-Abschaltung einmal im Quartal testen. Parameteränderung durch den Benutzer.
• Zusätzlich anwendbare Normen, z.B. IEC 60204-1, einhalten. → Weitere Informationen zum Frequenzumrichter DA1 finden Sie im
• Versorgungsleitung zu STO+ und STO- verdrillt und geschirmt Handbuch MN04020005Z
ausführen. → Die SS1 Funktion ist rein funktional und nicht als
• Versorgungsleitung in geschlossenen Kabelkanal verlegen sicherheitsgerichtet klassifiziert
• Schirmgeflecht erden (PES). → In der Werkseinstellung ist die Relais Funktion mit P2-15=1 richtig
• Eine applikationsbezogene Parametrierung des DA1 und des vorgegeben
Sicherheitsrelais ist unabdingbar. → Über P2-36 = 0 (Werkseinstellung) ist ein Wiederanlaufen verhindert
• Die Rampenzeit des DA1 muss kürzer eingestellt sein, als die → Durch eine Kombination von P2-39 (Parametersperre) und P2-40
Verzögerungszeit des Sicherheitsrelais. (4-stelliges Passwort) kann eine Zugriffssperre parametriert werden.
32 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise Wird das ESR5 an den Klemmen A1 und A2 mit Spannung versorgt,
kann durch Betätigen des RESET-Tasters und der Freigabe des DA1
Nach der Not-Halt Betätigung wird über die verzögerten Kontakte des über Klemme 14-16 das Aktivieren des Freigabepfades erfolgen. Durch
Sicherheitsrelais das Fahren der Bremsrampe des DA1 ausgelöst. Kurz das Ansteuern von –K1 und –K2 im Sicherheitsrelais wird der STO
nach der ungünstigst anzunehmenden Bremszeit wird der STO des DA1 Eingang mit Spannung versorgt und die sicherheitstechnische Freigabe
über den verzögerten Kontakt des Sicherheitsrelais ausgelöst. Bremszeit zum Start erteilt. Eine NOT-HALT Betätigung führt zum Abschalten der
und Sicherheitszeit sind entsprechend einzustellen. Damit wird die Stopp unverzögerten Ausgänge des Sicherheitsrelais und damit zum Ansteueren
Kategorie 1 realisiert. Über diesen Weg kann der Antrieb gebremst und
der Bremsrampe über Klemme 3. Das Abschalten der Spannung am
damit schnell zum Halt gebracht werden. Sicherheitstechnisch muss STO Eingang des Frequenzumrichters erfolgt nach der eingestellten
bis zum sicheren Stillstand des Antriebes die Austrudelzeit ohne den Verzögerungszeit am Sicherheitsrelais.
Bremsvorgang berücksichtigt werden. Die Sicherheitsberechnung ist ohne
das Bremsen, sondern nur über die STO- Funktion durchzuführen. Ein Kurzschluss oder ein Ausfall der Versorgungsspannung führt

B10d S2: 100000 B10 S2: 20000
nop S2: 1800 λd/λ S2: 0,2
CCF 80 C S2: 0,0625
DCavg 99 % ß 0,05
PL d DC 99 %
1.9
NOT-HALT-Taster M22-PV/KC02/IY Sicherheitsrelais ESR5-NV3-30 Frequenzumrichter DA 1
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
IEC 60204-1 Sicherheit von Maschinen - Elektrische Ausrüstung von Maschinen Teil 1: -
Allgemeine Anforderungen
IEC / EN 61800-5-2 Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl Teil 5-2: -
Anforderungen an die Sicherheit - Funktionale Sicherheit
12/22 PU05907001Z-DE 33
Anwendung
Antriebs, das sogenannte „Austrudeln“, keine sicherhetstechnische
+24 V
0V
1
1
-F1 -F2 -F3
L1 L1
2
2
L2 L2
L3 L3
PE PE
13
-S1
L1
L2
L3
Reset
14
-Q1
41
A1
A2
13
23
S11
S33
S34
S12
-K11
Power I> I> I>
T1
T2
T3
24 V
FWD
21
24 V
REV
-Q2 AC/DC
K1
Logik
22
L1/L L2/N L3  12 13 1 2 3
K2
STO+
STO-
EMC
24 V DC
DC- VAR
S21
S22
1.10
14
24
42
DC+
ESR5-NO-21-24VAC-DC
BR STO
11
21
-S2
NOT-HALT -T1
22
12
U V W  14 16
DA1 alle Typen
-Q2
0V
PES
M
3~ 
Bedingungen • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
selbstüberwachend.
• NOT-HALT-Taster mit Zwangsöffnung (IEC 60947-5-1, Anhang K)
und Funktion nach EN ISO 13850.
• Sicherheitsrelais mit zwangsgeführten Kontakten verwenden. → Die STO-Funktion ist im Frequenzumrichter DA1 stets aktiviert
• NOT-HALT-Taster einsehbar und nicht im Gefahrenbereich anbringen.
Parameteränderung durch den Benutzer.
Reset einschalten. → Weitere Informationen zum Frequenzumrichter DA1 finden
• NOT-HALT-Abschaltung täglich testen. Sie im Handbuch MN04020005Z
→ In der Werkseinstellung ist die Relais Funktion
• Fehlerausschluss auf den STO Versorgungsleitungen.
mit P2-15=1 richtig vorgegeben
• Versorgungsleitung zu STO+ und STO- verdrillt und geschirmt
ausführen. → Über P2-36 = 0 (Werkseinstellung) ist ein
• Versorgungsleitung in geschlossenen Kabelkanal verlegen. Wiederanlaufen verhindert
→ Durch eine Kombination von P2-39 (Parametersperre) und
Eigenschaften P2-40 (4-stelliges Passwort) kann eine Zugriffssperre
parametriert werden.
(EN ISO 13849-1 und EN ISO 13849-2).
34 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Wird das ESR5 an den Klemmen A1 und A2 mit Spannung versorgt, kann Eine NOT-HALT Betätigung führt zum Abschalten der Ausgänge des
durch Betätigen des RESET-Tasters das Aktivieren des Freigabepfades Sicherheitsrelais und damit zum Abschalten der Spannung am STO
erfolgen. Durch das Ansteuern von –K1 und –K2 im Sicherheitsrelais wird Eingang des Frequenzumrichters, sowie zum Abfallen des Schütz im
der STO Eingang mit Spannung versorgt und die sicherheitstechnische Ausgang des Frequenzumrichter. Nach max. 1ms sind die Ausgänge im
Freigabe zum Start erteilt. Der applikative Startbefehl und die Leistungsteil (U, V, W) in einem Zustand, der kein Drehmoment mehr im
ggf. gewünschte Drehrichtung wird über die Beschaltung des Motor erzeugt (STO-Funktion aktiviert). Die Dauer des Austrudelns bis zum
Frequenzumrichters an den Klemmen REV und FWD gegeben. Stillstand hängt von der Massenträgheit und den Reibungskräften des
mechanischen Systems ab.

B10d S2: 100000 B10 S2: 20000
nop S2: 1800 λd/λ S2: 0,2
CCF 80 C S2: 0,3125
DCavg 99 % ß 0,05
1.10
PL e DC 99 %
NOT-HALT-Taster M22-PV/KC02/IY Sicherheitsrelais ESR5-NO-21-24 V AC DC Sicherheitsschütz DILMS12 Frequenzumrichter DA 1

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
Anforderungen
12/22 PU05907001Z-DE 35
1.11 Einkanalig mit Frequenzumrichter DG1
Anwendung
Antriebs, das sogenannte „Austrudeln“, keine sicherhetstechnische
L1 L1
L2 L2
L3 L3
PE PE
L1
L2
L3
-Q1
I> I> I>

11
T1
T2
T3
-S2
NOT-HALT
12
FWD
24 V
REV
L1 L2 L3 
STO+
STO-
1.11
DC-
DC+ /R+
R- STO
-T1
U V W 
DG1 alle Typen
PES
M
3~ 
Abbildung 18: Einkanaliger NOT-HALT über STO am DG1
Bedingungen • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und

selbstüberwachend.
• NOT-HALT-Taster mit Zwangsöffnung (IEC 60947-5-1, Anhang K)
und Funktion nach EN ISO 13850. • In diesem Beispiel wird der STO geräteintern mit Spannung versorgt.
• Sicherheitsrelais mit zwangsgeführt Kontakten verwenden.
• NOT-HALT-Taster einsehbar und nicht im Gefahrenbereich anbringen. → Die STO-Funktion ist im Frequenzumrichter DG1 stets aktiviert
• Gefahrbringende Bewegung erst nach Freigabe mit separatem und freigegeben – unabhängig vom Betriebsmodus oder einer
Reset einschalten. Parameteränderung durch den Benutzer.
• NOT-HALT-Abschaltung einmal im Jahr testen.
→ Weitere Informationen zum Frequenzumrichter DG1 finden Sie
im Handbuch MN040002DE.
• Versorgungsleitung zu STO+ und STO- verdrillt und
geschirmt ausführen.
• Versorgungsleitung in geschlossenen Kabelkanal verlegen
Eigenschaften
(EN ISO 13849-1 und EN ISO 13849-2).
36 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Der STO Eingang des DG1 hat Funktionale Sicherheit SIL1, zertifiziert nach Eine NOT-HALT Betätigung führt zum Öffnen des STO-Kreises und führt
IEC/EN61800-5-2 und DIN EN ISO 13849 Kategory 1, Performance Level C. somit zu einer Abschaltung der IGBT des DG1. Nach max. 1ms sind
die Ausgänge im Leistungsteil (U, V, W) in einem Zustand, der kein
Drehmoment mehr im Motor erzeugt (STO-Funktion aktiviert). Die Dauer
des Austrudelns bis zum Stillstand hängt von der Massenträgheit und den
Reibungskräften des mechanischen Systems ab.
ebenfalls zum sicheren Zustand, da die Versorgung der Treiberkreise
zusammenbricht.
Struktur Kat. 1 Struktur CL 1

MTTFd 1162 Jahre PFHd 1,61x10-7
B10d 100000 B10 20000
nop 360 λd/λ S2: 0,2
CCF nicht relevant C S2: 0,0625
1.11
NOT-HALT-Taster M22-FIY1-PV-FK02 Frequenzumrichter DG 1
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
Anforderungen
12/22 PU05907001Z-DE 37
1.12 Bei SmartWire-DT
Anwendung
• Wenn sofortiges Abschalten der Energiezufuhr nicht zu gefährlichen • Wenn Gefahren an Maschinen entstehen können, die mit
Zuständen führt (ungesteuertes Stillsetzen – STOPP-Kategorie 0 nach SmartWire-DT ausgerüstet sind.
EN ISO 13850).
+24 V
0V
1
-F1 -F2 1
1
2
-F3 -F4 -F5
2
13
-S1
23
Reset
14
-K11
ESR5-NO-31-24VAC-DC
33
21
13
23
41
33
A1
A2
S11
S33
S34
S12
-K11
24
-Q1 -K11
34
22
Power
24V
21
AC/DC
-Q11 K1
Logik -K13 +24V 0V
-K12
22
24V 0V 24V 0V
K2 AUX
POW AUX
21
-Q12
24 V DC
22
Bus IN Bus OUT

21
S21
S22
14
24
34
42
OUT
-Q13
22
11
21
21
A1
-Q14 -S2
-Q1 SWD-Bus
NOT-HALT
22
22
12
A2
1.12
L1
L2
L3
2
4
6
-F6
1
3
5
1
3
5
-Q1
2
4
6
L1
L2
L3
L1
L2
L3
L1
L2
L3
L1
L2
L3
-Q11 -Q12 -Q13 -Q14
X3
X4
X3
X4
X3
X4
X3
X4
A1
A1
A1
A1
21
21
21
21
PKE-SWD-32 PKE-SWD-32 PKE-SWD-32 PKE-SWD-32

22
22
22
22
A2
A2
A2
A2
Bus
Bus
Bus
Bus
T1
T2
T3
T1
T2
T3
T1
T2
T3
T1
T2
T3
SWD-Bus
PE
W1
W1
W1
W1
-X1 -X2 -X3 -X4

U1
U1
U1
U1
V1
V1
V1
V1
PE
PE
PE
PE
W1
W1
W1
W1
U1
U1
U1
U1
V1
V1
V1
V1
M PE M PE M PE M PE
3 3 3 3
Abbildung 19: NOT-HALT-Abschaltung einer mit SmartWire-DT vernetzten Maschine
Anmerkung: Für die sicherheitstechnische Betrachtung sind die SmartWire-DT Geräte EU5C-SWD-... (K12 und K13) und PKE-SWD-...
(Q11-Q14) nicht relevant. Es kann ausgeschlossen werden, dass die Versorgungsspannung des Systems SmartWire-DT
unbeabsichtigt zum Einschalten der angeschlossenen Schütze führt und dass sie das Abschalten der angeschlossenen
Schütze verhindert.
Dieser Fehlerausschluss gilt auch für alle anderen SWD-Teilnehmer EU5E-SWD-..., M22-SWD-..., DIL-SWD-... und
NZM-SWD-...
Bedingungen • Schütze redundant und mit zwangsgeführten und mit Spiegelkontakten
(nach IEC 6097-4-1, Anhang F) ausführen.
und Funktion nach EN ISO 13850 zweikanalig und querschlusssicher auf
• Quittierung mit Reset nach Entriegelung des NOT-HALT-Tasters
Safety verdrahten.
notwendig.
38 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
• Energiezufuhr zweikanalig über die Abschaltstufen Q1 und Q11-Q14 Funktionsweise

trennen.
Wird die Eingangsspannung von 24 V DC an A1 und A2 angelegt, zeigt
• Bewegung nach Freigabe mit separatem Startbefehl einschalten.
die LED „Power“ die Bereitschaft zum Aktivieren der Freigabepfade
• SmartWire-DT Netz muss parametriert werden, damit Abschaltung an. Beim Betätigen des RESET-Tasters S1 wird zunächst über die
erkannt wird. Öffner des Rückführkreises Q1 und Q11-Q14 kontrolliert, dass sich die
• Zusätzlich anwendbare Normen, z.B. IEC 60204-1, einhalten. Sicherheitsschütze / Leistungsschütze in Ruhestellung befinden. Ist
Eigenschaften dieser Zustand gegeben, ziehen mit der steigenden Flanke die internen
• Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN Freigaberelais an, was über die LEDs K1 und K2 signalisiert wird. Der
ISO 13849-1 und EN ISO 13849-2). nicht sicherheitsgerichtete Meldepfad (Anschluss 41-42) ist geöffnet und
• Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und die Freigabepfade (Anschluss 13-14, 23-24 und 33-34) sind geschlossen.
selbstüberwachend. Über die Startbefehle einer übergeordneten Steuerung können nun
• Einzelfehler: Drahtbruch, Brückenbildung und Querschluss in Zuleitung die Motorschütze Q11 bis Q14 zugeschaltet werden. Wird der NOT-
und Sicherheitsrelais werden sofort oder unmittelbar beim nächsten HALT-Taster gedrückt, wird das übergeordnete Sicherheitsschütz /
Einschaltbefehl sicher erkannt. Leistungsschütz Q1 und die AUX-Spannungsversorgung der SmartWire-
DT Module abgeschaltet. So schalten zusätzlich zum Sicherheitsschütz /
• Systemverhalten der Kategorie 3 lässt zu, dass eine Anhäufung von
Leistungsschütz Q1 die einzelnen Motorschütze Q11-Q14 ihren jeweiligen
unerkannten Fehlern zum Verlust der Sicherheitsfunktion führen kann.
Antrieb ab.
Struktur Kat. 3 Struktur TS D symmetrisch und unsymmetrisch

MTTFd 65,23 Jahre PFHd 2,07 x 10-8
B10d S2: 100000, Q1 und Q11-Q14: 1300000 B10 S2: 20000, Q1 und Q11-Q14: 975000
1.12
nop S2, Q1: 1800, Q11-Q14: 7200 λd/λ S2: 0,2, Q1, Q11-Q14: 0,75
CCF 80 C S2, Q1: 0,3125, Q11-Q14: 1,25
DCavg 99 % ß 0,05
PL d DC S2: 99%, K4: 99%, Q1, Q11-Q14: 99%
T10d K4: 7,5 Jahre, alle anderen: >20 Jahre SIL 2
NOT-HALT-Taster M22-PV/KC02/IY ESR5-NO-31-24VAC-DC Sicherheitsschütz DILMS12

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 1: Allgemeine Gestaltungsleitsätze; Teil 2: Validierung
EN IEC 62061 Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer 117
Teil 5-5: Steuergeräte und Schaltelemente – Elektrisches NOT-AUS-Gerät mit mechanischer Verrastfunktion
IEC 60947-4-1 Niederspannungsschaltgeräte – Teil 4-1: Schütze und Motorstarter; Elektromechanische Schütze und Motorstarter –
12/22 PU05907001Z-DE 39
1.13 Mit Schützüberwachungsrelais CMD
Anwendung

EN ISO 13850).
24V L1 L1
0V L2 L2
1L1 L3 L3
1
N -F1
2
1.13
1.13 .2
-Q1
1.21
L1
L2
L3
1.14
-Q1
21
21
31
1.14
1.22
-S7 -Q2 -Q2
Stopp
22
22
32
11
21
D1
-S10 U<
I> I> I>
NOT-HALT
D2
22
13
13
13
-S6 -Q2 -S9 12
T1
T2
T3
Start Reset
14
14
14
43
+24V 0V 0V IS1 IS2 IS3 IS4 IS5 IS6 IS7 IS8 IS9 IS10 IS11 IS12 IS13 IS14 -Q2
-K1 NET
44
DEL ALT
P2
Test
P1 P3
13
21
1
3
5
P4 -S8 -Q2
2
4
6
14
22
ESC OK
ES4P-221-DMXD1
1.13
1 2
PE
S21
S22
S13
S14
S31
S32
A1
W
U
V
L
A1
-Q2 -K2 M PE
3
A2
CMD(220-240VAC)
A2
D1
D2
D1
-Q1 U<
D2
Abbildung 20: NOT-HALT mit Safety und Schützüberwachungsrelais CMD
und Funktion nach EN ISO 13850. ISO 13849-1 und EN ISO 13849-2).
• NOT-HALT zweikanalig und querschlusssicher auf Safety • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
verdrahten. selbstüberwachend.
• Eingänge mit unterschiedlichen Testsignalen verwenden. • Einzelfehler: Drahtbruch, Brückenbildung und Querschluss werden
• Schütz mit zwangsgeführtem, Spiegelkontakte und mit zusätzlichem sofort oder unmittelbar beim nächsten Einschaltbefehl sicher erkannt.
Hilfsschließer. • Systemverhalten der Kategorie 3 lässt zu, dass eine Anhäufung von
• Motorschutzschalter mit Unterspannungsauslöser kombinieren. unerkannten Fehlern zum Verlust der Sicherheitsfunktion führen kann.
• Quittierung mit Reset nach Entriegelung des NOT-HALT-Tasters → Weitere Informationen zum Schützüberwachungsrelais CMD finden Sie
im Handbuch MN04913001Z-DE.
notwendig. Handbücher zum Schützüberwachungsrelais:
• Nach Freigabe die Bewegung mit separatem Startbefehl einschalten. Schützüberwachungsrelais
• Funktion des Unterspannungsauslösers regelmäßig handbetätigt testen. CMD(220-240VAC),
MN121002ZU-DE/EN
und
Schützüberwachungsrelais CMD(24VDC),
MN121001ZU-DE/EN
40 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Im Gefahrenfall schaltet das vorgelagerte Safety das Über ein internes Relais im CMD wird der Unterspannungsauslöser
Sicherheitsschütz / Leistungsschütze Q1 mittels des Freigabekontakts des vorgeschalteten Leistungsschalters Q1 freigeschaltet. Dieser
QR1 ab. Das Schützüberwachungsrelais CMD vergleicht die schaltet den Abgang frei. Der Unterspannungsauslöser verhindert eine
Steuerspannung des Schützes mit dem Zustand der Hauptkontakte. Der Wiedereinschaltung auf das verschweißte Schütz. Sollten die Kontakte
Zustand der Hauptkontakte des Schützes wird über einen Hilfsöffner der Leistungsschalter verschweißen, kann dies erst nach Abschalten und
abgefragt, der als Spiegelkontakt nach IEC 60947-4-1, Anhang F, Auslesen der Haupt- und Hilfskontakte festgestellt werden. Die Last kann
eingesetzt werden kann. Wenn das Schütz verschweißt ist, entspricht in diesem Falle noch über Q2 abgeschaltet werden.
der Zustand der Hauptkontakte nicht dem Zustand der Steuerspannung.

B10d S1: 100000, Q1: 1300000, Q2: 10000 B10 S1: 20000, Q1: 975000, Q2: 7500
nop S1: 1800, Q1: 5400, Q2: 500 λd/λ S1: 0,2, Q1-Q2: 0,75
CCF 80 C S1: 0,3125, Q1: 0,9375, Q2: 0,087
DCavg 83,88 % ß 0,05
PL d DC S1: 99 %, K1: 90 %, K2: 99 %, Q1: 99 %, Q2: 60%
1.13
NOT-HALT-Taster Sicherheitsgerichtetes Sicherheitsschütz DILMS150 Schützüberwachungsrelais Leistungsschalter

M22-PVT45P-MPI + Steuerrelais Safety Leistungsschütz DILM150 CMD NZM 1
M22-A + M22-CK02 ES4P-221-DMXD1
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
EN IEC 62061 Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer 117
IEC 60947-4-1 Niederspannungsschaltgeräte – Teil 4-1: Schütze und Motorstarter; Elektromechanische Schütze und –
Motorstarter
Verrastfunktion
12/22 PU05907001Z-DE 41
1.14 Einkanalig mit elektronischem Motorstarter EMS
Anwendung
EN ISO 13850).
+24 V
0V
L1 L1
21
L2 L2
-S1
NOT-HALT L3 L3
22
21
13
23
33
-S2 F1
Stopp -Q1
22
14
24
34
1/ 3/ 5/ A2 A1 E R L
L1 L2 L3
13
13
EMS2-ROS-...
-S3 -Q1
MAN
AUT
2/ 4/ 6/
RES
14
Start
14
1.14
T1 T2 T3 95 96 98
PE
U1 V1 W1 PE
A1
-Q1
A2
M
3~
Abbildung 21: NOT-HALT mit elektronischem Motorstarter EMS2
• Brückenbildung im Schalter oder Nicht-Abfallen von Q1 führt zum
• NOT-HALT-Taster einsehbar und nicht im Gefahrenbereich a nbringen.
Verlust der Sicherheitsfunktion.
• Gefahr bringende Bewegung nach Freigabe mit separatem Startbefehl
einschalten.
• NOT-HALT-Abschaltung regelmäßig testen. → Weitere Informationen zum Elektronischen Motorstarter EMS2
finden Sie im Handbuch MN034003DE.
42 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Durch Betätigen des NOT-HALT-Tasters S1 wird das Sicherheitshilfsschütz
/ Hilfsschütz Q1 spannungslos. Q1 schaltet die Ansteuerung des EMS2 ab.
B10d S1: 100000 Q1:400000 B10 S1: 20000, Q1: 300000
nop 360 λd/λ S1: 0,2, Q1:0,75
CCF nicht relevant C 0,625
1.14
NOT-HALT-Taster M22-PV/KC02/IY Sicherheitshilfsschütz DIL AS Elektronischer Motorstarter EMS2-ROS…
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
IEC 60947-4-2 Niederspannungsschaltggeräte: Teil -4-2: Schütze und Motorstarter- –
Halbleiter- Motor- Steuergeräte und -Starter für Wechselspannungen
IEC 60947-5-1 Niederspannungsschaltgeräte – -
12/22 PU05907001Z-DE 43
1.15 Zweikanalig mit elektronischem Motorstarter EMS, sicherheitsgerichtete Abschaltung
Anwendung
EN ISO 13850).
24 V DC
GND
L1
L2
L3
N
PE
24 V DC
F1 GND
1/ 3/ 5/ A2 A1 E R L
L1 L2 L3
EMS2-ROS-...
MAN
AUT
2/ 4/ 6/
RES
1.15
S2
T1 T2 T3 95 96 98
A1 S11 S12 S21 S22 13 23 33 41
ESR5-NO-31-24 V AC-DC
U1 V1 W1
A2 S33 S34 14 24 34 42
M
3~
PE S3
Abbildung 22: NOT-HALT mit elektronischem Motorstarter EMS2 und Sicherheitsrelais
• Mit elektromechanischen Bauteilen fest verdrahten. • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
• NOT-HALT-Taster einsehbar und nicht im Gefahrenbereich anbringen. selbstüberwachend.
• Gefahr bringende Bewegung nach Freigabe mit separatem Startbefehl
einschalten. → Weitere Informationen zum Elektronischen Motorstarter EMS2
finden Sie im Handbuch MN034003DE.
• Zusätzlich anwendbare Normen, z.B. IEC 60204, einhalten.
44 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
In Applikationen, in denen die Sicherheitsabschaltung ein normaler Be-
triebszustand ist, wird nicht die Versorgungsspannung, sondern der Steu-
erstromkreis geschaltet. Hier wurde eine zweikanalige Applikationen re-
alisiert. Hierzu muss die Zuleitung der Rechts- bzw. Linkslaufansteuerung
und die entsprechende Masseleitung ebenfalls über das Sicherheitsrelais
geführt werden.

B10d S2: 100000 B10 S2: 20000
nop S2: 1800 λd/λ S2: 0,2
CCF 80 C S2: 0,3125
DCavg 99 % ß 0,05
PL e DC 99 %
1.15
NOT-HALT-Taster M22-PV/KC02/IY Sicherheitsrelais ESR5-NO-21-24 V AC DC Elektronischer Motorstarter EMS2-ROS…
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
EN IEC 62061 Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer 117
IEC 60947-4-2 Niederspannungsschaltggeräte: Teil -4-2: Schütze und Motorstarter- –
Halbleiter- Motor- Steuergeräte und -Starter für Wechselspannungen
Verrastfunktion
12/22 PU05907001Z-DE 45
2 Bewegliche Schutzeinrichtung überwachen
2.1 Einkanalig mit Sicherheitsrelais
Anwendung
• Bei gelegentlichen Eingriffen in den Gefahrenbereich und möglicher • Wenn die Anhaltezeit kleiner als die Zugangs- bzw. Zugriffszeit ist.
Vermeidung der Gefährdung unter bestimmten Bedingungen oder
Bewegliche Schutzeinrichtung
geringem Gefahrenpotenzial.
+24 V +24 V L1 L1
1L1 1L1 L2 L2
0V 0V L3 L3
1
1
-F1 -F2
überwachen
L1
L2
L3
2
2
-Q4
21
-Q3
22
I> I> I>
ESR5-NO-41-24VAC-DC
21
13
23
51
33
43
A1
A2
S11
S12
S33
T1
T2
T3
-Q2 -K11
~
~
22
= K1
21
Logik
-Q1
1
3
5
K2
-Q1
22
2
4
6
13
-S1
S34
14
24
34
44
52
Reset
14
21
13
13
13
13
-B1
1
3
5
1
3
5
-S2 -Q2 -S4 -Q3 -Q2 -Q3
Start Start 2
4
6
2
4
6
14
14
14
14
22
2.1
PE
21
21
-S3 -S5
Stopp Stopp
22
22
W
U
U
V
V
A1
A1
A1
-Q1 -Q2 -Q3

M PE M PE
3 3
A2
A2
A2
N N
Freigabepfade Hauptstromkreise
Abbildung 23: Einkanalige Schutztürüberwachung mit ESR5
• Positionsschalter mit Zwangsöffnung nach IEC 60947-5-1, Anhang K, • Aufbau mit bewährten Bauteilen und bewährten Sicherheitsprinzipien
und Funktion nach ISO 14119 verwenden. (EN ISO 13849-1 und EN ISO 13849-2).
• Sicherheitsrelais mit zwangsgeführten Kontakten verwenden. • Überwachung der redundanten Abschaltstufe über Rückführkreis.
• Abschaltstufe redundant und mit zwangsgeführten und mit • Brückenbildung in Positionsschalter oder Zuleitung sowie
Spiegelkontakten (nach IEC 6097-4-1, Anhang F) ausführen. mechanisches Versagen des Positionsschalters führt zum Verlust der
• Mit elektromechanischen Bauteilen fest verdrahten. Sicherheitsfunktion.
• Positionsschalter und Zuleitung vor mechanischen Beanspruchungen
geschützt anordnen. → Eine höhere Sicherheitsintegrität kann durch eine einfache
Erweiterung auf eine redundante Schutztürüberwachung
• Mechanische Funktionsweise der beweglichen Schutzeinrichtung nach erreicht werden.
festzulegenden Intervallen auf Funktion testen.
46 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Nach Anlegen der Versorgungsspannung an das Sicherheitsrelais Meldepfad (Anschluss 51-52) ist geöffnet und die Freigabepfade
(Anschluss A1-A2) zeigt die LED „Power“ die Bereitschaft zum Aktivieren (Anschluss 13-14, 23-24, 33-34 und 43-44) sind geschlossen. Die
der Freigebepfade. Bei geschlossener Schutzeinrichtung und dem Sicherheitsschütze / Leistungsschütze Q2 und Q3 können nun über den
Betätigen des Reset-Tasters S1 wird zunächst über die Öffner des jeweils zugehörigen Startbefehl S2 bzw. S4 anziehen. Das Freigabeschütz
Rückführkreises Q1-Q3 kontrolliert, dass sich die Sicherheitsschütze / Q1 dient der sicherheitsgerichteten Abschaltung beider Antriebe.
überwachen

B10d B1: 20000000, Q1-Q3: 1300000 B10 B1: 4000000, Q1-Q3: 975000
nop B1, Q1: 12960, Q2-Q3: 6500 λd/λ B1: 0,2, Q1-Q3: 0,75
CCF 80 C B1, Q1: 2,25, Q2-Q3: 11,285
DCavg 90,79 % ß 0,05
PL c DC B1: 0 %, K1: 90 %, Q1-Q3: 99 %
T10d K1: 10 Jahre, alle anderen: > 20 Jahre SIL 1
2.1
Positionsschalter LS-11 (1 S, 1Ö) Sicherheitsrelais ESR5-NO-41-24VAC-DC Sicherheitsschütze DILMS12 und DILMS25

Leistungsschütze DILM12 und DILM25
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
ISO 14119 Sicherheit von Maschinen – Verriegelungseinrichtungen in Verbindung mit trennenden 118
Schutzeinrichtungen – Leitsätze für Gestaltung und Auswahl
IEC 60947-5-1 Teil 4-1: Schütze und Motorstarter; Elektromechanische Schütze und Motorstarter
Teil 5-1: Steuergeräte und Schaltelemente – Elektromechanische Steuergeräte
12/22 PU05907001Z-DE 47
2.2 Einkanalig mit Safety
Anwendung
• Bei gelegentlichen Eingriffen in den Gefahrenbereich und möglicher • Wenn die Anhaltezeit kleiner als die Zugangs- bzw. Zugriffszeit ist.
Vermeidung der Gefährdung unter bestimmten Bedingungen oder
geringem Gefahrenpotenzial.
+24 V +24 V L1 L1
0V 0V L2 L2
L3 L3
überwachen
L1
L2
L3
21
-Q4
2
-F2 -F1 -Q3

1
22
21
21
13
13
-B1 I> I> I>
-Q2 -S2 -S4
Start 1 Start 2
22
14
14
22
T1
T2
T3
21
-Q1
21
21
-S3 -S5
22
Stopp 1 Stopp 2
22
22
1
3
5
-Q1
13
-S1
2
4
6
Reset
14
-K1 NET
DEL ALT
P2
1
3
5
1
3
5
P1 P3
-Q2 -Q3
2
4
6
2
4
6
P4
2.2
ESC OK
ES4P-221-DMXD1
Output 1x Relay / 6A 4x Transistor / 0,5A 4x Test Signal PE
1 2
W1
W1
U1
U1
V1
V1
PE
PE
QR1 +24V 0V QS1 QS2 QS3 QS4 T1 T2 T3 T4 -X1 -X2
W
W
U
U
V
V
M PE M PE
A1
A1
A1
-Q1 -Q2 -Q3 3h 3h

A2
A2
A2
Freigabepfade Hauptstromkreise
Abbildung 24: Einkanalige Schutztürüberwachung mit Safety
• Positionsschalter mit Zwangsöffnung nach IEC 60947-5-1, A
nhang K, • Aufbau mit bewährten Bauteilen und bewährten Sicherheitsprinzipien
und Funktion nach ISO 14119 verwenden. (EN ISO 13849-1 und EN ISO 13849-2).
• Abschaltstufe redundant und mit zwangsgeführten und mit • Überwachung der redundanten Abschaltstufe über Rückführkreis.
Spiegelkontakten (nach IEC 6097-4-1, Anhang F) ausführen. • Brückenbildung in Positionsschalter oder Zuleitung sowie
• Mit elektromechanischen Bauteilen fest verdrahten. mechanisches Versagen des Positionsschalters führt zum Verlust der
• Positionsschalter und Zuleitung vor mechanischen Beanspruchungen Sicherheitsfunktion.
geschützt anordnen.
• Mechanische Funktionsweise der beweglichen Schutzeinrichtung nach
48 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Die Schutztür muss sich in geschlossener Stellung befinden (Öffnerkontakt Die Selbsthaltung und ihre Unterbrechung werden durch das Safety-
B1 geschlossen), damit die Freigabe erteilt werden kann. Durch die Programm realisiert. Das entsprechende Schütz fällt ab. Ein erneutes
Rückführung der Öffner kann die Ruhelage der Abschaltschütze Q1-Q3 Starten ist durch Betätigen des START-Tasters möglich.
sichergestellt werden. Ist dieser Zustand gegeben, kann durch Betätigen
Durch Öffnen der Schutzeinrichtung schalten die Safety-Ausgänge
des RESET-Tasters S1 die Freigabe erteilt werden. Der Ausgang QS1 des
QS1-QS3 ab und schalten damit die Freigabepfade spannungslos. Über
Safety schaltet durch, das Schütz Q1 zieht an und sein zurückge
die nun wieder geschlossenen Öffnerkontakte im Rückführkreis geht das
führter Meldekontakt öffnet. Mit Betätigen des zu dem jeweiligen Antrieb
Safety wieder in Einschaltbereitschaft.
gehörenden START-Tasters S2, S4 startet die Gefahr bringende Bewegung.
überwachen

B10d B1: 20000000, Q1-Q3: 1300000 B10 B1: 4000000, Q1-Q3: 975000
nop B1, Q1: 12960, Q2-Q3: 65000 λd/λ B1: 0,2, Q1-Q3: 0,75
CCF 80 C B1, Q1: 2,25, Q2-Q3: 11,285
DCavg 97,27 % ß 0,05
PL c DC B1: 0 %, K1: 99 %, Q1-Q3: 99 %
2.2
Positionsschalter LS-11 (1 S, 1Ö) Sicherheitsgerichtetes Steuerrelais Sicherheitsschütze DILMS12 und DILMS25

Safety ES4P-221-DMXD1 Leistungsschütze DILM12 und DILM25
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
12/22 PU05907001Z-DE 49
2.3 Mehrere trennende Schutzeinrichtungen mit Sicherheitsrelais
Anwendung
• Bei zyklischen Eingriffen in den Gefahrenbereich. • Wenn die Anhaltezeit kleiner als die Zugangs- bzw. Zugriffszeit ist.
• Wenn bei Eingriffen in den Gefahrenbereich nur eine Schutztür
betätigt wird.
+24 V +24V L1 L1
0V 0V L2 L2
L3 L3
+24V1 +24V1
0V1 0V1
überwachen
L1
L2
L3
-F1 -F2
2
-Q3
2
I> I> I>
T1
T2
T3
21
21
-B1
-Q1
22
22
21
-Q2
13
-B2
22
ESR5-NO-21-24VAC-DC
13
23
33
A1
A2
S11
S33
S34
S12
14
Schließer
1
3
5
betätigt -K11
-Q1
Power
2
4
6
230 V AC
21
-B3 K1
Logik
K2
22
1
3
5
-Q2
2
4
6
24 V DC
13
-B4
S21
S22
14
24
34
Schließer
14
2.3
betätigt PE
W1
-X1
U1
V1
PE
A1
A1
-Q1 -Q2
W1
U1
V1
A2
A2
M PE
Abbildung 25: Schutztüranwendung mit zwei trennenden Schutzeinrichtungen an ESR5
Bedingungen • Einkanalige Brückenbildung wird nicht sicher erkannt, wenn die zweite
Tür geöffnet wird.
• Positionsschalter mit Zwangsöffnung nach IEC 60947-5-1, A nhang K,
• Ein einzelner Fehler führt nicht zum Verlust der Sicherheitsfunktion.
und Funktion nach ISO 14119 einsetzen.
• Eine Anhäufung unentdeckter Fehler kann zu einer Gefahr bringenden
• Abschaltstufe redundant und mit zwangsgeführten und mit
Situation führen (Brückenbildung bei zwei Kontakten).
Spiegelkontakten (nach IEC 6097-4-1, Anhang F) ausführen.
• Überwachung redundanter Sicherheitsschütze/Sicherheitsventile über
• Sicherheitsrelais mit zwangsgeführten Kontakten verwenden.
Rückführkreis.
• Vorgesehene Bewegung der beweglichen Schutzeinrichtung wird durch
Öffner-/Schließer-Kombination erkannt.
• Bei Eingriff in den Gefahrenbereich Betätigung nur einer Schutztür
sicherstellen.
Funktionsweise
Nach Anlegen der Versorgungsspannung an das Sicherheitsrelais
(Anschluss A1-A2) zeigt die LED „Power“ die Bereitschaft zum Aktivieren
Eigenschaften der Freigabepfade. Beim Schließen der letzten noch geöffneten
Schutzeinrichtung wird über die Öffner des Rückführkreises zunächst
• Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN
kontrolliert, dass sich die Sicherheitsschütze Q1 und Q2 in ihrer
ISO 13849-1 und EN ISO 13849-2).
Ruhestellung befinden. Ist dieser Zustand gegeben, ziehen die ESR-
• Positionsschalter, Zuleitung und Befehlsverarbeitung sind redundant.
internen Freigaberelais an, was über die LEDs K1 und K2 signalisiert wird.
• Betätigter Positionsschalter, Zuleitung und Befehlsverarbeitung sind
Der nicht sicherheitsgerichtete Meldepfad (Anschluss 41-42) ist geöffnet
selbstüberwachend.
und über die F reigabepfade (Anschluss 13-14 und 23-24) können nun die
• Einzelfehler: Drahtbruch, Brückenbildung und Querschluss werden
Sicherheitsschütze Q1 und Q2 anziehen.
immer dann sicher erkannt, wenn die zweite Schutztür geschlossen
bleibt.
50 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
→ Durch die Reihenschaltung der Schutztüreinrichtungen → Eine höhere Sicherheitsintegrität kann durch die zusätzliche
werden nicht alle Fehler sicher erkannt. Gegebenenfalls Überwachung der Schaltstellungen der Positionsschalter
ist ein begründeter Fehlerausschluss auf die Quittierung erreicht werden, → Kapitel 2.4 „Mehrere trennende
eines Kurzschlussfehlers durch die zweite Schutzeinrichtung Schutzeinrichtungen mit Safety“, Seite 52.
erforderlich. In diesem Fall ist eine ausführliche
Dokumentation über den Fehlerausschluss anzulegen.
überwachen
Struktur Kat. 3 Struktur TS D unsymmetrisch
B10d B1, B3: 20000000, B2, B4: 1000000, Q1, Q2: 1300000 B10 B1, B3: 4000000, B2, B4: 500000, Q1, Q2: 975000
nop 65000 λd/λ B1, B3: 0,2, B2, B4: 0,5, Q1, Q2: 0,75
CCF 80 C 11,285
DCavg 83, 66 % ß 0,05
PL d DC B1-B4: 60 %, K1: 99 %, Q1-Q2: 99 %
T10d B2, B4: 15,38 Jahre, K1: 9,6 Jahre, alle anderen: >20 SIL 2
Jahre
2.3
Positionsschalter LS-11, LS-02 Sicherheitsrelais ESR5-NO-21-24VAC-DC Sicherheitsschütz DILMS12
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
12/22 PU05907001Z-DE 51
2.4 Mehrere trennende Schutzeinrichtungen mit Safety
Anwendung
+24 V L1 L1
0V L2 L2
L3 L3
21
13
-B1
2
-F1 -F2
1
14
22
L1
L2
L3
-Q3
überwachen
13
21
-B2
Schließer Öffner
14
22
betätigt betätigt
I> I> I>
21
21
13
-B3
-Q1
22
14
22
T1
T2
T3
21
13
21
-B4
-Q2
Schließer Öffner
22
14
22
betätigt
1
3
5
betätigt
-Q1
2
4
6
-K1 NET
1
3
5
-Q2
2
4
6
DEL ALT
P2
P1 P3
P4
PE
ESC OK
ES4P-221-DMXD1
W1
-X1
U1
V1
PE
2.4
1 2
QR1 +24V 0V QS1 QS2 QS3 QS4 T1 T2 T3 T4 M
3
A1
A1
-Q1 -Q2
A2
A2
Abbildung 26: Schutztüranwendung mit zwei trennenden Schutzeinrichtungen an Safety
• Positionsschalter mit Zwangsöffnung nach IEC 60947-5-1, A nhang K, • Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN
und Funktion nach ISO 14119 sowie mit zwangsgeführten Kontakten ISO 13849-1 und EN ISO 13849-2).
einsetzen. • Positionsschalter, Zuleitung und Befehlsverarbeitung sind redundant.
• Eingänge der Schutztürkanäle (IS8 und IS9) mit unterschiedlichen • Betätigter Positionsschalter, Zuleitung und Befehlsverarbeitung sind
Testsignalen verwenden. selbstüberwachend.
• Abschaltstufe redundant und mit zwangsgeführten und mit • Einzelfehler: Drahtbruch und Querschluss werden sicher erkannt.
Spiegelkontakten (nach IEC 6097-4-1, Anhang F) ausführen. • Brückenbildung wird über die Diagnose der zwangsgeführten
• Mit elektromechanischen Bauteilen fest verdrahten. Hilfskontakte aufgedeckt.
• Mechanische Funktionsweise der beweglichen Schutzeinrichtung nach • Diagnose der Hilfskontakte kann auch im Standardschaltplan der
festzulegenden Intervallen auf Funktion testen. Safety realisiert werden.
• Zusätzlich anwendbare Normen, z.B. IEC 60204-1, einhalten. • Vorgesehene Bewegung der beweglichen Schutzeinrichtung wird durch
• Systemverhalten der Kategorie 3 lässt zu, dass eine Anhäufung von
unerkannten Fehlern zum Verlust der Sicherheitsfunktion führen kann.
52 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Beim Schließen der letzten noch geöffneten Schutzeinrichtung erteilt der
Sicherheits-Funktionsbaustein „Schutztür“ (SG, Safety Gate) die Freigabe
→ Entsteht eine Brücke über den Kontakten eines Kanals,
schaltet das Gerät sicher ab. Ein Wiederanlauf wird durch
zur Aktivierung der sicheren Geräteausgänge. Die Rückführkreisüber die Diagnoseeinrichtung der zwangsgeführten Hilfskontakte
wachung überprüft nun zunächst, dass sich die Sicherheitsschütze / verhindert.
Leistungsschütze in Ruhelage befinden. Ist dieser Zustand gegeben, gibt
der Baustein EM (External Monitor) die Freigabe und setzt die Geräte
ausgänge QS1 und QS2. Die Sicherheitsschütze / Leistungsschütze Q1 und
Q2 ziehen an und ihre Öffnerkontakte öffnen.
überwachen

B10d B1, B3: 20000000, B2, B4: 1000000, Q1, Q2: 1300000 λd/λ B1, B3: 0,2, B2, B4: 0,5, Q1, Q2: 0,75
nop 65000 B10 B1, B3: 4000000, B2, B4: 500000, Q1, Q2: 975000
CCF 80 C 11,285
DCavg 99 % ß 0,05
PL e DC B1-B4: 99 %, K1: 99 %, Q1-Q2: 99 %
T10d B2, B4: 15,38 Jahre, alle anderen: > 20 Jahre SIL 3
2.4
Positionsschalter LS-11 Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütz DILMS12

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
12/22 PU05907001Z-DE 53
2.5 Zweikanalig mit Sicherheitsrelais
Anwendung
24 V L1 L1
0V L2 L2
24V1 L3 L3
0V1
1
-F1 -F2
L1
L2
L3
überwachen
-Q3
I> I> I>

