Logo des Herausgebers
Cover
DGUV Information

Auswahl und Anbringung von Schlüsseltransfersystemen

DGUV Information 203-087
Stand: Oktober 2017

Vorbemerkung

Diese Broschüre soll Betreibern und Konstrukteuren von Maschinen und Anlagen einen Überblick über Aufbau und Funktion von Schlüsseltransfersystemen, sowie deren Auswahl geben. Darüber hinaus werden Informationen zur Anordnung, Anbringung und zum Schutz vor Umgehen gegeben.
Die grundlegenden Anforderungen für Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinrichtungen, die in der DIN EN ISO 14119 [5] gegeben werden, sollen in Bezug auf Schlüsseltransfersysteme, durch diese Broschüre erläutert werden. Weitere Informationen sind als ISO/TS 19837 [9] in Vorbereitung.
Anwendungsbeispiele, Informationen zur Kennzeichnung, zu den wiederkehrenden Prüfungen, als auch zur Betriebsanleitung, runden diese Broschüre als praxisnahes Dokument ab.
„Was ist ein Schlüsseltransfersystem und wofür wird es eingesetzt?“
Ein Schlüsseltransfersystem ist eine mechanische, elektrische oder anders technologische Einrichtung, die den Zweck hat, die Ausführung von gefahrbringenden Maschinenfunktionen unter festgelegten Bedingungen zu verhindern.
Hierbei sind der zwangsläufige Schlüsseltransfer zwischen den Komponenten und ein zwangsläufiges Sperren einzelner Komponenten für die Realisierung der Sicherheitsfunktion entscheidend.
Abb. 1 und 2 zeigen beispielhafte Darstellungen eines Schlüsseltransfersystems, wobei die verschiedenen Schlüsselkodierungen und zugehörigen Schlösser farblich dargestellt sind.
Schlüsseltransfersysteme eignen sich dazu, den Zugang in Gefahrenbereiche oder die Betätigung von Stellteilen nur zuzulassen, wenn vorher festgelegte Abläufe/Zustände (z. B. Trennen der Energiezufuhr zu gefahrbringenden Bewegungen) vollzogen wurden. Ebenfalls wird mit Schlüsseltransfersystemen die Voraussetzung geschaffen, um z. B. einen Start der Maschine/Anlage oder die Betätigung von Stellteilen erst zu ermöglichen, wenn das gesamte Sicherheitskonzept wieder wirksam ist.
Jede einzelne Komponente eines Schlüsseltransfersystems ist für sich betrachtet ein Sicherheitsbauteil nach Artikel 2, c) der EG-Maschinenrichtlinie (2006/42/EG) [1], wenn sie gesondert in den Verkehr gebracht wird.
Abb. 1 Beispiel 1 für die Darstellung eines Schlüsseltransfersystems
 Beispiel 1 für die Darstellung eines Schlüsseltransfersystems
Abb. 2 Beispiel 2 für die Darstellung eines Schlüsseltransfersystems
 Beispiel 2 für die Darstellung eines Schlüsseltransfersystems
Schlüsseltransfersysteme, (Kombination mehrerer Komponenten), werden als Logikeinheiten für Sicherheitsfunktionen, gemäß Anhang IV, Nr.: 21, EG-Maschinenrichtlinie (2006/42/EG) [1] betrachtet. Da derzeit keine harmonisierten Normen für Schlüsseltransfersysteme existieren, sind für deren Inverkehrbringen die Konformitätsbewertungsverfahren entsprechend EG-Maschinenrichtlinie (2006/42/EG) [1], Artikel 12 (4) vorgeschrieben.
Historische Entwicklung:
Der Grundstein für Schlüsseltransfersysteme wurde im frühen letzten Jahrhundert gelegt, als die Industrialisierung in Europa bereits verstärkt Einzug gehalten hatte. Die komplexer werdenden technologischen Abläufe, verbunden mit den daraus entstehenden Gefahren, machten Überlegungen zu effektiven und vom Anwender einfach zu handhabenden Absicherungsmechanismen notwendig. Das erste patentierte Schlüsseltransfersystem aus den 1920er Jahren beruhte schon damals auf dem Prinzip des zwangsläufigen Funktionsablaufs mit Hilfe von robusten mechanischen Komponenten. Die sich daraus ergebenden besonderen Eigenschaften kennzeichnen noch heute Schlüsseltransfersysteme. Durch technologieübergreifende Weiterentwicklungen mit vielfältigen Zusatzfunktionen werden Schlüsseltransfersysteme für die verschiedensten Anwendungen, neben den bekannten Verriegelungseinrichtungen mit Zuhaltungen, eingesetzt.

1   Anwendungsbereich

Die vorliegende Broschüre gilt für Schlüsseltransfersysteme unterschiedlicher Technologien (z. B. mechanisch, elektrisch, elektromechanisch, pneumatisch, hydraulisch), unabhängig vom Einsatzbereich.
Sie enthält Hinweise für den Aufbau, die Auswahl, Anbringung und Funktionsprüfungen von Schlüsseltransfersystemen und gibt einen Überblick über deren Komponenten.
Wenn Produktnormen für Maschinen und Anlagen (C-Normen) für die Auswahl und Anbringung von Schlüsseltransfersystemen abweichende Anforderungen enthalten, so sind diese vorrangig zu berücksichtigen.
Weiterhin gibt die Broschüre Hinweise auf ergänzende Systeme, wie Verschlusseinrichtungen zum Schutz vor Wiedereinschalten (Lockout/Tagout-Systeme).
Diese DGUV Information kann angewendet werden, wenn im Ergebnis der Risiko-/Gefährdungsbeurteilung für eine Maschine oder Anlage Schlüsseltransfersysteme und/oder Lockout/Tagout-Systeme eingesetzt werden sollen.

2   Begriffe

Die nachfolgenden Begriffe sind gemäß dem Anwendungsbereich dieser Broschüre definiert. Aus diesem Grunde können gleiche Begriffe in anderer Literatur abweichend definiert sein.
Schlüsseltransfersystem (Trapped-key interlocking system)
Ein Schlüsseltransfersystem ist ein System, bestehend aus verschiedenen Komponenten, wobei der zwangsläufige Schlüsseltransfer zwischen den Komponenten die Sicherheitsfunktion realisiert.
System (System)
Ein System besteht aus mindestens zwei Komponenten (z. B. Schaltelement und einer Zuhaltungseinrichtung).
Komponente (Trapped key interlocking device)
Eine Komponente ist eine für sich funktionsfähige Einheit eines Schlüsseltransfersystems (z. B. Schalterelement, Schlüsselwechselstation). Eine Komponente kann aus mehreren Modulen bestehen (siehe Abschnitt 3.1, Bauarten und Funktionsweisen).
Zuhaltungseinrichtung/Zuhaltung (Access lock)
Eine Komponente, deren Zweck es ist, z. B. eine bewegliche trennende Schutzeinrichtung in der geschlossenen Position zu halten.
Schalterelement (Key operated switch)
Das Schalterelement besteht aus Schloss und Schalter, die eine formschlüssige Einheit bilden. Das Schalterelement dient der Erzeugung eines sicheren Zustandes (z. B. Unterbrechen der Energiezufuhr, Stillsetzen gefahrbringender Bewegungen).
Schalterelement mit Sperreinrichtung (Solenoid controlled switch)
Das Schalterelement mit Sperreinrichtung besteht aus Schloss und Schalter, die eine formschlüssige Einheit bilden und einer Sperreinrichtung, die eine Schlüsselentnahme so lange verhindert, bis der sichere Zustand erreicht ist.
Schlüssel (Key)
Der Schlüssel ist das Element, durch das gleichkodierte Schlösser betätigt werden können.
Persönlicher Schlüssel (Personnel key)
Ein Schlüssel, der von einer Komponente des Schlüsseltransfersystems freigegeben und von einer Person in den Gefahrenbereich mitgeführt werden kann, um einen Wiederanlauf zu verhindern. Er ist bestimmungsgemäß nicht für die Bedienung einer anderen Komponente vorgesehen.
Schlüsselwechselstation (Key exchange device)
Die Schlüsselwechselstation dient der Freigabe eines oder mehrerer kodierter Schlüssel durch vorherige Betätigung eines oder mehrerer Schlösser durch anders kodierte Schlüssel.
Betätiger (Actuator)
Der Betätiger ist das Teil der Zuhaltungseinrichtung, welches in die Zuhaltungseinrichtung eingesteckt und durch Entnahme des Schlüssels dort blockiert wird.
Zeitverzögerungseinrichtung (Timed delay device)