21
-Q1
T1
T2
T3
22
21
-Q2
ESR5-NO-21-24VAC-DC
13
23
33
A1
A2
S11
S33
S34
S12
21
22
-B1 -K11
Power
230 V AC
22
K1
Logik
1
3
5
K2 -Q1
13
-B2
2
4
6
14
24 V DC
Schließer
betätigt
S21
S22
14
24
34
1
3
5
-Q2
2
4
6
PE
A1
A1
-Q1 -Q2
W1
-X1
U1
V1
PE
A2
A2
2.5
W
U
V
M PE
Abbildung 27: Zweikanalige Schutztüreinrichtung mit ESR5
• Positionsschalter mit Zwangsöffnung nach IEC 60947-5-1, Anhang K, • Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien
und Funktion nach ISO 14119 einsetzen. (EN ISO 13849-1 und EN ISO 13849-2).
• Abschaltstufe redundant und mit zwangsgeführten und mit • Positionsschalter, Zuleitung und Befehlsverarbeitung sind redundant
Spiegelkontakten (nach IEC 6097-4-1, Anhang F) ausführen. und selbstüberwachend.
• Getrennt verlegte Zuleitung verwenden. • Überwachung der redundanten Abschaltstufe über Rückführkreis.
• Mit elektromechanischen Bauteilen fest verdrahten. • Einzelfehler: Drahtbruch, Brückenbildung und Querschluss in
• Mechanische Funktionsweise der beweglichen Schutzeinrichtung nach Positionsschalter, Zuleitung und Sicherheitsrelais werden sofort oder
festzulegenden Intervallen auf Funktion testen. unmittelbar beim nächsten Einschaltbefehl sicher erkannt.
• Zusätzlich anwendbare Normen, z.B. IEC 60204-1, einhalten. • Vorgesehene Bewegung der beweglichen Schutzeinrichtung wird durch
54 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Nach Anlegen der Versorgungsspannung an das Sicherheitsrelais Durch Öffnen der Schutzeinrichtung werden die ESR-internen
(Anschluss A1-A2) zeigt die LED „Power“ die Bereitschaft zum Aktivieren Freigaberelais K1 und K2 über die beiden Positionsschalter B1, B2
der Freigabepfade. Beim Schließen der Schutzeinrichtung wird ausgeschaltet. Der nicht sicherheitsgerichtete Meldepfad (Anschluss
zunächst über die Öffner des Rückführkreises kontrolliert, dass sich die 31-32) schließt und die Freigabepfade öffnen. Die Sicherheitsschütze
Sicherheitsschütze / Leistungsschütze Q1 und Q2 in ihrer Ruhestellung / Leistungsschütze Q1, Q2 fallen ab und das Sicherheitsrelais geht
befinden. Ist dieser Zustand gegeben, ziehen die ESR-internen über die nun geschlossenen Öffner im Rückführkreis wieder in
Freigaberelais an, was über die LEDs K1 und K2 signalisiert wird. Der Einschaltbereitschaft.
überwachen
nicht sicherheitsgerichtete Meldepfad (Anschluss 31-32) ist geöffnet und
die Sicherheitsschütze / Leistungsschütze Q1 und Q2 können nun über die
Freigabepfade (Anschluss 13-14 und 23-24) anziehen.
Struktur Kat. 4 Struktur TS D unsymmetrisch, TS D symmetrisch

B10d B1: 20000000, B2: 1000000, Q1, Q2: 1300000 B10 B1: 4000000, B2: 500000, Q1, Q2: 975000
nop 65000 λd/λ B1: 0,2, B2: 0,5, Q1, Q2: 0,75
CCF 80 C 11,285
DCavg 99 % ß 0,05
PL e DC B1, B2, K1, Q1, Q2: 99 %
2.5
T10d B2: 15,38 Jahre, K1: 9,6 Jahre, alle anderen: > 20 SIL 3
Jahre
Positionsschalter LS-11, LS-02 Sicherheitsrelais ESR5-NO-21-24VAC-DC Sicherheitsschütz DILMS12

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
12/22 PU05907001Z-DE 55
2.6 Zweikanalig mit Sicherheitsrelais und RS2
Anwendung
24 V L1 L1
0V L2 L2
24V1 L3 L3
0V1
1
-F1 -F2
L1
L2
L3
überwachen
-Q3
I> I> I>

21
-Q1
T1
T2
T3
RS2.-02-..
22
1
21
-Q2
A1
A2
13
23
33
S11
S33
S34
S12
1
22
-K11
Power
230 V AC
K1
Logik
1
3
5
K2 -Q1
2
4
6
24 V DC
S21
S22
14
24
34
ESR5-NO-21-24VAC-DC
1
3
5
-Q2
2
4
6
PE
A1
A1
-Q1 -Q2
W1
U1
PE
V1
-X1
A2
A2
2.6
W
U
V
M PE
Abbildung 28: Zweikanalige Schutztüreinrichtung mit Sicherheitsrelais
• Berührungslose Sicherheitsschalter nach IEC 60947-5-3 und Funktion • Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN
nach ISO 14119 Bauart 3 oder 4 einsetzen. ISO 13849-1 und EN ISO 13849-2).
• Abschaltstufe redundant und mit zwangsgeführten und zurückgelesenen • Befehlsverarbeitung ist redundant und selbstüberwachend.
Kontakten ausführen. • Überwachung der redundanten Abschaltstufe über Rückführkreis.
• Fehlerausschluss für die Zuleitung erforderlich, daher Leitung geschützt • Einzelfehler: Drahtbruch, Brückenbildung und Querschluss in Positions-
verlegen. schalter, Zuleitung und Sicherheitsrelais werden sofort oder unmittelbar
• Mit elektromechanischen Bauteilen fest verdrahten. beim nächsten Einschaltbefehl sicher erkannt.
56 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Nach Anlegen der Versorgungsspannung an das Sicherheitsrelais Freigabepfade (Anschluss 13-14 und 23-24) anziehen.
Durch Öffnen der Schutzeinrichtung werden die ESR-internen
der Freigabepfade. Beim Schließen der Schutzeinrichtung wird
Freigaberelais K1 und K2 über den berührungslosen Sicherheitsschalter
zunächst über die Öffner des Rückführkreises kontrolliert, dass sich die
ausgeschaltet. Der nicht sicherheitsgerichtete Meldepfad (Anschluss
Sicherheitsschütze / Leistungsschütze Q1 und Q2 in ihrer Ruhestellung
31-32) schließt und die Freigabepfade öffnen. Die Sicherheitsschütze
befinden. Ist dieser Zustand gegeben, ziehen die ESR-internen
/ Leistungsschütze Q1, Q2 fallen ab und das Sicherheitsrelais geht
Freigaberelais an, was über die LEDs K1 und K2 signalisiert wird. Der
über die nun geschlossenen Öffner im Rückführkreis wieder in
überwachen
Einschaltbereitschaft.
Struktur Kat.3 Struktur TS D symmetrisch

B10d B1: 20.000.000, Q1, Q2:1.300.000 B10 B1:5.000.000, Q1,Q2: 975.000
nop 6500 λd/λ B1: 0,25 Q1,Q2: 0,75
CCF 80 C 11,285
DCavg 99 % ß 0,05
PL d DC B1, K11, Q1, Q2: 99 %
T10d 20 Jahre SIL 2
2.6
PLe wird rechnerisch erreicht, es ist aber für PLe eine mindest HFT=1 erforderlich, was bei Verwendung von nur einem RS Schalters nicht erreicht werden
kann. Auch ist ein Fehlerausschluss nicht vertretbar siehe ISO 14119 Kap 8.2 und ISO 13849-2 Anhang D.8. Daher ist max. Kat. 3 und PL d e rreichbar.
Berührungslose Sicherheitsschalter RS2-02-C3 Sicherheitsrelais ESR5-NO-21-24VAC-DC Sicherheitsschütz DILMS12

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
IEC 60947-5-3 Teil 5-3: Steuergeräte und Schaltelemente – Anforderungen für Näherungsschalter mit
definiertem Verhalten unter Fehlerbedingungen
12/22 PU05907001Z-DE 57
2.7 Zweikanalig mit Sicherheitsrelais und redundantem RS2
Anwendung
24 V L1 L1
0V L2 L2
24V1 L3 L3
0V1
1
-F1 -F2
L1
L2
L3
überwachen
-Q3
I> I> I>

21
-Q1
T1
T2
T3
RS2...
22
1
21
-Q2
A1
A2
13
23
33
S11
S33
S34
S12
1
22
-K11
Power
230 V AC
1
K1
Logik
1
3
5
1
K2 -Q1
2
4
6
RS2...
24 V DC
S21
S22
14
24
34
ESR5-NO-21-24VAC-DC
1
3
5
-Q2
2
4
6
PE
A1
A1
-Q1 -Q2
W1
U1
PE
V1
-X1
2.7
A2
A2
W
U
V
M PE
Abbildung 29: Zweikanalige Schutztürüberwachung mit redundantem Sensor
• Berührungslose Sicherheitsschalter nach IEC 60947-5-3 und Funktion • Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN
nach ISO 14119 Bauart 3 oder 4 einsetzen. ISO 13849-1 und EN ISO 13849-2).
• Abschaltstufe redundant und mit zwangsgeführten und zurückgelese- • Berührungslose Sicherheitsschalter, Zuleitung und Befehlsverarbeitung
nen Kontakten ausführen. sind redundant und selbstüberwachend.
• Mit elektromechanischen Bauteilen fest verdrahten. • Überwachung der redundanten Abschaltstufe über Rückführkreis.
• Mechanische Funktionsweise der beweglichen Schutzeinrichtung nach • Einzelfehler: Drahtbruch, Brückenbildung und Querschluss in Positions-
festzulegenden Intervallen auf Funktion testen. schalter, Zuleitung und Sicherheitsrelais werden sofort oder unmittelbar
• Zusätzlich anwendbare Normen, z.B. IEC 60204-1, einhalten. beim nächsten Einschaltbefehl sicher erkannt.
58 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Nach Anlegen der Versorgungsspannung an das Sicherheitsrelais Freigabepfade (Anschluss 13-14 und 23-24) anziehen.
Durch Öffnen der Schutzeinrichtung werden die ESR-internen
der Freigabepfade. Beim Schließen der Schutzeinrichtung wird
Freigaberelais K1 und K2 über die beiden berührungslosen
zunächst über die Öffner des Rückführkreises kontrolliert, dass sich die
Sicherheitsschalter ausgeschaltet. Der nicht sicherheitsgerichtete
Sicherheitsschütze / Leistungsschütze Q1 und Q2 in ihrer Ruhestellung
Meldepfad (Anschluss 31-32) schließt und die Freigabepfade öffnen.
befinden. Ist dieser Zustand gegeben, ziehen die ESR-internen
Die Sicherheitsschütze / Leistungsschütze Q1, Q2 fallen ab und das
Freigaberelais an, was über die LEDs K1 und K2 signalisiert wird. Der
Sicherheitsrelais geht über die nun geschlossenen Öffner im Rückführkreis
überwachen
wieder in Einschaltbereitschaft.
Struktur Kat.3 Struktur TS D symmetrisch

B10d B1: 20.000.000, Q1, Q2:1.300.000 B10 B1, B2 :5.000.000, Q1, Q2: 975.000
nop 6500 λd/λ B1 ,B2: 0,25, Q1, Q2: 0,75
CCF 80 C 11,285
DCavg 99 % ß 0,05
PL e DC B1, B2, K11, Q1, Q2: 99 %
T10d 20 Jahre SIL 2
2.7
Ein Fehlerausschluss für die Zuleitungen ist erforderlich, daher Leitung geschützt verlegen.
Berührungslose Sicherheitsschalter RS2-02-C3 Sicherheitsrelais ESR5-NO-21-24VAC-DC Sicherheitsschütz DILMS12

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
IEC 60947-5-3 Teil 5-3: Steuergeräte und Schaltelemente –
Anforderungen für Näherungsschalter mit definiertem Verhalten unter Fehlerbedingungen
12/22 PU05907001Z-DE 59
2.8 Zweikanalig mit Safety
Anwendung
+24 V L1 L1
0V L2 L2
24V1 L3 L3
L1
L2
L3
21
überwachen
-F2 -F1 -Q1 -Q3

1
22
21
-B1
21
-Q2
22
22
13 I> I> I>
13
-B2
T1
T2
T3
-S1
Reset
14
14
Schließer
betätigt
-K2 NET
1
3
5
-Q1
DEL ALT
2
4
6
P2
P1 P3
P4
1
3
5
ESC OK
-Q2
ES4P-221-DMXD1
2
4
6
1 2
W1
-X1
U1
V1
PE
2.8
W
U
V
A1
A1
-Q1 -Q2
M PE
3
A2
A2
0V
Abbildung 30: Zweikanalige Schutztüreinrichtung mit Safety
• Positionsschalter mit Zwangsöffnung nach IEC 60947-5-1, A
nhang K, • Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN
und Funktion nach ISO 14119 einsetzen. ISO 13849-1 und EN ISO 13849-2).
• Eingänge mit unterschiedlichen Testsignalen verwenden. • Positionsschalter, Zuleitung und Befehlsverarbeitung sind redundant
• Abschaltstufe redundant und mit zwangsgeführten und zurückgelesenen und selbstüberwachend.
Kontakten ausführen. • Überwachung der redundanten Abschaltstufe über Rückführkreis.
• Zuleitung getrennt verlegen. • Drahtbruch, Brückenbildung und Querschluss in Positionsschalter,
• Mit elektromechanischen Bauteilen fest verdrahten. Zuleitung und Safety werden sofort oder beim nächsten
• Mechanische Funktionsweise der beweglichen Schutzeinrichtung nach Einschaltbefehl sicher erkannt.
festzulegenden Intervallen auf Funktion testen. • Vorgesehene Bewegung der beweglichen Schutzeinrichtung wird durch
• Zusätzlich anwendbare Normen, z.B. IEC 60204-1, einhalten. Öffner-/Schließer-Kombination erkannt.
60 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Die Schutztür muss geschlossen sein (Öffner- und Schließerkontakt B1 ziehen an und ihre zurückgeführten Meldekontakte öffnen. Durch Öffnen
und B2 geschlossen), damit die Freigabe erteilt werden kann. Durch der Schutzeinrichtung werden die Ausgänge QS1 und QS2 des Safety
die Rückführung der Öffner kann die Ruhelage der Abschaltschütze abgeschaltet und schalten damit die beiden Freigabepfade spannungslos.
Q1 und Q2 sichergestellt werden. Ist dieser Zustand gegeben, kann Über die nun wieder geschlossenen Öffnerkontakte im Rückführkreis geht
durch Betätigen des RESET-Tasters S1 die Freigabe erteilt werden. Die das Safety wieder in Einschaltbereitschaft.
Ausgangsrelais des Safety schalten durch, die Schütze Q1 und Q2
überwachen
Struktur Kat. 4 Struktur TS D unsymmetrisch, TS D symmetrisch

B10d B1: 20000000, B2: 1000000, Q1, Q2: 1300000 B10 B1: 4000000, B2: 500000, Q1, Q2: 975000
nop 65000 λd/λ B1: 0,2, B2: 0,5, Q1, Q2: 0,75
CCF 80 Pkt. C 11,285
DCavg 99 % ß 0,05
PL e DC B1, B2, K1, Q1, Q2: 99 %
T10d B2: 15,38 Jahre, alle anderen: > 20 Jahre SIL 3
2.8
Positionsschalter LS-11, LS-02 Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütz DILMS12
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
elektronischer- und programmierbarer elektronischer Steuerungsgeräte
12/22 PU05907001Z-DE 61
2.9 Mit Zuhaltung – Freigabe über Zeitglied
Anwendung
• Wenn die Sicherheitsverriegelung nicht zum betriebsmäßigem • Bei zyklischen Eingriffen in den Gefahrenbereich.
Stoppen der Maschine verwendet werden soll. • Wenn die Anhaltezeit größer als die Zugangs- bzw. Zugriffszeit ist.
• Wenn die Sicherheitsverriegelung nur vor geringen Gefahren

schützen soll.
+24 V L1 L1
0V L2 L2
L3 L3
überwachen
-B1
L1
L2
L3
21
-Q2
2
22
-F2 -F1
1
A1
13
I> I> I>
A2
14
13
13
21
21
-S1 -S2 -S3 -Q1
T1
T2
T3
Start Stopp Entriegeln
22
14
14
22
-K1 NET
1
3
5
-Q1
DEL ALT
2
4
6
P2
P1 P3
P4
2.9
ESC OK
ES4P-221-DMXD1
1 2
PE
A1
W1
U1
V1
PE
-X1
-Q1
W1
A2
U1
V1
M PE
3h
Abbildung 31: Sicherheitsverriegelung mit Freigabe durch Sicherheits-Funktionsbaustein „Sicheres Zeitglied“ (TS, Time relay Safety)
• Positionsschalter mit Zwangsöffnung nach IEC 60947-5-1, A nhang K, • Aufbau mit bewährten Bauteilen und bewährten Sicherheitsprinzipien
• Sicherheitsverriegelung muss Fehlschließsicherung haben, d. h. das • Überwachung der Zuhaltung über Meldekontakt des Sicherheits
Sperrmittel kann bei geöffneter Schutzeinrichtung nicht in positionsschalters.
Sperrstellung gehen.
• Sichere Zeit so wählen, dass Sperrriegel erst öffnet, nachdem Gefahr
bringende Bewegung beendet ist.
62 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Bei geschlossener Schutzeinrichtung und spannungslos geschalteter Spule Ausgang QS4 gesetzt. Der Betätigungsmagnet für das Sperrmittel zieht
der Sicherheitsverriegelung lässt sich die Schutzeinrichtung nicht öffnen. an, entriegelt die Schutzeinrichtung- und öffnet den Öffner B1 (Anschluss
Zum Öffnen der Schutzeinrichtung muss die Gefahr bringende Bewegung 13-14).
zuerst über den Stopp-Befehl abgeschaltet werden. Anschließend
wird der Schließer S3 (Entriegeln) betätigt. Nun wird über das Sichere → Gegebenenfalls erfordern Produkt-Normen den Einsatz von
Zeitglied zunächst sichergestellt, dass keine Gefahr bringende Bewegung Paniköffnern an den Türinnenseiten, die in jeder Situation
mehr vorhanden ist. Mit Ablauf der sicheren Zeit wird der Safety- Schutzeinrichtungen öffnen müssen.
überwachen

B10d B1 (A1-A2): 10000 B10 B1 (A1-A2): 5000
nop 360 λd/λ B1 (A1-A2): 0,5
2.9
Positionsschalter mit Zuhaltung LS-S02-24DFT-ZBZ/X Sicherheitsgerichtetes Steuerrelais Safety ES4P-221-DMXD1
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
12/22 PU05907001Z-DE 63
2.10 Mit Zuhaltung – Freigabe über Stillstandsüberwachung
Anwendung
• Wenn die Sicherheitsverriegelung nur vor geringen Gefahren schützen • Bei zyklischen Eingriffen in den Gefahrenbereich.
soll und eine einkanalige Struktur ausreichend ist. • Wenn die Anhaltezeit größer als die Zugangs- bzw. Zugriffszeit ist.
+24 V L1 L1
0V L2 L2
L3 L3
2
-F2 -F1
1
-B3
L1
L2
L3
überwachen
21
L+
-B1 -Q2
A
22
L-
13
A1
13
L+
-B2 -S1 I> I> I>
A Start
14
A2
14
13
L-
-Q1
T1
T2
T3
14
13
21
21
-S2 -S3 -Q1

Stopp Entriegeln
22
14
22
-K1 NET
DEL ALT
P2
1
3
5
P1 P3
-Q1
2
4
6
P4
ESC OK
ES4P-221-DMXD1

2.10
1 2
PE
A1
W1
U1
V1
PE
-X1
-Q1
W1
A2
U1
V1
M PE
3h
Abbildung 32: S icherheitsverriegelung mit Freigabe durch integrierten Sicherheits-Funktionsbaustein „Stillstandsüberwachung“

(ZM, Zerospeed Monitor) in ES4P-...
• Positionsschalter mit Zwangsöffnung nach IEC 60947-5-1, A nhang K, • Aufbau mit bewährten Bauteilen und bewährten Sicherheitsprinzipien
• Sicherheitsverriegelung muss Fehlschließsicherung haben, d. h. das • Überwachung der Zuhaltung über Meldekontakt des Sicherheits
Sperrmittel kann bei geöffneter Schutzeinrichtung nicht in Sperr positionsschalters.
stellung gehen.
• Näherungsschalter B1 und B2 so anordnen, dass jederzeit mindestens
ein Sensor betätigt ist. Montagehinweise des Herstellers beachten!
64 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Bei geschlossener Schutzeinrichtung und spannungslos geschalteter das Sperrmittel zieht an, entriegelt die Schutzeinrichtung und öffnet den
Spule der Sicherheitsverriegelung lässt sich die Schutzeinrichtung nicht Öffner B3 (Anschluss 13-14).
öffnen. Zum Öffnen der Schutzeinrichtung muss die Gefahr bringende
Bewegung zuerst über den Stopp-Befehl abgeschaltet werden.
Anschließend wird der Schließer S3 (Entriegeln) betätigt. Über die Sichere
→ Gegebenenfalls erfordern Produkt-Normen (C-Normen) den
Einsatz von Paniköffnern an den Türinnenseiten, die in jeder
Stillstandsüberwachung wird zunächst sichergestellt, dass keine Gefahr Situation Schutzeinrichtungen öffnen müssen.
bringende Bewegung mehr vorhanden ist. Mit Erreichen des Stillstands
wird der Safety-Ausgang QS4 gesetzt. Der Betätigungsmagnet für
überwachen
Struktur Kat. 1 Struktur TS C, TS D symmetrisch

B10d B3 (A1-A2): 10000 B10 B3 (A1-A2): 5000
nop 360 λd/λ B3 (A1-A2): 0,5
PL c DC B1, B2: 90 %, K1: 99 %, B3 (13-14): 90 %
2.10
Näherungssensor E57-... Sicherheitsgerichtetes Steuerrelais Safety Positionsschalter mit Zuhaltung LS-S02-24DFT-

ES4P-221-DMXD1 ZBZ/X
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
12/22 PU05907001Z-DE 65
3 Offenen Gefahrenbereich überwachen
3.1 Mit Lichtgitter und Sicherheitsrelais
Anwendung
Offenen Gefahrenbereich überwachen
• Wenn Gefahren für den Bediener durch Eingriff in den Gefahrenbe-
reich entstehen können.
L1 L1 +24 V
L2 L2 0V
L3 L3 +24 V1
L1
L2
L3
1
-Q3 -F1 -F2
2
A1
-B1
I> I> I>
1
2
A2
T1
T2
T3
1
3
5
13
0 I
-Q1
-S1 ESR5-NV3-30
13
23
37
47
A1
A2
S11
S12
2
4
6
Reset -K11
14
~
~ K1
21
1
3
5
-Q2 -Q1 = K2
Logik
2
4
6
22
K3
21
K4
-Q2
22
S34
S35
S21
S22
14
24
38
48
PE
W1
-X1
U1
V1
PE
3.1
W1
U1
V1
A1
A1
M PE
-Q1 -Q2
3
A2
A2
0V
Abbildung 33: Berührungslos wirkende Schutzeinrichtung an Sicherheitsrelais ESR5
• Berührungslos wirkende Schutzeinrichtung (BWS) nach IEC 61496-1. • Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN
• Aktive opto-elektronische Schutzeinrichtung (AOPDs) nach IEC 61496-2. ISO 13849-1 und EN ISO 13849-2).
• Sofortiges Abschalten aller gefährlichen Bewegungen im • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
Sicherheitsabstand der BWS. Montagehinweise des Herstellers selbstüberwachend.
beachten! • Überwachung der redundanten Abschaltstufe über Rückführkreis.
• RESET-Schalter S1 nicht im Gefahrenbereich anordnen. • Einzelfehler: Drahtbruch und Brückenbildung in Befehlsgerät, Zuleitung
• Abschaltstufe redundant und mit zwangsgeführten und zurückgelesenen und Sicherheitsrelais werden sofort oder unmittelbar beim nächsten
Kontakten ausführen. Einschaltbefehl sicher erkannt.
• Wiederanlaufsperre durch Selbsthaltung vorsehen.
• Fall A: Gebrauchsdauer nicht eingeschränkt.
• Fall B: Schütze nach 2,26 Jahren austauschen!
66 12/22 PU05907001Z-DE
Fall A Fall B
Kat B 1 2 3 4 Kat B 1 2 3 4
SIL 1 2 3 SIL 1 2 3
Funktionsweise

Nach Anlegen der Versorgungsspannung an das Sicherheitsrelais K1 und K2 an. Die Sicherheitsschütze / Leistungsschütze Q1 und Q2 ziehen
(Anschluss A1-A2) zeigt die LED „Power“ die Bereitschaft zum Aktivieren an und ihre Hilfskontakte öffnen. Bei einem Eingriff in das Schutzfeld
der Freigabepfade. Befindet sich kein Gegenstand im Schutzfeld des werden die OSSD-Ausgänge der BWS deaktiviert. Die ESR-internen
Lichtgitters B1, werden die ESR-internen Freigaberelais durch die steigende Freigaberelais fallen ab (13-14, 23-24 unverzögert; 37-38, 47-48 mit
Flanke am Eingang S34 aktiviert. Diesen Zustand zeigen die LEDs K1 einstellbarer Verzögerung) und entziehen damit den Sicherheitsschütze /
Leistungsschütze Q1 und Q2 die Freigabe.

Fall A Fall B Fall A Fall B
Struktur Kat. 4 Kat. 3 Struktur TS D, unsymmetrisch TS D, unsymmetrisch

MTTFd 56,69 Jahre 16,18 Jahre PFHd 1,79 x 10-8 4,95 x 10-7
B10d Q1, Q2: 1300000 Q1, Q2: 1300000 B10 Q1, Q2: 975000 Q1, Q2: 975000
nop 1800 576000 λd/λ Q1, Q2: 0,75 Q1, Q2: 0,75
CCF 80 80 C 0,3125 100
DCavg 99 % 99 % ß 0,05 0,05
PL e d DC 99 % 99 %
T10d > 20 Jahre Q1, Q2: 2,26 Jahre, alle SIL 3 2
anderen: > 20 Jahre
3.1
Lichtgitter C4000, Hersteller: Sick Sicherheitsrelais ESR5-NV3-30 Sicherheitsschütz DILMS12

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
IEC 61496-1/-2 Sicherheit von Maschinen – Berührungslos wirkende Schutzeinrichtungen –
Teil 1: Allgemeine Anforderungen und Prüfungen
Teil 2: Besondere Anforderungen an Einrichtungen, welche nach dem aktiven
opto-elektronischen Prinzip arbeiten
EN ISO 13855 Sicherheit von Maschinen – Anordnung von Schutzeinrichtungen im Hinblick auf –
Annäherungsgeschwindigkeiten von Körperteilen
12/22 PU05907001Z-DE 67
3.2 Mit Lichtgitter und Safety
Anwendung
• Wenn Gefahren für den Bediener durch Eingriff in den
Gefahrenbereich entstehen können.
L1 L1 +24 V
L2 L2 0V
L3 L3 +24 V1
L1
L2
L3
A1
-Q3
13
1
0 I
2
-F2 -F1 -B1 -S1
Reset
14
2
1
2
21
A2
I> I> I> -Q1
22
21
T1
T2
T3
-Q2
22
-K1 NET
1
3
5
-Q1
DEL ALT
2
4
6
P2
P1 P3
1
3
5
-Q2 P4
2
4
6
ESC OK
ES4P-221-DMXD1
1 2
PE QR1 +24V 0V QS1 QS2 QS3 QS4 T1 T2 T3 T4
W1
U1
V1
-X1
PE
A1
A1
W1
-Q1 -Q2
U1
V1
3.2
A2
A2
M PE 0V
3h
Abbildung 34: Berührungslos wirkende Schutzeinrichtung an Safety
• Sofortiges Abschalten aller gefährlichen Bewegungen im • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
Sicherheitsabstand der BWS. Montagehinweise des Herstellers selbstüberwachend.
beachten! • Überwachung der redundanten Abschaltstufe über Rückführkreis.
• RESET-Schalter S1 nicht im Gefahrenbereich anordnen. • Einzelfehler: Drahtbruch und Brückenbildung in Befehlsgerät, Z uleitung
• Abschaltstufe redundant ausführen, mit zwangsgeführten und und Safety werden sofort oder unmittelbar beim n ächsten
Spiegelkontakten. Einschaltbefehl sicher erkannt.
• Wiederanlaufsperre durch Safety vorsehen.
• Fall B: Schütze nach 2,26 Jahren austauschen!
68 12/22 PU05907001Z-DE
Fall A Fall B
Kat B 1 2 3 4 Kat B 1 2 3 4
SIL 1 2 3 SIL 1 2 3
Funktionsweise

Im Schutzfeld des Lichtgitters B1 darf sich kein Gegenstand befinden Meldekontakte öffnen. Durch Unterbrechung des Schutzfeldes der
(Ausgänge des Lichtgitters signalisieren unterbrechungsfreien Zustand), BWS werden die Bewegungen im Schutzbereich stillgesetzt, indem die
damit die Freigabe erteilt werden kann. Durch die Rückführung der Öffner Ausgänge QS2 und QS4 des Safety abgeschaltet werden. Damit
kann die Ruhelage der Abschaltschütze Q1 und Q2 sichergestellt werden. werden die beiden Freigabepfade spannungslos geschaltet. Über die
Ist dieser Zustand gegeben, kann durch Betätigen des RESET-Tasters nun wieder geschlossenen Öffnerkontakte im Rückführkreis geht das
S1 die Freigabe erteilt werden. Die Ausgangsrelais des Safety Safety wieder in Einschaltbereitschaft.
schalten durch, die Schütze Q1 und Q2 ziehen an und ihre zurückgeführten

Struktur Kat. 4 Kat. 3 Struktur TS D, symmetrisch TS D, symmetrisch

MTTFd 100 Jahre 19,42 Jahre PFHd 1,66 x 10-8
4,93 x 10-7
B10d Q1, Q2: 1300000 Q1, Q2: 1300000 B10 Q1, Q2: 975000 Q1, Q2: 975000
nop 1800 576000 λd/λ Q1, Q2: 0,75 Q1, Q2: 0,75
CCF 80 80 C 0,3125 100
DCavg 99 % 99 % ß 0,05 0,05
PL e d DC 99 % 99 %
anderen: > 20 Jahre
3.2
Lichtgitter C4000, Hersteller: Sick Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütz DILMS12

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
elektronischer und programmierbarer elektronischer Steuerungsgeräte
EN ISO 13855 Sicherheit von Maschinen – Anordnung von Schutzeinrichtungen im Hinblick auf –
Annäherungsgeschwindigkeiten von Körperteilen
12/22 PU05907001Z-DE 69
3.3 Mit Lichtgitter Muting und Safety
Anwendung
• Bei zyklischen Eingriffen in den Gefahrenbereich. • Wenn Material durch das Schutzfeld der Schutzeinrichtung bewegt
werden muss, ohne den Arbeitsablauf anzuhalten.
L1 L1 +24 V
L2 L2 0V
L3 L3
2
-F2 -F1
1
A1
A1
A1
-B1 -B3 -B5
14
24
14
14
A2
A2
A2
OSSD
A1
A1
-B2 -B4
L1
L2
L3
-Q3
14
14
13
A2
A2
-S1
Reset
14
I> I> I> +24V 0V 0V IS1 IS2 IS3 IS4 IS5 IS6 IS7 IS8 IS9 IS10 IS11 IS12 IS13 IS14
-K1 NET
T1
T2
T3
21
DEL ALT
-Q1
P2
22
P1 P3
1
3
5
-Q1
21
P4
2
4
6
ESC OK
-Q2
ES4P-221-DMXD1
22
1
3
5
-Q2
2
4
6
1 2
3.3
PE
W1
-X1
U1
V1
PE
A1
A1
-Q1 -Q2
W1
U1
V1
A2
A2
M PE
Abbildung 35: Berührungslos wirkende Schutzeinrichtung mit Muting-Sensoren an Safety
• Anordnung im Hinblick auf Annäherungsgeschwindigkeiten beachten • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
nach EN ISO 13855. selbstüberwachend.
• Sofortiges Abschalten aller gefährlichen Bewegungen im • Überwachung der redundanten Abschaltstufe über Rückführkreis.
Sicherheitsabstand der BWS. Montagehinweise des Herstellers • Einzelfehler: Drahtbruch und Brückenbildung in Befehlsgerät, Zuleitung
beachten! und Safety werden sofort oder unmittelbar beim nächsten
• Abschaltstufe redundant und mit zwangsgeführten und mit Einschaltbefehl sicher erkannt.
Spiegelkontakten (nach IEC 6097-4-1, Anhang F) ausführen. • Unterscheidung zwischen Gegenständen und Personen durch
• Mit elektromechanischen Bauteilen fest verdrahten. Muting-Sensoren.
• Wiederanlaufsperre durch Safety vorsehen. • Mutingsensoren mit Standardkomponenten realisierbar.
• Anordnung der Mutingsensoren so gestalten, dass nur durch den
Transport-Fördertakt eine gültige Mutingsequenz erzeugt wird.
• Darauf achten, dass während des Mutingzustands keine Personen in
den Gefahrenbereich gelangen können.
• Kollisionen mit dem Transportgut durch geschützten Einbau der BWS
verhindern.
70 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise

Die Mutingfunktion ermöglicht es, zeitlich begrenzt die Sicherheitsfunktion
der berührungslos wirkenden Schutzeinrichtung B1 automatisch zu
überbrücken. Dadurch können Güter durch den Überwachungsbereich der
Schutzeinrichtung B1 transportiert werden, ohne dabei den zyklischen
Arbeitsablauf anzuhalten. Zwei Gruppen von nebeneinander angeordneten
Mutingsensoren erkennen den Beginn und das Ende der Durchfahrt durch
das Schutzfeld und Starten die Überwachung der maximal zulässigen
Mutingdauer.

B10d Q1, Q2: 1300000 B10 Q1, Q2: 975000
nop 1800 λd/λ Q1, Q2: 0,75
CCF 80 C 0,3125
DCavg 99 % ß 0,05
PL e DC B1: 99 %, K1: 99 %, Q1, Q2: 99 %
3.3
Lichtgitter C4000, Hersteller: Sick Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütz DILMS12

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
EN ISO 13855 Anordnung von Schutzeinrichtung im Hinblick auf Annäherungsgeschwindigkeiten –
12/22 PU05907001Z-DE 71
4 Sicheres Bedienen ermöglichen
4.1 Mit Zweihandschaltung Typ III C
Anwendung
• Bei erreichbaren Gefahr bringenden Maschinenbewegungen im • Bei Maschinen mit hohem Verletzungsrisiko, wie z. B. Pressen, Sche-
Sicheres Bedienen ermöglichen
beaufsichtigtem Betrieb: Beide Hände werden außerhalb des Gefah- ren, Stanzen mit Handbeschickung.
renraumes gebunden. • Wenn die Anhaltezeit kleiner als die Zugangs- bzw. Zugriffszeit ist.
+24 V L1 L1
0V L2 L2
1L1 1 L3 L3
1
-F1 -F2
2
L1
L2
L3
-Q3
21
-Q1
22
21
-Q2 I> I> I>

22
T1
T2
T3
ESR5-NZ-21-24VAC-DC
13
23
31
A1
A2
Y1
S11
S21
-K11
~
1
3
5
~ -Q1
13
21
33
41
2
4
6
-S1
2-Hand = K1
14
22
34
42
Logik
K2
1
3
5
-Q2
2
4
6
S14/22
S12/24
PE
Y2
14
24
32
4.1
W1
-X1
U1
V1
PE
W
U
V
A1
A1
-Q1
-Q2
M PE
3
A2
A2
Abbildung 36: Zweihandschaltung Typ III C an ESR5
• Bedienung mit einer standardgerechten Zweihandschaltung nach EN • Aufbau mit bewährten Bauteilen und nach grundlegenden sowie
ISO 13581 Typ III C, erforderlich. bewährten Sicherheitsprinzipien (EN ISO 13849-1 und EN ISO 13849-2).
• Stellteile so anordnen, dass unbeabsichtigtes oder bewusstes • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
einhändiges Einschalten nicht möglich ist. selbstüberwachend.
• Stellteile mit Zwangsöffnung nach IEC 60947-5-1, Anhang K, • Beide Stellteile müssen innerhalb von max. 0,5 Sekunden betätigt
verwenden. werden. Bei Überschreitung der Zeit ist das Loslassen beider Stellteile
• Zweikanaligkeit muss bis zu den Bedienelementen (Sensoren/Aktoren) erforderlich, bevor ein Anlauf erfolgen kann.
des Zweihandbedienpultes reichen. • Wird während der Gefahr bringenden Bewegung auch nur eines der
• Abschaltstufe redundant und mit zwangsgeführten und mit beiden Stellteile der Zweihandschaltung losgelassen, folgt sofort
Spiegelkontakten (nach IEC 6097-4-1, Anhang F) ausführen. die Entregung des Sicherheitsrelais und die Freigabepfade öffnen
• Mit elektromechanischen Bauteilen fest verdrahten. (ungesteuertes Stillsetzen STOPP-Kategorie 0 nach IEC 60204-1).
• Abstand zum Gefährdungsbereich muss ausreichend groß sein. • Einzelfehler: Drahtbruch, Brückenbildung und Querschluss in
Befehlsgerät, Zuleitung und Sicherheitsrelais werden sofort oder
unmittelbar beim nächsten Einschaltbefehl sicher erkannt.
• Überwachung redundanter Sicherheitsschütze / Sicherheitsventile über
Rückführkreis.
72 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Nach Anlegen der Versorgungsspannung an das Sicherheitsrelais K1 LEDs K1 und K2 an, dass eine synchrone Betätigung des Zweihandtasters
(Anschluss A1-A2) zeigt die LED „Power“ die Bereitschaft zum Aktivieren erfolgte. Der nicht sicherheitsgerichtete Meldepfad des Sicherheitsrelais

der Freigabepfade. Beim Betätigen des Zweihandtasters S1 (beide Taster wird geöffnet und die Sicherheitsschütze / Leistungsschütze werden nun
gleichzeitig innerhalb von max. 0,5 Sekunden) wird die Ruhelage der über die beiden sich schließenden Freigabepfade angesteuert.
Sicherheitsschütze / Leistungsschütze Q1 und Q2 zunächst über die Öffner
des Rückführkreises sichergestellt. Ist dieser Zustand gegeben, zeigen die

B10d S1: 20000000, Q1, Q2: 1300000 B10 S1: 4000000, Q1, Q2: 975000
nop 18000 λd/λ S1: 0,2, Q1, Q2: 0,75
CCF 80 C 3,125
DCavg 99 % ß 0,05
PL e DC 99 %
T10d K1: 5,7 Jahre, alle anderen: 20 Jahre SIL 3
4.1
22-mm-Pilzdrucktaster, eingebaut in Zweihandbedienpult Sicherheitsrelais ESR5-NZ-21-24VAC-DC Sicherheitsschütz DILMS12
nach EN ISO 13581, M22-DP-Y + M22-AK11 Leistungsschütz DILM12
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
EN ISO 13581 Sicherheit von Maschinen – Zweihandschaltungen – Funktionelle Aspekte – –
Gestaltungsleitsätze
12/22 PU05907001Z-DE 73
4.2 Mit Zweihandschaltung Typ III C
Anwendung
• Bei erreichbaren Gefahr bringenden Maschinenbewegungen im • Bei Maschinen mit hohem Verletzungsrisiko, wie z. B. Pressen,
beaufsichtigtem Betrieb: Beide Hände werden außerhalb des Scheren, Stanzen mit Handbeschickung.
Gefahrenraumes gebunden. • Wenn die Anhaltezeit kleiner als die Zugangs- bzw. Zugriffszeit ist.
+24 V L1 L1
0V L2 L2
L3 L3
2
-F1
1
L1
L2
L3
-Q3
21
-Q1
22
13
21
33
41
-S1
2-Hand
14
22
34
42
21
I> I> I>

-Q2
22
T1
T2
T3
-K1 NET
1
3
5
DEL ALT
-Q1
2
4
6
P2
P1 P3
P4
1
3
5
ESC OK
-Q2
ES4P-221-DMXD1
2
4
6
4.2
1 2
W1
U1
V1
PE
-X1
W
U
V
A1
A1
-Q1 -Q2
M PE
3h
A2
A2
Abbildung 37: Zweihandschaltung Typ III C an Safety
• Bedienung mit einer standardgerechten Zweihandschaltung nach • Aufbau mit bewährten Bauteilen und nach grundlegenden sowie
EN ISO 13581 Typ III C, erforderlich. bewährten Sicherheitsprinzipien (EN ISO 13849-1 und EN ISO 13849-2).
• Stellteile so anordnen, dass unbeabsichtigtes oder bewusstes • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
einhändiges Einschalten nicht möglich ist. selbstüberwachend.
• Stellteile mit Zwangsöffnung nach IEC 60947-5-1, Anhang K, • Beide Stellteile müssen innerhalb von max. 0,5 Sekunden betätigt
verwenden. werden. Bei Überschreitung der Zeit ist das Loslassen beider Stellteile
• Zweikanaligkeit muss bis zu den Bedienelementen (Sensoren/Aktoren) erforderlich, bevor ein Anlauf erfolgen kann.
des Zweihandbedienpultes reichen. • Wird während der Gefahr bringenden Bewegung auch nur eines der
• Eingänge mit unterschiedlichen Testsignalen verwenden. beiden Stellteile der Zweihandschaltung losgelassen, folgt sofort
• Abschaltstufe redundant und mit zwangsgeführten und mit die Entregung des Sicherheitsrelais und die Freigabepfade öffnen
Spiegelkontakten (nach IEC 6097-4-1, Anhang F) ausführen. (ungesteuertes Stillsetzen STOPP-Kategorie 0 nach IEC 60204-1).
• Mit elektromechanischen Bauteilen fest verdrahten. • Einzelfehler: Drahtbruch, Brückenbildung und Querschluss in
• Abstand zum Gefährdungsbereich muss ausreichend groß sein. Befehlsgerät, Zuleitung und Safety werden sofort oder unmittelbar
beim nächsten Einschaltbefehl sicher erkannt.
• Überwachung redundanter Sicherheitsschütze / Sicherheitsventile über
Rückführkreis.
74 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Beim Betätigen des Zweihandtasters S1 (beide Taster gleichzeitig inner des Rückführkreises sicher. Ist auch dieser Zustand gegeben, erteilt
halb von max. 0,5 Sekunden ) überwacht der Sicherheits-Funktions Safety die Freigabe über die Ausgänge QS1 und QS2. Die beiden

baustein „Zweihandtaster Typ III“ (TH, Two-Hand-button) die synchrone Sicherheitsschütze / Leistungsschütze ziehen an und schalten den
Betätigung des Zweihandtasters. Safety- stellt nun die Ruhelage der gefährlichen Antrieb ein.
Sicherheitsschütze / Leistungsschütze Q1 und Q2 über die Öffnerkontakte

B10d S1: 20000000, Q1, Q2: 1300000 B10 S1: 4000000, Q1, Q2: 975000
nop 18000 λd/λ S1: 0,2, Q1, Q2: 0,75
CCF 80 C 3,125
DCavg 99 % ß 0,05
PL e DC 99 %
4.2
22-mm-Pilzdrucktaster, eingebaut in Zweihandbedienpult Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütz DILMS12
nach EN ISO 13581, M22-DP-Y + M22-AK11 ES4P-221-DMXD1 Leistungsschütz DILM12
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
EN ISO 13581 Sicherheit von Maschinen – Zweihandschaltungen – Funktionelle Aspekte – –
Gestaltungsleitsätze
12/22 PU05907001Z-DE 75
5 Einrichten ermöglichen
5.1 Mit Betriebsartenwahlschalter
Anwendung
• Bei Maschinen, bei denen verschiedene Betriebsarten erforderlich • An Werkzeugmaschinen und Bearbeitungszellen, wie z. B. Pressen,
sind, z. B.: Dreh- und Fräsmaschinen.
– Einrichtbetrieb bei geöffneter Schutzeinrichtung.
– Tippbetrieb.
Einrichten ermöglichen
– Freifahren bei Lichtgitter Muting.
+24 V 1 2 3
1
0V 2
3
4
5
6
-S1
2
-F1
13
13
0 I
1
-S3 -S2
14
14
-K1 NET
DEL ALT
P2
P1 P3
P4
ESC OK
ES4P-221-DMXD1
1 2
5.1
Abbildung 38: Sichere Betriebsartenwahl mit Safety
• Betriebsartenwahl darf keine Maschinenfunktion auslösen. • Die gleichzeitige Anwahl zweier Betriebsarten ist ausgeschlossen.
• Betriebsartenwahlschalter mit zwangsgeführt Kontakten ohne • Betriebsartenübernahme nur möglich, wenn Freigabe zum Betriebs
überlappende Kontaktgabe nach IEC 60947-5-1, Anhang K. artenwechsel vorliegt.
• Zusätzliche Maßnahmen zur Erhöhung der Sicherheit vornehmen, z. B.:
– Tippbetrieb.
– Tragbares Steuergerät zum Einrichten (Totmannschalter).
– Begrenzter Bewegungsbereich.
– Niedrige Geschwindigkeit.
76 12/22 PU05907001Z-DE
Kat B 1 2 3 4
PL a b c d e
SIL 1 2 3
Funktionsweise
Mit Betätigung des Schlüsselschalters S3 wird der Sicherheits-
Funktionsbaustein „Betriebsarten-Wahlschalter“ (OS, Operating mode
Switch) der Safety entriegelt und damit ein Betriebsartenwechsel
erlaubt. Der eigentliche Wechsel wird durch Wahl der Betriebsart an
Einrichten ermöglichen
Schalter S1 und anschließender Übernahme der Betriebsart durch
Betätigen des Tasters S2 durchgeführt.
Struktur Kat. 1 Struktur TS A und TSD, symmetrisch

B10d 2000000 B10 400000
nop 3600 λd/λ S1: 0,2
5.1
2
1 3
0
Betriebsartenwahlschalter T0-2-8241/E Sicherheitsgerichtetes Steuerrelais Safety Schlüsselschalter M22-WRS + M22-AK10

ES4P-221-DMXD1
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
IEC 60204-1 Sicherheit von Maschinen – Elektrische Ausrüstung von Maschinen – 102
Teil 1: Allgemeine Anforderungen
12/22 PU05907001Z-DE 77
6 Kombinieren mehrerer Sicherheitsfunktionen
6.1 Stillsetzen im Notfall (NOT-HALT-Abschaltung)
Anwendung
Wenn sofortiges Abschalten der Energiezufuhr nicht zu • Wenn Gefahren für Bediener oder Maschine entstehen können, die
gefährlichen Zuständen führt (ungesteuertes Stillsetzen – STOPP- einen Performance Level von bis zu PLr e erfordern.
Kategorie 0 nach EN ISO 13850).
Kombinieren mehrerer

Sicherheitsfunktionen
L1 L1 24 V
L2 L2 0V
L3 L3
2
-F1
1
L1
L2
L3
21
-B3
-Q1
13
-S1 13 -S4
22
L+ Start Reset
14
-B1
14
A
21
L-
21
13
I> I> I> -B4
-S2
22
Stopp
-Q2
L+
22
-B2
14
T1
T2
T3
A
L-
21
11
21
-S3 -Q3
22
22
12
-K1
1
3
5
NET
-Q2 DC 24 V Input 14 x DC
2
4
6
DEL ALT
P2
6.1
P1 P3
1
3
5
-Q3 P4
2
4
6
ESC OK
ES4P-221-DMXD1
1 2
PE
A1
A1
W1
U1
V1
-X1
-Q2 -Q3
W1
A2
A2
U1
V1
M PE
3h
Abbildung 39: Zweikanalige NOT-HALT-Funktion mit Safety
Bedingungen • Fall B: Schütze nach 4,5 Jahren austauschen.

und Funktion nach EN ISO 13850 zweikanalig und querschlusssicher auf
Safety verdrahten.
Eigenschaften
• Eingänge mit unterschiedlichen Testsignalen verwenden.
• Schütze redundant und mit zwangsgeführten und mit Spiegelkontakten • Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN
(nach IEC 6097-4-1, Anhang F) ausführen. ISO 13849-1 und EN ISO 13849-2).
• Mit elektromechanischen Bauteilen fest verdrahten. • Befehlsgerät, Zuleitung und Befehlsverarbeitung sind redundant und
• Quittierung nach Entriegelung des NOT-HALT-Tasters notwendig. selbstüberwachend.
• Gefahr bringende Bewegung nach Freigabe mit separatem Start-Befehl • Einzelfehler: Drahtbruch und Brückenbildung werden sofort oder
einschalten. unmittelbar beim nächsten Einschaltbefehl sicher erkannt.
• Austauschintervall für die Schütze dokumentieren (Fall B).
• Gesamte Beanspruchung der Abschaltstufe berücksichtigen, also
auch die der Beweglichen Schutzeinrichtung, 6.2 „Bewegliche
Schutzeinrichtung überwachen“, Seite 80.
78 12/22 PU05907001Z-DE
Fall A Fall B
Kat B 1 2 3 4 Kat B 1 2 3 4
SIL 1 2 3 SIL 1 2 3
Funktionsweise
Bei Betätigung des NOT-HALT-Tasters S3 werden die Safety-
Ausgänge QS1 und QS2 und die darauf verdrahteten Schützspulen Q2
und Q3 abgeschaltet. Nach Entriegelung des NOT-HALT-Tasters ist eine
Quittierung durch Betätigen des Tasters S4 erforderlich.

MTTFd 100 Jahre 40,38 Jahre PFHd 5,22 x 10-9
2,2 x 10-7
B10d S3: 100000, S3: 100000, B10 S3: 20000, S3: 20000,
Q2, Q3: 1300000 Q2, Q3: 1300000 Q2, Q3: 975000 Q2, Q3: 975000
nop S3: 360, S3: 360, λd/λ S3: 0,2, Q2, Q3: 0,75 S3: 0,2, Q2, Q3: 0,75
Q2, Q3: 2520 Q2, Q3: 288720
CCF 80 80 C S3: 0,0625, S3: 0,0625,
Q2, Q3: 0,4375 Q2, Q3: 50,125
DCavg 99 % 99 % ß 0,05 0,05
PL e e DC S3: 99 %, K1: 99 %, S3: 99 %, K1: 99 %,
Q2, Q3: 99 % Q2, Q3: 99 %
6.1
anderen: > 20 Jahre
NOT-HALT-Taster M22-PVT45P-MPI + M22-A + Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütz DILMS12

M22-CK02 ES4P-221-DMXD1 Leistungsschütz DILM12
Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
EN ISO 13850 Sicherheit von Maschinen – Not-Halt – Gestaltungsleitsätze –
EN IEC 62061 Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und 117
programmierbarer elektronischer Steuerungssysteme
Teil 5-5: Steuergeräte und Schaltelemente – Elektrisches NOT-AUS-Gerät mit mechanischer Verrastfunktion
12/22 PU05907001Z-DE 79
Kombinieren mehrerer Sicherheitsfunktionen
6.2 Bewegliche Schutzeinrichtung überwachen
Anwendung
• Wenn für den Bediener Gefahren durch Eingriff in den Gefahren • Bei zyklischen Eingriffen in den Gefahrenbereich.
bereich auftreten können. • Wenn die Anhaltezeit größer als die Zugangs- bzw. Zugriffszeit ist.
L1 L1 24 V
L2 L2 0V
L3 L3
2
-F1
1
L1
L2
L3
21
-B3
-Q1
13
13
-S1 -S4
22
L+ Start Reset
14
-B1
14
A
21
L-
21
13
I> I> I> -B4
-S2
22
Stopp
-Q2 Schließer
L+
22
14
-B2 betätigt
T1
T2
T3
A
L-
21
11
21
-S3 -Q3
22
22
+24V 0V 0V IS1 IS2 IS3 IS4 IS5 12IS6 IS7 IS8 IS9 IS10 IS11 IS12 IS13 IS14
-K1
1
3
5
NET
2
4
6
DEL ALT
P2
P1 P3
1
3
5
-Q3 P4
2
4
6
ESC OK
ES4P-221-DMXD1
6.2
1 2
PE
A1
A1
W1
U1
V1
-X1
-Q2 -Q3
W1
A2
A2
U1
V1
M PE
3h
Abbildung 40: Zweikanalige Schutzeinrichtung mit Safety
• Positionsschalter mit Zwangsöffnung nach IEC 60947-5-1, A nhang K, • Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN
und Funktion nach ISO 14119 einsetzen. ISO 13849-1 und EN ISO 13849-2).
• Eingänge mit unterschiedlichen Testsignalen verwenden. • Positionsschalter, Zuleitung und Befehlsverarbeitung sind redundant
• Abschaltstufe redundant und mit zwangsgeführten und mit und selbstüberwachend.
Spiegelkontakten (nach IEC 6097-4-1, Anhang F) ausführen. • Einzelfehler: Drahtbruch und Brückenbildung werden sofort oder
• Mit elektromechanischen Bauteilen fest verdrahten. unmittelbar beim nächsten Einschaltbefehl sicher erkannt.
• Austauschintervall für die Schütze dokumentieren (Fall B). • Durch hohe Schaltzahl wird nur Kategorie 3 erreicht (Fall B).
• Gesamte Beanspruchung der Abschaltstufe berücksichtigen, also auch
die der NOT-HALT-Funktion, 6.1 „Stillsetzen im Notfall (NOT-HALT-
Abschaltung)“, Seite 78. Funktionsweise
• Fall A: Gebrauchsdauer nicht eingeschränkt. Die Schutztür muss sich in geschlossener Stellung befinden (Öffner- und
• Fall B: Schütze nach 4,5 Jahren austauschen, Positionsschalter mit Schließerkontakt B3 und B4 geschlossen), damit die Freigabe erteilt
Schließerkontakt nach 3,5 Jahren austauschen. werden kann. Durch die Rückführung der Öffner kann die Ruhelage der
• Quittierung nach Schließen der Schutzeinrichtung notwendig. Abschaltschütze Q2 und Q3 sichergestellt werden. Ist dieser Zustand
• Zusätzlich anwendbare Normen, z.B. IEC 60204-1, einhalten. gegeben, kann durch Betätigen des RESET-Tasters S4 die Freigabe erteilt
werden. Die Ausgänge QS1 und QS2 des Safety- schalten durch, die
80 12/22 PU05907001Z-DE
Fall A Fall B
Kat B 1 2 3 4 Kat B 1 2 3 4
SIL 1 2 3 SIL 1 2 3
Schütze Q2 und Q3 ziehen an und ihre zurückgeführten Meldekontakte Freigabepfade spannungslos. Über die nun wieder geschlossenen
öffnen. Durch Öffnen der Schutzeinrichtung werden die Ausgänge QS1 Öffnerkontakte im Rückführkreis geht die Sicherheitssteuerung wieder in
und QS2 des Safety abgeschaltet und schalten damit die beiden Einschaltbereitschaft.
Struktur Kat. 4 Kat. 3 Struktur TS D unsymmetrisch TS D unsymmetrisch

und symmetrisch und symmetrisch
MTTFd 100 Jahre 29,89 Jahre PFHd 2,91 x 10-9 3,48 x 10-7
B10d B3: 20000000, B3: 20000000, B10 B3: 4000000, B3: 4000000,
B4: 1000000, B4: 1000000, B4: 500000, B4: 500000,
Q2, Q3: 1300000 Q2, Q3: 1300000 Q2, Q3: 975000 Q2, Q3: 975000
nop B3, B4: 1800, B3, B4: 288000, λd/λ B3: 0,2, B4: 0,5, B3: 0,2, B4: 0,5,
Q2, Q3: 2520 Q2, Q3: 288720 Q2, Q3: 0,75 Q2, Q3: 0,75
CCF 80 80 C B3, B4: 0,3125, B3, B4: 50,
Q2, Q3: 0,4375 Q2, Q3: 50,125
DCavg 99 % 99 % ß 0,05 0,05
PL e e DC B3, B4: 99 %, K1: 99 %, B3, B4: 99 %, K1: 99 %,
Q2, Q3: 99 % Q2, Q3: 99 %
T10d > 20 Jahre B4: 3,5 Jahre, SIL 3 2
Q2, Q3: 4,5 Jahre,
alle anderen: > 20 Jahre
6.2
Positionsschalter LS-11, LS-02 Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütz DILMS12

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
12/22 PU05907001Z-DE 81
Kombinieren mehrerer Sicherheitsfunktionen
6.3 Drehzahlüberwachung mit Safety
Anwendung
• Wenn sofortiges Abschalten der Energiezufuhr nicht zu gefährlichen • Wenn Gefahren für Bediener oder Maschine durch Überdrehzahl ent-
Zuständen führt (ungesteuertes Stillsetzen – STOPP-Kategorie 0 nach stehen können.
EN ISO 13850).
L1 L1 24 V
L2 L2 0V
L3 L3
2
-F1
1
L1
L2
L3
21
-B3
-Q1
13
13
-S1 -S4
22
L+ Start Reset
-B1
14
14
A
21
L-
21
13
I> I> I> -B4
-S2
22
Stopp
-Q2
L+
-B2
22
14
T1
T2
T3
A
L-
21
11
21
-S3 -Q3
22
22
12
-K1
1
3
5
NET
2
4
6
DEL ALT
P2
P1 P3
1
3
5
-Q3 P4
2
4
6
6.3
ESC OK
ES4P-221-DMXD1
1 2
PE
A1
A1
W1
U1
V1
-X1
-Q2 -Q3
W1
A2
A2
U1
V1
M PE
3h
Abbildung 41: Drehzahlüberwachung mit Safety
• Drehzahlerfassung mit redundanten Drehzahlsensoren. • Aufbau nach grundlegenden und bewährten Sicherheitsprinzipien (EN
• Schütze redundant und mit zwangsgeführten und mit Spiegelkontakten ISO 13849-1 und EN ISO 13849-2).
(nach IEC 6097-4-1, Anhang F) ausführen. • Näherungssensoren, Zuleitung und Befehlsverarbeitung sind redundant
• Mit elektromechanischen Bauteilen fest verdrahten. und selbstüberwachend.
• Austauschintervall für die Schütze dokumentieren (Fall B). • Einzelfehler: Drahtbruch und Brückenbildung werden durch Messprinzip
• Gesamte Beanspruchung der Abschaltstufe berücksichtigen, also auch sicher erkannt. Montagehinweise des Herstellers beachten!
die der NOT-HALT-Funktion, 6.1 „Stillsetzen im Notfall (NOT-HALT-
Abschaltung)“, Seite 78.
• Fall B: Schütze nach 4,5 Jahren austauschen.
• Quittierung nach Schließen der Schutzeinrichtung notwendig. Zusätzlich
anwendbare Normen, z.B. IEC 60204-1, einhalten.
82 12/22 PU05907001Z-DE
Fall A Fall B
Kat B 1 2 3 4 Kat B 1 2 3 4
SIL 1 2 3 SIL 1 2 3
Funktionsweise
Bei Erreichen einer in der Safety konfigurierten Grenzdrehzahl, und Q3 spannungslos. Über die Öffnerkontakte im Rückführkreis kann
entzieht der Sicherheits-Funktionsbaustein „Höchstdrehzahl-Überwachung sichergestellt werden, ob die Schütze in ihre Ruhestellung zurückgekehrt
(OM, Overspeed Monitor) die Freigabe der sicheren Ausgänge QS1 und sind, bevor eine erneute Freigabe durch Betätigung des RESET-Tasters S4
QS2 und schaltet damit die Sicherheitsschütze / Leistungsschütze Q2 erteilt werden kann.

MTTFd 50,93 Jahre 24,01 Jahre PFHd 1,55 x 10 -8
2,3 x 10-7
B10d Q2, Q3: 1300000 Q2, Q3: 1300000 B10 Q2, Q3: 975000 Q2, Q3: 975000
nop Q2, Q3: 2520 Q2, Q3: 288720 λd/λ Q2, Q3: 0,75 Q2, Q3: 0,75
CCF 80 80 C Q2, Q3: 0,4375 Q2, Q3: 50,125
DCavg 91,1 % 95,27 % ß 0,05 0,05
PL e d DC B1, B2: 99 % B1, B2: 99 %
K1: 99 % K1: 99 %
Q2, Q3: 99 % Q2, Q3: 99 %
T10d 20 Jahre Q2, Q3: 4,5 Jahre, SIL 3 2
alle anderen: > 20 Jahre
6.3
Näherungssensor E57-... Sicherheitsgerichtetes Steuerrelais Safety Sicherheitsschütz DILMS12

Sicherheitsnormen
Norm Inhalt
→ Seite
Teil 2: Validierung
12/22 PU05907001Z-DE 83
7 Wiederanlauf verhindern
7.1 Mit Schützen
Anwendung
• Wenn ein selbsttätiger Wiederanlauf bei Spannungswiederkehr einen • Wenn durch Spannungsausfall oder Spannungseinbruch ein
gefährlichen Zustand verursacht. Fehlverhalten der elektrischen Ausrüstung auftritt.
Wiederanlauf verhindern
-S1
-S2 -Q1 -Q1
-X1
M
-Q1 3h
7.1
Abbildung 42: Schütz-Selbsthaltung verhindert den Wiederanlauf bei Spannungswiederkehr
Bedingungen
• Schütze müssen eine Spannungssicherheit von mindestens 85 % bis
110 % der Steuerspannung nach IEC 60947-1 aufweisen.
• Stromversorgung und Schutzorgane nach IEC 60204-1, Absatz 9.1.1.
Eigenschaften
• Steuerspannungseinbrüche bis -15 % führen nicht zum Abschalten.
Funktionsweise
Nach Spannungswiederkehr ist ein bewusster Einschalt-Befehl
erforderlich, damit die Maschine wieder anlaufen kann.
84 12/22 PU05907001Z-DE
Bewährte Schaltgeräte
Sicherheitsschütz DILMS12 Sicherheitsschütz DILMS25 Sicherheitsschütz DILMS50 Sicherheitsschütz DILMS150
Leistungsschütz DILM12 Leistungsschütz DILM25 Leistungsschütz DILM50 Leistungsschütz DILM150
Sicherheitsnormen
Norm Inhalt
→ Seite
EN ISO 12100 Sicherheit von Maschinen – Grundbegriffe, allgemeine Gestaltungsleitsätze 113
Teil 1: Grundsätzliche Terminologie, Methodologie
Teil 2: Technische Leitsätze
IEC 60947-1 Niederspannungsschaltgeräte – Teil 1: Allgemeine Festlegungen –
IEC 60947-4-1
7.1
12/22 PU05907001Z-DE 85
7.2 Mit Safety
Anwendung
• Wenn ein selbsttätiger Wiederanlauf bei Spannungswiederkehr einen • Wenn durch Spannungsausfall oder Spannungseinbruch ein
gefährlichen Zustand verursacht. Fehlverhalten der elektrischen Ausrüstung auftritt.
+24 V +24 V
0V 0V
-F1
-S1 -S2
Stopp Start
14
-K1 NET
DEL ALT
P2
-Q1
P1 P3
P4
ESC OK PE
7.2
ES4P-221-DMXD1
W1
U1
V1
PE
Output 1x Relay / 6A 4x Transistor / 0,5A 4x Test Signal -X1
1 2
M
3h
-Q1
Abbildung 43: Selbsthaltung mit Safety verhindert Wiederanlauf nach Spannungswiederkehr
Bedingungen Funktionsweise
• Parametereinstellung AST (Automatischer Start) eines Sicherheits- Mit Hilfe des Parameters „Betriebsart“ bestimmen Sie das Startverhalten
Funktionsbausteins darf niemals einen unerwarteten Anlauf oder eine des Sicherheits-Funktionsbausteins. Der Wiederanlauf verhindert das
unkontrollierte Geschwindigkeitsänderung der Maschine verursachen. unkontrollierte Anlaufen nach dem Einschalten der Spannungsversorgung
• Schütze müssen eine Spannungssicherheit von mindestens 85 % bis und nach der Freigabe des Schutzfeldes. Ist darüber hinaus eine
110 % der Steuerspannung nach IEC 60947-1 aufweisen. Wiederanlaufsperre erforderlich, kann die Selbsthaltung innerhalb des
• Mit elektromechanischen Bauteilen fest verdrahten. Stromlaufplans programmiert werden (siehe Programmierfenster).
Eigenschaften
• Steuerspannungseinbrüche bis -15% führen nicht zum Abschalten.
• Parameter „Betriebsart“ ermöglicht die Bestimmung des
Startverhaltens eines jeden Sicherheitsbausteins: AST – Automatischer
Start, MST – Manueller Start, CST – Überwachter Start
86 12/22 PU05907001Z-DE
Sicherheitsgerichtetes Steuerrelais Safety ES4P-221-DRXD1 Sicherheitsschütz DILMS12
Sicherheitsnormen
Norm Inhalt
→ Seite
IEC 60947-4-1
7.2
12/22 PU05907001Z-DE 87
7.3 Mit Rückführkreis
Anwendung
• Wenn durch einen Fehler im Abschaltkreis der Verlust der Sicherheitsfunktion droht.
L1 L1 +24 V
L2 L2 0V
L3 L3 1L1
L1
L2
L3
-Q1
1
-Q3 -F2 -F1 -S1 -S2

Not-Halt Reset
2
-Q2
I> I> I> +24V 0V 0V IS1 IS2 IS3 IS4 IS5 IS6 IS7 IS8 IS9 IS10 IS11 IS12 IS13 IS14
-K1 NET
T1
T2
T3
DEL ALT
P2
P1 P3
-Q1 P4
ESC OK
ES4P-221-DRXD1
-Q2
Output 4x Relay / 6A 4x Test Signal
1 2 1 2 1 2 1 2
QS1 QS2 QS3 QS4 T1 T2 T3 T4
PE
7.3
-Q1 -Q2
W1
U1
V1
PE
N
-X1
M
3h
Abbildung 44: Rückführkreis verhindert Wiederanlauf durch offene Kontakte der Schütze
Bedingungen
• Abschaltstufe redundant und mit zwangsgeführten und mit
Spiegelkontakten (nach IEC 6097-4-1, Anhang F) ausführen.
Eigenschaften
• Werden die Schütze eingeschaltet, überprüft Safety, ob der
Rückführkreis innerhalb der Überwachungszeit öffnet.
• Werden die Schütze abgeschaltet, überprüft Safety, ob der
Rückführkreis innerhalb der Überwachungszeit schließt.
Funktionsweise
Der Sicherheits-Funktionsbaustein EM (External Monitor) überwacht die
Meldekontakte der Schütze. Fällt ein Schütz beim Abschalten nicht in die
Ruhestellung zurück, erteilt der Baustein keine Freigabe und verhindert
den Wiederanlauf.
88 12/22 PU05907001Z-DE
1 2 3. .
Sicherheitsgerichtetes Steuerrelais Safety ES4P-221-DRXD1 Sicherheitsschütz DILMS12
Sicherheitsnormen
Norm Inhalt
→ Seite
IEC 60947-4-1
7.3
12/22 PU05907001Z-DE 89
8 Unerwarteten Anlauf verhindern
8.1 Für kurze Eingriffe
Anwendung
• Wenn bei der Instandhaltung der unerwartete Anlauf einer Maschine • Zum Ausschalten von Anlagenteilen für Arbeiten von geringem
Unerwarteten Anlauf verhindern
oder eines Maschinenteils eine Gefährdung hervorrufen kann. Umfang und kurzer Zeit.
0 I
Schlüsselschalter verhindert
unerwarteten Anlauf
-S1
-Q1
-S2
Stopp
-X1
-S3 -Q1
Start
M
3h
Hauptstromkreis
-Q1
M1 = Antrieb, der kurzzeitig
abgeschaltet werden soll
Abbildung 45: Verhinderung des unerwarteten Anlaufs mit Schlüsselschalter

8.1
• Bei Arbeiten ohne bedeutenden Auseinanderbau der Maschine (IEC • Partielle Abschaltung, die gegen Wiedereinschaltung gesichert ist.
60204-1)
• Bei Einstellungen, die relativ wenig Zeit benötigen (IEC 60204-1).
• Bei Arbeiten an der elektrischen Ausrüstung, wenn Funktionsweise
– keine Gefährdung durch elektrischen Schlag und Verbrennung Zu Instandhaltungsarbeiten wird der Schlüsselschalter in AUS-Stellung
besteht (IEC 60204-1). abgeschlossen. Ein unerwartetes Einschalten durch eine weitere Person
– die Ausschalteinrichtung während der Arbeiten wirksam bleibt (IEC während der Arbeiten im Gefahrenbereich ist somit nicht möglich.
60204-1).
– die Arbeit von geringem Umfang ist (IEC 60204-1).
• Zwangsgeführter Schalter mit zwei Schaltstellungen EIN und AUS.
• In AUS-Stellung abschließbar.
• Schütz muss betriebsmäßig geschaltet werden, damit ein Versagen
erkannt wird.
90 12/22 PU05907001Z-DE
Unerwarteten Anlauf verhindern

Schlüsselschalter M22-WRS + M22-AK10 Sicherheitsschütz DILMS12
Sicherheitsnormen
Norm Inhalt
→ Seite
EN ISO 14118 Sicherheit von Maschinen – Vermeidung von unerwartetem Anlauf 122
IEC 60947-1 Niederspannungs-Schaltgeräte –
8.1
IEC 60947-4-1
12/22 PU05907001Z-DE 91
9 Bei Reparatur und Wartung sichern
9.1 Mit Netz-Trenneinrichtung (Hauptschalter)
Anwendung
Bei Reparatur und Wartung sichern
• Wenn durch einen unerwarteten Anlauf Gefahren für Bediener oder • Bei Stromkreisen, für die eine Netz-Trenneinrichtung nach IEC 60204-1
Maschine auftreten können. vorgeschrieben ist.
• Zum Freischalten der elektrischen Anlage.
-Q2
-Q1 U<
L1
L2
L3
L1
L2
L3
Abbildung 46: Lasttrennschalter und Leistungsschalter als Netz-Trenneinrichtung (Hauptschalter)
• Die Netz-Trenneinrichtung (Hauptschalter) muss einer der folgenden • Eine Netz-Trenneinrichtung (Hauptschalter): Trennung der gesamten
9.1
Arten entsprechen: Anlage von der Stromversorgung.

– Lasttrennschalter nach IEC 60947-3 für Gebrauchskategorie AC-23B • Mehrfach-Einspeisung: Trennung bestimmter Stromkreise von der
oder DC-23B. Stromversorgung bzw. erzwungenes, gemeinsames Abschalten.
– Leistungsschalter nach IEC 60947-2 geeignet zum Trennen. • Verwirklicht die ersten 2 der 5 Sicherheitsregeln nach EN 50110-1
(VDE 0105):
– Trennschalter nach IEC 60947-3 mit Hilfskontakt zum Lastabwurf,
– 1. Freischalten.
bevor dessen Hauptkontakte öffnen.
– 2. Gegen Wiedereinschalten sichern.
– Stecker/Steckdosen-Kombination nach IEC 60204-1 (5.3.2 e) für eine
Stromversorgung mit flexiblen Leitungen. – 3. Spannungsfreiheit feststellen.
• Schalter mit zwei Schaltstellungen: EIN und AUS und ggf. – 4. Kurzschließen und erden.
Zwischenstellung AUSGELÖST. – 5. Benachbarte unter Spannung stehende Teile abdecken.
• In AUS-Stellung abschließbar, z. B. durch Bügelschlösser.
• Wenn bei Mehrfach-Einspeisung das Abschalten nur einer Netz-
Trenneinrichtung zu gefährlichen Zuständen führt, muss das Funktionsweise
gemeinsame Abschalten über mechanische Verriegelung oder
Über den Hauptschalter wird die Gefahr bringende, elektrische Anlage frei
Unterspannungsauslöser erzwungen werden.
geschaltet und vor Wiedereinschalten gesichert.
• Vorschriften zur Anordnung und zum Aufbau nach IEC 60204-1 und IEC
60947 beachten!
92 12/22 PU05907001Z-DE

Lasttrennschalter P1-25/E Leistungsschalter NZMN2-A200 mit Kipphebel-Abschließvorrichtung
Sicherheitsnormen
Norm Inhalt
→ Seite
9.1
12/22 PU05907001Z-DE 93
9.2 Mit Einrichtungen zum Trennen der elektrischen Ausrüstung
Anwendung
• Für Arbeiten ohne des Risikos eines elektrischen Schlages. • Wenn Teile der Maschine funktionsfähig bleiben müssen.
• Zur Verhinderung eines unerwarteten Anlaufes.
-Q1
Netz-Trenneinrichtung
-Q2 -Q3
Einrichtung zum Trennen
Abbildung 47: Einrichtungen zum Trennen erlauben partielles Freischalten
9.2
• Die Netz-Trenneinrichtung (Hauptschalter) muss einer der folgenden • Trennung einzelner Teile der elektrischen Ausrüstung vom Netz.
Arten entsprechen: • Trennereigenschaften erlauben uneingeschränktes Arbeiten an der
– Lasttrennschalter nach IEC 60947-3 für Gebrauchskategorie AC-23B elektrischen und mechanischen Ausrüstung im Gegensatz zur indirekten
oder DC-23B. Abschaltung mittels Motorschütz.
– Leistungsschalter nach IEC 60947-2 geeignet zum Trennen. • Verwirklicht die ersten 2 der 5 Sicherheitsregeln nach EN 50110-1
(VDE 0105):
– 1. Freischalten
– 2. Gegen Wiedereinschalten sichern
Stromversorgung mit flexiblen Leitungen. – 3. Spannungsfreiheit feststellen
• Schalter mit zwei Schaltstellungen: EIN und AUS und ggf. – 4. Kurzschließen und erden
Zwischenstellung AUSGELÖST. – 5. Benachbarte unter Spannung stehende Teile abdecken.
• Vorschriften zur Anordnung und zum Aufbau nach IEC 60204-1 und IEC
60947 beachten! Funktionsweise
• Netz-Trenneinrichtung mit Schaltstellungsanzeige nach IEC 60947-1
Über die Lasttrennschalter werden die Gefahr bringenden, elektrischen
verwenden.
Anlagenteile freigeschaltet und vor Wiedereinschalten gesichert.
94 12/22 PU05907001Z-DE

Lasttrennschalter P1-25/E Leistungsschalter NZMN2-A200 mit Kipphebel-Abschließvorrichtung
Sicherheitsnormen
Norm Inhalt
→ Seite
9.2
12/22 PU05907001Z-DE 95
9.3 Mit Reparatur-, Wartungs- und Sicherheitsschalter
Anwendung
• Wenn ein Einschalten der Spannungsversorgung während der • Zum Freischalten von elektrischen Anlagen oder Anlagenteilen.
Wartungsarbeiten zu gefährlichen Zuständen führt. • Zur Verhinderung eines unerwarteten Anlaufes.
L1 L1
L2 L2
L3 L3
N N
-Q2 -F1
I> I> I>
-O
-Q11 -I -Q11
-Q1
9.3
-H1
-H2 -Q11
Meldung Lastabwurf
PE
W1
U1
V1
PE
-X1
M
3h
Abbildung 48: Einschaltverhinderung durch Sicherheitsschalter
Bedingungen • Vorschriften zur Anordnung und zum Aufbau nach IEC 60204-1 und IEC
60947 beachten!
• Der Schalter Q1 muss einer der folgenden Arten entsprechen:
• Netz-Trenneinrichtung mit Schaltstellungsanzeige nach IEC 60947-1
– Lasttrennschalter nach IEC 60947-3 für Gebrauchskategorie AC-23B
verwenden.
oder DC-23B.
– Leistungsschalter nach IEC 60947-2 geeignet zum Trennen.
Stromversorgung mit flexiblen Leitungen.
• Unbeabsichtigtes oder versehentliches Betätigen nicht möglich.
• Für vorgesehene Anwendung geeignet, gut zugänglich angeordnet,
leicht zu erkennen und zu handhaben.
96 12/22 PU05907001Z-DE
Eigenschaften Funktionsweise
• Trennung der gesamten Anlage von der Stromversorgung Über die Lasttrennschalter werden die Gefahr bringenden, elektrischen

→ Kapitel 9.1 „Mit Netz-Trenneinrichtung (Hauptschalter)“, Seite 92 Anlagenteile frei geschaltet. Mit einem Vorhängeschloss kann sich jeder
• Trennung einzelner Anlagenteile von der Stromversorgung Monteur vor unbefugtem Wiedereinschalten absichern.
→ Sicherheitsschalter/Wartungsschalter.
• Verwirklicht die ersten 2 der 5 Sicherheitsregeln nach EN 50110-1
(VDE 0105):
– 1. Freischalten
– 2. Gegen Wiedereinschalten sichern
– 3. Spannungsfreiheit feststellen
– 4. Kurzschließen und erden
– 5. Benachbarte unter Spannung stehende Teile abdecken.
9.3
P1-25/I2-SI/HI11
Sicherheitsnormen
Norm Inhalt
→ Seite
12/22 PU05907001Z-DE 97
10 Schutz vor elektrischem Schlag
10.1 Schutztrennung
Anwendung
• Schutz bei indirektem Berühren, d. h. bei Isolationsfehler. • Stromversorgung für Geräte, die bei Insandhaltungsarbeiten in Steuer-
• Lichtstromkreise für Instandhaltungsarbeiten in Steuerschränken. schränken benutzt werden (z. B. Messgeräte, Laptop)
Schutz vor elektrischem Schlag
-Q1 -Q2 -Q3
I> I> I> I> I> I>
-T1 -T2
10.1
-F1 -F2
-X1
-S1
L1
L2
L3
-H1
Abbildung 49: Schutztrennung
• Trenntransformator nach IEC 61558-2-4. • Schutz vor elektrischem Schlag bei gleichzeitigem Berühren eines
• Sicher getrennte Wicklungen (verstärkte oder doppelte Isolierung) nach aktiven und eines geerdeten Teils.
IEC 61558-2-6. • Schutz vor elektrischem Schlag bei gleichzeitigem Berühren des
• Stromkreis hinter dem Trenntransformator ungeerdet betreiben. Erdungspotentials und von leitenden Teilen, die aufgrund eines
• Im Normalfall nur für einen Verbraucher. Isolationsfehlers unter Spannung stehen.
• Sekundärspannung nicht über 250 V. • Gleichzeitiges Berühren beider Leiter führt zum elektrischen Schlag.
• Bei Abgriff vor dem Hauptschalter besondere Verlegebedingungen
beachten, z. B. kurzschluss- und erdschlusssichere Verlegung, Leiter
farben, etc. Funktionsweise
Die Trenntransformatoren stellen eine zum Hauptstromkreis galvanisch
getrennte Steuerspannung bereit.
98 12/22 PU05907001Z-DE

Einphasen-Steuertransformator, Trenntransformator, Sicherheitstransformator STI0, 63 (400/24)
Sicherheitsnormen
Norm Inhalt
→ Seite
IEC 61558-2-4 Sicherheit von Transformatoren, Netzgeräten und dergleichen – Besondere Anforderungen –
an Trenntransformatoren für allgemeine Anwendungen
IEC 61558-2-6 Sicherheit von Transformatoren, Netzgeräten und dergleichen – Besondere Anforderungen –
10.1
an Sicherheitstransformatoren für allgemeine Anwendungen
12/22 PU05907001Z-DE 99
10.2 Schutzkleinspannung mit sicherer Trennung PELV
Anwendung
• Schutz gegen direktes und indirektes Berühren.

-Q2
-Q1
I> I> I>
-T1
-F1
10.2
...
Abbildung 50: Schutzkleinspannung mit sicherer Trennung PELV
Bedingungen Funktionsweise
• Sicherheitstransformator nach IEC 61558-2-6. Der Sicherheitstransformator stellt eine zum Hauptstromkreis galvanisch
• Sicher getrennte Wicklungen (verstärkte oder doppelte Isolierung). getrennte Steuerspannung bereit.
• Stromkreis hinter dem Sicherheitstransformator muss geerdet betrieben
werden.
• Sekundärspannung bei AC nicht über 25 V, bei DC nicht über 60 V.
Eigenschaften
• Schutz vor elektrischem Schlag bei gleichzeitigem Berühren eines
aktiven und eines geerdeten Teils.
• PELV ist doppelt isoliert. Bei einem Isolationsfehler steht das leitfähige
Teil nicht unter Spannung.
• Schutz vor elektrischem Schlag bei gleichzeitigem Berühren beider
Leiter.
100 12/22 PU05907001Z-DE


Einphasen-Steuertransformator, Trenntransformator, Sicherheitstransformator STI0, 63 (400/24)
Sicherheitsnormen
Norm Inhalt
→ Seite
IEC 61558-2-4 Sicherheit von Transformatoren, Drosseln, Netzgeräten und dergleichen für –
IEC 61558-2-6 Versorgungsspannungen bis 1100 V
Teil 2-4: Besondere Anforderungen und Prüfungen an Trenntransformatoren und
10.2
Netzgeräte die Trenntransformatoren enthalten
Teil 2-6: Besondere Anforderungen und Prüfungen an Sicherheitstransformatoren und
Netzgeräte die Sicherheitstransformatoren enthalten
12/22 PU05907001Z-DE 101

11 Projektierung von Maschinen nach IEC 60204-1
11.1 Stromversorgung und Schutzorgane
Die Zuverlässigkeit der Schutzfunktion hängt nicht nur von den gewählten Den Steuerstromkreis richtig projektieren
Betriebsmitteln und der Verschaltung ab. Berücksichtigen Sie darüber
Ein Kurzschluss im Steuerstromkreis kann zu unkontrollierten Zuständen
hinaus weitere Zusammenhänge.
führen. Schlimmstenfalls führt es zum Versagen der Sicherheitsfunktionen.
Projektierung von Maschinen
Entweder können
• Kontakte verschweißen oder
Verschweißfreier Aufbau
• der Kurzschlussstrom bewirkt kein Ansprechen des
Den Stromkreis öffnen, die Gefahr „ausschalten“ – mit verschweißten Kurzschlussschutzorganes.
Kontakten ist dies nicht möglich.
In beiden Fällen kommt es auf die richtige Wahl des Kurzschlussschutz
Dient das Schaltgerät der Sicherheit, könnte eine Risikobewertung die organes und des Transformators an.
Überdimensionierung bzw. einen redundanten Aufbau erforderlich machen
Die IEC 60204-1 fordert Verschweißfreiheit in Abschnitt 7.2.10: „Bei der
(„Rückführkreis“, Seite 106).
Auswahl dieser Schutzeinrichtungen sollte der Schutz von Steuergeräten
Streben Sie an, dass bei Überstrom oder im Falle eines Kurzschlusses das gegen Beschädigungen durch Überströme (z. B. gegen Verschweißen von
Schutzorgan auslöst, bevor die Kontakte der Schaltgeräte verschweißen. Kontakten der Steuergeräte) berücksichtigt werden.“
Natürlich soll das Schutzorgan den Motoranlauf oder das Einschalten von
Wählen Sie also den niedrigsten Wert des maximal zulässigen
Transformatoren aushalten.
Überstromschutzorganes, das für die verwendeten Schaltgeräte
angegeben ist.
SPS
11.1
24 V
Schutzorgan 0
im Netzgerät
0V
Hilfsschütz Drucktaster Zeitrelais Verstärkerbaustein

max. Sicherung
oder gleichwertiger
Schutzschalter: 16 A gL 10 A gL 6 A gL 4 A flink
Abbildung 51: Einsatz einer Sicherung als Schutzorgan
Beachten Sie, dass der unbeeinflusste Kurzschlussstrom in Ihren Transformatoren verwenden

Steuerkreisen nicht größer ist als 1000 A. Die Schaltgeräte nach IEC
Die Verwendung von Transformatoren zur Versorgung von Steuerstrom
60947-5-1 sind bis zu diesem Maximalwert durch die angegebenen
kreisen ist für annähernd alle Maschinen vorgeschrieben. Ausnahmen
Schutzorgane vor Verschweißen sicher.
bilden nur Maschinen mit einem einzigen Motoranlasser und höchstens
Die Begrenzung des unbeeinflussten Kurzschlussstromes erreichen Sie zwei Steuergeräten.
durch:
• Transformatoren
• Schutzorgan und Leitungslänge/Querschnitt
102 12/22 PU05907001Z-DE

IEC 60204
Schutzorgan und Leitungslänge/Querschnitt Ermittlung des Kurzschlussschutzorganes

Tritt ein Kurzschluss auf, soll das Schutzorgan schnell ansprechen.
Bei der Auswahl des Schutzorgans sollten Sie darauf achten, dass der

Abschaltstrom im Kurzschlussfall innerhalb von 0,2 Sekunden
erreicht wird.
• Ermitteln Sie also den Kurzschlussstrom mit den Einflussgrößen: Bedingung: Ik sek ≧ Imax. Ansprech
– Transformator.
– Leitungslänge. Abbildung 53: Ermittlung des Kurzschlussschutzorgans
– Leitungsquerschnitt.
• Wählen Sie danach ein Kurzschlussschutzorgan, dessen maximaler • Ansprechwerte Leitungsschutzschalter für 0,2 Sekunden
Ansprechwert kleiner als der Kurzschlussstrom ist. Benutzen Sie als
Hilfestellung die folgenden Berechnungsformeln: Typ Charakteristik max. Schnellauslöser-Ansprechstrom
Berechnung des sekundärseitigen Kurzschlussstromes FAZ B 3 – 5 x In

FAZ C 5 – 10 x In
Ik sek
FAZ D 10 – 20 x In
Kurzschluss am
Ende der Leitung
• Schmelzsicherung
0.5 x I
Entnehmen Sie den Abschaltstrom der Zeit-Strom-Kennlinie der jeweiligen
11.1
Un sek
Sicherung bei 0,2 Sekunden.
I k sek = (r x l) + (U2n sek x uk / S)
Zeit-Strom-Kennlinie
Schmelzsicherung
gL D2 / 6 A / 500 V
Abbildung 52: Berechnung des Kurzschlussstroms
Zeit t
Ik sek = sekundärseitiger Kurzschlussstrom in A

Steuertrafo STI
Un sek = Bemessungs-Sekundärspannung des Trafos in V

uk = Kurzschlussspannung des Trafos in %
Sn = Bemessungsleistung (Typleistung) des Trafos in kVA
l = Leitungslänge des Sekundärkreises in km

r = Widerstandsbelag der einadrigen Leitung in Ω/km 0.2 s
r = 24,5 Ω/km für 0,75 mm2 Cu
r = 18,1 Ω/km für 1,0 mm2 Cu
r = 12,1 Ω/km für 1,5 mm2 Cu
5 x In
30 A
x Nennstrom
Abbildung 54: Beispiel: Zeit-Strom-Kennlinie einer 6 A Sicherung
12/22 PU05907001Z-DE 103

Projektierung von Maschinen nach IEC 60204-1
11.2 Lange Steuerleitungen
Schalten von Schützen über lange Mehrfachsteuerleitungen Tabelle 2: Steuerleitungslänge für Schütze von Eaton
Die Kapazität langer Steuerleitungen im Wechselstromkreis kann Schütz maximal zulässige Leitungslänge in m bei
gegebenenfalls das Abfallen von Schützen trotz einer Handlung im Notfall
Halte- Dauerkon- Impulskon- Dauerkon- Impulskon-
(NOT-HALT-Kommando) verhindern. Diese Gefahr besteht vor allem bei: leistung taktgabe taktgabe taktgabe taktgabe
• Hoher Steuerspannung (z. B. 500 V). VA 50Hz 50Hz 60Hz 60Hz
• Kleinem Haltestrom des Schützes.
• Schützen mit sehr niedriger Abfallspannung Ua
(IEC 60947-4-1: 10 % < Ua < 75 %) Uc=230V
DILE(E)… 4.6 148 74 118 59
Die Steuerleitung darf daher bei einer bestimmten Steuerspannung und
Schützgröße eine max. Länge lmax nicht überschreiten, weil sonst infolge DILM7... 3.4 109 55 87 44
der Kapazität der Steuerleitungen, über die der Haltestrom fließt, das DILM15; DILA
Ausschalten des Schützes verhindert wird. DILM17... 7.1 228 114 183 91
DILM38
DILM40... 16 514 257 411 206
DIL72
Maximale Leitungslänge lmax
DILM80; 26 836 418 668 334
Damit ein Schütz einwandfrei geschaltet werden kann, ist es notwendig, DILM95
dass die tatsächliche Leitungskapazität C kleiner als Cmax ist. Bei DILM115…. 3.1 100 50 80 40
Dauerkontaktgabe ist mit Kapazität C zu rechnen, bei Impulskontaktgabe DIL170
mit 2 x C. Im letztgenannten Fall ist die maximale Steuerleitungslänge lmax DILM185A; 2.6 84 42 67 33
nur halb so groß wie bei Dauerkontaktgabe. DILM225A
DILM250; 10.5 337 169 270 135
11.2
I C DILM300A
C
C
Lmax. DILM400; 14.2 456 228 365 183
Lmax.
DILM500
DILM580... 26.5 852 426 681 341
Abbildung 55: Dauerkontaktgabe (links) und Impulskontaktgabe DILM1000
DILH1400 26.5 852 426 681 341
DILH2000… 36.5 1173 586 938 469
Mit einem Richtwert der spezifischen Kabelkapazität von 0,3 μF/km eines
DILH2600
2-adrigen Steuerkabels ergibt sich bei 50 Hz eine maximale zulässige
Uc=120V
Steuerkabellänge von:
DILE(E)… 4.6 543 272 434 217
Dauerkontaktgabe:
PH DILM7... 3.4 401 201 321 161
I max = 1,7 x 10 6 PH2 [m] DILM15; DILA
UC [m]
I max = 1,7 x 10 6 DILM17... 7.1 838 419 671 335
UC2
DILM38
DILM40... 16 1889 944 1511 756
Impulskontaktgabe: DIL72
DILM80; 26 3069 1535 2456 1228
PH DILM95
I max = 0,85 x PH2 [m]
10 6
I max = 0,85 x 10 6 UC 2 [m] DILM115…. 3.1 366 183 293 146
UC in VA
PH = Nenn-Halteleistung DIL170
U
PHc = Nenn-Betätigungsspannung
Nenn-Halteleistung in VA in V DILM185A; 2.6 307 153 246 123
Uc = Nenn-Betätigungsspannung in V DILM225A
In der nachstehenden Tabelle ist die maximale einfache DILM250; 10.5 1240 620 992 496
DILM300A
Steuerleitungslänge für Schütze von Eaton angegeben.
Nennbetätigungsspannung: 230 V und 120 V (max. 1,1 x Uc). DILM400; 14.2 1676 838 1341 671
DILM500
DILM580... 26.5 3128 1564 2503 1251
DILM1000
DILH1400 26.5 3128 1564 2503 1251
DILH2000… 36.5 4309 2155 3447 1724
DILH2600
104 12/22 PU05907001Z-DE

IEC 60204
Abhilfe, wenn das Schütz nicht abfällt

Wird bei der Projektierung oder bei Inbetriebnahme festgestellt, dass
bedingt durch lange Steuerleitungen die Schütze nicht abfallen, so können

verschiedene Mittel zur Lösung verwendet werden:
• Größeres Schütz einsetzen (größere Halteleistung).
• Steuerspannung reduzieren (Spannungsfall berücksichtigen).
• Gleichstrombetätigtes Schütz einsetzen.
• Die Spule wird durch einen zusätzlichen Öffner bei Dauerkontaktgabe
bzw. Schließer bei Impulskontaktgabe kurzgeschlossen. Hierzu ist
eine zusätzliche Leitung notwendig. Die Ausschaltzeiten der Schütze
erhöhen sich erheblich.
I
C
C C
Abbildung 56: E rhöhung der Ausschaltzeiten bei Dauerkontaktgabe (links)

und Impulskontaktgabe
• Parallelschalten eines ohmschen Widerstandes zur Schützspule.

Der ohmsche Widerstand wird nach folgender Gleichung ermittelt:
11.2
RR==1000
1000[]
[]
CC
Die Leistung des Widerstandes beträgt:
UUCC22
PP == [W]
[W]
RR
Beachten Sie, dass der Widerstand zur Gesamtverlustleistung der

Schaltung beiträgt.
12/22 PU05907001Z-DE 105

Projektierung von Maschinen nach IEC 60204-1
11.3 Schaltungsaufbau und Betriebsmitteleinsatz
Verwenden Sie erprobte Schaltungstechniken und Bauteile. Sehen Sie Redundanz vor
Redundanz ist das Vorhandensein von mehr als für den Normalbetrieb
L01 L1 notwendigen Mitteln. Als typische Form von Redundanz finden Sie die
L2 Verdoppelung von Sicherheitshilfsschütz in der NOT-HALT-Kombination z.
0
c
B. → Kapitel 1.7 „Bei elektronisch geregelten Antrieben“, Seite 28.
d
Versagt eines der Geräte, weil es nicht anzieht oder hängen bleibt, so
b stellt das andere den sicheren Zustand her, und der Fehler wird erkannt.
Dies funktioniert allerdings nur mit zwangsgeführten Hilfskontakten.
K1 e
I Wenden Sie Diversität an
Hierbei handelt es sich um den Aufbau von Steuerstromkreisen nach
verschiedenen Funktionsprinzipien oder mit unterschiedlichen Arten von
K1 Geräten, wie beispielsweise die Kombination von Öffnern und Schließern,
die durch Schutzeinrichtungen betätigt werden, → Kapitel 2.5 „Zwei
L02
a
kanalig mit Sicherheitsrelais“, Seite 54.
Führen Sie Funktionsprüfungen durch

Bestenfalls führt die Steuerung Funktionsprüfungen automatisch durch.
Abbildung 57: Bewährte Schaltungstechnik Viele Funktionen lassen sich nicht automatisch testen. Eine NOT-
HALT-Taste beispielsweise wird nur im Notfall betätigt. Führen Sie in
① Erden Sie den Steuerstromkreis.
geeigneten Zeitabständen individuelle Funktionsprüfungen durch.
② Legen Sie alle Schaltfunktionen auf die nicht geerdete Seite.
③ Schalten Sie durch Entregen ab, das ist drahtbruchsicher.
④ Verwenden Sie Schalter mit zwangsgeführten Kontakten (nicht mit
11.3
Zwangsführung verwechseln). Ordnen Sie Betriebsmittel zweckmäßig an

⑤ Schalten Sie alle aktiven Leiter zum steuernden Gerät.
Über die Anordnung der Positionsschalter lesen Sie bitte in der
Erläuterung zur„ISO 14119“, Seite 118 nach.
Rückführkreis Verwenden Sie Sicherheitsschaltgeräte und programmierbare

elektronische sicherheitsgerichtete Steuerrelais
Für zusätzliche Freigabepfade oder zur Überwachung redundanter
Sicherheitsschaltgeräte sind Komponenten der Schutzeinrichtung
Sicherheitsschütze fügen Sie an der Stelle „Rückführkreis“ je einen
an Maschinen und Anlagen. Durch die Verwendung erfolgt eine
Öffner der nachfolgenden Schütze ein. Hierbei müssen die Öffner als
Risikominderung zum Schutz von Personen, Material und Maschinen.
Spiegelkontakt nach IEC 60947-4-1, Anhang F, geeignet sein. Verschweißt
eines dieser Schütze, bleibt die Schaltung beim nächsten EIN-Befehl im Die Auswahl, ob ein konventionelles oder ein elektronisches
Ruhezustand, bis die Ursache behoben ist. Siehe z. B. Schaltungen auf konfigurierbares sicherheitsgerichtetes Gerät eingesetzt wird, ist von
Seite 24, 58 und 80. der Art der Verwendung abhängig. Für einfache Anwendungen stellt
ein konventionelles Sicherheitsschaltgerät eine sinnvolle Lösung dar.
Kontakterweiterungen bieten die Möglichkeit, sicherheitsgerichtete
Freigabepfade kostengünstig zu vervielfältigen Abbildung 50,
Freigabepfad
Seite 100).
21
Wenn komplexe Aufgaben anstehen, kann mit einem elektronisch
K1M 22
konfigurierbarem Steuerrelais ein umfangreiches Leistungsspektrum
21 abgedeckt werden. Durch die flexible Programmierung können Sie
K2M 22 verschiedene s icherheitsbezogene Funktionen und Sicherheits-Kategorien
A1
realisieren.
K1M
A2
Die komplette Maschinen- oder Anlagensteuerung wird üblicherweise
Rückführkreis getrennt in einen nichtsicheren Teil mit konventioneller SPS-Technik und
A1
K2M einen sicherheitsgerichteten Teil mit sicherheitsgerichteten Schaltgeräten
A2
oder Steuerrelais aufgebaut.
Hauptstromkreis
Abbildung 58: Rückführkreis, externe Schütze überwachen
106 12/22 PU05907001Z-DE

IEC 60204
Berücksichtigen Sie vorhersehbaren Missbrauch • Umgebungsbedingungen bei der Anordnung von Schränken, B edien-
Maschinen werden nach Störungen möglichst schnell wieder in Betrieb und Anzeigeelementen berücksichtigen.
gesetzt. Dabei entstehen oft gefährliche Situationen. • Erweiterte Funktionen bei der Betriebsart „Einrichten“:
– Tippbetrieb zum Rückholen von Antrieben.

Beispiel: Bei einer Palettieranlage verklemmen sich Pakete, Paletten oder
Maschinenteile. Nach einer NOT-HALT-Abschaltung soll die Maschine – Mit zusätzlicher Drehrichtungswahl.
wieder anlaufen. Dazu begibt sich die Bedienperson in den Gefahrenraum – Anlauffunktion bei nicht korrekter Ausgangsstellung.
und versucht, die Störungsursache zu beseitigen. Dazu muss der Antrieb • Merkerfunktion zur nahtlosen Fortsetzung nach Stopp.
ggf. in anderer Drehrichtung kurz anlaufen. • Gespeicherte IST-Situation anzeigen.
Ist dies nur durch Handbetätigung der Schütze möglich, liegt eine hohe • Fehler vom sicheren Standort erkennen können:
Gefährdung vor. Es kann der falsche Antrieb gestartet oder die falsche Erweiterte Anzeigefunktion.
Drehrichtung gewählt werden. • Vom sicheren Standort aus gleichzeitig die kritischen Maschinen
bewegungen und die Anzeigeinstrumente beobachten und die
Zur Abhilfe genügt nicht allein das Umsetzen der Normenforderungen. Bedienelemente betätigen können.
Vorausschauende, gemeinsame Planung vom Maschinenkonstrukteur und • Nach Rücksetzen einer Handlung im Notfall (NOT-HALT-Befehl) darf die
Elektroplaner ist nötig. Maschine nicht automatisch wiederanlaufen. Der „Start“-Befehl hat
Abhilfemaßnahmen sind z. B.: über einen separaten Taster zu erfolgen.
+24 V
0V
1
-F1 -F2
2
11.3
ESR5-NO-31-24VAC-DC
13
23
41
33
A1
A2
S11
S33
S34
S12
-K11
Power
24 V
AC/DC
K1
Logik
K2
24 V DC
S21
S22
14
24
34
42
11
21
13
-S1 -S2
Reset NOT-HALT
14
22
12
11
23
33
43
53
63
71
11
23
33
43
53
63
71
A1
A2
A1
A2
K1 K1
-K12 -K13
K2 K2
ESR5-NE-51-24VAC-DC ESR5-NE-51-24VAC-DC
12
24
34
44
54
64
72
12
24
34
44
54
64
72
Abbildung 59: Rückführkreis, Sicherheitsrelais mit Kontakterweiterungen
12/22 PU05907001Z-DE 107

12 Der Weg zur sicheren Maschine
12.1 Fahrplan
Der Weg zur „sicheren Maschine“ Sicherheits-Konzept integrieren

Ihre Maschine muss nachweislich sicher sein; d. h., sie führt die • Inhärent sichere Konstruktion.
Funktionen durch, ohne Verletzungen oder Gesundheitsschäden • Technische Schutzmaßnahmen und ergänzende Schutzmaßnahmen.
Der Weg zur sicheren Maschine
zu verursachen. Diesen Nachweis können Sie im Regelfall in • Benutzerinformationen hinsichtlich des Restrisikos
Eigenverantwortung und in Sonderfällen mit Hilfe einer „Zuständigen – an der Maschine
Stelle“ erbringen. Nach außen dokumentiert wird dies durch das – im Benutzerhandbuch
CE-Zeichen.
Die zu treffenden Schutzmaßnahmen müssen darauf abzielen,
Gefahr erkannt, Gefahr gebannt
Unfallrisiken während der gesamten Lebensdauer der Maschine –
Erstellen Sie für die komplette Maschine sowie Teile davon eine
beginnend bei der Herstellung bis hin zur Außerbetriebnahme, Demontage
Risikoabschätzung. Gelangen Sie zu der Überzeugung, dass das
und Entsorgung – in allen Betriebssituationen auszuschließen.
Versagen von Schaltungstechniken und Bauteilen in Schutzeinrichtungen
zu einer Gefahr führen kann, treffen Sie weitere Maßnahmen zur Betriebsanleitung ausarbeiten
Risikoverminderung im Fehlerfall. In jedem Fall muss dieser Vorgang • Grundlegendes Sicherheitskapitel
sorgfältig ausgeführt und dokumentiert sein. • Spezielle Gefahrenhinweise
• Betriebsanleitung übersetzen
Werksnorm erstellen
• Zutreffende Richtlinien ermitteln. Wichtig für den Benutzer ist die Betriebsanleitung mit der
• Normen recherchieren. „Bestimmungsgemäßen Verwendung“ und „Warnhinweisen“.
Hierbei kommt die durchgeführte Risikoanalyse zugute: „Vor (nicht zu
→ Abschnitt „Das Europäische Sicherheitskonzept“, Seite 110
beseitigenden) Restgefahren warnen“.
Technische Dokumentation ausarbeiten
Konformitäts-Erklärung ausstellen
• Grundlegende Anforderungen auflisten.
12.1
• Gefahren- und Risiko-Analyse durchführen.

Für jede Maschine muss der Hersteller eine Konformitäts-Erklärung
• Lösungen beschreiben.
ausstellen. Darin werden die zu Grunde gelegten EN-Normen angeführt
• Prüfkriterien festlegen.
und die Maschine dazu konform erklärt. Die Einhaltung dieser Normen
Besonders wenn keine C-Norm vorliegt, muss der Maschinen-Konstrukteur erlaubt die Vermutung, dass die Maschinen-Richtlinie eingehalten ist
selbst aufgrund einer Gefahren-Analyse die Höhe des Risikos abschätzen (Vermutungswirkung).
und Maßnahmen zur Risikoverminderung ergreifen, prüfen und Ist eine Maschine in Anhang IV und V der Maschinen-Richtlinie
dokumentieren. aufgeführt, müssen gesonderte Konformitätsbewertungsverfahren nach
Hilfestellungen zur Risikobeurteilung und Risikoverminderung geben die Artikel 12 angewendet werden. Eine Liste der Maschinen nach Anhang IV
B-Normen EN ISO 12100, EN ISO 13849-1 und EN IEC 62061. und V ist auf Seite 160 abgedruckt.
In der zukünftigen EU Maschinenverordnung finden Sie spezielle Der Anhang II der Maschinen-Richtlinie sieht zwei unterschiedliche
Konformitätsbewertungsverfahren für Hoch-Risiko-Maschinen. Konformitäts-Erklärungen vor:
Nähere Informationen können Sie bereits in unserem White Paper Anhang II A für Maschinen.
"Neufassung der Maschinenrichtlinie sowie der EN ISO 13849-1 und EN Anhang II B für unvollständige Maschinen.
IEC 62061" nachlesen. Neben der Konformitäts-Erklärung muss der Hersteller eine Dokumenta
Download: Eaton.de/fusi tion der Gefahren/Risiken und der Gegenmaßnahmen mit Prüfergebnissen
erstellen. Diese Dokumentation ist nicht für Ihre Kunden bestimmt,
ggf. muss sie einer „zuständigen Stelle“ auf „begründetes Verlangen“
vorgelegt werden.
108 12/22 PU05907001Z-DE

CE-Kennzeichnung anbringen Die Kennzeichnung ist vor Inverkehrbringen, d. h. vor Verkauf und
Inbetriebnahme, vorzunehmen. Das Inverkehrbringen im Sinne des
Der Hersteller bzw. der in der EU niedergelassene Bevollmächtigte Gesetzes ist jedes Überlassen technischer Arbeitsmittel, Produkte oder

(Lizenznehmer bzw. Vertragspartner) erklärt die Übereinstimmung der Waren an andere. Die Einfuhr in die EU steht dem Inverkehrbringen
Produkte mit den Sicherheitsanforderungen der zutreffenden Richtlinien gleich. Somit müssen auch Importwaren, sofern sie unter eine
und EN-Normen. Durch Ausstellen einer EU-Konformitätserklärung wird Richtlinie fallen, das CE-Zeichen tragen. Dabei sind unter technischen
dies dokumentiert. Arbeitsmitteln verwendungsfertige Arbeitseinrichtungen, Arbeitsgeräte,
Werkzeuge und Maschinen zu verstehen. Arbeitseinrichtungen sind dann
Die Kennzeichnung mit dem CE-Zeichen bringt der Hersteller in Selbst
verwendungsfertig, wenn sie bestimmungsgemäß genutzt und eingesetzt
verantwortung oder nach Baumusterprüfung an.
werden können. Es brauchen keine weiteren Teile eingefügt zu werden.
Die Kennzeichnung ist für den Verkauf ein Muss, denn ab dem gültigen
Das Inverkehrbringen und damit die CE-Kennzeichnung trifft für folgende
Zeitpunkt dürfen Produkte/Bauteile/Geräte/Anlagen ohne CE-Zeichen
Maschinen zu:
nicht in Verkehr gebracht werden.
• Neue Maschinen, die erstmals in der EU hergestellt werden.
Das CE-Zeichen ist als ein Reisepass innerhalb des europäischen
• Bestehende Maschinen, die umgebaut und/oder geändert werden.
Binnenmarktes anzusehen. Es ist jedoch nicht mit einem Qualitäts- oder
• Alle Maschinen (neue und bestehende), die aus einem Drittland ein
Gütezeichen zu verwechseln, da es nur als Verwaltungszeichen dient.
geführt und im Gebiet der EU vertrieben und/oder verwendet werden.
Das CE-Zeichen richtet sich vorrangig an die Überwachungsbehörden.
• Neue und umgebaute Maschinen, die kostenlos zur Verfügung gestellt
Abnehmern und Endverbrauchern signalisiert es, dass „vermutet“ wird,
werden.
dass das Produkt die Anforderungen der Richtlinie bzw. des umsetzenden
Gesetzes einhält.
12.1
12/22 PU05907001Z-DE 109

12.2 Für Maschinen wichtige Richtlinien
Das Europäische Sicherheitskonzept Die Europa-Normen

Die Europa-Normen (EN-Normen) werden in das nationale Normenwerk
Es gibt eine Vielzahl unterschiedlicher kennzeichnungspflichtiger
jedes Mitgliedsstaates der Europäischen Union übernommen.
Richtlinien und eine große, stark wachsende Anzahl an EN-Normen
(harmonisierte Europa-Normen). Sinn und Ziel ist der freie Warenverkehr Nationale Normen mit einem Inhalt, der den EN-Normen entgegensteht,
innerhalb der Europäischen Union aufgrund gleicher Anforderungen in werden zurückgezogen.
jedem Mitgliedsstaat, die ein Mindestmaß an Sicherheit beim Anwender
Dies trifft für die DIN/VDE-Vorschriften ebenso zu wie für Unfall
sicherstellen.
verhütungs-Vorschriften BGV…, ZH… etc.
EU-Richtlinien = Nationale Gesetze Durch Einhalten der EN-Normen darf man „vermuten“, dass die Richtlinien
EU-Richtlinien sind als eine Art Obergesetz zu verstehen. Sie müssen von erfüllt sind. Diese EN-Normen sind für jede Richtlinie in der „Mitteilung
allen Mitgliedsstaaten in nationales Recht umgesetzt werden. der Kommission im Rahmen der Durchführung der Richtlinie“ aufgelistet.
EU-Richtlinien dienen in erster Linie dazu, eine einheitliche und
EN-Norm-Entwürfe anwenden?
verbindliche Rechtsgrundlage zu schaffen.
Als Weißdruck verbindliche EN-Normen sind anzuwenden.
Um jedoch die technische Weiterentwicklung nicht zu behindern, werden
Solange es für ein Gebiet keine EN-Normen oder nur Entwürfe gibt,
hier nur grundlegende Anforderungen definiert und keine technischen
können und sollen die nationalen Normen angewendet werden.
Details und Feinheiten festgeschrieben.
In der Praxis werden aber auch die im Amtsblatt der EG veröffentlichten
Norm-Entwürfe (prEN..) von zuständigen Stellen als Grundlage zur
Konformitätsbewertung herangezogen.
12.2
Gasverbrauchs-
einrichtungen
Sicherheit von Spielzeug Seilbahnen für den Personenverkehr
Einfache Druckbehälter Bauprodukte
Sportboote Elektromagnetische Verträglichkeit (EMV)
Funkanlagen und Telekommunikations-

Geräte und Schutzsysteme
endeinrichtungen und die gegenseitige
zur bestimmungsgemäßen Verwendung in
Anerkennung ihrer Konformität
explosionsgefährdeten Bereichen
Druckgeräte Inverkehrbringen und die Kontrolle

von Explosivstoffen für zivile Zwecke
Persönliche Schutzausrüstungen Aufzüge
Verpackungen und Elektrische Betriebsmittel zur Verwendung

Verpackungsabfälle innerhalb bestimmter Spannungsgrenzen
(Niederspannungs-Richtlinie)
Nichtselbsttätige Waagen Maschinen
RoHS-Stoffbeschränkungen Messgeräte
In-vitro- Aktive implantierbare

Medizinprodukte medizinische Geräte
Diagnostika
Abbildung 60: EG/EU-Richtlinien zur CE-Kennzeichnung
110 12/22 PU05907001Z-DE

Niederspannungs-Richtlinie Zu diesem Zweck sind in den EN-Normen prüfbare und damit nachweis
bare Forderungen festgeschrieben.
Für elektrische Betriebsmittel gilt die CE-Kennzeichnungspflicht
nach der Niederspannungs-Richtlinie 2014/35/EC. Das Einhalten der Die EN-Normen „Sicherheit für Maschinen“ sind in drei Hauptgruppen

Sicherheitsziele dient dem Schutz vor Gefahren durch elektrischen Strom unterteilt:
bei Niederspannungs-Geräten. Wesentliche Grundanforderungen finden
• Typ A: Grundnormen
sich als Sicherheitsziele im Anhang I der Richtlinie.
definiert Anforderungen, die für alle Maschinenarten anwendbar sind:
Unter Niederspannungs-Betriebsmitteln sind elektrische Schaltgeräte, Grundlegende Sicherheitsanforderungen.
Leitungen, Kabel, Drähte und Installationsmittel mit einem
• Typ B: Gruppennormen
Spannungsbereich 50 – 1000 V AC bzw. 120 – 1500 V DC zu verstehen.
behandeln konstruktive Aspekte wie Abstände,
(siehe EN 50110-1).
Oberflächentemperaturen, … oder funktionale Aspekte wie NOT-HALT,
Zweihandbedienung, …. Diese sind für unterschiedliche Maschinen-
EMV-Richtlinie Gruppen anwendbar.
Die Kennzeichnung von Produkten, die der EMV-Richtlinie 2014/30/ • Typ C: Produktnormen
EU entsprechen, ist seit 1996 vorgeschrieben. Die EMV-Richtlinie beschreiben als „Produktnormen“ konkret die Anforderungen
formuliert zwei grundlegende Anforderungen an die elektromagnetische an einzelne Maschinenarten. Mit der C-Norm kann die
Verträglichkeit von Betriebsmitteln: Maschinensicherheit geprüft und nachgewiesen werden.
• IEC 61000-6-1 – Störfestigkeit, d. h. die angemessene Festigkeit von
Geräten gegen elektromagnetische Störungen. Typ A EN ISO 12100
• IEC 61000-6-3 – Störaussendung, d. h. der von Geräten ausgehende Sicherheit von Maschinen
Höchstwert an elektromagnetischen Störungen (Ausstrahlung, Grundbegriffe, allgemeine Gestaltungsleitsätze
Emission).
Typ B EN ISO 13849-1 EN IEC 62061
12.2
Differenziert behandelt wird einerseits der Bereich Industrie sowie Sicherheit von Maschinen Sicherheit von Maschinen
andererseits der Wohn-, Geschäfts-, Gewerbebereich, Leichtindustrie, Sicherheitsbezogene Teile Funktionale Sicherheit
Kleinbetriebe, Büro und Labor. von Steuerungen sicherheitsbezogener
elektrischer, elektronischer
und programmierbarer
Maschinen-Richtlinie elektronischer
Steuerungssysteme
Seit Anfang 1995 gilt die CE-Kennzeichnungspflicht nach der Maschinen-
Richtlinie. Seit dem 29.12.2009 ist die neue Maschinen-Richtlinie IEC 60204-1
2006/42/EG gültig und löst damit die bis dahin gültige Fassung 98/37/ Sicherheit von Maschinen – Elektrische Ausrüstung von
EG ab. Sie definiert grundlegende Anforderungen an die Sicherheit von Maschinen – Teil 1: Allgemeine Anforderungen
Maschinen und den Gesundheitsschutz des Betreibers/Anwenders.
Typ C Maschinensicherheitsnormen mit detaillierten
Was ist nun eine „Maschine“? Sicherheitsanforderungen an bestimmte Maschinen oder eine
Eine Maschine im Sinne der Maschinen-Richtlinie ist „eine mit einem Gruppe von Maschinen.
anderen Antriebssystem als der unmittelbar eingesetzten menschlichen
oder tierischen Kraft ausgestattete oder dafür vorgesehene Gesamtheit
miteinander verbundener Teile oder Vorrichtungen, von denen mindestens
→ Für die jeweilige Maschinenart ist zuerst die Produkt-Norm
einzuhalten. Diese bezieht sich in der Regel auf die zutreffenden
eines bzw. eine beweglich ist und die für eine bestimmte Anwendung Gruppen-Normen. Enthält die C-Norm dazu abweichende
zusammengefügt sind.“ Forderungen, gilt die C-Norm.
Des Weiteren schließt sie Betätigungsgeräte sowie den Steuer- und
Energiekreis mit ein, die für eine bestimmte Anwendung zusammengefügt Die sicherheitstechnischen Anforderungen der Maschinen-Richtlinie
sind (z. B. die Verarbeitung, Behandlung, Fortbewegung und Aufbereitung und EN-Normen sind unterschiedlich hoch, abhängig vom jeweiligen
eines Werkstoffes). Unfallrisiko. In den meisten C-Normen sind die konkreten Risiken der
Maschinenart berücksichtigt. Entsprechend hoch oder niedrig sind die
Da in der Maschinen-Richtlinie nur grundlegende Anforderungen stehen,
sicherheitstechnischen Anforderungen vorgegeben.
es aber eine Vielzahl unterschiedlicher Maschinen gibt, stellt sich nun die
Frage: „Wie kann ich nachweisen, dass meine Maschine sicher ist?“ Alte Maschinen
Informationen über vor dem 29.12.2009 in Verkehr gebrachte und
in Betrieb genommene Maschinen finden Sie im Abschnitt 13.5
„Anforderungen an bestehende Maschinen“, Seite 164.
12/22 PU05907001Z-DE 111

12.3 Relevante Sicherheits-Normen im Überblick
Die Erläuterungen zu den Normen auf den folgenden Seiten sind bewusst Die Bestelladressen für EN-Normen finden Sie im Abschnitt 13.6
praxisnah formuliert und aufgebaut. Wenn Sie verbindliche, detaillierte „Bezugsquellen für Vorschriften, Literaturverzeichnis“, Seite 164.
Informationen brauchen, lesen Sie bitte in der Norm direkt nach.
Information im Internet unter: www.vdma.org 
Konstruktion und Risikobewertung

EN ISO 12100
Grundbegriffe, allgemeine Gestaltungsleitsätze.
Funktionale und sicherheitsbezogene Anforderungen für Safety-Steuerungen
Entwurf und Realisierung sicherheitsrelevanter Steuerungen

EN ISO 13849-1/2 EN IEC 62061
Sicherheit von Maschinen Sicherheit von Maschinen - Funktionale
Sicherheitsbezogene Teile von Steuerungen – Sicherheit sicherheitsbezogener elektrischer,
Teil 1: Allgemeine Gestaltungsleitsätze elektronischer und programmierbarer elekt-
Teil 2: Validierung ronischer Steuerungssysteme
12.3
Funktionale Aspekte
EN ISO 13850 EN ISO 14119
Sicherheit von Maschinen Sicherheit von Maschinen
NOT-HALT - Verriegelungseinrichtungen in Verbindung
Gestaltungsleitsätze mit trennenden Schutzeinrichtungen -
Leitsätze für Gestaltung und Auswahl
EN ISO 13581 EN ISO 14118

Sicherheit von Maschinen Sicherheit von Maschinen
Zweihandschaltungen Vermeidung von unerwartetem Anlauf
Funktionelle Aspekte - Gestaltungsleitsätze
Elektrische Sicherheitsaspekte
IEC 60204-1
Sicherheit von Maschinen - Elektrische
Ausrüstung von Maschinen - Teil 1: Allgemeine
Anforderungen
Abbildung 61: Normen und Richtlinien für die Gestaltung sicherheitsbezogener Teile von Steuerungen
112 12/22 PU05907001Z-DE

Konstruktion und Risikobewertung • Fehlererkennung z. B. durch redundanten Aufbau.
• Arbeiten in der Gefahrenzone auf ein Minimum reduzieren durch:
EN ISO 12100 – Zuverlässigkeit der Maschinenfunktion; dies vermindert die

Sicherheit von Maschinen; Grundbegriffe, allgemeine Gestaltungsleitsätze Häufigkeit der notwendigen Eingriffe.
Teil 1: Grundsätzliche Terminologie, Methodologie – Kein manuelles Be- und Entladen der Maschine.
– Einstell- und Wartungsstellen außerhalb des Gefahrenraumes.
Zweck Beachten Sie dabei alle „Lebensphasen“ der Maschine, angefangen bei
Nach welcher grundlegenden und pragmatischen Methode können Bau, Transport und Inbetriebnahme über Gebrauch und Einsatz bis hin zur
Maschinen aller Art sicher im Sinne der europäischen Gesetzgebung Außerbetriebnahme, Abbau, Demontage und ggf. Entsorgung.
gestaltet werden?
2. Technische Schutzeinrichtungen und eventuell ergänzende
Existiert für Ihre Maschine keine Produktnorm, erhalten Sie hier wichtige Schutzmaßnahmen
Hilfestellungen. Diese Typ-„A“-Norm bildet die Basis für Typ-„B“- und Konnten Sie die Gefährdungspotentiale durch geeignete
-„C“-Normen. Konstruktionsmerkmale nicht ausreichend senken, müssen Sie technische
Schutzmaßnahmen ergreifen.
Zielgruppe
Maschinenkonstrukteure und Typ „B“- und „C“-Normensetzer und Ersteller Beispiel 1:
von Werksnormen. Ist der Zugang zum Gefahrenbereich während des Betriebes nicht
erforderlich, schränken Sie diesen durch mechanische Verkleidungen
Das Wichtigste in Kürze ab. Die EN ISO 14120 beschreibt die Anforderungen an die „trennenden
Die Strategie zur Risikominderung wird wie folgt vorgegeben. Schutzeinrichtungen“.
Führen Sie eine Risikobeurteilung durch, indem Sie die folgenden Beispiel 2:
Vorgänge der Reihenfolge nach durchführen: Muss der Bediener während des Betriebes in den Gefahrenraum
12.3
eingreifen, sehen Sie Maßnahmen vor, wie z. B.
• Grenzen und bestimmungsgemäße Verwendung der Maschine
festlegen. • Bewegliche Schutzeinrichtung mit Überwachung.
• Mögliche Gefährdungen und Gefährdungssituationen identifizieren. • Berührungslos wirkende Schutzeinrichtungen.
• Risiko für jede Gefährdung oder Gefährdungssituation einschätzen. • Zweihandschaltung.
• Risiko bewerten und Entscheidungen treffen über die Notwendigkeit zur
Für die Wartungs- und Einstellarbeiten sollen die Schutzeinrichtungen
Risikominderung.
weitgehend in Funktion bleiben. Ist dies nicht möglich, muss ein
Zeigt das Ergebnis der Risikobeurteilung, dass eine Risikominderung abschließbarer Betriebsartenwahlschalter verwendet werden. Damit kann
notwendig ist, sind Schutzmaßnahmen nach der folgenden „3-Stufen- eine „risikoärmere“ Betriebsart wie Schleichgang mit Handsteuerung
Methode“ zu ergreifen. gewählt werden.
1. Inhärent sichere Konstruktion 3. Benutzerinformationen bezüglich Restrisiken
Als vorrangige Maßnahme zur Gefahrenbeseitigung wählen Sie geeignete Sie konnten nicht alle Gefährdungen durch Konstruktion oder technische
Konstruktionsmerkmale wie: Schutzeinrichtungen ausreichend beseitigen? Warnen Sie den Benutzer
durch deutliche Hinweise in der Betriebsanleitung direkt an der
• Keine scharfen Ecken und Kanten.
Gefährdungsstelle!
• Mindestabstände zu Gefahren einhalten.
• Kräfte, Geschwindigkeiten und Massen auf ungefährliche Werte Risikoeinschätzung und -bewertung sind im Anschluss an jede e inzelne
reduzieren. der drei Stufen zur Risikominderung vorzunehmen, Abbildung 63,
• Teile unterhalb der Beanspruchungsgrenzen auslegen. Seite 115.
• Eigensichere Techniken wie Schutzkleinspannung, ungiftige Flüssig
keiten in der Hydraulik etc. verwenden.
• Mechanischer Formschluss bei Bewegungsübertragung hat Vorrang vor
kraftabhängigen Lösungen.
• Ergonomische Gesichtspunkte wie ausreichende Beleuchtung und
körpergerechte Bedienung beachten.
• Gefährdendes Maschinenverhalten wie unerwarteter Anlauf
oder unkontrollierte Geschwindigkeitsänderung durch sicheren
Steuerungsaufbau ausschließen.
12/22 PU05907001Z-DE 113

Relevante Sicherheits-Normen im Überblick
Zusätzliche Vorsichtsmaßnahmen
START
Für Notfälle müssen Sie eine oder mehrere NOT-HALT-Einrichtungen
vorsehen. Dies ist nicht notwendig bei:
• Tragbaren handgehaltenen oder handgeführten Maschinen.

Entwurf und Risikobeurteilung der • Maschinen, deren Risiko durch NOT-HALT nicht verringert wird.
Maschine nach EN ISO 12100
Festlegung der Grenzen einer Maschine Die NOT-HALT-Funktion darf nicht als Ersatz für Schutzmaßnahmen
Identifizierung der Gefährdung
Risikoeinschätzung angesehen werden. Sie muss so konzipiert sein, dass die gefährdende
Risikobewertung Bewegung in geeigneter Weise entsprechend der Risikobeurteilung
angehalten werden kann (siehe EN ISO 13850).
Für Reparatur- und Wartungsarbeiten sind Mittel für die Energietrennung
und den Energieabbau notwendig. Verwenden Sie hierzu beispielsweise
abschließbare Hauptschalter mit Trennfunktion.
Risiko angemessen
Weiterhin:
ENDE
ja reduziert?
• Sehen Sie Anschlussmöglichkeiten für den Transport mit
Hebezeugen vor.
nein • Berücksichtigen Sie, dass alle Arbeiten wie Bedienung, Instandhaltung
und dergleichen vom Boden oder trittsicheren Podesten aus
durchgeführt werden können.
• Sorgen Sie für die statische und dynamische Standsicherheit.
Risikominderung durch
1. inhärent sichere Konstruktion, Seite 113
12.3
2. technische Schutzmaßnahmen, Seite 113

3. Benutzerinformation, Seite 113
Schutzmaßnahme von
nein Steuerung abhängig?
ja
Iterativer Prozess der Gestaltung

der Sicherheitsbezogenen Teile der
Steuerung (SRP/CS)
EN ISO 13849/EN IEC 62061
Werden weitere Gefähr-

dungen erzeugt? ja
nein
ENDE
Abbildung 62: Strategie der Risikominderung
114 12/22 PU05907001Z-DE

Schritt 3:

Schritt 1: Schritt 2: Schritt 4:
Grenzen der Maschinen Gefährdungsanalyse Risikoeinschätzung Risikobewertung
Abbildung 63: Risikobeurteilung in 4 Schritten
Schritt 1: Grenzen einer Maschine • Berücksichtigung aller betroffenen Personen.

• Art, Häufigkeit und Aufenthaltsdauer innerhalb des Gefahrenbereichs.
Bestimmen Sie zu Beginn die Grenzen der Maschine.
• Zusammenhang zwischen Gefährdungsexposition und Auswirkungen.
• Welche Funktionen soll sie erfüllen, welche nicht? Bestimmungs • Menschliche Faktoren: Risikobewusstsein, Ausbildung, Zeitdruck.
gemäße Verwendung bis hin zu vorhersehbaren Fehlfunktionen und • Tauglichkeit von Schutzmaßnahmen.
Missbrauch. • Möglichkeit der Umgehung der getroffenen Sicherheitsmaßnahmen.
• Wer soll die Maschine nutzen, wer nicht? Qualifikation und Erfahrung • Kombination bzw. Zusammenspiel von Gefahrensituationen
des Personals in allen Bereichen von der Entwicklung bis hin zur (Komplexität).
Wartung.
Schritt 4: Risikobewertung
Schritt 2: Gefährdungsanalyse
Im Anschluss an die Risikoeinschätzung muss eine Risikobewertung
Identifizieren Sie die Gefährdungen: durchgeführt werden, um die Notwendigkeit einer Risikominderung
12.3
einschätzen zu können. Falls eine Risikominderung notwendig ist, wenden
• Welche Gefährdungen hat Ihre Maschine? Benutzen Sie als Check
Sie die Punkte der Risikominderung nach EN ISO 12100 an. Anschließend
liste die Tabellen im Anhang B der EN ISO 12100. Dort sind mögliche
ist die Risikobeurteilung zu wiederholen.
elektrische, mechanische, chemische und physikalische Gefährdungen
aufgeführt. • Ist die notwendige Sicherheit erreicht?
• Schätzen Sie die Umgebungs- und Einsatzbedingungen der Maschine • Sind Gefährdungen beseitigt/vermindert?
ein. • Bieten technische Schutzmaßnahmen ausreichend Schutz, sind sie
• Welche Ereignisse können einen Schaden verursachen? Materialzufuhr praktikabel eingesetzt?
oder Entnahme per Hand, Wartung, Instandhaltung, menschliche • Ist die Schaltungsarchitektur nach EN ISO 13849 oder EN IEC 62061
Verhaltensweisen, Beeinflussung durch Personen, die nicht zum korrekt gewählt?
Bedienungspersonal gehören, Ausfall von sicherheitsrelevanten • Ist die bestimmungsgemäße Verwendung klar formuliert und
Bauteilen. verständlich?
• Sind die sicheren Arbeitsverfahren angemessen beschrieben?
• Wird der Anwender über Notwendigkeit der persönlichen Schutz
Schritt 3: Risikoeinschätzung ausrüstung unterrichtet?
• Wird vor Restrisiken ausreichend gewarnt?
Führen Sie eine Risikoeinschätzung für jede Gefährdungssituation durch,
indem Sie die folgenden Risikoelemente bestimmen: Der Nachweis der Gefahrenanalyse dient der Kontrolle, dass alle
signifikanten Gefährdungen erkannt und angemessene Vorkehrungen
• Schadensausmaß (leicht, schwer, tödlich).
getroffen wurden, z. B. durch die Wahl der zutreffenden Kategorie nach EN
• Eintrittswahrscheinlichkeit des Schadens, abhängig von:
ISO 13849 oder Teilsystemarchitektur nach EN IEC 62061. Weiterhin sind
– der Gefährdungsexposition einer oder mehrerer Personen.
Schutzmaßnahmen und die dadurch erreichten Ziele zu dokumentieren.
– dem Eintritt eines Gefährdungsereignisses.
– der Möglichkeit zur Vermeidung oder Begrenzung des Schadens.
Beurteilen Sie das Risiko jeder Gefährdungssituation unter
Berücksichtigung aller nachstehenden Faktoren:
12/22 PU05907001Z-DE 115

Entwurf und Realisierung

PFHd 10-4 10-5 3 x 10-6 10-6 10-7 10-8
EN ISO 13849-1
Sicherheit von Maschinen PL a b c d e

Sicherheitsbezogene Teile von Steuerungen
Allgemeine Gestaltungsleitsätze niedriges Risiko hohes Risiko
Zweck
• Entwurf und Beurteilung eines sicherheitsgerichteten Steuerungs Abbildung 64: Durchschnittliche Ausfallwahrscheinlichkeit
systems. PFHd = Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je
• Festlegung und Bewertung des Grades der Widerstandfähigkeit gegen Stunde
Fehler, in Abhängigkeit vom Gefährdungsrisiko. PL = Performance Level
• Prüfung und Dokumentation der erforderlichen und erreichten
Anforderungen.
→ Neben der durchschnittlichen Wahrscheinlichkeit eines
Zielgruppe gefährlichen Ausfalls je Stunde sind weitere Maßnahmen
• Maschinenkonstrukteure notwendig, um den PL zu erreichen.
• Projekteure
• Unabhängige Prüfinstitute
• „C“-Normensetzer
• Ersteller von Werksnormen.
Das Wichtigste in Kürze

Die EN ISO 13849 stellt Sicherheitsanforderungen und einen Leitfaden für
die Prinzipien der Gestaltung und Integration sicherheitsbezogener Teile
12.3
von Steuerungen (SRP/CS) und Software bereit.

Für diese Teile der SRP/CS werden Eigenschaften definiert, die zur
Ausführung der entsprechenden Sicherheitsfunktionen erforderlich sind.
Für jede SRP/CS und/oder Kombination von SRP/CS die eine
Sicherheitsfunktion abbildet, muss eine Abschätzung der
Ausfallwahrscheinlichkeit durchgeführt werden. Dieser Wert wird im
Performance Level (PL a bis e) ausgedrückt.
Die für eine Maschine verwendeten Technologien und Energien
(elektrisch, hydraulisch, pneumatisch, mechanisch usw.) bleiben bei der
Gestaltung einer SRP/CS unbeachtet.
Der PL des SRP/CS wird durch die Abschätzung folgender Parameter
bestimmt:
• MTTFd-Wert jeder Komponente
• DC
• CCF
• Architektur der Kategorie
• Verhalten der Sicherheitsfunktion unter Fehlerbedingung(en)
• Systematische Ausfälle
• Fähigkeit, eine Sicherheitsfunktion unter vorhersehbaren
Umgebungsbedingungen auszuführen.
116 12/22 PU05907001Z-DE

Entwurf und Realisierung Empfohlene Anwendung und Auswahl der Norm
Die Anwendung jeder der Normen EN ISO 13849 und EN IEC 62061 kann
EN IEC 62061 die Erfüllung der relevanten grundsätzlichen Sicherheitsanforderungen

Sicherheit von Maschinen – vermuten lassen.
Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer
Wann verwende ich aber welche Norm?
Zur Auswahl betrachten Sie folgende Tabelle, welche die Anwendungs
Zweck bereiche beider Normen gegenüberstellt.
Betrachtung und Beurteilung der Leistungsfähigkeit (Performance)
und des Sicherheitsintegritätslevels (SIL) eines sicherheitsbezogenen Tabelle 3: E mpfehlung zur Anwendung von EN ISO 13849-1 und
Steuerungssystems. EN IEC 62061
EN ISO 13849-1 EN IEC 62061

Zielgruppe
• Maschinenkonstrukteure
Nichtelektrik, z. B. Enthalten Enthalten
• Projekteure Hydraulik
• Unabhängige Prüfinstitute
Elektromechanik, z. B. Alle Architekturen Alle Architekturen
• „C“-Normensetzer
Relais und/oder einfache und bis zu PL e und bis zu SIL 3
• Ersteller von Werksnormen.
Elektronik
Das Wichtigste in Kürze Komplexe Elektronik, z. Alle Architekturen Bis zu SIL 3 bei
Diese Norm legt Anforderungen fest und gibt Empfehlungen für den B. programmierbar und bis zu PL e Entwicklung nach
Entwurf, die Integration und die Validierung von sicherheitsbezogenen IEC 61508
elektrischen, elektronischen und programmierbaren elektronischen Kombination Beschränkungen wie Nach der neuesten
Steuerungssystemen (SRECS) von Maschinen. verschiedener oben Ausgabe jetzt
12.3
Technologien auch in den oben
Sie ist beschränkt auf Risiken, die direkt aus den Gefährdungen der
genannten Grenzen
Maschine selbst herrühren oder einer Gruppe von Maschinen, die
anwendbar
koordiniert zusammenarbeiten.
Sie legt keine Anforderungen für die Leistungsfähigkeit von nicht-
elektrischen (z. B. hydraulischen, pneumatischen) Steuerungselementen
für Maschinen fest.
Die Anforderungen zur Sicherheitsintegrität der sicherheitsgerichteten
Steuerungsfunktion müssen aus der Risikobeurteilung abgeleitet werden.
Hiermit kann sichergestellt werden, dass die notwendige Risikominderung
erreicht werden kann. Die Sicherheitsintegrität wird nach dieser Norm als
ein Ausfallgrenzwert für die Wahrscheinlichkeit eines Gefahr bringenden
Ausfalls pro Stunde jeder Sicherheitsfunktion ausgedrückt. Dieser Wert
wird in drei Sicherheitsintegritätslevel SIL unterteilt.
PFHd 10-5 10-6 10-7 10-8
SIL 1 2 3
niedriges Risiko hohes Risiko
Abbildung 65: Durchschnittliche Ausfallwahrscheinlichkeit

PFHd = Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je
Stunde
SIL = Safety Integrity Level
Der Entwurf und die Integration eines sicherheitsbezogenen

Steuerungssystems wird anhand eines Beispiels im Abschnitt 12.6
„Schrittweise zum Safety Integrity Level SIL nach EN IEC 62061“,
Seite 136, näher erläutert.
12/22 PU05907001Z-DE 117

Funktionale Aspekte Verriegelungseinrichtungen mit und ohne Zuhaltung

Eine Verriegelungseinrichtung ohne Zuhaltung ist eine mechanische
ISO 14119
oder elektrische Einrichtung, die den Betrieb einer Maschine nur zulässt,
Sicherheit von Maschinen; Verriegelungseinrichtungen in Verbindung mit wenn die Schutztür geschlossen ist (z. B. Sicherheits-Positionsschalter mit
trennenden Schutzeinrichtungen; Leitsätze für Gestaltung und Auswahl getrenntem Betätigungselement).
Zweck
Auf welche Weise sollen bewegliche Schutzeinrichtungen überwacht
werden?
Diese Norm beschreibt Prinzipien für die Auswahl und Gestaltung der
Verriegelungseinrichtungen und deren Anbindung an die Schutztür
(→ EN ISO 14120) bzw. an die Steuerung (→ EN ISO 13849, EN IEC
62061).
LS-ZB (Bauart 2) RS-Titan (Bauart 3)
Zielgruppe
Maschinenkonstrukteure und Typ „C“-Normensetzer. Abbildung 66: Sicherheits-Positionsschalter mit getrenntem
Betätigungselement
Diese Norm beschreibt Grundbegriffe und allgemeine Gestaltungsleitsätze Diese Schutzmaßnahme verhindert die Gefahr bringenden
für Verriegelungseinrichtungen und trennende Schutzeinrichtungen. Maschinenfunktionen, wenn die Schutzeinrichtung nicht geschlossen ist.
Wählen und gestalten Sie die Art der Verriegelungseinrichtung für Ihren Ein Öffnen der Schutzeinrichtung während des Betriebs löst einen HALT-
Anwendungsfall so, dass die grundlegenden EU-Sicherheitsanforderungen Befehl aus. Seine Bedeutung ist analog zu einem STOPP-Befehl
erfüllt werden. (EN ISO 13850, NOT-HALT-Einrichtungen). Durch Schließen der trennenden
12.3
Schutzeinrichtung wird die Maschine betriebsbereit geschaltet. Das

Wichtige Auswahlkriterien für eine geeignete Verriegelungseinrichtung in Einschaltsignal („Start“) hat jedoch separat zu erfolgen.
speziellen Anwendungsfällen sind:
• die Anwendungsbedingungen und die bestimmungsgemäße Verwendung. STOPP
• Tür auf
• die an der Maschine auftretenden Gefährdungen. • Spannung aus
• die Schwere der möglichen Verletzung. • Keine Gefährdung
• die Wahrscheinlichkeit eines Ausfalls der Verriegelungseinrichtung.
• die Anhaltezeit und Zugangs- bzw. Zugriffszeit.
• die Dauer, für die eine Person der Gefährdung ausgesetzt ist.
Einige dieser Kriterien haben Sie mit Hilfe der EN ISO 12100, EN ISO
13849 und EN IEC 62061 bereits betrachtet.
Abbildung 67: Verriegelungseinrichtung ohne Zuhaltung für
Die ISO 14119 unterscheidet vier verschiedene Bauarten bei den Personenschutzfunktion
Verriegelungseinrichtungen:
Eine Verriegelungseinrichtung mit Zuhaltung ist eine mechanische
• Bauart 1 Betätigungsprinzip mechanisch, Kontakt, Kraft /
oder elektrische Einrichtung, die den Betrieb einer Maschine nur zulässt,
Betätiger unkodiert, z. B. Kurvenscheibe, lineare Nocken
wenn die Schutztür geschlossen und zugehalten ist (z. B. Sicherheits-
• Bauart 2 Betätigungsprinzip mechanisch, Kontakt, Kraft /
Positionsschalter mit getrenntem Betätigungselement und Zuhaltung).
Betätiger kodiert, z. B. Zunge (geformter Betätiger)
• Bauart 3 Betätigungsprinzip berührungslos, z. B. magnetisch /
Betätiger unkodiert, z. B. Magnet
• Bauart 4 Betätigungsprinzip berührungslos, z. B. RFID /
Betätiger k odiert, z. B. kodierter RFID-Transponder
Bauart-3- oder Bauart-4-Verriegelungseinrichtungen verfügen meist
über einen hohen Schutzgrad (z. B. IP67, IP69K), sind unempfindlicher
gegen Verschmutzung und sind toleranter gegenüber Fehlausrichtung der
trennenden Schutzeinrichtung.
Abbildung 68: Sicherheits-Positionsschalter mit getrenntem
Wenn eine Bauart-3- oder Bauart-4-Verriegelungseinrichtung die einzige Betätigungselement und Zuhaltung LS-ZBZ
Verriegelungseinrichtung ist, muss diese den Anforderungen von IEC
60947-5-3 entsprechen.
Weiterhin wird zwischen Ausführungen mit und ohne Zuhaltung
unterschieden.
118 12/22 PU05907001Z-DE

Die Gefahr bringenden Maschinenfunktionen werden durch eine Betätigungsart von mechanischen Positionsschaltern
geschlossene und zugehaltene Schutzeinrichtung abgesichert. Die Betrachtung immer bei geöffneter Schutztür.
trennende Schutzeinrichtung bleibt solange zugehalten, bis das

Verletzungsrisiko durch die Gefahr bringende Maschinenfunktion bzw. • Ein Positionsschalter:
Bewegung ausgeschlossen ist (die Überwachung erfolgt durch z. B. Ein Positionsschalter muss zwangsläufig betätigt sein.
Drehzahl- bzw. Stillstandswächter o.ä.).
Durch Schließen und Zuhalten der trennenden Schutzeinrichtung wird die Richtig
Maschine betriebsbereit geschaltet. Das Einschaltsignal („Start“) hat auch
hier separat zu erfolgen.
• Stopp-Befehl
• Warte-Zeit
STOPP
• Maschine steht Falsch
• Schutzeinrichtung auf
• Keine Gefährdung
Abbildung 69: Verriegelungseinrichtung mit Zuhaltung für erhöhte

Personenschutzfunktion
Welche Ausführung muss wann verwendet werden? Abbildung 70: Betätigungsart von mechanischen Positionsschaltern –
Ein Positionsschalter
Anhaltezeit > Zugangs- bzw. Zugriffszeit
→ Verriegelungseinrichtung mit Zuhaltung
12.3
• Zwei Positionsschalter:
Anhaltezeit < Zugangs- bzw. Zugriffszeit Einer muss zwangsläufig betätigt sein, einer darf durch Rückstellfeder
betätigt sein → Fehler gleicher Ursache vermeiden.
→ Verriegelungseinrichtung ohne Zuhaltung
Beispiel:
Ein Bediener öffnet die Schutztür einer Drehmaschine und schaltet
damit die Antriebsenergie ab. Nun greift er in den Gefahrenraum, um ein
Werkstück zu entnehmen.
Die Gefahr bringende Bewegung muss beendet sein, bevor der
Bediener diese Maschinenteile erreicht. Andernfalls muss eine Abbildung 71: B etätigungsart von mechanischen Positionsschaltern –
Verriegelungseinrichtung mit Zuhaltung eingesetzt werden. Zwei Positionsschalter
Die Anhaltezeit der Maschine lässt sich recht einfach ermitteln.
Die Zugangs- bzw. Zugriffszeit wird von den Parametern „Abstand“,
„Annäherungsgeschwindigkeit“ und maschinenspezifischen
Gegebenheiten wie „Art der Zugänglichkeit“ bestimmt.
Mit Hilfe der EN ISO 13855 „Anordnung von Schutzeinrichtungen im
Hinblick auf Annäherungsgeschwindigkeiten von Körperteilen“ können Sie
diese Zeiten berechnen.
12/22 PU05907001Z-DE 119

Anordnung und Befestigung von Positionsschaltern Anforderungen an Positionsschalter

Positionsschalter und Betätigungselemente müssen gegen Lageänderung • Öffnerkontakte müssen  zwangsöffnend nach IEC 60947-5-1,
gesichert sein: Anhang K, sein.
• Gekapselte Geräte müssen die Schutzart IP54 aufweisen.

• Zuverlässige, nur mit Werkzeug lösbare Befestigungselemente
verwenden. Zuhaltungseinrichtungen müssen folgende Bedingungen erfüllen:
• Gegen Selbstlockerung sichern.
• Langlöcher nur für Anfangseinstellung verwenden. • Durch Einrücken zweier starrer Teile formschlüssig wirken.
• Formschluss durch Bolzen, Stifte, Anschläge etc. sicherstellen. • Im Regelfall mit Federkraft in Sperrstellung gehen, mit Energie
• Schalter nicht als mechanischen Anschlag verwenden. entsperren.
• Vom Schalter-Hersteller angegebene Wege einhalten (Abbildung 63,
Seite 115).
• Schalter geschützt anbringen, damit äußere Einflüsse keine Schäden
bewirken.
• Für Wartung und Funktionsprüfung zugänglich anbringen. A1 A1
US
A1
US
• Beim Öffnen der Schutztür darauf achten, dass ein Eingriff in den A2
21 22
A2
21 22
A2
21 22
Gefahrenbereich erst nach Stillstand der Gefahr bringenden Bewegung 11 12 11 12 11 12
möglich ist.
Abbildung 73: Federkraftverriegelte Zuhaltungseinrichtung

f 20
30°
• Eine manuelle, nur mit Werkzeug betätigbare Hilfsentriegelung

+1
31 0
besitzen (nur bei federkraftverriegelten Geräten).

12.3
Abbildung 72: Wegediagramm für einen Positionsschalter
Bei Schaltern mit getrenntem Betätiger (Sicherheits-Positionsschalter)

soll das Umgehen der Schutzfunktion erschwert werden. Abbildung 74: Manuelle Hilfsentriegelung
• Schalter verdeckt einbauen.
• Vollständig in Sperrstellung sein, bevor die Maschinenbewegung
• Betätiger „nicht lösbar“ befestigen.
freigegeben wird.
• Den zu erwartenden Kräften standhalten.
120 12/22 PU05907001Z-DE

Funktionale Aspekte
Eine Person wird sich
der Notwendigkeit eines
EN ISO 13850 NOT-HALT-Signals bewusst

Betätigung der Rückstellung bzw. Entriegelung
Sicherheit von Maschinen NOT-HALT-Einrichtung der NOT-HALT-Einrichtung
NOT-HALT – Gestaltungsleitsätze Betrieb
Durch
Zweck NOT-HALT
erreichter
Funktionelle Anforderungen an Geräte für das Stillsetzen im Notfall Zustand
(NOT-HALT-Einrichtungen) festlegen. Halt
Zeit
Zielgruppe
Maschinenkonstrukteure und Typ „C“-Normensetzer. Abbildung 75: Funktionsablauf NOT-HALT
Das Wichtigste in Kürze Die Reaktion der Maschine auf den NOT-HALT-Befehl darf keine
Die Handlung im Notfall (NOT-HALT-Funktion) soll aufkommende oder zusätzliche Gefährdung hervorrufen.
bestehende Gefahren für Personen und Schäden an der Maschine oder
am Arbeitsgut abwenden oder mindern. Gefahren sind u. a. funktionale Prüfen Sie, was das geringere Risiko darstellt:
Unregelmäßigkeiten, Fehlfunktionen der Maschine, nicht hinnehmbare • Sofortiges Abschalten = STOPP-Kategorie 0.
Eigenschaften des zu bearbeitenden Materials und menschliche Fehler. • Gesteuertes Stillsetzen = STOPP-Kategorie 1.
NOT-HALT ist vorgeschrieben
STOPP-Kategorie 0
Die Anforderungen dieser Norm gelten für alle Maschinen, mit
Ausnahme von: Die Anlage wird durch unmittelbares Abtrennen der Energiezufuhr zu dem
Antriebselement oder mechanische Unterbrechung (auskuppeln) zwischen
• Maschinen, an denen eine NOT-HALT-Einrichtung das Risiko nicht
12.3
gefährlichen Elementen und ihren Antriebselementen stillgesetzt.
verringern würde.
• Hand getragenen und von Hand geführten Maschinen. Anwendungsbeispiel: Hauptschalter mit NOT-HALT-Funktion oder
NOT-HALT-Schaltgerät in Verbindung mit Unterspannungsauslöser.
NOT-HALT ist eine unterstützende Maßnahme, kein Ersatz für fehlende
Schutzmaßnahmen! STOPP-Kategorie 1
Hier erfolgt ein gesteuertes Stillsetzen mit Energiezufuhr zu dem
Nach IEC 60204-1 müssen Sie NOT-HALT-Einrichtungen an allen
Antriebselement, um den Halt zu erreichen. Nach erfolgtem Stillstand
Bedienständen und anderen Arbeitsplätzen vorsehen.
ist die Energiezufuhr zu unterbrechen. Anwendungsbeispiel: Motor mit
Die NOT-HALT-Wirkweise Gleichstrombremse oder geregeltem Antrieb.
Durch eine einzige Handlung einer Person wird die NOT-HALT-Funktion
ausgelöst. Sie muss zu jeder Zeit verfügbar und funktionsfähig sein
(→ EN ISO 13849-1). Die Betriebsart bleibt dabei unberücksichtigt.
Gestalten Sie NOT-HALT-Einrichtungen so, dass dem Anwender keine
Überlegungen abverlangt werden, wenn es um die Betätigung und die sich
daraus ergebenden Wirkungen geht. Damit werden Verzögerungen bis zum
Zeitpunkt des Auslösens, bis die Anlage abgeschaltet wird, vermieden.
Die Wirksamkeit von Sicherheitseinrichtungen bzw. Einrichtungen mit
sicherheitsbezogenen Funktionen darf dadurch nicht beeinträchtigt
werden. Dies schließt auch das Befreien von Personen aus
Gefahrensituationen mit ein.
12/22 PU05907001Z-DE 121

Funktionale Aspekte Bestimmen Sie die Anordnung und Anzahl solcher Geräte in
Abhängigkeit von:
EN ISO 14118
• der Konstruktion der Maschine.

• der Notwendigkeit der Anwesenheit von Personen in Gefahren
Vermeiden von unerwartetem Anlauf
bereichen.
Zweck • der Risikobeurteilung aus EN ISO 14121.
Eine Maschine muss während des Eingriffs einer Person in den
Gefahrenbereich gegen unerwarteten Anlauf gesichert werden. Diese Beachten Sie auch den Abschnitt 5.4 in der IEC 60204-1
Norm legt konstruktive Sicherheitsmaßnahmen fest, mit denen der „Ausschalteinrichtungen zur Verhinderung von unerwartetem Anlauf“.
unerwartete Anlauf gesichert wird. Einrichtungen zur Ableitung gespeicherter Energie oder deren
Rückhaltung
Zielgruppe
Einrichtungen zur Ableitung gespeicherter Energie oder deren Rückhaltung
Maschinenkonstrukteure und Typ „C“-Normensetzer.
sind beispielsweise Bremsen für bewegliche Teile, Schaltungen zur
Entladung von Kondensatoren, Ventile für Druckbehälter.
Der steigende Automatisierungsgrad von Maschinen hat die Möglichkeit Sobald gespeicherte Energie Anlass zu Gefahren geben kann, müssen Sie
von unerwartetem Anlauf vergrößert. Es gibt eine beachtliche Anzahl Ableitungs-Einrichtungen verwenden.
von Unfällen, bei denen Maschinen für Fehlersuche oder Einrichten
stillgesetzt wurden und dann unerwartet anliefen. Nicht nur mechanische Beachten Sie, dass die Energieableitung oder -rückhaltung
Gefährdungen durch bewegliche Teile müssen betrachtet werden, auch • mit der Energietrennung einhergeht.
z. B. Gefährdung durch Laserstrahlung. • selbst keine gefährlichen Zustände hervorruft.
Energietrennung und -ableitung • in der Bedienungsanleitung beschrieben wird.
• vom Betreiber auf Wirksamkeit überprüft werden kann
Versehen Sie Ihre Maschine mit Einrichtungen zur Energietrennung und
12.3
(z. B. Manometer).
-ableitung. Außer Betrieb setzen, größere Wartungsarbeiten und Arbeiten
an Energiekreisen müssen gefahrlos durchgeführt werden können. Weitere Maßnahmen
Geräte zum Trennen Falls Energietrennung und -ableitung nicht für alle Eingriffe geeignet ist,
können Sie die folgenden Maßnahmen in Betracht ziehen:
Geräte zum Trennen müssen folgende Eigenschaften aufweisen:
• Vermeidung zufällig erzeugter Startbefehle (Beispiel: Befehlsgerät mit
• Zuverlässig trennen.
versenkter Betätigungsfläche).
• Mit mechanisch zuverlässigem Verbindungsglied die Betätigung des
• Zufällig erzeugte Startbefehle dürfen nicht einen unerwarteten Anlauf
Stellteils auf das Trennelement übertragen.
bewirken. STOPP hat Vorrang vor START. (Beispiele: Verrastende NOT-
• Klar und unmissverständlich die Schaltstellung des Trennelementes
HALT-Taste, Schlüsseltaste, geöffnete bewegliche Schutztür).
anzeigen, z. B. über die Stellung des Bedienteils.
• In Trennstellung abschließbar sein, beispielsweise mit einem oder
mehreren Vorhängeschlössern. (Abschließbarkeit ist nicht gefordert,
wenn das Wiederherstellen der Verbindung Personen nicht
gefährden kann.)
Hauptschalter nach IEC 60204-1 Abschnitt 5.3 erfüllen diese Forderungen.
Abbildung 77: Schlüsselschalter RMQ-Titan M22
• Automatisches Stillsetzen, bevor eine gefährliche Situation

entstehen kann. (Beispiel: Ein Antrieb ist nur mittels Leistungs-
elektronik stillgesetzt = Stopp-Kategorie 2 nach IEC 60204-1. Eine
Stillstandsüberwachung bewirkt bei Beginn einer ungewollten
Bewegung ein Abschalten mittels Sicherheitsschütz / Leistungsschütz.)
Abbildung 76: H
auptschalter nach IEC 60204-1 Abschnitt 5.3;
z. B. Eaton-Typ P3-100 Gefahr!
Diese Maßnahmen sind kein Ersatz für die Energietrennung
und -ableitung. Sie dürfen nur nach sorgfältiger
Risikobeurteilung gewählt werden.
122 12/22 PU05907001Z-DE

Funktionale Aspekte • Betätigen mit einer Hand
iiv
EN ISO 13851 – Lichtes Maß zwischen den Stellelementen 260 mm

Sicherheit von Maschinen f 260 mm
(f 10.24”)
Zweihandschaltungen – Funktionelle Aspekte; Gestaltungsleitsätze
Zweck
Die Zweihandschaltung ist eine Sicherheitseinrichtung. Durch
standardgerechte Gestaltung verhindern Sie, dass der Bediener die
Gefahrenbereiche während der gefährlichen Vorgänge erreichen kann.
Abbildung 78: Umgehen der Schutzeinrichtung verhindern: Lichtes Maß
Zielgruppe
Maschinenkonstrukteure, Hersteller von Zweihandschaltungen, Typ-„C“-
Normensetzer. • Betätigen mit Hand und Ellenbogen desselben Armes
– Lichtes Maß zwischen den Stellelementen mindestens 550 mm
iiv
Das Wichtigste in Kürze ( 600 mm)
Die Norm liefert Anforderungen und Anleitungen für die Gestaltung – Stellteile unterschiedlicher Betätigungsrichtung
und Auswahl von Zweihandschaltungen. An welchen Maschinen diese • Betätigen mit Unterarm und Ellenbogen
eingesetzt werden müssen, erfahren Sie in der jeweiligen Typ-„C“-Norm – Verwendung von Abdeckungen oder Kragen
bzw. durch die Risikobewertung (→ EN ISO 12100 / EN ISO 14121).
Die geeignete Zweihandschaltung
Wählen Sie Typ und Konstruktionsart der Zweihandschaltung aus,
abhängig von:
12.3
• der vorhandenen Gefährdung.
• der Risikobewertung.
• dem Stand der Anwendungstechnik. Abbildung 79: U
mgehen der Schutzeinrichtung verhindern: Abdeckungen
• weiteren Einflüssen, wie z. B. Verhinderung von versehentlichem oder Kragen
Betätigen oder Umgehen.
• Betätigen mit einer Hand und jedem anderen Teil des Körpers.
Kein einfaches Umgehen der Schutzwirkung oder versehent
– Stellteile auf horizontaler Fläche mindestens 1100 mm über
licher Betätigung
Zugangsebene.
Ordnen Sie die Stellteile der Zweihandschaltung so an, dass die Schutzwirkung
• Betätigen durch Blockieren eines Stellteils.
nicht auf einfache Weise zu umgehen ist. Auch die Wahrscheinlichkeit einer
– Typ II oder Typ III verwenden.
versehentlichen Betätigung soll möglichst gering sein.
Diese Maßnahmen können im Widerspruch zu den Anforderungen an
Welche Arten des Umgehens Sie berücksichtigen müssen, hängt u. a. ab von:
Ergonomie stehen. Treffen Sie hier eine ausgewogene Entscheidung.
• der Gestaltung der Zweihandeinrichtung, Beachten Sie den Grundsatz „Safety first“!
• den Betätigungsbedingungen,
• Art und Ort der Anbringung,
• den vorgeschriebenen Sicherheitsabständen.
Die Norm zeigt einige besondere Wege, wie das Umgehen bzw. das
versehentliche Betätigen verhindert werden kann. Beispiel-Maßnahmen
für unterschiedliche Arten des Umgehens sind:
12/22 PU05907001Z-DE 123

Anforderungen Typen
I II III
A B C
Benutzung beider Hände ● ● ● ● ●

Ausgangssignal nur, solange beide
● ● ● ● ●
Eingangssignale da sind
Loslassen eines oder beider Stellteile
● ● ● ● ●
beendet das Ausgangssignal
Versehentliche Betätigung weitestgehend
● ● ● ● ●
verhindern
Kein einfaches Umgehen der Schutzwirkung
● ● ● ● ●
möglich
Erneutes Ausgangssignal nur nach
● ● ● ●
Loslassen beider Stellteile
Ausgangssignal nur nach synchroner
● ● ●
Betätigung innerhalb max. 0,5 Sekunden
entspricht Kategorie 1 nach EN ISO 13849-1 ● ●
entspricht Kategorie 3 nach EN ISO 13849-1 ● ●
entspricht Kategorie 4 nach EN ISO 13849-1 ●
12.3
124 03/19 PU05907001Z-DE

Was ist weiter zu beachten?
Stellen Sie die Funktionssicherheit bei allen zu erwartenden Betriebs- und
Umgebungsbedingungen sicher. Insbesondere dürfen durch Stoß, Schock,

Umfallen, etc. keine ungewollten START-Signale erzeugt werden. Rüsten
Sie tragbare Hand gehaltene Maschinen mit zwei unterschiedlich bedien
baren Stellteilen aus, am besten mit Schaltsperre. Ortsveränderliche
Zweihandschaltungen in separaten Gehäusen sollen standfest und
gegen Lageänderung gesichert sein. Schützen Sie die Zuleitungen
vor Beschädigung.
Den Sicherheitsabstand zwischen Zweihandeinrichtung und Gefahren
bereich berechnen Sie mit Hilfe folgender Punkte:
• Hand-Arm-Geschwindigkeit (EN ISO 13855).
• Form und Anordnung der Zweihandschaltung.
• Ansprechzeit der Zweihandschaltung.
• Anhaltezeit: Beendigung des Ausgangssignals bis Beendigung der
Gefährdung.
• Bestimmungsgemäßer Gebrauch nach EN ISO 12100.
• Relevante Typ-„C“-Normen.
Prüfungen und Benutzerinformation

Genügen Ihre Zweihandschaltungen den in der Risikobewertung
spezifizierten Anforderungen? Dies muss durch eine theoretische
12.3
Beurteilung aber auch durch praktische Prüfungen validiert werden.
Detaillierte Vorgaben hierzu finden Sie in Tabelle 2 der EN ISO 13851.
Stellen Sie zusätzlich Informationen für Installation, Betrieb und Wartung
vorzugsweise in der offiziellen Sprache des Errichters/Betreibers zur
Verfügung.
Kennzeichnen Sie die Zweihandschaltung mit mindestens dem
Typ und der Norm.
03/19 PU05907001Z-DE 125

12.4 Maschinenspezifische Normen im Überblick
Thema Norm
Allgemeines
Grundbegriffe, allgemeine Gestaltungsleitsätze

Grundsätzliche Terminologie, Methodologie EN ISO 12100
Technische Leitsätze EN ISO 12100

Risikobeurteilung EN ISO 12100
Elektrische Ausrüstung von Maschinen – Allgemeine Anforderungen IEC 60204-1
Sicherheitsbezogene Teile von Steuerungen
Allgemeine Gestaltungsleitsätze EN ISO 13849-1
Reduzierung des Gesundheitsrisikos durch Gefahrstoffe, die von Maschinen ausgehen
Grundsätze und Festlegungen für Maschinenhersteller EN ISO 14123
Methodik beim Aufstellen von Überprüfungsverfahren EN ISO 14123
Schutzeinrichtungen
Verriegelungseinrichtungen in Verbindung mit Schutzeinrichtungen
Leitsätze für Gestaltung und Auswahl ISO 14119
Berührungslos wirkende Schutzeinrichtungen EN 61496-1
Allgemeine Anforderungen an die Gestaltung und Konstruktion von beweglichen Schutzeinrichtungen (feststehende, bewegliche) EN ISO 14120
12.4
Anordnung von Schutzeinrichtungen im Hinblick auf Annäherungsgeschwindigkeiten von Körperteilen DIN EN ISO 13855
Abstände, Oberflächentemperaturen
Mindestabstände zur Vermeidung des Quetschens von Körperteilen EN ISO 13854
Sicherheitsabstände gegen das Erreichen von Gefahrenstellen mit den unteren Gliedmaßen EN ISO 13857
Sicherheitsabstände gegen das Erreichen von Gefahrenstellen mit den oberen Gliedmaßen EN ISO 13857
Temperaturen berührbarer Oberflächen – Ergonomische Daten zur Festlegung von Temperaturgrenzwerten für heiße Oberflächen EN ISO 13732
Anzeigen, Stellelemente, Signale
Ergonomische Anforderungen für die Gestaltung von Anzeigen und Stellteilen
Anzeigen EN 894-2
Stellteile EN 894-3
Sichtbare, hörbare und tastbare Signale EN 61310-1
Kennzeichnungsgrundsätze EN 61310-2
Menschen
Körpermaße des Menschen
Grundlagen zur Bestimmung von Abmessungen für Ganzkörperzugänge von Maschinenarbeitsplätzen EN 547-1
Grundlagen für die Bemessung von Zugangsöffnungen EN 547-2
Körpermaßdaten EN 547-3
Menschliche, körperliche Leistung
Begriffe EN 1005-1
NOT-HALT, Zweihand, Energietrennung und -ableitung
NOT-HALT, Gestaltungsleitsätze EN ISO 13850
Zweihandschaltungen – Funktionelle Aspekte – Gestaltungsleitsätze EN ISO 13851
Vermeiden von unerwartetem Anlauf EN ISO 14118
126 12/22 PU05907001Z-DE

Sicherheits-Gruppennormen Typ B
Die Sicherheits-Gruppennormen Typ B behandeln konstruktive Aspekte
wie Abstände, Oberflächentemperaturen,… oder funktionale Aspekte wie

z. B. NOT-HALT, Zweihandbedienung,…
Sie sind für unterschiedliche Maschinen-Gruppen anwendbar. Liegt für die
Maschine noch keine Produktnorm Typ C vor, oder es werden signifikante
Gefährdungen der Maschine dort nicht behandelt, geben die Festlegungen
der relevanten Gruppennormen Typ B Entscheidungshilfen.
12.4
12/22 PU05907001Z-DE 127

12.5 Schrittweise zum Performance Level PL nach EN ISO 13849-1
Die erforderliche Risikominderung wird erreicht durch die Fähigkeit von

sicherheitsbezogenen Teilen eines Steuerungsystems SRP/CS, eine Welche notwendigen Sicherheitsfunktionen werden
Sicherheitsfunktion unter vorhersehbaren Bedingungen auszuführen. durch die SRP/CS ausgeführt?
Für die Gestaltung der SRP/CS ist der iterative Prozess nach EN ISO
13849-1 anzuwenden. Nachdem die notwendigen Sicherheitsfunktionen
identifiziert und ihre Eigenschaften festgelegt worden sind, folgt die Welche Eigenschaften werden für die Sicherheits-
Bestimmung des erforderlichen PL. Im Folgenden werden Sie schrittweise funktion gefordert?
in Anlehnung an den iterativen Prozess anhand eines Beispiels zum
PL geführt.
Welches Performance Level PL r ist erforderlich?

→ Schritt 1: Risikoabschätzung, Seite 129
Welche sicherheitsbezogenen Teile führen die

Sicherheitsfunktion aus?
→ Schritt 2: Entwurf der Steuerungsarchitektur, Seite 130
Welches Performance Level PL wurde für die

sicherheitsbezogenen Teile erreicht?
→ Schritt 3: Ermittlung des erreichten PL, Seite 132:
3.1 Steuerungsarchitektur
3.2 MTTFd
12.5
3.3 DC
3.4 CCF
Wurde das PL für die Sicher-

heitsfunktion erreicht (PL = PLr)
→ Schritt 4: Verifikation der
nein
erreichten Risikominderung, Seite 135
ja
Wurden alle Anforderungen

→ Schritt 5: Validierung der nein
Sicherheitsfunktionen, Seite 135
ja
Zur Risikoanalyse (EN ISO 12100)
Abbildung 80: A
blauf des Entwurfprozesses sicherheitsgerichteter
Steuerungsfunktionen
128 12/22 PU05907001Z-DE

Schritt 1: Risikoabschätzung 1.1 Abschätzung der Schwere der Verletzung S
Der durch die Risikoabschätzung ermittelte Grad an Risikominderung Angenommen, die NOT-HALT-Einrichtung ist noch nicht existent. Wie hoch
wird in Form eines geforderten Integritätslevels angegeben, required ist dann die potentielle Verletzungsgefahr?

S1
Performance Level PLr. S1
1
1 S1
Die Risikoabschätzung zur Ermittlung des erforderlichen •
1•
Sicherheitsniveaus PLr betrachtet die Maschine ohne vorgesehene S2
• S2
Sicherheitsfunktionen. S2
Der PLr wird anhand des Risikographs nach EN ISO 13849-1 durchgeführt.
Die verwendeten Parameter S, F, P sind die gleichen wie aus der bisher
bekannten Norm EN 954-1 und bestimmen den Grad der Risikominderung. Abbildung 82: Bewertung des Schadensausmaßes
PL r
Sind die Verletzungen reversibel, wie z. B. Prellungen oder Schnittwunden
PL r
ohne Komplikationen, wählen Sie S1. Nicht heilbare Verletzungen wie das
PL r
P1
P1
a Abtrennen von Gliedmaßen oder gar tödliche Folgen stufen Sie als S2 ein.
a
F1
F1
P2 P1 a
Unser Beispiel bewerten wir mit S2.
S1 P2
S1 F1 P1 b
F2
P1
P2 b Zur Risikobeurteilung gehört auch, wie häufig und/oder wie lange sich
S1 F2
1 P2 P1 b eine Person im Gefahrenraum befindet.
1 P2
• F2 P1 c
•
1 F1
P1
P2 c
• F1
P2 P1 c 1.2 Abschätzung der Häufigkeit und/oder Dauer der Gefährdung- F
S2 P2
S2 F1 P1 d
P1 d
F2 P2
S2 F2 F1
P2 P1
P2
d F1
S1
12.5
F2 e
P2 e S1 F1
e S1 F2
F2
F2
Abbildung 81: Risikograph nach EN ISO 13849-1 1
1
• F1
1• F1
Beispiel • F1
S2
Es soll eine ergänzende Schutzmaßnahme in Form einer NOT-HALT-Funk- S2
tion an einem Gefahrenbereich getroffen werden. Auf diese Weise S2 F2
F2
wollen Sie sicherstellen, dass im Notfall die Gefahr bringende Bewegung F2
stillgesetzt werden kann, → Seite 24.
Abbildung 83: Häufigkeit und Dauer der Gefährdung
Ist dies nur selten und/oder für kurze Dauer, wählen Sie F1 (höchstens 1
x pro Stunde). Lange oder häufige Aufenthalte bewerten Sie mit F2 (mehr
als 1 x pro Stunde). Unser Beispiel bewerten wir mit F2.
Ein typischer Fall für F2 ist der Eingriff zwischen die Werkzeuge in
regelmäßigen Abständen, um im zyklischen Betrieb Werkstücke
zu entnehmen oder einzulegen. Ist der Zugang nur von Zeit zu Zeit
erforderlich, wählen Sie F1.
Zuletzt stellt sich die Frage: „Welche Möglichkeiten gibt es, den Unfall zu
vermeiden?“
12/22 PU05907001Z-DE 129

Schrittweise zum Performance Level PL nach EN ISO 13849-1
PL r
1.3 Abschätzung der Möglichkeit zur Vermeidung einer Gefährdung Schritt 2: Entwurf der Steuerungsarchitektur
PL r
P1 a
F1 PL
Die EN ISO 13849-1 stellt Architekturen bereit, welche die Struktur eines
P1 PL r a r
sicherheitsbezogenen Steuerungssystems bewerten und in eine Kategorie
S1 F1
P1 b
S1 P1
P1
a
a einzuordnen hilft.
F2
F1 P1 b
1 F1
F2
P2
• Kategorie B (Basiskategorie)
1•
S1 P1 c
S1 P1 b
F1 P1 P2 b Die sicherheitsbezogenen Teile der Steuerung entsprechen mindestes dem
• F2
F2 P1 c
S2 P2
Stand der Technik. Sie halten den zu erwartenden Einflüssen stand.
11 F1 P2
P2 P1 d Input Logik Output
•• S2 F2 P1
P1
P2
c
c
Logik Output
F1
F1 P2P1 d Input
F2
S2S2 e
P2
P2
P2P1 d Input Logik Output
d
e Input Logik Output
F2F2
P1
P2P2
ee
Abbildung 85: Struktur bei Kategorie B
• Kategorie 1
Abbildung 84: Möglichkeit zur Vermeidung
Die sicherheitsbezogenen Teile der Steuerung sind mit bewährten
Bauteilen und Prinzipien zu gestalten und zu konstruieren. Unter einem
P1 wählen Sie nur dann, wenn eine realistische Chance besteht, den
bewährtem Sicherheitsprinzip sind beispielsweise Positionsschalter mit
Unfall zu vermeiden oder die Auswirkungen wesentlich zu verringern. P2
zwangsöffnendem Kontakt zu verstehen. Mit elektronischen Bauteilen ist
sollte gewählt werden, wenn fast keine Chance besteht, die Gefährdung
die Kategorie im Normalfall nicht zu realisieren.
zu vermeiden. Unser Beispiel bewerten wir mit P2.
Ein Unfall ist vor allem dann vermeidbar, wenn die Gefährdung Input Logik Output
12.5
erkennbar ist. Input Logik Output
Orientieren Sie sich an folgenden Punkten: Input Logik

Logik Output
Output
Input
• Kann die Gefährdung direkt aufgrund ihrer physikalischen Merkmale Abbildung 86: Struktur bei Kategorie 1
festgestellt werden oder nur über technische Hilfsmittel wie
Anzeigen etc.? • Kategorie 2
• Tritt die Gefährdung plötzlich, schnell und unerwartet auf oder langsam Die Sicherheitsfunktionen der sicherheitsbezogenen Teile einer Steuerung
und sichtbar? sind in geeigneten zeitlichen Abständen zu überprüfen. Die Prüfung
• Kann der Unfall durch Flucht oder Eingreifen Dritter vermieden werden? darf automatisch oder manuell eingeleitet werden und ist mindestens
• Betreiben Laien oder Fachpersonal die Maschine? bei jedem Anlauf und vor dem Einleiten einer Gefährdungssituation
• Ist der Betrieb beaufsichtigt oder unbeaufsichtigt? durchzuführen. Sie kann auch, als Resultat der Risikoanalyse, periodisch
• Welche praktischen Erfahrungen liegen vor mit der Sicherheit beim während des Betriebs erfolgen. Zwischen den Prüfungen kann eine Gefahr
Prozessverlauf? bringende Situation an der Maschine auftreten.
Ergebnis
Die Risikoabschätzung führt damit zu einem erforderlichen Performance
Level PLr = PL e. Input Logik Output
Input Logik Output
Dieses Verfahren ist nicht mathematisch exakt, sondern eine qualitative Input Logik Output
Input Logik Output
Abschätzung, die mit geringem Aufwand eine meist ausreichende
Genauigkeit bringt. Verstehen Sie es als Teil der Risikobewertung nach EN
Output
ISO 12100 und nicht als Ersatz dafür. Testequipment Testequipment
Output
Testequipment Testequipment
Output
Output
Testequipment
Testequipment Testequipment
Abbildung 87: Struktur bei Kategorie 2 Testequipment
130 12/22 PU05907001Z-DE

• Kategorie 3 • Kategorie 4
Ein einzelner Fehler, der in einem sicherheitsbezogenem Bauteil der Ein einzelner Fehler, der in einem sicherheitsbezogenem Bauteil der
Steuerung auftritt, führt nicht zum Verlust der Sicherheitsfunktion. Durch Steuerung auftritt, führt nicht zum Verlust der Sicherheitsfunktion.

eine Anhäufung unentdeckter Fehler kann es zu einer Gefahr bringenden Dieser Fehler ist sofort oder vor der nächsten potentiellen Gefährdung zu
Situation an der Maschine kommen, da nicht alle Fehler erkannt werden erkennen, z. B. beim Schließen der Tür vor dem erneuten Maschinenstart.
müssen. Ein Beispiel hierfür ist ein redundanter Schaltungsaufbau ohne Ist dies aus gegebenen Umständen nicht möglich, darf die Anhäufung von
Selbstüberwachung. Fehlern nicht zum Verlust der Sicherheitsfunktion führen.
Input
Input11 Logik
Logik11 Output
Output11 Input
Input11 Logik
Logik11 Output
Output11
Input22
Input Logik22
Logik Output22
Output Input
Input22 Logik
Logik22 Output
Output22
Abbildung 88: Struktur bei Kategorie 3 Abbildung 89: Struktur bei Kategorie 4
Beachten Sie den Grundsatz:

Je mehr die Risikoverminderung von den sicherheitsbezogenen Teilen der
Steuerung abhängt, desto höher muss die Widerstandsfähigkeit gegen
12.5
Fehler sein.
Tabelle 4: Zusammenfassung der Anforderungen für Kategorien
Kategorie Anforderungen
Zusammenfassung MTTFd pro DCavg Common Cause
Kanal
B • Übereinstimmung sicherheitsrelevanter Bauteile mit zutreffender Norm. niedrig bis keine nicht relevant
• Den zu erwartenden Einflüssen standhalten. mittel
• Anwendung grundlegender Sicherheitsprinzipien.
1 • Anforderungen von Kategorie B. hoch keine nicht relevant
• Einsatz bewährter Bauteile.
• Einsatz bewährter Sicherheitsprinzipien.
2 • Anforderungen von Kategorie B. niedrig bis niedrig mind. 65 Punkte
• Einsatz bewährter Sicherheitsprinzipien. hoch bis mittel
• Testung der Sicherheitsfunktion in geeigneten Zeitabständen.
3 • Anforderungen von Kategorie B. niedrig bis niedrig mind. 65 Punkte
• Einsatz bewährter Sicherheitsprinzipien. hoch bis mittel
• Einzelner Fehler führt NICHT zum Verlust der Sicherheitsfunktion.
• Einzelner Fehler muss in angemessener Weise erkannt werden.
4 • Anforderungen von Kategorie B. hoch hoch mind. 65 Punkte
• Einsatz bewährter Sicherheitsprinzipien.
• Einzelner Fehler führt NICHT zum Verlust der Sicherheitsfunktion:
– einzelner Fehler muss bei oder vor der nächsten Anforderung erkannt werden,
oder
– Anhäufung von Fehlern darf nicht zum Verlust der Sicherheitsfunktion führen.
12/22 PU05907001Z-DE 131

Beispiel Schritt 3: Ermittlung des erreichten PL

Betrachten wir erneut unser Beispiel. Welche Kategorie muss ich nun an- Bestimmen Sie nun den erreichten Performance Level PL durch die
streben, um einen Performance Level von PLe erreichen zu können? Abschätzung folgender Parameter:
Schritt 3.1: Steuerungsarchitektur (Kategorie)

Betrachten Sie hierzu folgende Abbildung aus der Norm: Schritt 3.2: Mittlere Zeit bis zu einem gefährlichen Ausfall MTTFd
(Mean Time to Dangerous Failure)
PL Schritt 3.3: Diagnosedeckungsgrad DC (Diagnostic Coverage)
Schritt 3.4: Ausfälle durch Fehler gemeinsamer Ursache CCF
a
(Common Cause Failure)
b Schritt 3.5: Beziehung zwischen Kategorie, MTTFd, DC, CCF
c
und des PL
Die Bewertung wollen wir nun auf Grundlage unseres Beispiels
d
exemplarisch durchführen.
e 3.1 Zuordnung der Steuerungsarchitektur (Kategorie)
Cat. B Cat. 1 Cat. 2 Cat. 2 Cat. 3 Cat. 3 Cat. 4 Bilden Sie zunächst die gewählte Sicherheitsfunktion NOT-HALT auf die im
Schritt 2 entworfene Steuerungskategorie ab.
Abbildung 90: Mögliche Kategorien für Performance Level PLe Ordnen Sie nun die einzelnen Funktionsblöcke „Eingabeeinheit“, „Logik“
und „Ausgabeeinheit“ den Elementen des Blockschaltbildes zu.
Ergebnis Beispiel
Ein Performance Level e ist nur mit einer Struktur der Kategorie 3 oder
12.5
Für unser Beispiel gilt: Die Eingabeeinheiten Input 1 und Input 2 werden
4 erreichbar. Für unser Beispiel wählen wir eine Struktur der Kategorie realisiert durch die NOT-HALT-Einrichtung M22-PVT (→ Abschnitt 1.5
4 aus. „Zweikanalig mit Sicherheitsrelais“, Seite 24), die im Zusammenhang mit
Die ausgewählte Beispielarchitektur entspricht in diesem der Logikeinheit folgende Eigenschaften aufweist:
Sicherheitshandbuch der Schaltung im Abschnittt 1.5 „Zweikanalig mit • Sichere Erkennung von Unterbrechungen auf der Leitung und im
Sicherheitsrelais“, Seite 24. Kontaktsatz.
• Sichere Erkennung einer Brückenbildung über den Kontakt eines
Kanals (Fehler auf Verbindungsleitung, Schluss nach 24 V).
• Sichere Erkennung von Querschlüssen zwischen beiden Eingangs
kanälen.
Das Sicherheitsrelais ESR repräsentiert den Funktionsblock „Logik“.
Durch ihn werden Diagnosefunktionen bereitgestellt, die auch auf die
Eingabe- und Ausgabeeinheit wirken.
Die Ausgabeeinheiten Q1 und Q2 werden durch zwei Sicherheitsschütze
/ Leistungsschütze DILM12 und DILM25 realisiert, die redundant und
querschlusssicher an die Logikeinheit angeschlossen werden
(→ Abschnitt 1.5 „Zweikanalig mit Sicherheitsrelais“, Seite 24).
Input 1 Logik 1 Output 1
Input 2 Logik 2 Output 2
132 12/22 PU05907001Z-DE

B10 d
MTTFd =
0,1 x n op
B10 d : mittlere Anzahl von Schaltzyklen, bis 10 % der Bauteile

gefährlich ausgefallen sind.
3.2
n opBestimmung desjährlicher
: mittlere Anzahl MTTFd Betätigungen. 3.3 Bestimmung des Diagnosedeckungsgrad (DC)
Der MTTFd-Wert gibt den statistischen Mittelwert bis zum erwarteten Durch die interne Testung von den Teilsystemen kann die
gefährlichen Ausfall der Komponenten an. Für elektromechanische Sicherheitsintegrität erhöht werden. Der Diagnosedeckungsgrad ist ein

B10 d
Komponenten hängt der MTTFd-Wert wesentlich von der Anzahl Maß für die Wirksamkeit der Erkennung von Fehlern. Der DC kann für
MTTFd =
der Betätigungen ab. Die EN ISO 13849-1
0,1 x nstellt
op
hierfür folgende Teile des sicherheitsbezogenen Systems oder für die Gesamtheit
Berechnungsformel bereit: bestimmt werden.
Schaltzyklen,B10
B10 d : mittlere Anzahl vonMTTF bis d10 % der Bauteile Besteht ein sicherheitsgerichtetes Steuerungssystem aus mehreren
=
gefährlich ausgefallen sind. d 0,1 x n op Teilen, wird zur Bestimmung des erreichten Performance Levels ein
n op : mittlere Anzahl jährlicher Betätigungen. Durchschnittswert DCavg verwendet. In komplexen Systemen wird hierzu
eine Ausfallarten- und Effektanalyse (FMEA) notwendig.
B10 d : mittlere Anzahl von Schaltzyklen, bis 10 % der Bauteile
gefährlich ausgefallen sind. Für einfache Systeme stellt die Norm hierfür einen vereinfachten Ansatz
n op : mittlere Anzahl jährlicher Betätigungen. zur Bestimmung des DC bereit (siehe EN ISO 13849-1, Anhang E).
Beispiel
Für unsere NOT-HALT-Sicherheitsfunktion nehmen wir eine
Für unser Beispiel heißt dies konkret, aus der Norm-Tabelle E.1
Betätigungshäufigkeit von 5 Betätigungen am Tag an. Die Anlage soll
entnehmen wir den für die Eingabe-, Logik- und Ausgabeeinheit
360 Tage im Jahr und zwei Schichten am Tag, d. h. 16 Stunden pro Tag in
zutreffenden DC.
Betrieb sein.
Der Eingabeeinheit ordnen wir die Maßnahme „Kreuzvergleich von
Es ergibt sich hieraus ein nop von 1800 Schaltzyklen.
Eingangssignalen ohne dynamischen Test“ zu, also einen Wert zwischen
Der B10d-Wert wird vom Komponenten-Hersteller angegeben. Wenn keine 0 und 99 %. Wir wählen 99 %, da für die NOT-HALT-Einrichtung ein
Herstellerangaben vorhanden sind, gibt die EN ISO 13849-1 ersatzweise Fehlerausschluss nach EN ISO 13849-2 möglich ist.
im Anhang C eine Übersicht mit typischen Werten an.
Für den DC der Ausgabeinheit wählen wir die Maßnahme „Direkte
12.5
Beispiel Überwachung (Überwachung elektromechanischer Einheiten durch
In unserem Beispiel legen wir für die NOT-HALT-Einrichtung einen B10d- Zwangsführung)“, was einem DC von 99 % entspricht. Den DC der
Wert von 100000 Zyklen (Herstellerangabe), für die Sicherheitsschütze Logikeinheit entnehmen wir aus der Herstellerangabe, 99 %.
/ Leistungsschütze einen B10d-Wert von 1,3 x 106 Zyklen
(Herstellerangabe) zu Grunde. Der durchschnittliche DCavg errechnet sich aus folgender Formel:
Daraus1ergeben sich für die1einzelnen Teilsysteme

1 folgende 1Werte: ;
MTTFd, Kanal 1/2 = +
MTTF d, Eingabe MTTFd, Logik + MTTFd, Ausgabe DC Eingabe DC Logik DC Ausgabe
• Eingabeeinheit: MTTFd, Eingabe = 555,5 [Jahre] MTTF d, Eingabe + MTTF d, Logik + MTTF d, Ausgabe
• Logikeinheit: MTTFd, Logik = 358 [Jahre] (Angabe des Herstellers) DC avg = = 0,99
• Ausgabeeinheit: MTTF MTTFd = =208,3 [Jahre] 1 1 1
d, Ausgabe 4858,6 [Jahre] + +
MTTF d, Eingabe MTTF d, Logik MTTF d, Ausgabe
Sind alle Werte der einzelnen Teilsysteme bestimmt, ermitteln Sie den
gesamten MTTFd-Wert jedes Kanals.
Ergebnis
1 1 1 1
Der ermittelte durchschnittliche DC der Not-Halt Einrichtung ist 0,99 und
; dieses entspricht der Bezeichnung
DC Eingabe DC LogikDCavg = „hoch“ nach EN ISO 13849-1,
DC Ausgabe
MTTFd, Kanal 1/2 = MTTF d, Eingabe + MTTFd, Logik + MTTFd, Ausgabe
Tabelle 6.
MTTF d, Eingabe + MTTF d, Logik + MTTF d, Ausgabe
DC avg = = 0,99
1 MTTF1 d = 208,3 [Jahre]
1 1 1 1 1
; + +
MTTFd, Kanal 1/2 = MTTF d, Eingabe + MTTFd, Logik + MTTFd, Ausgabe DC Eingabe
MTTF d, Eingabe DC d,Logik
MTTF Logik DC Ausgabe
MTTF d, Ausgabe
MTTF d, Eingabe + MTTF d, Logik + MTTF d, Ausgabe
Sind die Werte beider Komponenten unterschiedlich, ist eine
DC avg = = 0,99
Symmetrisierung durchMTTF = 208,3der
Anwendung
d Formel D.2 aus der Norm
[Jahre] 1
+
1
+
1
EN ISO 13849-1, Anhang D, erforderlich. Für unser Beispiel ist eine MTTF d, Eingabe MTTF d, Logik MTTF d, Ausgabe
Symmetrisierung nicht notwendig, da eine homogene Struktur beider
Kanäle vorliegt.
Ergebnis
Die mittlere Zeit bis zu einem gefährlichen Ausfall beläuft sich bei der
NOT-HALT-Sicherheitsfunktion auf rund 208 Jahre. Nach Norm sind maxi-
mal 100 Jahre anzusetzen. Das entspricht einer Einstufung nach EN ISO
13849-1, Tabelle 5, von MTTFd =„hoch“.
12/22 PU05907001Z-DE 133

3.4 Bewertung der Vermeidung von Fehlern infolge gemeinsamer

→ Fehler und Fehlerausschluss
Ursache (CCF Common-Cause-Failure)
Ein Fehler kennzeichnet die Unfähigkeit eines Betriebsmittels, Durch die Bewertung zur Vermeidung von Fehlern infolge gemeinsamer
seine geforderte Funktion auszuführen. Es gibt sehr viele Ursache wird die Widerstandsfähigkeit gegen externe Einflüsse (z. B.
Fehlerarten, die theoretisch auftreten können. In der Praxis Umgebungsbedingungen, wie Temperaturen/Vibrationen/Feuchtigkeit)
können Sie allerdings einige Fehler ausschließen (siehe EN qualitativ bewertet.
ISO 13849-2).
Maßnahmen gegen CCF müssen bei mehrkanaligen Systemen
Folgende Fehler haben wir bei der Betrachtung unseres angewendet werden.
Beispiels ausgeschlossen:
Die Tabelle F.1 aus der Norm EN ISO 13849-1, Anhang F, listet für den
• Lösen der Hilfsschalterbausteine von den Schützen. Maschinenbereich geeignete Maßnahmen und enthält zugehörige Werte,
• Brückenbildung innerhalb der Schützverschaltung im basierend auf einer ingenieurmäßigen Beurteilung, die den Beitrag jeder
Schaltschrank. Maßnahme zur Reduzierung der Ausfälle infolge gemeinsamer Ursache
• Mechanischer Defekt der NOT-HALT-Taste. repräsentieren.
Begründung: Geschützter Einbau im Schaltschrank, bewährte Beispiel
Technik und Überdimensionierung. Die Bewertung unseres Beispiels ist in der nachfolgenden Abbildung
Berücksichtigen Sie weiterhin folgende Fehlerkriterien: dargestellt.
• Falls als Folge eines Fehlers weitere Bauteile ausfallen, Bewerten Sie anhand der Tabelle mit Hilfe des vorgegebenen
müssen der erste Fehler und alle die sich daraus ergeben- Punktesystems die für Ihr sicherheitsgerichtetes Steuerungssystem
den Fehler als einzelner Fehler betrachtet werden. getroffenen Maßnahmen zur Vermeidung von Common-Cause-Effekten.
• Fehler gemeinsamer Ursache werden als einzelner Fehler
betrachtet. Erteilen Sie nur volle Punktzahlen. Wird eine Maßnahme nur teilweise
12.5
• Das gleichzeitige Auftreten von zwei unabhängigen Fehlern erfüllt, ist die entsprechende Punktzahl null. Die Mindestanforderungen
wird nicht in Betracht gezogen. liegen bei 65 Punkten.
Nr. Maßnahmen zur Vermeidung von Fehlern gleicher Ursache Punktezahl1)

erreicht maximal
erreichbar
1 Trennung/Abtrennung
Physikalische Trennung zwischen den Signalpfaden: 15 15
Trennung der Verdrahtung/Verrohrung
Ausreichende Luft- und Kriechstrecken auf gedruckten Schaltungen
2 Diversität
Unterschiedliche Technologie/Gestaltung/physikalische Prinzipien 0 20
3 Entwurf/Anwendung/Erfahrung
3.1 Überspannungsschutz, Schutz gegen Überstrom, Überdruck, etc. 15 15
3.2 Verwendung bewährter Bauteile 5 5
4 Beurteilung/Analyse
Durchführung einer Fehlerart- und -effekt-Analyse 5 5
5 Kompetenz/Ausbildung
Durchführung von Schulungen für Konstrukteure/Monteure 5 5
6 Umgebung
6.1 Schutz vor Verunreinigung, Prüfung von elektromagnetischer 25 25
Verträglichkeit (EMV) entsprechend zutreffender Normen
6.2 Unempfindlichkeit gegenüber allen relevanten Umwelteinflüssen 10 10
(Temperatur, Schock, Vibration, Feuchte) entsprechend zutreffender Normen
Gesamt 80 100
1) Nur volle Punktzahlen dürfen erteilt werden.
134 12/22 PU05907001Z-DE

Ergebnis Schritt 4: Verifikation der erreichten Risikominderung
Die Mindestanforderung zur Vermeidung von Fehlern infolge gemeinsa- Bei der Verifikation wird der erreichte PL (Schritt 3.5) dem geforderten PLr
mer Ursachen CCF ist mit Erreichen von 80 Punkten erfüllt. (Schritt 1) gegenübergestellt.

Entspricht der Vergleich PL ≧ PLr, ist die Risikominderung ausreichend.
3.5 Beziehung zwischen den Kategorien, DCavg, MTTFd und PL
Die EN ISO 13849-1 zeigt im folgenden Diagramm die unterschiedlichen Fällt der Vergleich kleiner aus (PL < PLr), ist der iterative Entwurfsprozess
Kombinationen zur Abschätzung der Kategorie mit DCavg und der MTTFd erneut zu durchlaufen.
jedes Kanals, um den erreichten PL zu ermitteln.
Ergebnis
Der erreichte PL entspricht dem erforderlichen PLr:
PL
PLr = PLe = PL
a
Damit ist die erforderliche Risikominderung erreicht worden.
b
c
Schritt 5: Validierung der Sicherheitsfunktionen
d
Im Gegensatz zur Verifikation ist die Validierung eine abschließende
e Bestätigung, dass die Anforderungen für die notwendige Risikominderung
durch den Einsatz der gewählten Sicherheitsfunktionen erfüllt worden
Cat. B Cat. 1 Cat. 2 Cat. 2 Cat. 3 Cat. 3 Cat. 4 sind.
DCavg none DCavg none DCavg low DCavg medium DCavg low DCavg medium DCavg high
Legen Sie in einem Validierungsplan fest, mit welchen Analysen und

Abbildung 91: Ermitteln des PL mit MTTFd, DCavg und der Kategorie Prüfungen Sie die Übereinstimmung der Lösung mit den Anforderungen
12.5
ermitteln werden. Prüfen Sie in jedem Fall:
PL = Performance Level
• Werden alle sicherheitsbezogenen Ausgangssignale in richtiger und
MTTFd jedes Kanals = niedrig logischer Weise von den Eingangssignalen erzeugt?
MTTFd jedes Kanals = mittel • Entspricht das Verhalten im Fehlerfall den festgelegten Schaltungs
kategorien?
MTTFd jedes Kanals = hoch • Je nach Komplexität der Steuerung und der Verknüpfungen reicht
eine theoretische Prüfung der Schaltpläne. Ansonsten führen Sie eine
Ergebnis praktische Prüfung mit Fehlersimulation durch.
• Sind Steuerung und Betriebsmittel für alle Betriebsarten und
Unsere NOT-HALT-Einrichtung erreicht mit der Struktur der Kategorie 4, Umgebungsbedingungen ausreichend dimensioniert?
einem MTTFd „hoch“ und einem hohen DC einen Performance Level von
PL e (siehe gelber Bereich).
12/22 PU05907001Z-DE 135

12.6 Schrittweise zum Safety Integrity Level SIL nach EN IEC 62061
Die Norm EN IEC 62061 umfasst die funktionale Sicherheit

sicherheitsbezogener elektrischer, elektronischer und programmierbarer Welche Anforderungen (SIL) muss eine Sicherheitsfunktion (SRCF)
elektronischer Steuerungssysteme. erfüllen, um das Risiko für eine erkannte Gefahr zu vermindern?
Im Gesamtrahmen der EN ISO 12100 dient sie alternativ zur EN ISO Schritt 1: „Risikobeurteilung“, Seite 137
13849-1 für die Spezifikation der zur Risikoreduzierung erforderlichen
sicherheitstechnischen Leistungsfähigkeit von sicherheitsbezogenen
elektrischen Steuerungssystemen.
Welche Sicherheitsfunktion ist dafür geeignet und mit welchem
Als sektorspezifische Norm unterhalb der IEC 61508 betrachtet die Steuerungssystem (SRECS) lässt sich diese realisieren?
EN IEC 62061 den Gesamtlebenszyklus der Maschine (von
Schritt 2: „Entwurf der Steuerungsarchitektur“, Seite 130
der Konzeptphase bis zur Demontage) und beschreibt die
sicherheitstechnische Leistungsfähigkeit durch den sogenannten Safety
Integrity Level (SIL).
Die aktuellste Ausgabe der EN IEC 62061 kann jetzt auch für nicht-
elektrische (z.B. hydraulische, pneumatische) sicherheitsbezogene
Steuerungselemente von Maschinen angewendet werden.
Konnte das ausgewählte Steuerungssystem die nach der
Die Anforderungen an die Sicherheitsintegrität eines Risikobeurteilung geforderte Risikominderung erreichen? nein
sicherheitsbezogenen elektrischen Steuerungssystems (SRECS) ergeben Schritt 3: „Bestimmung des SIL“, Seite 139
sich aus der Risikoanalyse.
Die erforderliche Risikominderung wird ähnlich wie bei der EN ISO
13849-1 durch die Anwendung eines iterativen Prozesses erreicht.
ja
12.6
In Anlehnung an die EN IEC 62061 beschreibt der nachfolgende iterative

Prozess die erforderliche Vorgehensweise, um die Wahrscheinlichkeit von
systematischen und zufälligen Fehlern, die zu einem gefährlichen Ausfall Dokumentieren Sie das ausgewählte Steuerungssystem
der Sicherheitsfunktion führen können, ausreichend zu verringern. Schritt 4: „Dokumentation, Implementierung und Validierung
des SRECS“, Seite 145
Setzen Sie die Sicherheitsfunktion anhand der dokumentierten

Schritte um.
Validieren Sie das Steuerungssystem anhand von geeigneten

Tests und Analyseverfahren.
Abbildung 92: A
blauf des Entwurfsprozesses sicherheitsgerichteter
Steuerungen.
136 12/22 PU05907001Z-DE

Schritt 1: Risikobeurteilung Beispiel
Die Notwendigkeit von sicherheitsbezogenen Steuerungsfunktionen An einer Maschine soll eine ergänzende Schutzmaßnahme in Form einer
(SRCF) nach EN IEC 62061 und ihre Spezifikation sind aus der NOT-HALT-Einrichtung an einem Gefahrenbereich geschaffen werden.

Risikoanalyse nach EN ISO 12100 abzuleiten.
Zunächst bestimmen Sie das Schadensausmaß S. Eine bedeutende
Die Risikobewertung sollte ähnlich wie bei der EN ISO 13849-1 durch die irreversible oder gar tödliche Verletzung wird mit dem Wert 4 bewertet,
Bewertung einzelner Risikoparameter durchgeführt werden. Die EN IEC eine größere, irreversible Verletzung mit dem Wert 3, eine reversible
62061 betrachtet dabei zusätzlich die Wahrscheinlichkeit des Auftretens Verletzung mit 2 und eine kleinere Verletzung mit dem Wert 1.
eines gefährlichen Ereignisses.
Wir wählen für das Beispiel das größte Ausmaß und merken uns den Wert
Die Analyse der erforderlichen Risikominderung mündet in einen S = 4.
Ausfallgrenzwert für die Wahrscheinlichkeit eines gefährlichen Ausfalls
pro Stunde (PFHd) jeder SRCF. Die Wahrscheinlichkeit, dass ein Schaden K auftritt, wird als Summe
der einzelnen Parameter F, W und P berechnet. Die Häufigkeit und
Riskoparameter nach EN IEC 62061: Dauer der Gefährdungsexposition liegt in einem Bereich zwischen >1
• Schwere des Schadens S Stunde und Φ 1 Tag und wird von uns mit dem Wert F = 5 bewertet.
• Wahrscheinlichkeit des Auftretens des Schadens als Funktion von: Die Wahrscheinlichkeit, dass ein Gefahr bringendes Ereignissauftritt,
– Häufigkeit und Dauer, die Personen einer Gefährdung ausgesetzt schätzen wir als selten ein und bewerten mit W = 2. Eine Vermeidung oder
sind. Begrenzung des Schadens bei Eintritt schätzen wir als unmöglich ein und
vergeben P = 5 Punkte. Es ergibt sich daraus:
– Wahrscheinlichkeit des Auftretens eines Gefahr bringenden
Ereignisses W. K = F + W + P = 5 + 2 + 5 = 12
– Möglichkeiten zur Begrenzung oder Vermeidung des Schadens P.
Tragen Sie die ermittelten Werte nun in die Normtabelle nach EN IEC
62061 (Anhang A, Bild A.3) ein.
12.6
Aus der Tabelle entnehmen Sie den geforderten Sicherheitsintegritätslevel
SIL für die Sicherheitsfunktion, die zur Risikominderung vorgesehen ist.
Ergebnis
Für unsere NOT-HALT-Funktion ergibt sich ein geforderter Sicherheits
integritätslevel von SIL 3.
Häufigkeit und Dauer [F] Wahrscheinlichkeit für ein Gefahr Vermeidung [P]
bringendes Ereignis [W]
5 % 1 Stunde 5 häufig
5 > 1 h ... % 1 Tag 4 wahrscheinlich
4 > 1 Tag ... % 2 Wochen 3 möglich 5 unmöglich
3 > 2 Wochen ... % 1 Jahr 2 selten 3 möglich
2 > 1 Jahr 1 vernachlässigbar 1 wahrscheinlich
Auswirkungen Schwere S Klasse K
3-4 5-7 8 - 10 11 - 13 14 - 15
Tod, Verlust eines Auges oder Armes 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3
Permanent, Verlust von Fingern 3 SIL 1 SIL 2 SIL 3
Reversibel, medizinische Behandlung 2 SIL 1 SIL 2
Reversibel, erste Hilfe 1 SIL 1
12/22 PU05907001Z-DE 137

Schrittweise zum Safety Integrity Level SIL nach EN IEC 62061
Schritt 2: Entwurf der Sicherheitsfunktion Achten Sie bei der Entwicklung und Auswahl der Sicherheitsfunktion auf
folgende Kriterien:
Entwerfen Sie nun eine sicherheitsgerichtete Steuerungsfunktion
(SRCF), die den Anforderungen der Risikominderung mit dem ermittelten • Merkmale und Eigenschaften der Maschine, Umwelt und Personen, die
Integritätslevel SIL entspricht. diese Maschine bedienen.

• Merkmale des Designs der Maschine.
Beispiele für SRCF können sein:
• Art und Anzahl der Schutzeinrichtungen.
• Position und Dimension der Schutzeinrichtung (Abstand zum
Bewegliche Schutzeinrichtung überwachen, wie Gefahrenbereich, Größe des Schutzfeldes).
Schutztür, Schutzgitter, Schutzhaube • Art und Anzahl der Logikeinheiten (Sicherheitsrelais, Sicherheits
steuerung).
Beispiel
Wir wählen für unser Beispiel die SRCF „Stillsetzen im Notfall“ mit der
Schaltung aus Abschnitt 1.5 „Zweikanalig mit Sicherheitsrelais“, Seite
24 aus.
Sicheres Bedienen mit Zweihandeinrichtung
ermöglichen Für jede Sicherheitsfunktion SRCF wird als nächstes das
sicherheitsbezogene elektrische Steuerungssystem SRECS festgelegt:
12.6
Offenen Gefahrenbereich überwachen: z. B. mit

Lichtgitter, Lichtschranken/-vorhänge, aktive
opto-elektronische Sensoren
NOT-HALT Sicherheitsrelais Sicherheitsschütze /

Sicheren Einrichtbetrieb mit handbetätigtem Leistungsschütze
Zustimmschalter ermöglichen
Ergebnis
Wir verwenden als SRECS eine Kombination aus NOT-HALT-Taster
M22-PVT, Sicherheitsrelais ESR5 und Sicherheitsschütze /
Leistungsschütze DIL...
Für die entworfene Sicherheitsfunktion muss nun die erreichte

Sicheren Einrichtbetrieb mit fußbetätigtem
Zustimmschalter ermöglichen Sicherheitsintegrität SIL bestimmt werden.
Schaltungen zum Stillsetzen im Notfall
138 12/22 PU05907001Z-DE

Schritt 3: Bestimmung des SIL • Basis-Teilsystemarchitektur B:
Einfehlertoleranz, ohne Diagnosefunktion
Nach dem Entwurf der sicherheitsgerichteten Steuerungsfunktion SRCF
Ein einzelner Ausfall eines Teilsystem-Elements führt nicht zum Verlust
muss der erreichte Sicherheitsintegritätslevel SIL der Sicherheitsfunktion

der Sicherheitsfunktion. Ein Gefahr bringender Ausfall in mehr als einem
bestimmt werden, um die nach der Risikoanalyse geforderte
Element kann zum Verlust der Sicherheitsfunktion führen (HFT = 1).
Risikominderung festzustellen. Die Bestimmung der Sicherheitsintegrität
Zusätzlich geht in die Berechnung die Anfälligkeit gegenüber Ausfällen
wird durch die Teilbetrachtungen folgender Kriterien durchgeführt: Teilsystemarchitektur B
gemeinsamer Ursache (ß) mit ein.
• Restwahrscheinlichkeit Gefahr bringender zufälliger Hardwareausfälle Teilsystemarchitektur B
pro Stunde (PFHd). Teilsystem-
Teilsystemarchitektur
Element 1 B
• Strukturelle Einschränkungen zur Sicherheitsintegrität der Hardware.
Teilsystem- Ausfall infolge
• Anforderungen zur systematischen Sicherheitsintegrität. Element 1 gemeinsamer
Teilsystem-
Element 1 Ursache
Ausfall infolge
Zur Bestimmung dieser Kriterien sind weitere Teilbetrachtungen nötig, die
Teilsystem- gemeinsamer
im Folgenden beschrieben werden. Ausfall infolge
Element 2 Ursache
gemeinsamer
Teilsystem- Ursache
3.1 Festlegung der Teilsystemarchitekturen Element 2
Für den vereinfachten Ansatz zur Bestimmung der Wahrscheinlichkeit Teilsystem-
Element 2
Gefahr bringender Hardwareausfälle stellt die Norm EN IEC 62061 eine
Anzahl grundlegender Teilsystemarchitekturen bereit.
Das Teilsystem kann sich aus einem oder mehreren Teilsystem-Elementen
zusammensetzen. Die EN IEC 62061 definiert ein Teilsystem-Element Abbildung 94: Logische Darstellung der Teilsystemarchitektur B:
als den Teil eines Teilsystems, der eine einzelne oder eine Gruppe von Einfehlertoleranz ohne Diagnosefunktion
Komponenten umfasst.
Die Norm unterscheidet 4 verschiedene Teilsystemarchitekturen • Basis-Teilsystemarchitektur C:
12.6
(A, B, C, D) die sich in ihrer Hardwarefehlertoleranz (HFT) und dem Nullfehlertoleranz, mit Diagnosefunktion
Vorhandensein von Diagnosefunktionen maßgeblich unterscheiden. Für Jeder Gefahr bringende Fehler des Teilsystem-Elements, der unerkannt
jede dieser Architekturen sind in der Norm EN IEC 62061 entsprechende bleibt, führt zum Verlust der Sicherheitsfunktion. Daher fließt in die
Berechnungsformeln angegeben. Betrachtung der Diagnosedeckungsgrad DC mit ein.
Teilsystemarchitektur C
• Basis-Teilsystemarchitektur A:
Nullfehlertoleranz, ohne Diagnosefunktion Teilsystemarchitektur
Teilsystem- C Teilsystem-
Jeder Ausfall eines Teilsystem-Elements verursacht einen Ausfall der Element 1
Teilsystemarchitektur C Element n
SRCF. Somit ergibt sich eine Hardwarefehlertoleranz von HFT = 0. Eine Teilsystem- Teilsystem-
Element 1 Element n
Diagnosefunktion ist nicht gegeben. Teilsystem- Teilsystem-
Element 1 Element n
Diagnosefunktion(en)
Teilsystemarchitektur A Diagnosefunktion(en)
Teilsystemarchitektur
Teilsystem- A Teilsystem-
Element 1 Element n
Teilsystemarchitektur A
Teilsystem- Teilsystem-
Element 1 Element n Abbildung 95: Logische Darstellung der Teilsystemarchitektur C:
Teilsystem- Teilsystem-
Element 1 Element n Nullfehlertoleranz mit Diagnosefunktion
Abbildung 93: Logische Darstellung der Teilsystemarchitektur A: • Basis-Teilsystemarchitektur D:

Nullfehlertoleranz ohne Diagnosefunktion Einfehlertoleranz, mit Diagnosefunktion
Ein einzelner Fehler eines Teilsystem-Elements führt nicht zum Verlust der
gesamten Sicherheitsfunktion. Zur Berechnung stehen zwei Formeln bereit
mit der Abhängigkeit vom Diagnosedeckungsgrad DC, der Anfälligkeit
gegenüber Fehlern gemeinsamer Ursache, dem Diagnosetestintervall T2
und der Gebrauchsdauer T1.
12/22 PU05907001Z-DE 139

Teilsystemarchitektur D
3.2 Bestimmung der sicherheitstechnischen Kennwerte der
Teilsystemarchitektur D Teilsysteme
Teilsystem-
Element 1 Um die Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde
Teilsystem- Ausfall infolge PFHd nach Teilsystemarchitektur D zu berechnen, sind zunächst die
Element 1 gemeinsamer erforderlichen Kenngrößen für jedes Teilsystem zu ermitteln.
AusfallUrsache
infolge
gemeinsamer Die Teilsysteme werden jeweils durch folgende Kenngrößen
Diagnosefunktion(en) Ursache beschrieben:
SIL CL SIL-Anspruchsgrenze (SIL Claim Limit)
PFHd Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde
Teilsystem-
Element 2 T1 Gebrauchsdauer
Teilsystem-
Element 2 Die einzelnen Teilsystem-Elemente werden durch folgende Kenngrößen
beschrieben:
Abbildung 96: L ogische Darstellung der Teilsystemarchitektur D: λd Gefährliche Ausfallrate

Einfehlertoleranz mit Diagnosefunktion β Kennwert über die Fehler gemeinsamer Ursache
DC Diagnosedeckungsgrad
Für die Berechnung wird zwischen Teilsystem-Elementen gleicher
T2 Diagnosetestintervall
(homogene Struktur) und unterschiedlicher Konstruktion unterschieden.
SFF Safe Failure Fraction (Anteil sicherer Ausfälle der Teilsysteme)
Zerlegen Sie nun die entworfene Sicherheitsfunktion SRCF in
Funktionsblöcke, wie z. B. Eingabe – Logik – Ausgabe, und bilden Sie
diese auf Teilsysteme ab. Die einzelnen Kenngrößen sind nicht zu ermitteln, wenn der PFHd–Wert für
12.6
das Teilsystem vom Hersteller direkt angegeben wird.

Beispiel
Wir unterteilen unser Beispiel in folgende Teilsysteme: Beispiel
Teilsystem TS1 Teilsystem TS2 Teilsystem TS3 In unserem Beispiel trifft dieses für das Teilsystem TS2 – Sicherheitsre-
lais – zu. Für das zertifizierte Sicherheitsrelais ESR5 können bei bestim-
mungsgemäßer Verwendung die Herstellerangaben angesetzt werden.
Diese sind angegeben mit:
SIL CL 3
PFHd = 7,2 x 10-9
NOT-HALT
NOT-HALT Sicherheitsrelais
Sicherheitsrelais Sicherheitsschütze
Sicherheitsschütze / /
(Logik)
(Logik) Leistungsschütze
Leistungsschütze
(Ausgabe)
(Ausgabe)
Ergebnis
Jedes Teilsystem in unserem Beispiel entspricht einer Architektur D mit
homogener Struktur unter der Annahme, dass beide Sicherheitsschütze
/ Leistungsschütze gleich häufig schalten (Start-/Stopp-Funktion bleibt
unbeachtet). Für die Teilsysteme ergibt sich eine Hardwarefehlertoleranz
von HFT = 1.
140 12/22 PU05907001Z-DE

Teilsystem TS1 Teilsystem TS2

Teilsystem-
➔ Abschnitte Element 1
3.2.1 ld
Diagnosefunktion Common Cause

3.2.2 DC Failure
3.2.3 b
3.2.4 T1
3.2.5 T2
Teilsystem-
Element 2
ld
12.6
3.2.6 PFH d
3.2.7 SIL CL
Abbildung 97: Schrittweise Ermittlung der Sicherheitskennwerte jedes Teilsystems
3.2.1 „Bestimmung der gefährlichen Ausfallrate (ld) der einzelnen Teilsystem-Elemente“, Seite 142
3.2.2 „Bestimmung des Diagnosedeckungsgrades (DC)“, Seite 142
3.2.3 „Bestimmung des Faktors für Fehler gemeinsamer Ursache – Common Cause Failure CCF (b)“, Seite 142
3.2.4 „Ermittlung des Intervalls für den Proof-Test oder die Gebrauchsdauer T1“, Seite 143
3.2.5 „Bestimmung des Diagnosetestintervalls T2“, Seite 143
3.2.6 „Bestimmung der Wahrscheinlichkeit Gefahr bringender Ausfälle der Teilsysteme PFHd“, Seite 143
3.2.7 „Ermittlung der SIL-Anspruchsgrenze (SIL Claim Limit)“, Seite 144
12/22 PU05907001Z-DE 141

3.2.1 Bestimmung der gefährlichen Ausfallrate (λd) der 3.2.2 Bestimmung des Diagnosedeckungsgrades (DC)
einzelnen Teilsystem-Elemente Jedes Teilsystem unseres Beispiels muss mit zugehörigen
In den Teilsystemen TS1 und TS3 werden die Teilsystem-Elemente aus Diagnosefunktionen ausgestattet sein, die notwendig sind, um
elektromechanischen Komponenten gebildet. Die gefährliche Ausfallrate die Anforderungen zu den strukturellen Einschränkungen und zur
λd jedes Teilsystem-Elements berechnet sich bei elektromechanischen Wahrscheinlichkeit Gefahr bringender zufälliger Hardwareausfälle zu
Komponenten über folgende Formeln: erfüllen. Für die Abschätzung des DC wird die Ausfallrate erkannter
0,1 x C
gefährlicher Ausfälle zur Ausfallrate aller Gefahr bringenden Ausfälle ins
λd = Verhältnis gesetzt.
B10
λd = Gesamtausfallrate pro Stunde. Ergebnis

C = Schalthäufigkeit der Anwendung pro Stunde. • Für TS1: Unter Abschätzung der Einzelwahrscheinlichkeiten aller
B10 = Anzahl der Schaltspiele, bis 10 % der elektromechani- Fehler und der Maßgabe der Fertigung des NOT-HALT-Tasters
schen Prüflinge ausgefallen sind (Herstellerangabe). nach IEC 60947-5-1 wird für das Teilsystem TS1 ein DC von 99 %
angenommen.
λd = l x Anteil gefährlicher Ausfälle
• Für TS2: Der DC ist vom Hersteller unter der Voraussetzung bestim-
λd = Gefährliche Ausfallrate pro Stunde. mungsgemäßer Verwendung angegeben, TS2 = 99 %.
• Für TS3: Es wird eine redundante Abschaltstufe mit Sicherheits-
schützen / Leistungsschützen realisiert. Unter der Voraussetzung der
→ Der Anteil gefährlicher Ausfälle wird in diesem Handbuch in
Montage beider Schütze innerhalb eines geschützten Einbauraumes
den Kapiteln 1…6 als Verhältnis von λd/λ angegeben.
zusammen mit der L ogikeinheit und der Abschätzung der Wahrschein-
lichkeiten legen wir den DC des Teilsystem TS3 mit 99 % fest.
Der Parameter C stellt dabei die für die Anwendung festgelegten
Betriebszyklen dar.
3.2.3 Bestimmung des Faktors für Fehler gemeinsamer
Falls für den B10-Wert vom Hersteller keine Angabe vorliegt, gibt die
12.6
Ursache – Common Cause Failure CCF (β)

Norm EN ISO 13849-1 Anhang C.1 eine Übersicht typischer Ausfallraten Bei mehrkanaligen Teilsystemen sind Maßnahmen zur Vermeidung von
elektrischer Bauteile an. Ausfällen aufgrund von Fehlern gemeinsamer Ursache notwendig.
Die B10-Werte können über den dort angegebenen Umrechnungsfaktor Im Anhang F der Norm EN IEC 62061 wird eine Tabelle F.1 mit
von 0,5 berechnet werden. Bewertungskriterien für den Entwurf des Teilsystems bereitgestellt.
Die gelisteten K riterien werden über ein Punktesystem bewertet. Mit
Beispiel
der Gesamtpunktzahl wird aus der Tabelle F.2 der Faktor der Fehler
NOT-HALT-Einrichtung TS1 und Sicherheitsschütz / Leistungsschütz TS3:
gemeinsamer Ursachen CCF (β) entnommen.
• Schalthäufigkeit C bei 2 Schichten je 8 Std. pro Tag und Betätigungs-
Tabelle 5: Faktor des Anteils an Ausfällen gemeinsamer Ursachen
häufigkeit von 5 Betätigungen pro Tag ergibt sich:
C = 0,3125 pro h Punktwert CCF-Faktor (β)
• B10-Wert: 20000 für TS1 / 975.000 für TS3
• Anteil gefährlicher Ausfälle: 20 % für TS1 / 75 % für TS3 < 35 10 % (0,1)
35 - 65 5 % (0,05)
Ergebnis
• Für das Teilsystem-Element der NOT-HALT-Einrichtung 65 - 85 2 % (0,02)
TS1: λd = 3,125 x 10-7 85 - 100 1 % (0,01)
• Für das Teilsystem-Element der Sicherheitsschütze / Leistungsschütze
TS3: λd = 2,404 x 10-8 Ergebnis
Mit einer Gesamtpunktezahl von 57 Punkten ergibt sich der CCF-Faktor
von β = 0,05.
142 12/22 PU05907001Z-DE

3.2.4 Ermittlung des Intervalls für den Proof-Test oder die 3.2.6 Bestimmung der Wahrscheinlichkeit Gefahr bringender
Gebrauchsdauer T1 Ausfälle der Teilsysteme PFHd
Der Proof-Test ist eine Wiederholungsprüfung, die Fehler an einem Zur Bestimmung der Gesamtausfallrate sind nun zunächst die

sicherheitsgerichteten Steuerungssystem SRECS erkennen lässt. Ein Einzelausfallwahrscheinlichkeiten der Teilsysteme aus den einzelnen
Proof-Test ist zur Bestätigung vorgesehen, dass das SRECS sich in einem Teilsystem-Elementen zu berechnen.
Zustand befindet, der die festgelegte Sicherheitsintegrität garantiert.
Danach kann die gefährliche Ausfallrate jedes Teilsystems auf eine
Durch den Proof-Test werden die SRECS und die Teilsysteme falls
Stunde bezogen werden.
notwendig in einen „Wie-Neu-Zustand“ versetzt.
Die Norm bezieht sich an dieser Stelle auf die EN ISO 13849-1 und Beispiel
empfiehlt, eine Gebrauchsdauer von 20 Jahren anzusetzen. Folgende Kennwerte können aus den vorangegangenen Schritten zu-
sammengefasst werden:
Ergebnis Teilsystem TS1 Teilsystem TS2 Teilsystem TS3
Wir setzen ein Proof-Test-Intervall von 20 Jahren ein und berechnen die
entsprechende Gebrauchsdauer von:
λd 3,125 x 10-7 PFHd-Wert 2,404 x 10-8
T1 = 20 Jahre x 365 Tage x 24 Stunden = 175200 h wird direkt
DC 99 % 99 %
vom Hersteller
3.2.5 Bestimmung des Diagnosetestintervalls T2 T2 3,2 h angegeben. 3,2 h
Das Diagnosetestintervall T2 wird in Stunden angegeben und ist der T1 175200 h 175200 h
Zeitraum zwischen zwei vom System durchgeführten Diagnosetests. Das β 0,05 0,05
Diagnosetestintervall jedes Teilsystems, das eine Hardwarefehlertoleranz
von mehr als null besitzt (HFT = 1), muss so gewählt sein, dass das
Teilsystem die Anforderung zur Wahrscheinlichkeit eines zufälligen Die Teilsysteme TS1 und TS3 besitzen beide Elemente gleicher
Hardwareausfalls erfüllen kann. Konstruktion, sodass die Gleichung homogener Strukturen hier ihre
12.6
Anwendung findet.
Ergebnis
λd, TS = (1 - β)2 {[λd2 x 2 x DC] x T2/2 + [λd2 x (1 - DC)] x T1} + β x λd
Die Diagnosetests der Teilsysteme TS1 und TS3 unseres Beispiels
werden jeweils bei Auslösung der Kontakte durchgeführt. Es ergibt sich PFHd = λd, TS x 1h
damit eine Testrate aus der stündlichen Betätigung beider Teilsystem-
Elemente. Ergebnis
Bei einer täglichen Verwendungsdauer von zwei Schichten, Die Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde ergibt
d. h. 16 Stunden, und 5 Betätigungen am Tag ergibt sich ein sich durch Einsetzen in die Formel zu:
Diagnosetestintervall von T2 = 3,2 Stunden beider Teilsystem-Elemente. • TS1: PFHd = 1,58 x 10-8
• TS2: PFHd = 7,2 x 10-9 (Herstellerangabe)
• TS3: PFHd = 1,2 x 10-9
Mit den ermittelten PFHd-Werten wird zunächst der SIL für jedes Teil
system anhand der folgenden Tabelle aus der Norm entnommen.
Tabelle 6: Bestimmung des SIL eines jeden Teilsystems
Sicherheitsintegritätslevel Wahrscheinlichkeit eines Gefahr

SIL bringenden Ausfalls pro Stunde PFHd
3 ≧ 10-8 bis < 10-7

2 ≧ 10-7 bis < 10-6
1 ≧ 10-6 bis < 10-5
Ergebnis
Den Teilsystemen TS1 und TS3 unseres Beispiels kann jeweils ein
Integritätslevel von SIL 3 zugeordnet werden.
12/22 PU05907001Z-DE 143

3.2.7 Ermittlung der SIL-Anspruchsgrenze Ergebnis

(SIL Claim Limit) Beide Teilsysteme TS1 und TS3 entsprechen dem höchsten Sicherheits-
Unter dem SIL CL wird der maximale SIL verstanden, der für ein Teilsystem integritätslevel SIL 3.
der Sicherheitsfunktion in Bezug auf strukturelle Einschränkungen und

systematische Sicherheitsintegrität beansprucht werden kann. Aus dem Vergleich der SIL-Ergebnisse für TS1 und TS3 aus dem Schritt
3.2.6 (SIL3) und Schritt 3.2.7 (SIL3) ergibt sich die SIL-Anspruchsgrenze
Für die Bestimmung des SIL CL ist die Hardwarefehlertoleranz HFT und von SIL CL 3.
der Anteil sicherer Ausfälle der Teilsysteme – Safe Failure Fraction SFF –
erforderlich. Festgelegt durch die Parameter SFF und HFT ist eine Einschränkung der
Sicherheitsintegrität der Teilsysteme nicht vorhanden. Jedes Teilsystem
• Safe Failure Fraction SFF kann mit einem SIL CL 3 für die Sicherheitsintegrität der SRCF angesetzt
Der SFF ist definiert als das Verhältnis aus der Summe der Ausfallraten werden.
aufgrund sicherer und gefährlicher, aber erkannter Fehler zu der
Gesamtausfallrate. Bei unterschiedlichen SIL-Werten gibt der niedrigste Wert den SIL CL
des Teilsystems vor.
Zur Abschätzung des SFF muss eine Fehlerarten- und Effektanalyse (FMEA)
jedes Teilsystems durchgeführt werden. 3.3 Ermittlung des SIL für das Gesamtsystem SRECS
s + dd Bei der Betrachtung der gesamten Sicherheitsfunktion wird die
SFF = Sicherheitsintegrität der Hardware durch die Kenngrößen PFHd und SIL CL
s + d
s + dd der einzelnen Teilsysteme bestimmt.
SFF = Teilsystem Teilsystem TS2 Teilsystem
+
s: Ausfallrate ungefährlicher Fehler s d
d : Ausfallrate gefährlicher Fehler Teilsystem Teilsystem TS2 Teilsystem
dds: : Ausfallrate
Ausfallrate gefährlicher,
ungefährlicheraber erkannter Fehler
Fehler PFH d, TS1 PFH d, TS2 PFH d, TS3
d : Ausfallrate gefährlicher Fehler SIL CL SIL CL SIL CL
12.6
dd : Ausfallrate gefährlicher, aber erkannter Fehler PFH d, TS1 PFH d, TS2 PFH d, TS3
Zwischenergebnis für das Beispiel: SIL CL SIL CL SIL CL
Unter Abschätzung der Wahrscheinlichkeiten jeder Ausfallart legen wir
für beide Teilsysteme TS1 und TS3 einen SFF von 90 % fest. Sicherheitsintegritätslevel SIL
Sicherheitsintegritätslevel SIL
• Hardwarefehlertoleranz HFT
Die HFT wurde in Schritt 3.1 ermittelt als HFT = 1. Abbildung 98: A
blauf des Entwurfsprozesses sicherheitsgerichteter
Aus der folgenden Tabelle wird mit den Werten SFF und HFT der höchste Steuerungen.
SIL-Wert entnommen, der von den Teilsystemen in Anspruch genommen
werden kann. Ermittlung des SIL
Tabelle 7: Quelle: EN IEC 62061, Tabelle 5 → Abschnitt 3.3.1 „Wahrscheinlichkeit Gefahr bringender Ausfälle der
gesamten Sicherheitsfunktion PFHd“, Seite 145
Anteil sicherer Ausfälle (SFF) Hardwarefehlertoleranz (HFT) → A bschnitt 3.3.2 „Betrachtung der strukturellen Einschränkungen für
das Gesamtsystem“, Seite 145
0 1 2
< 60 % Nicht erlaubt SIL 1 SIL 2
60 % bis < 90 % SIL 1 SIL 2 SIL 3

90 % bis < 99 % SIL 2 SIL 3 SIL 3
>
= 99 % SIL 3 SIL 3 SIL 3
144 12/22 PU05907001Z-DE

3.3.1 Wahrscheinlichkeit Gefahr bringender Ausfälle der Schritt 4: Dokumentation, Implementierung und Validierung
gesamten Sicherheitsfunktion PFHd des SRECS
Die Wahrscheinlichkeit eines Gefahr bringenden Hardwareausfalls des
Die Architektur des sicherheitsrelevanten elektronischen

sicherheitsgerichteten elektronischen Steuerungssystems SRECS ist die
Steuerungssystems SRECS mit ihrer Zuordnung der Teilsysteme,
Summe aus den Einzelwahrscheinlichkeiten aller Teilsysteme, die an der
Teilsystem-Elemente, sowie die Sicherheitsfunktionen und deren
Ausführung der Sicherheitsfunktion beteiligt sind.
Beziehung untereinander müssen dokumentiert werden.
PFHd = PFHd, TS1 + PFHd, TS2 + PFHd, TS3 +… + PFHd, TSn
Die Implementierung ist die Umsetzung des sicherheitsrelevanten
elektronischen Steuerungssystems SRECS in Übereinstimmung mit dem
Ergebnis
dokumentierten SRECS-Entwurf.
Summiert man die Einzelwahrscheinlichkeiten der Teilsysteme TS1 bis
TS3 in unserem Beispiel auf, ergibt sich folgende Gesamtwahrschein- Beachten Sie dabei, dass folgende Anforderungen eingehalten werden:
lichkeit gefährlicher Ausfälle:
• die entsprechenden Teile der Spezifikation der SRECS-Sicherheits
PFHd = 2,42 x 10-8 anforderungen.
• die relevanten Anforderungen an die Verdrahtung und Verkabelung nach
Dieser Wert würde einem Sicherheitsintegritätslevel nach EN IEC IEC 60204-1.
62061, Tabelle 3, von SIL 3 entsprechen. Zur ganzheitlichen Bewertung • die Anforderungen zur Vermeidung systematischer Hardwareausfälle.
der Sicherheitsintegrität der Sicherheitsfunktion muss nun noch die • die Anforderungen zur Beherrschung systematischer Fehler.
Betrachtung der strukturellen Einschränkung erfolgen.
Bei der Validierung wird durch Inspektion und Prüfung sichergestellt,
3.3.2 Betrachtung der strukturellen Einschränkungen für das dass der Entwurf jeder Sicherheitsfunktion SRCF die entsprechenden
Gesamtsystem Anforderungen der Spezifikation erfüllt.
Der SIL für das Gesamtsystem, der durch das sicherheitsgerichtete
Die Validierung des sicherheitsbezogenen elektrischen Steuerungssystems
Steuerungssystem SRECS aufgrund der strukturellen Einschränkungen
erfolgt nach einem vorher festgelegten Validierungsplan.
12.6
erreicht wird, muss geringer oder gleich der niedrigsten SIL CL eines
Teilsystems sein, das an der Ausführung der SRCF beteiligt ist. Jede sicherheitsgerichtete Steuerungsfunktion ist dabei mit einzubeziehen
und mit geeigneten Tests und Analyseverfahren zu validieren.
Entspricht der erreichte SIL der Sicherheitsfunktion nicht dem durch die
Anschließend ist eine angemessene Dokumentation zu erstellen, die
Risikoabschätzung geforderten SIL, ist der Entwurfsprozess erneut zu
Angaben zu Test- und Analyseverfahren sowie zu den Ergebnissen und
durchlaufen.
gegebenenfalls zu Korrekturen und Nachprüfungen enthält.
Ergebnis Die Dokumentation hat den Anspruch an:
Die einzelnen Teilsysteme TS1/TS2/TS3 in unserem Beispiel weisen
jeweils einen SIL CL 3 auf. Das Gesamtsystem NOT-HALT-Einrichtung • Genauigkeit und Knappheit.
erreicht damit einen Sicherheitsintegritätslevel von SIL 3. • Verständnis bei denjenigen Personen, die damit arbeiten müssen.
• Verfügbarkeit.
(Gegenbeispiel: Ein SIL CL 2 des TS1 würde den resultierenden SIL des • Möglichkeit der leichten Pflege.
Gesamtsystems auf SIL 2 abwerten.)
Die Norm EN IEC 62061 stellt zum Thema „Validierung und
Dokumentation“ weitere Informationen bereit.
→ Fehler und Fehlerausschluss
Unter der Bedingung, dass die Wahrscheinlichkeit ihres
Auftretens sehr gering ist, können bestimmte Fehler
ausgeschlossen werden. Jeder einzelne Fehlerausschluss
ist hierbei jedoch ausreichend zu begründen und zu
dokumentieren.
Es ist außerdem zulässig, Fehler in Übereinstimmung mit der
Norm EN ISO 13849-2 auszuschließen.
12/22 PU05907001Z-DE 145

13 Anhang
13.1 Glossar
Abschließbarkeit (IEC 60204-1) Ausfall (EN ISO 13849-1)

Bedingung für die Funktion eines Schaltgerätes als Hauptschalter. Beendigung der Fähigkeit einer Einheit, eine geforderte Funktion zu
Das Schaltgerät muss in der AUS-Stellung, z. B. durch Einhängen von erfüllen.
mindestens einem Bügelschloss, abschließbar sein.
Nach einem Ausfall hat die Einheit einen Fehler.
Anhaltezeit (Zeit bis zum Aufheben der Gefährdung) (ISO 14119) Der „Ausfall“ ist ein Ereignis, im Unterschied zum „Fehler“, dieser ist ein
Die Zeit zwischen dem Zeitpunkt, zu dem die Verriegelungseinrichtung Zustand.
den Anhaltebefehl auslöst, und dem Zeitpunkt, zu dem das Risiko durch
Der so definierte Begriff kann nicht angewendet werden auf Einheiten, die
gefährdende Maschinenfunktion vorbei ist.
nur aus Software bestehen.
aktive optoelektronische Schutzeinrichtung (AOPD) (IEC 61496-2) Ausfälle, die nur die Verfügbarkeit des zu steuernden Prozesses betreffen,
Anhang
Gerät, dessen Sensorfunktion durch opto-elektronische Sende- und liegen nicht im Anwendungsbereich dieses Teils der ISO 13849.
Empfangseinheiten erzeugt wird, welche die Unterbrechung der im Gerät
erzeugten Strahlung durch einen undurchsichtigen Gegenstand innerhalb Ausfallgrenzwert
des festgelegten Schutzfeldes erkennen (bei einer Lichtschranke: auf der Vorgesehene PFHd, die zu erreichen ist, um die Anforderung(en) zur
Achse des Lichtstrahls). Sicherheitsintegrität zu erreichen.
AOPDs arbeiten entweder auf der Basis des Einwegprinzips, wobei der Der Ausfallgrenzwert ist als die Wahrscheinlichkeit eines Gefahr
Lichtstrahl das Schutzfeld einmal durchquert, oder auf der Basis eines bringenden Ausfalls pro Stunde festgelegt.
reflektierenden Zweiwegprinzips, wobei der Lichtstrahl das Schutzfeld
[IEC 61508-4]
mehr als einmal durchquert.
Bausteinsystem
Anlauf (Maschinen-Anlauf) (EN ISO 14118)
Modulares Konzept von Schaltgeräten, das es ermöglicht, benötigte
Der Übergang vom Ruhezustand zur Bewegung einer Maschine oder eines
Funktionen je nach Anwendungsfall zu komplettieren oder bei Bedarf
13.1
ihrer Teile.
nachzurüsten, z. B. Hilfsstromschalter, Spannungsauslöser, Handhaben,
Anmerkung: Die Definition schließt andere als Bewegungsfunktionen mit Gehäuse.
ein, wie z. B. Einschalten eines Laserstrahls.
Bedienteil (Stellteil) (IEC 60204-1)
unerwarteter Anlauf/unbeabsichtigter Anlauf (EN ISO 12100-1) Der Teil des Betätigungssystems, auf den von außen eine Betätigungskraft
Jeder unvorhergesehene Anlauf, der zu einer Gefährdung führt. Dies kann aufgebracht wird.
z. B. verursacht werden durch:
Das Bedienteil darf z. B. ein Handgriff, ein Knopf, eine Taste, eine Rolle,
• einen Befehl zum Ingangsetzen, der durch einen Ausfall in der ein Stößel sein.
Steuerung oder einen äußeren Einfluss auf die Steuerung bewirkt wird;
Es gibt einige Betätigungsmittel, die keine äußere Betätigungskraft
• einen Befehl zum Ingangsetzen durch unpassende Handlung an einer
benötigen, sondern nur eine Handlung.
Anlaufsteuerung oder anderen Teilen der Maschine, wie z. B. Mess
fühler oder Leistungssteuerelement; siehe auch Maschinenantrieb, IEC 60204-1, 3.36.
• Wiederherstellung der Energieversorgung nach einer Unterbrechung;
• äußere/innere Einflüsse (z. B. Schwerkraft, Wind, Selbstzündung bei Befehlsgerät
Verbrennungsmotoren) auf Teile der Maschine. Handbetätigte Steuergeräte zur Steuerung, Signalgabe, Verriegelung usw.
von Schaltgeräten und Schaltanlagen, z. B. Drucktaster, Drehschalter.
Der Anlauf einer Maschine beim normalen Ablauf eines automatischen
Arbeitszyklusses ist nicht unbeabsichtigt, kann aber im Verständnis der
Bemessungskurzschlussstrom, bedingter
Bedienperson als unerwartet angesehen werden. In diesem Fall schließt
(EN 60947-1)
die Vermeidung von Unfällen technische Schutzmaßnahmen mit ein.
Kurzschlussstrom, den ein durch eine Kurzschlussschutzeinrichtung (z. B.
Motorschutzschalter) geschütztes Schaltgerät (z. B. Sicherheitsschütz)
während der Ausschaltzeit der Schutzeinrichtung führen kann.
146 12/22 PU05907001Z-DE

Benutzerinformation (EN ISO 12100) Zeichen für die Konformität des gekennzeichneten Erzeugnisses
Schutzmaßnahmen, die aus Kommunikationselementen bestehen nach den entsprechenden europäischen Richtlinien und somit
(z. B. Texte, Wörter, Zeichen, Signale, Symbole, Diagramme), die einzeln Zulassung für ganz Europa. Maßgeblich sind die Maschinen-Richtlinie
oder gemeinsam verwendet werden, um Informationen an den Benutzer (kennzeichnungspflichtig seit 1995), EMV-Richtlinie (ab 1996) und die
weiterzugeben. Niederspannungs-Richtlinie (ab 1997). Die CE-Kennzeichnung ist nicht
als Qualitätsmerkmal anzusehen, sondern als „Reisepass“ für den freien
Berühren, direktes (IEC 60204-1) Warenverkehr im europäischen Binnenmarkt.
Berühren aktiver Teile durch Personen oder Nutztiere (Haustiere).
Berühren, indirektes (IEC 60204-1)

Berühren von Körpern elektrischer Betriebsmittel, die infolge eines Fehlers
Anhang
unter Spannung stehen, durch Personen oder Nutztiere (Haustiere).
Beta (ß) DC – Diagnosedeckungsgrad (EN IEC 62061)

Faktor für den Ausfall infolge gemeinsamer Ursache CCF. Abnahme der Wahrscheinlichkeit Gefahr bringender Hardwareausfälle,
die aus der Ausführung der automatischen Diagnosetests resultiert
Ausfall, der das Ergebnis eines oder mehrerer Ereignisse ist, die gleich [IEC 61508-4]. Der Diagnosedeckungsgrad (DC) kann nach folgender
zeitig Ausfälle von zwei oder mehreren getrennten Kanälen in einem Gleichung berechnet werden:
mehrkanaligen Teilsystem (redundante Architektur) verursachen und zu
einem Ausfall eines → SRECS führen. DC = λdd/λdtotal
wobei λdd die Rate erkannter Gefahr bringender Hardwareausfälle ist und
Betätiger, Betätigungselement λtotal die Rate aller Gefahr bringenden Hardwareausfälle ist.
Mechanisches Element eines Sicherheits-Positionsschalters oder einer
Sicherheits-Verriegelung, das den Schaltvorgang auslöst. Aufgrund Diagnose Testintervall (IEC 61508-4)
13.1
ihrer Konstruktion sind Positionsschalter und Betätiger so aufeinander Zeitraum zwischen Online-Prüfungen, um Fehler in einem
abgestimmt (codiert), dass eine Manipulation mit einfachen Hilfsmitteln sicherheitsbezogenen System mit spezifiziertem →
(Schraubendreher, Drahtstücke) ausgeschlossen ist. Diagnosedeckungsgrad zu entdecken.
BWS – Berührungslos wirkende Schutzeinrichtung (IEC 61496-1) Eigenfestigkeit

Anordnung von Geräten und/oder Komponenten, die zusammenarbeiten, Eigenschaft eines Schaltgerätes, das bei bestimmten Spannungen
um für einen Zugangsschutz oder eine Anwesenheitserkennung zu sorgen einen im Kurzschlussfall zu erwartenden Strom, den prospektiven
und mindestens Folgendes beinhaltet: Kurzschlussstrom, in beliebiger Höhe abschaltet (größer 100 kA), ohne
• ein Sensorelement; dass es in seiner Funktion (Strom führen, Auslösen im Überlastfall)
• Steuerungs-/Überwachungselemente; beeinträchtigt wird.
• Ausgangsschaltelemente. Eigenfestigkeit wird in der Regel durch dämpfende Bauteile im
Das mit der BWS verbundene sicherheitsbezogene Steuerungssystem Schaltgerät erreicht, die einen Kurzschlussstrom soweit verringern, dass
oder die BWS selbst kann ferner eine Sekundärschalteinrichtung, Über er vom Kontaktapparat ausgeschaltet werden kann. Bei Leistungs- oder
brückungsfunktionen, eine Nachlaufzeitüberwachung usw. enthalten Motorschutzschaltern mit kleinen Bemessungsbetriebsströmen wird
(siehe Anhang A). dies durch den Widerstand im Bimetallauslöser und in der Wicklung des
Kurzschlussauslösers hervorgerufen. Größere Schaltgeräte erreichen
C diesen Effekt durch schnelles, weites Öffnen der Kontakte, was zu
Betätigungszyklus pro Stunde eines elektromechanischen Bauteils. einem raschen Aufbau des Lichtbogenwiderstandes führt, der ebenfalls
strombegrenzend wirkt. Aufgrund der zunehmenden Massenträgheit der
CCF Ausfall infolge gemeinsamer Ursache (EN IEC 62061) Kontaktapparate großer Leistungsschalter ist die Eigenfestigkeit vor allem
(en: Common Cause Failure (CCF)) Schaltgeräten mit kleinen Bemessungsströmen vorbehalten.
Ausfälle verschiedener Einheiten aufgrund eines einzelnen Ereignisses, Einrichtung/Gerät (IEC 60204-1)
wobei diese Ausfälle nicht auf gegenseitiger Ursache beruhen. Ausfälle Teil eines elektrischen Systems, das vorgesehen ist, elektrische Energie zu
infolge gemeinsamer Ursache sollten nicht verwechselt werden mit übertragen, aber nicht zu verbrauchen.
gleichartigen Ausfällen.
CE-Kennzeichnung
(Communauté Européenne, Europäische Gemeinschaft)
12/22 PU05907001Z-DE 147

Anhang
Glossar
Elektrofachkraft (IEC 60204-1) Fehlschließsicherung

Eine Person, die aufgrund ihrer fachlichen Ausbildung, Kenntnisse Die Fehlschließsicherung einer Verriegelungseinrichtung mit Zuhaltung
und Erfahrungen sowie Kenntnis der einschlägigen Normen die ihr verhindert mechanisch, dass das Sperrmittel bei geöffneter Schutzein
übertragenen Arbeiten beurteilen und mögliche Gefahren erkennen kann. richtung in Sperrstellung geht.
Energietrennung und -ableitung (EN ISO 14118) FMEA (IEC 60812)

Ablauf, der aus allen vier folgenden Schritten besteht: Analysetechniken für die Funktionsfähigkeit von Systemen – Verfahren
für die Fehlzustandsart- und -auswirkungsanalyse (Failure Mode Effect
a) Trennen (Ausschalten, Abtrennen) der Maschine (oder definierter Teile
Analysis).
davon) von allen Energiequellen.
b) Falls notwendig (z. B. bei großen Maschinen oder Anlagen) Abschließen Freischalten (VDE 0100 Teil 200)
Anhang
(oder anderweitig Sichern) aller Trenneinrichtungen in der „getrennten Allseitiges Abschalten oder Abtrennen einer Anlage, eines Teils einer
Stellung“. Anlage oder eines Betriebsmittels von allen nicht geerdeten Leitern.
c) Ableiten oder Zurückhalten jeder gespeicherten Energie, die Ursache für
Funktionale Sicherheit (EN IEC 62061)
eine Gefahr sein kann.
Teil der Sicherheit der Maschine und des Maschinen-Steuerungssystems,
Anmerkung: Energie wie c) kann z. B. gespeichert sein in: der von der korrekten Funktion des SRECS, sicherheitsbezogener Systeme
anderer Technologien und externer Einrichtungen zur Risikominderung
• mechanischen Teilen, die sich aufgrund von Massenträgheit weiter
abhängt.
bewegen;
• mechanischen Teilen, die sich unter Schwerkrafteinwirkung bewegen
Funktionsprüfung (IEC 60204-1)
können;
Funktionsprüfungen dürfen entweder automatisch durch das Steuersystem
• Kondensatoren, Akkumulatoren;
oder von Hand bei Inspektionen oder durch Prüfungen beim Anlauf
• unter Druck stehenden Medien;
und nach festgelegten Zeitabständen oder als Kombination, je nach
13.1
• Federn.
Erfordernis, ausgeführt werden.
d) Durch eine sichere Arbeitsweise sicherstellen, dass die obigen
Maßnahmen entsprechend a), b) und c) den gewünschten Effekt bewirkt Funktionskleinspannung mit sicherer Trennung (PELV)
haben. (IEC 60364-4-41)
Kleinspannung bis 50 V AC und 120 V DC, die sicher von anderen
Fehler (EN ISO 13849-1) Stromkreisen getrennt ist, wobei aktive Teile und Körper geerdet sind.
Zustand einer Einheit, charakterisiert durch die Unfähigkeit, eine
geforderte Funktion auszuführen, ausgenommen der Unfähigkeit während
→ Schutzkleinspannung, sichere Trennung
vorbeugender Wartung oder anderer geplanter Handlungen, oder aufgrund
Gefährdung (EN ISO 12100)
des Fehlens externer Mittel.
Potentielle Schadensquelle.
Ein Fehler ist oft das Resultat eines Ausfalls der Einheit selbst, kann aber
Der Begriff „Gefährdung“ kann spezifiziert werden, um den Ursprung
ohne vorherigen Ausfall bestehen.
(z. B. mechanische Gefährdung, elektrische Gefährdung) oder die Art
des erwarteten Schadens (z. B. Gefährdung durch elektrischen Schlag,
Fehlerausschluss
Gefährdung durch Schneiden, Gefährdung durch Vergiftung, Gefährdung
Der Fehlerausschluss ist ein Kompromiss zwischen den technischen
durch Feuer) näher zu bezeichnen.
Sicherheitsanforderungen und der theoretischen Möglichkeit des
Auftretens eines Fehlers. Die Gefährdung im Sinne dieser Definition:
Der Fehlerausschluss kann basieren auf • ist entweder bei der bestimmungsgemäßen Verwendung der Maschine
dauerhaft vorhanden (z. B. Bewegung von gefährdenden beweglichen
• der technischen Unwahrscheinlichkeit des Auftretens einiger Fehler,
Teilen, Lichtbogen beim Schweißen, ungesunde Körperhaltung,
• der allgemeinen anerkannten technischen Erfahrung, unabhängig von
Geräuschemission, hohe Temperatur);
der betrachteten Anwendung, und
• oder kann unerwartet auftreten (z. B. Explosion, Gefährdung durch
• den technischen Anforderungen im Bezug zur Anwendung und der
Quetschen als Folge eines unbeabsichtigten/unerwarteten Anlaufs,
speziellen Gefährdung.
Herausschleudern als Folge eines Bruches, Stürzen als Folge von
Wenn Fehler ausgeschlossen werden, muss eine genaue Begründung in Beschleunigung/Abbremsen).
der technischen Dokumentation gegeben werden.
Gefährdungssituation (EN ISO 12100)
Sachlage, bei der eine Person mindestens einer Gefährdung ausgesetzt
Fehlertoleranz (Hardwarefehlertoleranz (EN IEC 62061)
ist. Diese Situation kann unmittelbar oder über einen Zeitraum hinweg zu
Fähigkeit eines SRECS, eines Teilsystems oder Teilsystem-Elements,
einem Schaden führen.
eine geforderte Funktion beim Vorhandensein von Fehlern oder Ausfällen
weiter auszuführen.
148 12/22 PU05907001Z-DE

Gefährdungsbereich, Gefahrbereich (EN ISO 12100) Auseinandernehmen, Spritzen oder Überziehen, Untersuchen oder Prüfen
Jeder Bereich in einer Maschine und/oder um eine Maschine herum, in oder Packen. Die zugehörige elektrische Ausrüstung einschließlich der
dem eine Person einer Gefährdung ausgesetzt sein kann. Regeleinrichtung(en) und zugehöriger Programme oder Logik zusammen
mit den Bedienelementen und Messfühlern werden als Teil der Maschine
Gleichzeitig (IEC 60204-1) betrachtet.
Handeln in Verbindung; angewendet zur Beschreibung einer Situation, in
der zwei oder mehr Befehlsgeräte zur gleichen Zeit in betätigtem Zustand Kategorie
sind (aber nicht notwendigerweise synchron). → (Steuerungs-)Kategorie.
Gleichzeitige Betätigung (EN ISO 13581) Kurzschluss (IEC 60947-1)
Die ununterbrochene Betätigung beider Stellteile während des gleichen Leitende Verbindung von zwei oder mehr Punkten in einem Stromkreis, die
Anhang
Zeitabschnittes, unabhängig von dem zeitlichen Versatz zwischen dem normalerweise unterschiedliche Spannung haben, mit einem niedrigen
Beginn des einen Eingangssignals und dem Beginn des anderen. Widerstand bzw. Impedanz. Der Kurzschluss ist ein Betriebszustand,
der einen die maximale Strombelastbarkeit überschreitenden Strom
Grenztaster verursacht, der von einem Defekt oder einer Fehlschaltung hervorgerufen
→ Positionsschalter wird.
Hauptschalter Kurzschlussstrom (IEC 60204-1)

→ Netz-Trenneinrichtung Überstrom, der bei einem Kurzschluss infolge eines Fehlers oder einer
falschen Verbindung in einem elektrischen Stromkreis fließt
Hauptstromkreis (IEC 60204-1) (IEV 441-11-07).
Ein Stromkreis, der die Betriebsmittel, die dem Produktionsablauf dienen,
und die Steuertransformatoren mit Energie aus dem Netz versorgt. Lastabwurf
1. Schaltungstechnische Maßnahme zur Vermeidung von drohenden
13.1
Hilfskontakt (IEC 60947-1) Überlastungen oder Verringerung von Leistungs- bzw. Stromspitzen
Kontakt, der in einem Hilfsstromkreis eines mechanischen Schaltgerätes durch Ausschalten sekundärer Lasten. Der Lastabwurf wird z. B. durch
liegt und von diesem betätigt wird. die Auslöseelektronik eines Leistungsschalters vorgenommen, um eine
bevorstehende Überstromauslösung zu vermeiden. Hierzu schaltet der
Hilfsschalter (IEC 60947-1) Lastabwurfkontakt die Betätigungsspannung eines Sicherheitsschützes
Schalter, der einen oder mehrere Steuer- oder Hilfskontakte besitzt und / Leistungsschützes ab, das den Verbraucher vom Stromkreis trennt.
mechanisch von einem Schaltgerät betätigt wird. Hilfsschalter können im 2. Voreilendes Ab- bzw. nacheilendes Zuschalten von Lasten zur
Bausteinsystem bei Sicherheitsschützen / Leistungsschützen, Leistungs- Verminderung der Kontaktbelastung von Trennschaltern. Da
und Motorschutzschaltern nachgerüstet werden oder sind fester Trennschalter nicht in jedem Fall über das volle Lastschaltvermögen
Bestandteil eines Schaltgerätes, z. B. Sicherheitshilfsschütz / Hilfsschütz. verfügen, wird die eigentliche Lastschaltung von der zugeordneten
Ihre Bezeichnung erfolgt aufgrund ihrer Schützsteuerung übernommen.
1. Kontaktgabe als Öffner, Schließer, Wechsler oder Wischer.
Lambda
2. Schaltfunktion als Normal-, voreilender, nacheilender, Antriebs- oder
Ausfallrate (je Stunde) eines Kanals in einem Teilsystem.
Ausgelöstmelder.
Lichtgitter, Lichtvorhang, Lichtschranke
Sicherheitshilfsschütz / Hilfsschütze (EN 60947-1)
Ein opto-elektronisches System, bestehend aus einem Sender und einem
Schütz für den Einsatz als Hilfsstromschalter.
Empfänger. Bei Unterbrechung der ausgesendeten Lichtstrahlen wird ein
Signal erzeugt, das in einer Steuerung weiterverarbeitet werden kann.
Hilfsstromkreis (IEC 60947-1)
Alle leitfähigen Teile eines Schaltgerätes oder einer Anlage,
Lifetime
die zu anderen Stromkreisen als dem Hauptstromkreis und den
Lebensdauer [h] von sicherheitstechnischen Komponenten.
Steuerstromkreisen des Gerätes gehören.
Sicherheitsschütz / Leistungsschütz
Industriemaschine (IEC 60204-1)
Schütz, das zum Schalten von Verbrauchern in Hauptstromkreisen
Eine kraftgetriebene Maschine, die verwendet wird, um Werkstoff
geeignet ist. Es ist in der Regel mit 3 Hauptstrombahnen ausgestattet und
zu formen oder zu prägen durch Schneiden, Stoß, Druck, elektrische,
kann mit weiteren Hilfskontakten (Schließer, Öffner) zum Ansteuern von
thermische oder optische Verfahren, Schichtung oder eine Kombination
Hilfsstromkreisen ergänzt werden. Die Einteilung von Sicherheitsschützen
aus diesen Verfahren oder zugehörige Maschinen oder Ausrüstung, die in
/ Leistungsschützen erfolgt aufgrund ihres Schaltvermögens:
Verbindung mit diesen Maschinen verwendet werden zur Weiterleitung
Motorschaltvermögen AC-3 und AC-4, Wirklastschaltvermögen AC-1 und
von Rohmaterial, zur laufenden Arbeit oder zur Werkzeugausrüstung
konventioneller thermischer Strom Ith.
(einschließlich Bearbeitungsvorrichtungen), zum Anbringen/
12/22 PU05907001Z-DE 149

Anhang
Glossar
Maschine (EN ISO 12100) NOT-HALT (Stillsetzen im Notfall) (IEC 60204-1)

Gesamtheit von miteinander verbundenen Teilen oder Baugruppen, Eine Handlung im Notfall, die dazu bestimmt ist, einen Prozess oder eine
von denen mindestens eine(s) beweglich ist, mit den entsprechenden Bewegung anzuhalten, der (die) Gefahr bringend wurde.
Antriebselementen, Steuer- und Energiekreisen, die für eine bestimmte
Anwendung zusammengefügt sind, insbesondere für die Verarbeitung, NOT-HALT-Einrichtung
Behandlung, Fortbewegung oder Verpackung eines Materials. Der Begriff Anordnung von Bauteilen, die dazu bestimmt sind, aufkommende oder
„Maschine“ gilt auch für Maschinenanlagen, die so angeordnet und bestehende Gefahren für Personen, Schäden an der Maschine oder dem
gesteuert werden, dass sie als einheitliches Ganzes funktionieren, um Arbeitsgut abzuwenden oder zu vermindern. Die Funktion NOT-HALT-
das gleiche Ziel zu erreichen. Einrichtung muss so konzipiert sein, dass nach Betätigung des NOT-
HALT-Gerätes gefährliche Bewegungen und der Betrieb der Maschine in
Anhang A enthält eine allgemeine schematische Darstellung einer
geeigneter W
eise angehalten werden, ohne zusätzliche Gefährdungen
Anhang
Maschine.
zu verursachen und ohne jede weitere Einflussnahme durch irgendeine
Person, entsprechend der Risikobeurteilung. (NOT-HALT-Funktion EN ISO
Bestimmungsgemäße Verwendung einer Maschine
13850)
(EN ISO 12100)
Verwendung einer Maschine in Übereinstimmung mit den in der
NOT-HALT-Gerät (EN ISO 13850)
Benutzerinformation bereitgestellten Informationen.
Manuell betätigtes Steuergerät, das zur Auslösung einer NOT-HALT-
Funktion verwendet wird.
MTBF (en: Mean Time Between Failure)
Mittlere Betriebszeiten zwischen zwei aufeinanderfolgenden Ausfällen
Nullfehlertoleranz (EN IEC 62061)
eines Gerätes.
Jeder unerkannte Gefahr bringende Fehler des Teilsystem-Elements führt
zu einem Gefahr bringenden Ausfall der SRCF.
MTTF/MTTFd (EN IEC 62061) (en: Mean Time To Failure)
Die MTTF wird üblicherweise als ein Mittelwert der erwarteten Zeit bis
Person, elektrotechnisch unterwiesene (IEC 60204-1)
13.1
zum Ausfall ausgedrückt.

Person, die durch eine Elektrofachkraft über die ihr übertragenen
Aufgaben und die möglichen Gefahren bei unsachgemäßem Verhalten
MTTR (en: Mean Time To Restoration)
unterrichtet und erforderlichenfalls angelernt sowie über die notwendigen
Mittlere Zeit zur Wiederherstellung (in Stunden).
Schutzeinrichtungen und Schutzmaßnahmen belehrt wurde.
Netz-Trenneinrichtung
PL, Performance Level (EN ISO 13849-1)
Von Hand bedienbarer Schalter, der für Maschinen mit elektrischer
Diskreter Level, der die Fähigkeit von sicherheitsbezogenen Teilen einer
Ausstattung zwingend vorgeschrieben ist. Seine Aufgabe ist es, durch
Steuerung spezifiziert, eine Sicherheitsfunktion unter vorhersehbaren
Freischalten während Reinigungs-, Reparatur- und Wartungsarbeiten
Bedingungen auszuführen.
sowie bei längeren Stillstandszeiten eine Gefährdung durch elektrische
Betriebsmittel auszuschließen. Eine Netz-Trenneinrichtung muss
PLr, erforderlicher Performance Level (EN ISO 13849-1)
folgenden Anforderungen entsprechen:
PLr, angewandter Performance Level (PL), um die erforderliche Risiko
1. Von außen zugängliches Bedienteil. minderung für jede Sicherheitsfunktion zu erreichen.
2. Nur je eine AUS- und EIN-Stellung mit zugeordneten Anschlägen.
Kennzeichnung der beiden Schaltstellungen durch 0 und I. PFHd (EN IEC 62061)
Wahrscheinlichkeit eines Gefahr bringenden Ausfalls pro Stunde PFHd.
3. Abschließbare AUS-Stellung.
4. Abdeckung der Anschlussklemmen gegen zufälliges Berühren. Positionsschalter (IEC 60947-5-1)
5. Mindestschaltvermögen von Lastschaltern AC-23, von Motorschaltern Hilfsstromschalter, bei dem das Betätigungssystem durch ein sich
AC-23. bewegendes Maschinenteil betätigt wird, wenn dieses Teil eine
vorbestimmte Stellung erreicht hat.
Niederspannungs-Schaltgeräte
Schaltgeräte für Stromkreise bis 1000 V Wechselspannung oder 1500 V Positionsschalter werden aufgrund ihrer Betätigungsart unterschieden:
Gleichspannung. • Mechanische Positionsschalter
Betätigung mittels direkten An- oder Überfahrens des Antriebskopfes
NOT-AUS (Ausschalten im Notfall) (IEC 60204-1) durch ein Maschinenteil. Für die Stellungsüberwachung von
Eine Handlung im Notfall, die dazu bestimmt ist, die Versorgung mit Schutzeinrichtungen an Arbeitsmaschinen werden Sicherheits-
elektrischer Energie zu einer ganzen oder zu einem Teil einer Installation Positionsschalter mit separatem Betätigungselement verwendet.
abzuschalten, wo ein Risiko für elektrischen Schlag oder ein anderes • Näherungsschalter
Risiko elektrischen Ursprungs besteht. Berührungslose Betätigung durch Einbringen eines Teils in den Über
wachungsbereich. Entsprechend ihrer Wirkungsweise werden sie in
induktive, kapazitive und optische Näherungsschalter unterteilt.
150 12/22 PU05907001Z-DE

Positionsschalter mit Sicherheitsfunktion • Fremdkörperschutz
Positionsschalter, der über zwangsöffnende Kontakte verfügt. Schutz des Betriebsmittels gegen Eindringen fester Fremdkörper
• Wasserschutz
Proof-Test (EN IEC 62061) Schutz des Betriebsmittels gegen Eindringen von Wasser. Der Grad,
Prüfung, die Fehler oder eine Verschlechterung in einem SRECS und seinen den ein Gehäuse an Schutz bietet, wird durch das IP-Kurzzeichen
Teilsystemen erkennen kann, sodass, falls notwendig, das → SRECS und (international protection) und zwei Ziffern angezeigt. Die erste Ziffer
seine Teilsysteme in einen „Wie-Neu-Zustand“ oder so nah wie praktisch steht hierbei für den Berührungs- und Fremdkörperschutz, die zweite für
möglich diesen Zustand entsprechend, wiederhergestellt werden können. den Wasserschutz.
Ein Proof-Test ist zur Bestätigung vorgesehen, dass das SRECS sich
Schutzeinrichtung (IEC 60204-1)
in einem Zustand befindet, der die festgelegte Sicherheitsintegrität
Eine → trennende Schutzeinrichtung oder Schutzeinrichtung, die als
Anhang
garantiert.
Sicherheitsmaßnahme angewandt wird, um Personen vor einer aktuellen
oder drohenden Gefahr zu schützen.
Querschluss
Schluss zwischen zwei Kanälen, bei mehrkanaliger Verdrahtung von
Trennende Schutzeinrichtung (EN ISO 12100)
Sicherheitsschaltgeräten.
Körperliche Sperre, die als Teil der Maschine ausgelegt ist, um Schutz zu
bieten.
Querschlusserkennung
Überwachung der Sicherheitssignale mit Hilfe eines Sicherheitsschalt Eine trennende Schutzeinrichtung kann
gerätes durch sofortiges oder zyklisches Testen der Kanäle. Bei einem
• allein wirken; in dem Fall ist sie nur dann wirksam, wenn sie bei einer
Querschluss schaltet das Gerät in einen sicheren Zustand.
beweglichen trennenden Schutzeinrichtung „geschlossen“ ist oder bei
einer feststehenden trennenden Schutzeinrichtung „sicher in Stellung
Redundanz (IEC 60204-1)
gehalten“ wird;
Anwendung von mehr als einem Gerät oder System oder Teil eines
• in Verbindung mit einer Verriegelungseinrichtung mit oder ohne
13.1
Gerätes oder Systems, um sicherzustellen, dass bei Fehlverhalten ein
Zuhaltung wirken; in diesem Fall wird der Schutz unabhängig von der
anderes verfügbar ist, diese Funktion auszuführen.
Stellung der trennenden Schutzeinrichtung sichergestellt.
Risiko (EN ISO 12100) Je nach konstruktiver Ausführung kann eine trennende Schutzeinrichtung
Kombination der Wahrscheinlichkeit des Eintritts eines Schadens und z. B. als Gehäuse, Schild, Abdeckung, Schirm, Tür, Verkleidung bezeichnet
seines Schadensausmaßes. werden.
Siehe EN ISO 12100-2
Risikobewertung (EN ISO 12100)
Auf der Risikoanalyse beruhende Beurteilung, ob die Ziele zur Risiko Zu den Arten von trennenden Schutzeinrichtungen und den zugehörigen
minderung erreicht wurden. Anforderungen siehe ISO 14120.
Rückführkreis Feststehende trennende Schutzeinrichtung

Der Rückführkreis dient der Überwachung nachgeschalteter, redundanter (EN ISO 12100)
Schütze mit zwangsgeführten Kontakten. In Reihe geschaltete Öffner von Trennende Schutzeinrichtung, die so befestigt ist (z. B. durch Schrauben,
beiden Schützen werden an den Rückführkreis der Sicherheitsschaltung Muttern, Schweißen), dass sie nur mit Hilfe von Werkzeugen oder durch
angeschlossen. Verschweißt ein Haupt- oder Freigabekontakt, ist Zerstörung der Befestigungsmittel geöffnet oder entfernt werden kann
kein e rneutes Aktivieren der Sicherheitsschaltung möglich. Die
Bewegliche trennende Schutzeinrichtung
Sicherheitsschaltung kann nur bei geschlossenem Rückführkreis
(EN ISO 12100)
eingeschaltet werden.
Trennende Schutzeinrichtung, die ohne Verwendung von Werkzeugen
Schaltgerät (IEC 60204-1) geöffnet werden kann.
Gerät zum Einschalten oder Ausschalten des Stromes in einem oder
Einstellbare trennende Schutzeinrichtung
mehreren Stromkreisen.
(EN ISO 12100)
Schlüsseltaster (IEC 60947-5-1) Feststehende oder bewegliche trennende Schutzeinrichtung, die entweder
Drucktaster, der nur betätigt werden kann, solange ein Schlüssel als Ganzes einstellbar ist oder ein oder mehrere einstellbare Teile enthält.
eingesteckt ist. Die Einstellung bleibt während des jeweiligen Arbeitsganges unverändert.
Schutzart Verriegelte trennende Schutzeinrichtung

Die Schutzart eines elektrischen Betriebsmittels oder eines Gehäuses gibt (EN ISO 12100)
Auskunft über den Umfang von: Trennende Schutzeinrichtung mit einer Verriegelungseinrichtung, damit
zusammen mit dem Steuersystem der Maschine die folgenden Funktionen
• Berührungsschutz ausgeführt werden:
Schutz von Personen gegen Berührung gefährlicher Teile
12/22 PU05907001Z-DE 151

Anhang
Glossar
• die mit der trennenden Schutzeinrichtung „abgesicherten“ Schutzmaßnahmen (IEC 60204-1)

gefährdenden Maschinenfunktionen können nicht ausgeführt werden, Sicherheitsmaßnahmen, die besondere technische Mittel,
bevor die trennende Schutzeinrichtung geschlossen ist; Schutzeinrichtungen genannt (trennende Schutzeinrichtungen,
• ein Stoppbefehl wird ausgelöst, wenn die trennende Schutzeinrichtung Sicherheitseinrichtungen), einsetzen, um Personen vor Gefahren zu
während gefährdender Maschinenfunktionen geöffnet wird; schützen, die nicht in angemessener Weise vermieden oder konstruktiv
• die mit der trennenden Schutzeinrichtung „abgesicherten“ nicht ausreichend begrenzt werden können.
gefährdenden Maschinenfunktionen können ausgeführt werden, sobald
die trennende Schutzeinrichtung geschlossen ist. Das Schließen der Technische Schutzmaßnahmen (EN ISO 12100)
trennenden Schutzeinrichtung löst nicht selbsttätig die gefährdenden Schutzmaßnahmen, bei denen Schutzeinrichtungen zur Anwendung
Maschinenfunktionen aus. kommen, um Personen vor Gefährdungen zu schützen, die durch inhärent
sichere Konstruktion nicht in angemessener Weise beseitigt werden
Anhang
Verriegelte trennende Schutzeinrichtung mit Zuhaltung können, oder vor Risiken zu schützen, die dadurch nicht ausreichend
(EN ISO 12100) vermindert werden können.
Trennende Schutzeinrichtung mit einer Verriegelungseinrichtung und einer
Zuhaltung, damit zusammen mit dem Steuersystem der Maschine die Schutztrennung
folgenden Funktionen ausgeführt werden: Schutzmaßnahme, bei der die Betriebsmittel vom speisenden Netz
galvanisch sicher getrennt (Trenntransformator, Motor-Generator) und
• die mit der trennenden Schutzeinrichtung „abgesicherten“
nicht geerdet sind.
gefährdenden Maschinenfunktionen können nicht ausgeführt werden,
bevor die trennende Schutzeinrichtung geschlossen und zugehalten ist;
Selbsthaltung
• die trennende Schutzeinrichtung bleibt geschlossen und zugehalten,
Schaltung, durch die sich ein Schütz nach impulsartiger Betätigung
bis das Risiko durch die mit der trennenden Schutzeinrichtung
in der „Angezogen-Position“ hält. Nach dem Zuschalten der
„abgesicherten“ gefährdenden Maschinenfunktionen nicht mehr
Betätigungsspannung über einen EIN-Taster wird dieser durch einen
vorliegt;
Hilfsstromschalter des Schützes überbrückt und so die Betätigungsspule
13.1
• die mit der trennenden Schutzeinrichtung „abgesicherten“

weiter an Spannung gehalten.
gefährdenden Maschinenfunktionen können ausgeführt werden, sobald
die trennende Schutzeinrichtung geschlossen und zugehalten ist. Das
SFF (EN IEC 62061)
Schließen und Zuhalten der trennenden Schutzeinrichtung löst nicht
Anteil sicherer Ausfälle SFF (en: Safe Failure Fraction)
selbsttätig die gefährdenden Maschinenfunktionen aus.
Anteil an der Gesamtausfallrate eines Teilsystems, der nicht zu einem
Trennende Schutzeinrichtung mit Startfunktion Gefahr bringenden Ausfall führt.
(EN ISO 12100)
Der Anteil sicherer Ausfälle (SFF) kann nach folgender Gleichung
Besondere Ausführung einer verriegelten trennenden Schutzeinrichtung,
berechnet werden:
die bei Erreichen ihrer Schließstellung einen Befehl zum Auslösen der
gefährdenden Maschinenfunktion(en) ohne Anwendung einer gesonderten (∑λS + ∑λdd) / (∑λS + ∑λd)
Anlaufsteuerung gibt.
λS Rate sicherer Ausfälle
EN ISO 12100: 2011 stellt detaillierte Festlegungen hinsichtlich des ∑λS + ∑λd Gesamtausfallrate
Anwendungsbereiches zur Verfügung.
λdd Rate Gefahr bringender Ausfälle, die durch die
Diagnosefunktionen erkannt werden.
Schutzkleinspannung (SELV)
(IEC 60364-4-41/VDE 0100 Teil 410) λd Rate Gefahr bringender Ausfälle.
Schutzmaßnahme, bei der Stromkreise mit Spannungen bis 50 V AC und Der Diagnosedeckungsgrad (soweit vorhanden) jedes Teilsystems
120 V DC ungeerdet betrieben werden und von Stromkreisen mit höherer des SRECS wird bei der Berechnung der Wahrscheinlichkeit zufälliger
Spannung galvanisch sicher getrennt sind. Schutzkleinspannung bietet im Hardwareausfälle berücksichtigt. Der Anteil sicherer Ausfälle wird bei der
Falle eines Isolationsfehlers Schutz vor zu hohen Berührungsspannungen Festlegung der strukturellen Einschränkungen der Sicherheitsintegrität der
durch direktes und indirektes Berühren. Hardware berücksichtigt.
Schutzleiter (IEC 60204-1) Sichere Trennung

Ein Leiter, der für einige Schutzmaßnahmen gegen gefährliche Körper Verstärkte oder doppelte Isolierung, die den Spannungsübertritt von einem
ströme erforderlich ist, um die elektrische Verbindung zu einem der Stromkreis in einen anderen mit Sicherheit verhindert. Anwendung findet
nachfolgenden Teile herzustellen: die Sichere Trennung vor allem zwischen Haupt- und Hilfsstromkreisen von
• Körper. Schaltgeräten sowie bei Sicherheits- und Trenntransformatoren.
• Fremde, leitfähige Teile.
• Haupterdungsklemme. Sicherheitsbezogenes Teil einer Steuerung
(EN ISO 13849-1) SRP/CS
Teil einer Steuerung, das auf sicherheitsbezogene Eingangssignale
152 12/22 PU05907001Z-DE

reagiert und sicherheitsbezogene Ausgangssignale erzeugt . Spannungseinbrüchen keine unerwünschten Schaltzustände auftreten.
Die Abfallspannung darf aber nicht zu niedrig liegen, da bei langen
Die Kombination sicherheitsbezogener Teile einer Steuerung beginnt
Steuerleitungen aufgrund der Leitungskapazität der Haltestrom auch
an dem Punkt, an dem sicherheitsbezogene Signale erzeugt werden
noch nach Öffnen des Steuerkontaktes weiter fließen kann und somit das
(einschließlich z. B. Betätiger und Rolle eines Positionsschalters) und
Abfallen zumindest verzögert wird.
endet an den Ausgängen der Leistungssteuerungselemente (einschließlich
z. B. Hauptkontakte eines Schützes).
SRCF
Werden Überwachungssysteme zur Diagnose verwendet, werden sie wie Sicherheitsbezogene Steuerungsfunktion.
SRP/CS behandelt.
SRECS
Sicherheitsmaßnahme/Sicherheitsfunktion (IEC 60204-1) Sicherheitsbezogenes elektrisches Steuerungssystem.
Anhang
Mittel, das eine Gefahr beseitigt oder vermindert.
SRP/CS
Sicherheits-Positionsschalter → Sicherheitsbezogenes Teil einer Steuerung – (EN ISO 13849-1)
Positionsschalter, der über ein separates Betätigungselement verfügt,
das durch eine mechanische Codierung die Betätigung überlistungssicher Steuerstromkreis einer Maschine (IEC 60204-1)
macht. Sicherheits-Positionsschalter werden zur Stellungsüberwachung Stromkreis, der für die betriebliche Steuerung einer Maschine und zum
von Schutzabdeckungen wie Türen, Klappen und Hauben eingesetzt. Schutz der Hauptstromkreise benutzt wird.
Sicherheitsschalter Stillsetzen im Notfall (EN ISO13850)

Gekapselter Hauptschalter in unmittelbarer Nähe eines Antriebes Funktion, die aufkommende Gefährdungen für Personen, Schäden an der
oder Verbrauchers, zum Freischalten während Wartungs- und Maschine oder zu laufenden Arbeiten abwenden oder bereits bestehende
Reparaturarbeiten. Ein Sicherheitsschalter ist vor allem dann erforderlich, mindern soll;
wenn die Zugehörigkeit von Hauptschalter und Verbraucher nicht
13.1
• durch eine einzige Handlung einer Person auszulösen ist
eindeutig ist oder der Hauptschalter nicht abgeschaltet werden soll.
Durch Einhängen seines Bügelschlosses kann sich jeder Mitarbeiter davor
Stillsetzen, gesteuertes (IEC 60204-1)
schützen, dass ein anderer unbefugt einschaltet.
Das Stillsetzen einer Maschinenbewegung durch Zurücksetzen des
Befehlssignals auf 0, sobald das Signal von der Steuerung erkannt worden
Sicherheitstransformator
ist. Die Speisespannungen für die erforderlichen Maschinen-Stellglieder
Trenntransformator mit einer Ausgangsspannung Φ 50 V.
bleiben während des Stillsetzungsvorganges erhalten.
Sicherheitstransformatoren finden Einsatz in Anlagen mit
Schutzkleinspannung (SELV).
Stillsetzen, ungesteuertes (IEC 60204-1)
Das Stillsetzen einer Maschinenbewegung durch Abschalten der
SIL, Safety Integrity Level (Sicherheitsintegritätslevel)
Energiezufuhr für die Maschinenantriebe, Betätigen aller Bremsen oder
(EN ISO 13849-1)
anderer mechanischer Stillsetzeinrichtungen.
Diskrete Stufe (eine von vier möglichen) zur Spezifizierung
der Sicherheitsintegrität der Sicherheitsfunktionen, die dem
STOPP – Kategorie 0 (IEC 60204-1)
elektrischen, elektronischen und programmierbaren elektronischen
Stillsetzen durch sofortiges Ausschalten der Energiezufuhr zu den
sicherheitsbezogenen System zugeordnet werden, wobei
Maschinenantrieben (d. h. ein ungesteuertes Stillsetzen).
der Sicherheitsintegritätslevel 4 die höchste Stufe und der
Sicherheitsintegritätslevel 1 die niedrigste ist. STOPP – Kategorie 1 (IEC 60204-1)
Ein gesteuertes Stillsetzen, wobei die Energiezufuhr zu den
SIL CL – SIL claim limit (SIL-Anspruchsgrenze) (EN IEC 62061)
Maschinenantrieben beibehalten wird, um das Stillsetzen zu erzielen, und
SIL-Anspruchsgrenze für ein Teilsystem SIL CL
die Energiezufuhr erst dann unterbrochen wird, wenn der Stillstand erreicht
Maximaler SIL, der für ein SRECS-Teilsystem in Bezug auf strukturelle ist.
Einschränkungen und systematische Sicherheitsintegrität beansprucht
werden kann. STOPP – Kategorie 2 (IEC 60204-1)
Ein gesteuertes Stillsetzen, bei dem die Energiezufuhr zu den
Spannungssicherheit Maschinenantrieben erhalten bleibt.
Begriff für die Betriebssicherheit eines Magnetantriebes in Bezug auf die
Grenzwerte der angelegten Betätigungsspannung. Strom, unbeeinflusster (IEC 60947-1)
Strom, der in einem Stromkreis fließen würde, wenn alle Pole des
Ein Schütz gilt als spannungssicher, wenn es beim Anlegen der kleinsten Schaltgerätes oder der Sicherung durch Leiter mit vernachlässigbarer
zulässigen Betätigungsspannung ohne Zwischenzustand einschaltet Impedanz ersetzt wären.
(Anzugsspannung = Durchzugsspannung). Für das Abschalten ist ein
verhältnismäßig niedriger Spannungswert erforderlich, damit bei
12/22 PU05907001Z-DE 153

Anhang
Glossar
Strom/Zeit-Kennlinie 2. Ein NOT-AUS-Schaltgerät ist überlistungssicher, wenn ein ausgeführter

Grafisches Abbild des Zusammenhangs zwischen dem durch einen Auslösevorgang nicht ohne Hilfsmittel oder vorgeschriebene Prozeduren
Überstromauslöser oder eine Sicherung fließenden Überstrom rückgängig gemacht werden kann. Das Schaltgerät verrastet in
und der Zeitspanne bis zur Auslösung. Die Linie wird in einem der Ausgelöststellung. Die zufällige oder gewollte Manipulation
doppellogarithmischen Raster dargestellt, mit der Zeit auf der (Tippbetrieb) ist ausgeschlossen.
senkrechten und dem Vielfachen des Stromeinstellwertes bzw. des
Bemessungsstromes auf der horizontalen Achse (normierte Darstellung). Unterspannungsauslöser (IEC 60947-1)
Auslöser, der das Öffnen oder Schließen eines mechanischen
Strukturelle Einschränkung (EN IEC 62061) Schaltgerätes verzögert oder unverzögert freigibt, wenn die Spannung an
Anzahl von strukturellen Anforderungen, die den SIL einschränken, der für den A
nschlüssen des Auslösers unter einen vorgegebenen Wert sinkt.
ein Teilsystem geltend gemacht werden kann.
Anhang
Unterspannungsauslöser finden Anwendung in NOT-AUS-Einrichtungen,

als Wiederanlaufsperre nach einem Spannungsausfall und in elektrischen
Synchrone Betätigung (EN ISO 13581)
Verriegelungen.
Ein besonderer Fall von gleichzeitiger Betätigung, wobei der zeitliche
Versatz zwischen dem Beginn eines Eingangssignals und dem Beginn des
Überbrückungsfunktion (engl. muting) (IEC 61496-1)
anderen kleiner oder gleich 0,5 Sekunden ist.
Vorübergehende automatische Überbrückung einer Sicherheitsfunktion
bzw. von Sicherheitsfunktionen durch sicherheitsbezogene Teile des
Trennfunktion (IEC 60947-1)
Steuerungssystems.
Trennfunktion haben Schaltgeräte, deren Schaltkontakte im geöffneten
Zustand die vorgeschriebene Öffnungsstrecke (Trennstrecke) zum Trennen
Verriegelungseinrichtung/Verriegelung
von Stromkreisen erreichen. Die gesamte Anlage oder das Anlagenteil
(EN ISO 12100)
kann so aus Sicherheitsgründen, z. B. während einer Wartung, von der
Mechanische, elektrische oder sonstige Art einer Einrichtung, die den
Energiezufuhr abgetrennt werden.
Zweck hat, die Ausführung von gefährdenden Maschinenfunktionen unter
13.1
festgelegten Bedingungen zu verhindern (im Allgemeinen so lange, wie

Typ-A-Normen (EN ISO 12100)
die trennende Schutzeinrichtung nicht geschlossen ist).
Diese Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe,
Gestaltungsleitsätze und allgemeine Aspekte, die auf Maschinen
Wartungsschalter
angewandt werden können.
Sicherheitsschalter zum Freischalten von elektrischen Antrieben während
Wartungsarbeiten.
Typ-B-Normen (EN ISO 12100)
Diese Normen (Sicherheitsfachgrundnormen) behandeln einen
Zugangsebene (Bedienebene) (IEC 60204-1)
Sicherheitsaspekt oder eine Art von Schutzeinrichtungen, die für eine
Ebene, auf der Personen üblicherweise während der Bedienung und den
ganze Reihe von Maschinen verwendet werden können:
Instandhaltungsarbeiten an der elektrischen Ausrüstung stehen.
• Typ-B1-Normen für bestimmte Sicherheitsaspekte (z. B. Sicherheits
abstände, Oberflächentemperatur, Lärm); Zugangs- bzw. Zugriffszeit (Zeit für den Zugang bzw. Zugriff zum
• Typ-B2-Normen für Schutzeinrichtungen (z. B. Zweihandschaltungen, Gefahrenbereich) (ISO 14119)
Verriegelungseinrichtungen, druckempfindliche Schutzeinrichtungen, Die benötigte Zeit für den Zugriff bzw. Zugang zu den gefährdenden
trennende Schutzeinrichtungen). Maschinenteilen nach Auslösen des Anhaltebefehls durch
die Verriegelungseinrichtung, berechnet auf der Basis einer
Typ-C-Normen (EN ISO 12100) Annäherungsgeschwindigkeit, deren Wert für den Einzelfall gewählt
Diese Normen (Maschinensicherheitsnormen) behandeln detaillierte werden kann, unter Berücksichtigung der Parameter in EN ISO 13855
Sicherheitsanforderungen an eine bestimmte Maschine oder Gruppe von „Sicherheit von Maschinen – Anordnung von Schutzeinrichtungen im
Maschinen. Hinblick auf Annäherungsgeschwindigkeiten von Körperteilen“.
T2 (EN IEC 62061) Zuordnungsart (IEC 60947-4-1)

Diagnose Testintervall Zustand einer Schaltgerätekombination (Motorstarter) während und nach
der Prüfung mit dem bedingten Bemessungskurzschlussstrom:
Überlistungssicher
• Zuordnungsart 1:
1. Kurzbegriff für die Anforderung der Berufsgenossenschaften
– Keine Gefährdung von Personen und Anlagen.
zur Manipulationssicherheit an Positionsschaltern mit
Personenschutzfunktion: „Es darf keine gefährliche Bewegung – Keine sofortige Betriebsbereitschaft notwendig.
des Werkzeuges (der Arbeitsmaschine) durch Umgehen der Beschädigungen am Starter sind zulässig.
Schutzeinrichtung (Schutzabdeckung) eingeleitet werden, z. B. durch
Betätigen des Grenztasters (Positionsschalters) oder durch Eingriff mit • Zuordnungsart 2:
einfachen Hilfsmitteln wie Schraubendrehern, Bolzen, Drahtstücken.“ – Keine Gefährdung von Personen und Anlagen.
154 12/22 PU05907001Z-DE

– Starter ist für den weiteren Betrieb geeignet. Eaton stellt Ihnen die Kennwerte aller sicherheitsrelevanten Komponenten
– Keine Beschädigung am Starter mit Ausnahme eines leichten auf der folgenden Webseite zur Verfügung:
Verschweißen der Schaltkontakte, wenn diese ohne nennenswerte http://www.eaton.de/EatonDE/ProdukteundLoesungen/Electrical/
Verformung leicht zu trennen sind. SafetyManagement/Maschinenbau/Sicherheits%C2%ADkenngroben/
→ Bemessungskurzschlussstrom, bedingter. index.htm
Zwangsgeführte Kontaktelemente (IEC 60947-5-1 Anhang K)

Kombination von n Schließer- und m Öffner-Kontaktelementen, die
mechanisch so miteinander verbunden sind, dass sie nicht gleichzeitig
geschlossen sein können.
Anhang
Zwangsläufigkeit (IEC 60947-5-1)
Zwangsläufigkeit bezeichnet eine Verbindung zwischen Bedienteil und
Schaltglied, die bewirkt, dass die auf das Bedienteil ausgeübte Kraft
direkt (ohne federnde Teile) auf das Schaltglied übertragen wird.
Zwangsöffnung (IEC 60947-1)

Öffnungsbewegung, die sicherstellt, dass die Hauptkontakte eines
Schaltgerätes die Offenstellung erreicht haben, wenn das Bedienteil
in AUS-Stellung steht.
Zwangsöffnungskraft (IEC 60947-5-1)

Betätigungskraft oder Betätigungsmoment (eines Drehschalters), die am
13.1
Bedienteil erforderlich ist, um die Zwangsöffnung zu erreichen.
Zwangsöffnungsweg (IEC 60947-5-1)

Mindestweg vom Beginn der Betätigung des Bedienteils bis zur Stellung,
in der die Zwangsöffnung der öffnenden Kontakte beendet ist.
Zweihandschaltung (EN ISO 13581)

Eine Einrichtung, die mindestens die gleichzeitige Betätigung durch
beide Hände erfordert, um den Betrieb einer Maschine einzuleiten und
aufrechtzuerhalten, solange eine Gefährdung besteht, um auf diese Weise
eine Maßnahme zum Schutz nur der betätigenden Person zu erreichen.
Zweihandschaltung, ortsveränderliche (EN ISO 13581)

Ein bewegliches Gerät, das in mehr als einer bestimmbaren Position
in Bezug auf den Gefahrenbereich der von ihm gesteuerten Maschine
verwendet werden kann.
12/22 PU05907001Z-DE 155

Anhang
Glossar
Übersicht der Sicherheitstechnischen Kenngrößen für Eaton-

Komponenten nach EN ISO 13849-1 und IEC 62061
SRP/CS Werte gemäß EN ISO 13849-1 Werte gemäß IEC 62061

Eaton-Typ B10d MTTFd PL B10 PFHd SIL
[Schaltzyklen] [Jahre] [Schaltzyklen] CL
NOT-AUS-Taster, drehentriegelt M22-PVT..
Öffner 2.000.000* 1.000.000
Schließer 2.000.000* 1.000.000
NOT-AUS-Taste, zugentriegelt M22-PV..
Einleitung
Öffner 2.000.000* 1.000.000

SMC-Kontakt 2.000.000* 1.000.000
NOT-AUS-Tasten, drehentriegelt mit MPI (Schaltstellung) M22-PVT..-MPI
Öffner 900.000* 450.000
Schließer 900.000* 450.000
Drucktasten, Pilzdrucktasten M22(S)-D..
Öffner 3.000.000* 1.500.000
Schließer 3.000.000* 1.500.000
* Bei Anwendung der Anmerkung 1 zur Tabelle C.1. der DIN EN ISO 13849-1: 2008 + AC: 2009 „B10d wird angenommen als zweimal B10“
Input
RMQ-Titan AS-Interface
M22-ASI-S, M22-ASI-CS 1390 PL e 1.7 x 10-11 3
Positionsschalter
LS-11 1 Schließer 1.000.000 500.000
13.1
1 Öffner 20.000.000 4.000.000

LS-02 2 Öffner 20.000.000 4.000.000
Positionsschalter mit Zuhaltung
LS-S02-24DFT-ZBZ/X 2.000.000 400.000
Pilzdrucktaster (22 mm) eingebaut in Zweihandbedienpult
M22-DP-Y + M22-AK11 2.000.000 1.000.000
Betriebsartenwahlschalter
T0-2-8241/E 2.000.000 400.000
Sicherheitsgerichtetes Steuerrelais Safety (weitergehende Informationen siehe MN05013001Z-DE)
ES4P-... bis zu 3
Transistor- HFT 0 315 PL e 2.52 x 10-9
Ausgang HFT 1 315 6.57 x 10-10
Relais- HFT 0 1 / (K1 + K2 x c)1) K1 + K2 x c2)
Ausgang HFT 1 1 / (K1 + K2 x c)1) K1 + K2 x c2 +
K3 x c3)
Sicherheitsrelais ESR54)
Logik
ESR5-NO-41-24VAC-DC PL c 4,05 x 10-10 1

ESR5-VE3-42 PL d 13,5 x 10-10 3
ESR5-NO-21-24VAC-DC bis zu 5,05 x 10-10
ESR5-NO-31-24VAC-DC PL e 5,05 x 10-10
ESR5-NZ-21-24VAC-DC 12,1 x 10-10
ESR5-NO-31-AC-DC 1,26 x 10-10
ESR5-NO-31-UC 10 x 10-10
ESR5-NO-31-230VAC 1,89 x 10-105,70
ESR5-NOS-31-230VAC PL c 2,42 x 10-10 1
ESR5-NV3-30 PL e 18 x 10-10 3
ESR5-NV3-300 3,60 x 10-10
ESR5-NE-51-24VAC-DC 1,02 x 10-10
ESR5-BWS-31-24VAC-DC 5,56 x 10-10
156 12/22 PU05907001Z-DE

SRP/CS Werte gemäß EN ISO 13849-1 Werte gemäß IEC 62061
Eaton-Typ B10d MTTFd PL B10 PFHd SIL
[Schaltzyklen] [Jahre] [Schaltzyklen] CL
Schützüberwachungsrelais
CMD 125
Sicherheitsschütze (DILMS...), Leistungsschütze
DILEEM/XTMC6A, DILEM/XTMC9A 869.480 652.110
Einleitung
DILMS7/ XTSE007B, DILMS9/ XTSE009B, 1.782.229 1.336.672
DILMS12/ XTSE012B, DILM7/XTCE007B,
DILM9/XTCE009B, DILM12/XTCE012B,
DILMS17/ XTSE018C, DILMS25/ XTSE025C, 966.617 724.963
DILMS32/ XTSE032C, DILM17/XTCE018C,
DILM25/XTCE025C, DILM32/XTCE032C,
DILMS40/ XTSE040D, DILMS50/ XTSE050D, 1.341.161 1.005.871
DILMS65/ XTSE065D, DILM40/XTCE040D,
DILM50/XTCE050D, DILM65/XTCE065D,
DILMS80/ XTSE080F, DILMS95/ XTSE095F 1.058.707 772.856
DILM80/ XTCE080F, DILM95/ XTCE095F
DILMS115/ XTSE115G, DILMS150/ XTSE150G 1.705.268 1.278.951
Output
DILM115/XTCE115G, DILM150/XTCE150G
Leistungsschalter mit Unterspannungsauslöser
13.1
NZM1 10.000 2.000
NZM2
NZM3 7.500 1.500
Frequenzumrichter
DC1 4,525 PL d 12,3 x 10-10 2
DA1
Motorschutzrelais
ZE 61 PL c 1
ZB12/32 68
ZB65 68
ZB150 67
Z5 67
ZW7 65
1)
K1 = 1.7 x 10-3, K2 = 1.2 x 10-3, c = Schaltzyklen pro Stunde
2)
K1 = 1.3 x 10-9, K2 = 1.3 x 10-8, c = Schaltzyklen pro Stunde
3)
K1 = 6.4 x 10-10, K2 = 2.6 x 10-11, K3 = 3.2 x 10-10, c = Schaltzyklen pro Stunde
4)
8766 Schaltzyklen pro Jahr
SRP/CS Safety-Related Parts of Control System (Sicherheitsbezogene Teile von Steuerungen)

MTTFd Mean Time To Failure dangerous (mittlere Zeit bis zum gefahrbringenden Ausfall)
B10d Anzahl der Schaltzyklen bis 10 % der getesteten Geräte gefährlich ausgefallen sind.
B10 Anzahl der Schaltzyklen bis 10 % der getesteten Geräte ausgefallen sind.
PFHd Probability of dangerous failure per hour (Wahrscheinlichkeit des gefahrbringenden Versagens pro Stunde)
SILCL Safety Integrity Level Claim Limit (Sicherheits-Integritätslevel Anspruchsgrenze/Eignung)
PL Performance Level (Leistungsgrad)
HFT Hardwarefehlertoleranz
Abgebildeter Stand: 12/2017
Den aktuellsten Stand der Tabelle finden Sie immer hier: Sicherheitskenngrößen
12/22 PU05907001Z-DE 157

Anhang
13.2 Sicherheitsintegrität für Schaltungen der Kapitel 1 bis 6 im Überblick
„Gefährliche“ Maschinen und Sicherheitsbauteile 6. Mehrspindel-Zapfenfräsmaschinen mit Handvorschub für die

nach Anhang IV und Anhang V der Holzbearbeitung.
Maschinenrichtlinie 2006/42/EG (Anhang I in der 7. Senkrechte Tischfräsmaschinen mit Handvorschub für die
zukünftigen der EU Maschinenverordnung) Bearbeitung von Holz und von Werkstoffen mit ähnlichen
physikalischen Eigenschaften.
Kategorien von Maschinen, für die eines der Verfahren nach Artikel
12 Absätze 3 und 4 anzuwenden ist. 8. Handkettensägen für die Holzbearbeitung.
1. Folgende Arten von Einblatt- und Mehrblatt-Kreissägen zum 9. Pressen, einschließlich Biegepressen, für die Kaltbearbeitung von
Bearbeiten von Holz und von Werkstoffen mit ähnlichen Metall mit Handbeschickung und/oder Handentnahme, deren beim
physikalischen Eigenschaften oder zum Bearbeiten von Fleisch und Arbeitsvorgang bewegliche Teile einen Hub von mehr als 6 mm
Anhang
von Stoffen mit ähnlichen physikalischen Eigenschaften: und eine Geschwindigkeit von mehr als 30 mm/s haben können.
1.1 Sägemaschinen mit während des Arbeitsvorgangs feststehendem 10. Kunststoffspritzgieß- und -formpressmaschinen mit Hand
Sägeblatt, mit feststehendem Arbeitstisch oder Werkstückhalter, beschickung oder Handentnahme.
mit Vorschub des Sägeguts von Hand oder durch einen 11. Gummispritzgieß- und -formpressmaschinen mit Handbeschickung
abnehmbaren Vorschubapparat; oder Handentnahme.
1.2 Sägemaschinen mit während des Arbeitsvorgangs feststehendem
Sägeblatt, mit manuell betätigtem Pendelbock oder -schlitten; 12. Folgende Maschinenarten für den Einsatz unter Tage:
1.3 Sägemaschinen mit während des Arbeitsvorgangs feststehendem 12.1 Lokomotiven und Bremswagen;
Sägeblatt, mit eingebauter mechanischer Vorschubeinrichtung für 12.2 hydraulischer Schreitausbau.
das Sägegut und Handbeschickung und/oder Handentnahme;
1.4 Sägemaschinen mit während des Arbeitsvorgangs beweglichem 13. Hausmüllsammelwagen für manuelle Beschickung mit
Sägeblatt, mit eingebauter mechanischer Vorschubeinrichtung für Pressvorrichtung.
13.2
das Sägeblatt und Handbeschickung und/oder Handentnahme. 14. Abnehmbare Gelenkwellen einschließlich ihrer Schutzein-
2. Abrichthobelmaschinen mit Handvorschub für die Holzbearbeitung. richtungen
3. Hobelmaschinen für einseitige Bearbeitung von Holz, mit 15. Schutzeinrichtungen für abnehmbare Gelenkwellen.
eingebauter maschineller Vorschubeinrichtung und Handbeschickung 16. Hebebühnen für Fahrzeuge.
und/oder Handentnahme.
17. Maschinen zum Heben von Personen oder von Personen
4. Folgende Arten von Bandsägen mit Handbeschickung und/oder und Gütern, bei denen die Gefährdung eines Absturzes
Handentnahme zur Bearbeitung von Holz und von Werkstoffen mit aus einer Höhe von mehr als 3 m besteht.
ähnlichen physikalischen Eigenschaften oder von Fleisch und von
Stoffen mit ähnlichen physikalischen Eigenschaften: 18. Tragbare Befestigungsgeräte mit Treibladung und andere
Schussgeräte.
4.1 Sägemaschinen mit während des Arbeitsvorgangs feststehendem
Sägeblatt und feststehendem oder hin- und herbeweglichen 19. Schutzeinrichtungen zur Personendetektion.
Arbeitstisch oder Werkstückhalter; 20. Kraftbetriebene, bewegliche trennende Schutzeinrichtun
4.2 Sägemaschinen, deren Sägeblatt auf einem hin- und gen mit Verriegelung für die in den Nummern 9, 10 und 11
herbeweglichen Schlitten montiert ist. genannten Maschinen.
5. Kombinationen der in den Nummern 1 bis 4 und in Nummer 7
21. Logikeinheiten für Sicherheitsfunktionen.
genannten Maschinen für die Bearbeitung von Holz und von
Werkstoffen mit ähnlichen physikalischen Eigenschaften. 22. Überrollschutzaufbau (ROPS).
23. Schutzaufbau gegen herabfallende Gegenstände (FOPS).
158 12/22 PU05907001Z-DE

Nicht erschöpfende Liste der Sicherheitsbauteile im Sinne des
Artikels 2 Buchstabe c
1.
Schutzeinrichtungen für abnehmbare Gelenkwellen.
2.
Schutzeinrichtungen zur Personendetektion.
3.
Kraftbetriebene bewegliche trennende Schutzeinrichtungen mit
Verriegelung für die in Anhang IV Nummern 9, 10 und 11 genannten
Maschinen.
4.
Logikeinheiten zur Gewährleistung der Sicherheitsfunktionen.
Anhang
5.
Ventile mit zusätzlicher Ausfallerkennung für die Steuerung gefähr
licher Maschinenbewegungen.
6.
Systeme zur Beseitigung von Emissionen von Maschinen.
7.
Trennende und nichttrennende Schutzeinrichtungen zum Schutz
von Personen vor beweglichen Teilen, die direkt am Arbeitsprozess
beteiligt sind.
8.
Einrichtungen zur Überlastsicherung und Bewegungsbegrenzung bei
Hebezeugen.
9.
Personen-Rückhalteeinrichtungen für Sitze.
10. NOT-HALT-Befehlsgeräte.
13.2
11. Ableitungssysteme, die eine potenziell gefährliche elektrostatische
Aufladung verhindern.
12. Energiebegrenzer und Entlastungseinrichtungen gemäß Anhang I
Nummern 1.5.7, 3.4.7 und 4.1.2.6.
13. Systeme und Einrichtungen zur Verminderung von Lärm- und
Vibrationsemissionen.
14. Überrollschutzaufbau (ROPS).
15. Schutzaufbau gegen herabfallende Gegenstände (FOPS).
16. Zweihandschaltungen.
17. Die in der folgenden Auflistung enthaltenen Bauteile von Maschinen
für die Auf- und/oder Abwärtsbeförderung von Personen zwischen
unterschiedlichen Ebenen:
a) Verriegelungseinrichtungen für Fahrschachttüren;
b) Fangvorrichtungen, die einen Absturz oder unkontrollierte
Aufwärtsbewegungen des Lastträgers verhindern;
c) Geschwindigkeitsbegrenzer;
d) energiespeichernde Puffer
– mit nichtlinearer Kennlinie oder
– mit Rücklaufdämpfung;
e) energieverzehrende Puffer;
f) Sicherheitseinrichtungen an Zylindern der Hydraulikhauptkreise,
wenn sie als Fangvorrichtungen verwendet werden;
g) Elektrische Sicherheitseinrichtungen in Form von Sicherheits
schaltungen mit elektronischen Bauelementen.
12/22 PU05907001Z-DE 159

Anhang
13.3 Maschinen und Sicherheitsbauteile nach der Maschinen-Richtlinie
Interpretationspapier des BMAS und der Länder zum Thema lediglich Signale verknüpft werden, auf dessen Verarbeitung die
„Wesentliche Veränderung von Maschinen“ vorhandene Sicherheitssteuerung bereits ausgelegt ist oder dass
Bek. des BMAS vom 9. April 2015 Produktsicherheitsgesetz / 9. unabhängig von der vorhandenen Sicherheitssteuerung ausschließlich das
ProdSV (in zukünftiger EU Maschinenverordnung wird der Begriff sichere Stillsetzen der gefahrbringenden Maschinenfunktion bewirkt wird.
„wesentliche Veränderung“ in die Definitionen mit aufgenommen)
Der Austausch von Bauteilen der Maschine durch identische Bauteile
Dieses Interpretationspapier ist die überarbeitete, an das neue
oder Bauteile mit identischer Funktion und identischem Sicherheitsniveau
Produktsicherheitsgesetz1 (ProdSG) und die neuesten Erkenntnisse
sowie der Einbau von Schutzeinrichtungen, die zu einer Erhöhung des
der Risikobeurteilung angepasste Fassung des Interpretationspapiers
Sicherheitsniveaus der Maschine führen und die darüber hinaus keine
des BMA und der Länder zum Thema „Wesentliche Veränderung von
zusätzlichen Funktionen ermöglichen, werden nicht als wesentliche
Maschinen“, Bekanntmachung des BMA vom 7. September 2000 – IIIc3-
Veränderung angesehen.
39607-3 – Bundesarbeits-blatt 11/2000 S. 35.
Anhang
Das ProdSG regelt die Bereitstellung von Produkten auf dem Markt. Hinweis:
Zu diesen Produkten zählen auch Maschinen. Welche Anforderungen Unabhängig davon kann sich aber aus anderen Rechtsvorschriften für den
Maschinen erfüllen müssen, wenn sie auf dem Markt bereitgestellt Arbeitgeber, der die Maschine seinen Beschäftigten als Arbeitsmittel zur
werden, ergibt sich aus dem ProdSG in Verbindung mit der Neunten Verfügung stellt, die Pflicht zur Festlegung zusätzlicher Schutzmaßnahmen
Verordnung zum ProdSG (Maschinenverordnung – 9. ProdSV). Mit der 9. ergeben.
ProdSV und dem ProdSG ist die einschlägige europäische Rechtsvorschrift
Grundsätzlich muss nach allen Änderungen an Maschinen – nicht nur
für Maschinen, die MRL, in nationales Recht umgesetzt.
nach wesentlichen Veränderungen – eine Gefährdungsbeurteilung
Jede Veränderung an einer Maschine, unabhängig ob gebraucht oder nach § 3 der Betriebssicherheitsverordnung 9 durchgeführt werden.
neu, die den Schutz der Rechtsgüter des ProdSG beeinträchtigen kann, Diese zählt zu den betrieblichen Arbeitsschutzpflichten des Verwenders
z. B. durch Leistungserhöhungen, Funktionsänderungen, Änderung der einer Maschine bzw. Anlage als Arbeitsmittel. Aufgrund der
bestimmungsgemäßen Verwendung, ist zunächst im Hinblick auf ihre Gefährdungsbeurteilung können Maßnahmen, insbesondere technische
sicherheitsrelevanten Auswirkung zu untersuchen. Dies bedeutet, es Maßnahmen, notwendig werden, um den Beschäftigten ein sicheres
13.3
ist in jedem Einzelfall zu ermitteln, ob sich durch die Veränderung der Arbeitsmittel zur Verfügung zu stellen.
(gebrauchten) Maschine neue Gefährdungen ergeben haben oder ob sich
Es ist zu prüfen, ob eine Anpassung der Informationen zum sicheren
ein bereits vorhandenes Risiko erhöht hat.
Betrieb der Maschinen, wie z. B. Betriebsanweisung, erforderlich ist.
Hier kann man zunächst von drei Fallgestaltungen ausgehen:
Schlussfolgerung:
1. Es liegt keine neue Gefährdung bzw. keine Risikoerhöhung vor, so dass
Veränderungen an einer Maschine/Gesamtheit von Maschinen können
die Maschine nach wie vor als sicher angesehen werden kann.
folgende Auswirkungen haben:
2. Es liegt zwar eine neue Gefährdung bzw. eine Risikoerhöhung vor, die
vorhandenen Schutzmaßnahmen der Maschine vor der Veränderung 1. Die Maschine ist auch nach der Veränderung ohne zusätzliche
sind aber hierfür ausreichend, sodass die Maschine nach wie vor als Schutzmaßnahmen sicher.
sicher angesehen werden kann. → Es liegt keine wesentliche Veränderung vor.
3. Es liegt eine neue Gefährdung bzw. eine Risikoerhöhung vor und die 2. Die Maschine ist nach der Veränderung ohne zusätzliche
vorhandenen Schutzmaßnahmen sind hierfür nicht ausreichend. Schutzmaßnahmen nicht mehr sicher. Die neue Gefährdung oder das
erhöhte Risiko können durch einfache Schutzeinrichtungen beseitigt
Bei veränderten Maschinen, die unter die Fallgestaltung 1 oder 2 fallen,
oder zumindest hinreichend minimiert werden.
sind zusätzliche Schutzmaßnahmen nicht erforderlich. Veränderte
→ Es liegt keine wesentliche Veränderung vor.
Maschinen, die unter die Fallgestaltung 3 fallen, sind dagegen durch
eine Risikobeurteilung hinsichtlich der Feststellung ob eine wesentliche 3. Die Maschine ist nach der Veränderung ohne zusätzliche
Veränderung vorliegt, weiter zu untersuchen. Schutzmaßnahmen nicht mehr sicher und eine ausreichende
Risikominderung kann nicht durch einfache Schutzeinrichtungen
Dabei ist zunächst festzustellen, ob es möglich ist, die Maschine mit
erreicht werden.
einfachen Schutzeinrichtungen wieder in einen sicheren Zustand –
→ Es liegt eine wesentliche Veränderung vor.
d.h. das Risiko wird gegenüber dem ursprünglich sicheren Zustand
nicht erhöht – zu bringen. Ist dies der Fall, kann die Veränderung im
Allgemeinen als nicht wesentlich angesehen werden. Andernfalls ist eine
weitergehende Einschätzung des Risikos vorzunehmen.
Unter einer einfachen Schutzeinrichtung im vorgen. Sinne kann z. B.
eine feststehende trennende Schutzeinrichtung verstanden werden.
Als einfache Schutzeinrichtungen gelten auch bewegliche trennende
Schutzeinrichtungen und nicht trennende Schutzeinrichtungen, die
nicht erheblich in die bestehende sicherheitstechnische Steuerung der
Maschine eingreifen. Das bedeutet, dass durch diese Schutzeinrichtungen
160 12/22 PU05907001Z-DE

Wesentlich veränderte Maschinen
Veränderung Die wesentlich veränderte Maschine wird wie eine neue Maschine
behandelt. Die Bestimmungen des ProdSG und der 9. ProdSV sind
in Gänze anzuwenden. Das bedeutet, dass die Person, die für die
wesentliche Veränderung verantwortlich ist, zum Hersteller wird
Liegt die Erhöhung eines und damit die Herstellerpflichten gemäß ProdSG und 9. ProdSV zu
Liegt eine neue Gefährdung vor?
vorhandenen Risikos vor?
nein nein erfüllen hat. Danach hat der Hersteller sicherzustellen, dass die
wesentlich veränderte Maschine den grundlegenden Sicherheits- und
ja ja
Gesundheitsschutzanforderungen gemäß Anhang I der MRL entspricht.
Er führt für die wesentlich veränderte Maschine das entsprechende
Konformitätsbewertungsverfahren durch und erstellt insbesondere
Anhang
Führt die neue Gefährdung die vorgeschriebenen technischen Unterlagen, mit denen er die
zu einem Risiko? nein
Durchführung des Konformitätsbewertungsverfahrens nachweisen kann.
ja Weiterhin stellt der Hersteller die Betriebsanleitung zur Verfügung und
keine wesentliche
versieht erforderlichenfalls die wesentlich veränderte Maschine mit
Veränderung
Warnhinweisen für die Restrisiken, die aufgrund des Standes der Technik
mit technischen Schutzmaßnahmen nicht weiter minimiert werden
Sind die vorhandenen Schutz-
maßnahmen ausreichend? ja können. Abschließend stellt der Hersteller die EG-Konformitätserklärung
aus, fügt diese bei und bringt die CE-Kennzeichnung an der wesentlich
nein
veränderten Maschine an.
Kann Gesamtheit von Maschinen

mit einfachen Schutzein-
richtungen das Risiko eliminiert Für die Veränderung einer Gesamtheit von Maschinen gelten die o.a.
oder ausreichend minimiert ja
Grundsätze. Betrifft die Veränderung bei einer Gesamtheit von Maschinen
13.3
werden?
nein (z. B. komplexe Produktionsanlage oder integriertes Fertigungssystem),

nur einen Teilbereich, so ist zu prüfen, inwieweit dies Auswirkungen
auf die Gesamtheit hat. Ist diese Veränderung selbst und sind deren
Wesentliche
Veränderung Auswirkungen auf die Gesamtheit als wesentlich zu beurteilen, liegt eine
wesentliche Veränderung der Gesamtheit von Maschinen vor.
Abbildung 99: E ntscheidungsschritte – wesentliche Veränderungen von

Maschinen
12/22 PU05907001Z-DE 161

Anhang
13.4 Literaturverzeichnis
Literaturverzeichnis
• Hauptkatalog
HPL 0200-2010, Eaton Industries GmbH, Bonn
• Schaltungsbuch
FB0200-004DE, Eaton Industries GmbH, Bonn
• Einfluss der Kabelkapazität von langen Steuerleitungen auf die
Betätigung von Schützen
Dipl.-Ing. Dirk Meyer,
Eaton, Bonn
• EN ISO 12100
Anhang
Sicherheit von Maschinen – …

• EN ISO 13850
Sicherheit von Maschinen – NOT-HALT- Gestaltungsleitsätze
• EN ISO 13581 (1996)
Sicherheit von Maschinen – Zweihandschaltungen, …
• EN ISO 13849-1
Sicherheit von Maschinen – Sicherheitsbezogene Teile von
Steuerungen
• EN IEC 62061
Sicherheit von Maschinen – Funktionale Sicherheit
sicherheitsbezogener elektrischer, elektronischer und programmierbarer
• EN ISO 14118
13.4
Sicherheit von Maschinen – Vermeiden von unerwartetem Anlauf

• EN ISO 14119
Sicherheit von Maschinen – Verriegelungseinrichtungen in
Verbindung mit trennenden Schutzeinrichtungen
• IEC 60204-1
Sicherheit von Maschinen – Elektrische Ausrüstung von
Industriemaschinen
• IEC 60947-1
Niederspannungsschaltgeräte
• RICHTLINIE 2006/42/EG DES EUROPÄISCHEN PARLAMENTS UND
DES RATES vom 17. Mai 2006 über Maschinen und zur Änderung
der Richtlinie 95/16/EG (Neufassung)
• Produktsicherheitsgesetz
• Interpretationspapier des BMa und der Länder zum Thema
„Wesentliche Veränderung von Maschinen“ Bek. des BMa vom 7.
September 2000 – IIIc 3-39607-3 – (BArbBl. 11/2000 S. 35)
• IFA Report 2/2017
Funktionale Sicherheit von Maschinensteuerungen
Deutsche gesetzliche Unfallversicherung (DGUV)
• Sicherheit von Maschinen – Erläuterungen zur Anwendung der
Normen EN IEC 62061 und EN ISO 13849-1
ZVEI – Zentralverband Elektrotechnik und Elektronikindustrie e.V.
162 12/22 PU05907001Z-DE

Anhang
13.4
12/22 PU05907001Z-DE 163

Sicherheitstechnische Kenngrößen
Folgende sicherheitstechnische Kenngrößen sind gem. EN ISO 13849-1 in diesem Sicherheitshandbuch angegeben:
Abkürzung Erläuterung
Struktur 3TEUERUNGS +ATEGORIE %INSTUFUNGDERSICHERHEITSBEZOGENEN4EILEEINER3TEUERUNGIN!BHiNGIGKEITVONIHRER
4OLERANZBEI(ARDWAREFEHLERNDEM6ORHANDENSEINVON$IAGNOSEFUNKTIONENSOWIEIHRER
:UVERLiSSIGKEIT%INSTUFUNGVON+AT""ASISKATEGORIE BIS+ATZWEIKANALIGE3TRUKTUR
mit Diagnose)
-44&d -EAN4IMETODANGEROUS -ITTLERE:EITBISZUM!UFTRETENEINES'EFAHRBRINGENDEN%REIGNISSES
&AILURE
B10d !NZAHLVON3CHALTZYKLENBEIDENENEINER!NZAHLGETESTETERVERSCHLEIBEHAFTE-
TER+OMPONENTENZ"ELEKTROMECHANISCHE"AUTEILE GEFiHRLICHAUSGEFALLENSIND
nop Mittlere Anzahl jährlicher Betätigungen
##& #OMMON#AUSE&AILURE !USFALLVERSCHIEDENER+OMPONENTENAUFGRUNDEINESEINZELNEN
&EHLERSBZWINFOLGEGEMEINSAMER5RSACHE
$#avg !VERAGE$IAGNOSTIC#OVERAGE $URCHSCHNITTLICHER$IAGNOSEDECKUNGSGRADDER4EILEEINERSICHERHEITSGERICHTETEN3TEUE-
RUNGSFUNKTION6ERMINDERUNGDER7AHRSCHEINLICHKEITGEFiHRLICHER!USFiLLEAUFGRUND
der Ausführung automatischer Diagnosetests.
PL Performance Level $ISKRETER,EVELDERDIE&iHIGKEITDERSICHERHEITSBEZOGENEN4EILEEINER3TEUERUNG
SPEZI½ZIERTEINE3ICHERHEITSFUNKTIONUNTERVORHERSEHBAREN"EDINGUNGENAUSZUF~HREN
Einstufung von PL a (höchste Ausfallwahrscheinlichkeit) … PL e (niedrigste Ausfall-
wahrscheinlichkeit)
4d 'EBRAUCHSDAUER:EITRAUMDER6ERWENDUNGDERSICHERHEITS
gerichteten Steuerungsfunktion
Folgende sicherheitstechnische Kenngrößen sind gem. EN IEC 62061 in diesem Sicherheitshandbuch angegeben:
Abkürzung Erläuterung
Struktur 4EILSYSTEMARCHITEKTUR %INSTUFUNGDER4EILSYSTEMEEINERSICHERHEITSGERICHTETEN3TEUERUNGSFUNKTIONINEINE
4EILSYSTEMARCHITEKTURNACH)%#IN!BHiNGIGKEITVONDER(ARDWAREFEHLERTOLERANZ
und der Diagnosefunktion
0&(d 0ROBABILITYOFA$ANGEROUS Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde
&AILUREPER(OUR
B10 !NZAHLVON3CHALTZYKLENBEIDENENEINER!NZAHLGETESTETERVERSCHLEIBEHAFTE-
TER+OMPONENTENZ"ELEKTROMECHANISCHE"AUTEILE AUSGEFALLENSIND
λd/λ 6ERHiLTNISZWISCHENGEFiHRLICHER!USFALLRATEZUR'ESAMTAUSFALLRATE!NTEILGEFiHR-
licher Ausfälle
# Mittlere Anzahl stündlicher Betätigungen
β Betafaktor &AKTORDES!USFALLSDEREINEGEMEINSAME5RSACHEHAT

$# $IAGNOSTIC#OVERAGE $IAGNOSEDECKUNGSGRADDER4EILEEINERSICHERHEITSGERICHTETEN3TEUERUNGSFUNKTION
Verminderung der Wahrscheinlichkeit gefährlicher Ausfälle aufgrund der Ausführung
automatischer Diagnosetests
SIL 3AFETY)NTEGRITY,EVEL Diskreter Level, der die Anforderungen an die Sicherheitsintegrität einer sicherheits-
GERICHTETEN3TEUERUNGSFUNKTIONEINESELEKTRISCHEN3TEUERUNGSSYSTEMSDER-ASCHINE
FESTLEGT%INSTUFUNGVON3),NIEDRIGSTER,EVEL ¨3),HyCHSTER,EVEL
164 12/22 PU05907001Z-DE

Sicherheit von Steuerungen an Maschinen –
einfach berechnen mit Eaton-Bibliotheken
für Sistema für VDMA 66413
Das herstellerunabhängige Berechnungstool SISTEMA vom Institut Die unter der Maschinenrichtlinie 2006/42/EG harmonisierten
für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Normen EN ISO 13849-1, EN ISO 13849-2 und EN IEC 62061
(IFA) hilft bei der Bewertung von sicherheitsgerichteten fordern Bewertungen und Berechnungen hinsichtlich der
Steuerungssystemen nach EN ISO 13849-1 und vereinfacht die Wahrscheinlichkeit eines gefahrbringenden Ausfalls und
Risikoanalyse. systematischer Aspekte der Sicherheitsfunktionen einer Maschine.
– Die Bewertungen und Berechnungen muss der
Maschinenhersteller (als „Inverkehrbringer“) durchführen und
nachweislich dokumentieren.
– Die relevanten Daten (Kennwerte) der in der Maschine
eingesetzten sicherheitsbezogenen Geräte liefern die
Gerätehersteller aus Sicht der Produkthaftung.
– Die sicherheitstechnischen Berechnungen können mit Hilfe von
Berechnungstools (Software-Programme) durchgeführt werden.
Die Anwendung der genannten Normen erfordert den
Austausch der relevanten Daten zwischen den beteiligten
Maschinenherstellern, Geräteherstellern und den
Berechnungstools.
Gerätehersteller
erzeugen für ihre Geräte Kennwert-Bibliotheken im Format
„Universelle Datenbasis“ und stellen diese zur Verfügung bereit.
Nur der Gerätehersteller darf auch der Ersteller einer Kennwert-
Über eine Windows-Oberfläche erfolgt die Auswahl der Bibliothek sein.
projektierten Struktur der Schutzeinrichtung und die Zuordnung
Berechnungstools
zu einer – in der EN ISO 13849-1 – vorgesehenen Architektur.
stellen einen Importmechanismus für Kennwert-Bibliotheken
Die Software berechnet auf dieser Grundlage sowohl die
im Datenbasis-Format bereit. Die Kennwerte werden für die
Zuverlässigkeitswerte wie auch den erreichten Performance Level
Darstellung und Auswahl im Tool aufbereitet.
(PL). Sie ermöglicht so den direkten Vergleich zum geforderten
Performance Level (PLr). Maschinenhersteller
nutzen die vom Gerätehersteller zur Verfügung gestellte
Die Software erfasst schrittweise sämtliche zur Bewertung
Kennwert-Bibliothek (Datei), um die Kennwerte (Gerätedaten) im
erforderlichen Kenngrößen, wie z. B. MTTFd, B10d, DCavg
Berechnungstool einzulesen und zu aktualisieren.
und CCF. Sie zeigt den Einfluss veränderter Kennwerte auf das
Gesamtergebnis direkt an. Die universelle Datenbasis nach VDMA 66413 ist damit die
gemeinsame Grundlage für den Informationsaustausch.
Das Kalkulationstool kann direkt von der IFA Webseite
heruntergeladen werden. Zusammenfassend die wesentlichen Merkmale:
– Definition der erforderlichen Informationen;
Eaton stellt Ihnen die Bibliotheken zur Einbindung in die
– eindeutige Beschreibung der Gerätedaten, unabhängig vom
SISTEMA-Software kostenlos unter der Auswahl: Input, Logik,
Hersteller;
Output zur Verfügung. Unter www.eaton.eu/safety können die
– passend für den Maschinenbau, unabhängig von Branchen;
einzelnen Bibliotheken heruntergeladen werden. Bitte beachten
– unabhängig von physikalischen Schnittstellen, Berechnungstools,
Sie, dass die Bibliotheken ständig aktualisiert und um neue
Übertragungsprotokollen, Datenbankformaten
Produkte erweitert werden.
Eaton stellt Ihnen diese Bibliotheken kostenlos zur Verfügung: Eaton.de/fusi
12/22 PU05907001Z-DE 165

Wir setzen um, was wirklich zählt.*
*Wir bei Eaton sind der Meinung, dass Energie ein wesentlicher
Bestandteil aller menschlichen Aktivitäten ist. Technologie,
Transport, Energie und Infrastruktur - All dies sind Dinge, auf
die sich die Welt jeden Tag stützt. Deshalb arbeiten wir bei
Eaton engagiert daran, unseren Kunden bei der Erschließung
neuer Wege zu effizienterem, sichererem und nachhaltigerem
Management elektrischer, hydraulischer und mechanischer
Energie zu helfen. Dies tun wir, um das Leben der Menschen,
die Gemeinschaften, in denen wir leben und arbeiten, und
den Planeten, von dem künftige Generationen abhängen, zu
verbessern. Denn das ist es, was wirklich zählt. Und wir sind hier,
um dafür zu sorgen, dass es umgesetzt wird.
Eaton Industries GmbH

Hein-Moeller-Str. 7–11
D-53115 Bonn / Germany
© 2023 by Eaton
Eaton ist ein eingetragenes Warenzeichen
Alle Rechte vorbehalten
der Eaton Corporation.
Bezeichnung: PU05907001Z-DE
ip Februar 2023 Alle anderen Warenzeichen sind Eigentum
Artikelnr.: 119906 der entsprechenden Eigentümer.

EATON Update Sicherheitshandbuch Pu05907001z de de

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

EATON Update Sicherheitshandbuch Pu05907001z de de

Hochgeladen von

Copyright:

Verfügbare Formate

MOELLER

Auszüge aus DIN-Normen mit VDE-Klassifikation sind

Die sicherheitstechnischen Inhalte in diesem Handbuch sind

1. Auflage 2008, Redaktionsdatum 10/08,

Alle Rechte, auch die der Übersetzung, vorbehalten.

Kein Teil dieses Handbuches darf in irgendeiner Form (Druck,

1 Stillsetzen im Notfall (NOT-HALT-Abschaltung)16

2 Bewegliche Schutzeinrichtung überwachen46

4 Sicheres Bedienen ermöglichen72

6 Kombinieren mehrerer Sicherheitsfunktionen78

8 Unerwarteten Anlauf verhindern90

9 Bei Reparatur und Wartung sichern92

10 Schutz vor elektrischem Schlag98

11 Projektierung von Maschinen nach IEC 60204-1102

12 Der Weg zur sicheren Maschine108

Zielgruppe Für alle Sicherheitsanwendungen und die dort getroffenen Annahmen

Für den Entwurf und die Anwendung von funktionaler Sicherheit an

Anwendung Hier erfahren Sie, in welchen Einsatzbereichen die

Bedingungen Die hier aufgelisteten Bedingungen müssen

Eigenschaften Zeigt besondere Eigenschaften dieser Beispielan-

Funktion Beschreibt das Schaltbild der Beispielanwendung

Schaltungen zum Stillsetzen im Notfall n<x Höchstdrehzahl überwachen

Bewegliche Schutzeinrichtungen überwachen Überwachung extern angeschlossener Aktoren

Offenen Gefahrenbereich überwachen mit Unerwarteten Anlauf verhindern

Offenen Gefahrenbereich überwachen mit Schutz gegen elektrischen Schlag

→ macht Sie aufmerksam auf interessante Tipps und

Sicheres Einrichten ermöglichen mit

Wenn die Gefährdungen durch konstruktive Maßnahmen (1. Stufe)

Funktionale und Sicherheitsanforderungen für sicherheitsrelevante Steuerungen

Abbildung 1: Die Normenlage

International Standardization Organisation International Electrotechnical Commission

(a, b, c, d, e) stehen für durchschnittliche Wahrscheinlichkeitswerte eines

EN ISO 13849-1 EN IEC 62061

Bei programmierbar Gemischte Systeme nach neuester

Berechnungskonzept basiert auf Beliebige Architektur verwendbar.

Alle Schutzmaßnahmen, die

A) Ermittlung des erforderlichen Performance Level PLr

P2 S1 leichte (üblicherweise reversible Verletzung)

B) Entwurf der Steuerungsarchitektur und Bestimmung der erreichten Leistungsfähigkeit

Der Performance Level der sicherheitsgerichteten Steue-  $IAGNOSEDECKUNGSGRAD$#

Ist die Maschine sicher? NEIN keit einer Risikominderung

A) Ermittlung der erforderlichen Leistungsfähigkeit SIL

(iU½GKEITUND$AUER & Wahrscheinlichkeit, W Vermeidung, P

Das Ergebnis in der Beispielbetrachtung ist SIL 3:

Auswirkungen Schwere +LASSE+

B) Entwurf der Steuerungsarchitektur und Bestimmung der erreichten Leistungsfähigkeit

Der Sicherheitsintegritätslevel SIL ergibt sich aus folgenden Werten, $IE4EILSYSTEMEKyNNENAUSVERSCHIEDENEN+OMPONENTEN4EILSYS-

PL und SIL sind ineinander überführbar:

Performance Level PL Mittlere Wahscheinlichkeit SIL

Input Logic Output

NOT-HALT-Befehlsgeräte sein, dass zusätzliche Maßnahmen zur Fehlererkennung zwingend

NOT-HALT Kontaktüberwachung durch SMC (Self Monitoring

Bewegliche Schutzeinrichtung überwachen

Schaltungen zum Stillsetzen im Notfall

Abbildung 6: Sicherheitsschütze DILMS7 – 32 A

Abbildung 7: Sicherheitsschütze DILMS40 – 150 A

I> I> I> I> I> I>

Ungefährliche Bewegung Gefährliche Bewegung

Abbildung 8: Netztrenneinrichtung mit NOT-HALT-Funktion

Bedingung EN ISO 13849 Bedingung EN IEC 62061

Struktur Kat. 1 Struktur TS A

Leistungsschalter NZMB1-A63 mit Türkupplungsdrehgriff NZM1-XTVDVR

Abbildung 9: NOT-HALT-Abschaltung einer Selbsthaltung

1 Stillsetzen im Notfall (NOT-HALT-Abschaltung)16

2 Bewegliche Schutzeinrichtung überwachen46

4 Sicheres Bedienen ermöglichen72

6 Kombinieren mehrerer Sicherheitsfunktionen78

8 Unerwarteten Anlauf verhindern90

9 Bei Reparatur und Wartung sichern92

10 Schutz vor elektrischem Schlag98

11 Projektierung von Maschinen nach IEC 60204-1102

12 Der Weg zur sicheren Maschine108

Der Performance Level der sicherheitsgerichteten Steue- $IAGNOSEDECKUNGSGRAD$#

(iU½GKEITUND$AUER& Wahrscheinlichkeit, W Vermeidung, P

Der Sicherheitsintegritätslevel SIL ergibt sich aus folgenden Werten, $IE4EILSYSTEMEKyNNENAUSVERSCHIEDENEN+OMPONENTEN4EILSYS-