Die Komponente dient der zeitverzögerten Freigabe (z. B. Zeitrelais, Feder) eines oder mehrerer kodierter Schlüssel durch vorherige Betätigung eines oder mehrerer Schlösser ggf. mit Schalterelement durch anders kodierte Schlüssel.
Bolzenschloss (Bolt lock)
Ein Riegel/Bolzen der durch einen Schlüssel bewegt oder gesperrt wird.
Hybride Komponente (Hybrid component)
Die Komponente enthält unterschiedliche Technologien (z. B. mechanisch/elektrisch/elektronisch/pneumatisch/hydraulisch)
Stillstandsüberwachungseinrichtung (Stopped motion device)
Die Komponente dient der Freigabe eines oder mehrerer kodierter Schlüssel nach Erreichen des Stillstandes einer gefahrbringenden Bewegung.
Schlüssellaufplan (Key transfer plan)
Der Schlüssellaufplan ist ein Dokument, das den zwangsläufigen Funktionsablauf (Logik) des Schlüsseltransfersystems und die verschiedenen Schlüsselzuordnungen zu den jeweiligen Komponenten darstellt.
Umgehen (Defeat)
Handlung, durch die Schutzeinrichtungen derart außer Betrieb gesetzt oder umgangen werden, dass eine Maschine nicht mehr bestimmungsgemäß im Sinne des Konstrukteurs oder nur ohne die erforderlichen Sicherheitsmaßnahmen verwendet werden kann.
Umgehen auf eine vernünftigerweise vorhersehbare Art (Defeat in a reasonably foreseeable manner)
Umgehen einer Verriegelungseinrichtung von Hand oder durch Benutzung eines leicht verfügbaren Gegenstandes.
Anmerkung 1 zum Begriff:
Diese Definition schließt das Entfernen von Komponenten mithilfe von Werkzeugen, die für den bestimmungsgemäßen Betrieb der Maschine erforderlich oder leicht verfügbar sind (Schraubendreher, Schraubenschlüssel, Sechskantschlüssel, Zangen), ein.
Anmerkung 2 zum Begriff:
Leicht verfügbare Gegenstände für ersatzweise Betätigung schließen Schrauben, Nadeln und Blechstücke, Gegenstände des täglichen Gebrauchs, wie Schlüssel, Münzen, Klebeband, Bindfaden und Draht, „Ersatzschlüssel“ für Komponenten des Schlüsseltransfersystems und „Ersatzbetätiger“ ein.
Generalschlüssel (Master key)
Schlüssel mit einer Kodierung, die auf alle Komponenten des Schlüsseltransfersystems passt.
Schlüsselkodierung (Key code)
Speziell gestalteter Schlüssel (technologieunabhängig), zur Betätigung zugehöriger Komponenten.
Schlüssel-/Schlosskennzeichnung (Key inscription)
Spezielle Kennzeichnung zur Zuordnung von Schlüssel und Schloss.
Sicherheitsfunktion (Safety function)
Funktion einer Maschine, wobei ein Ausfall dieser Funktion zur unmittelbaren Erhöhung des Risikos (der Risiken) führen kann. (DIN EN ISO 12100: 2011-03 [2], Abs. 3.30).
Notentsperrung einer Zuhaltung (Emergency release of access lock)
Möglichkeit einer manuellen Entsperrung der Zuhaltung im Notfall ohne Hilfsmittel von außerhalb des geschützten Bereichs. (DIN EN ISO 14119:2014-03 [5]).
Fluchtentriegelung einer Zuhaltung (Escape release of access lock)
Möglichkeit einer manuellen Entsperrung der Zuhaltung ohne Hilfe von innerhalb des geschützten Bereichs zum Verlassen dieses Bereiches (DIN EN ISO 14119:2014-03 [5]).
Hilfsentriegelung einer Zuhaltung (Auxiliary release of access lock)
Möglichkeit einer manuellen Entsperrung der Zuhaltung mithilfe eines Werkzeugs oder eines Schlüssels von außerhalb des geschützten Bereichs im Falle einer Fehlfunktion (DIN EN ISO 14119:2014-03 [5]).

3   Bauarten und Funktionsweisen

3.1   Allgemeines

Mit einem Schlüsseltransfersystem wird durch den Transfer von Schlüsseln ein festgelegter Ablauf sichergestellt.
Dieser Ablauf mit allen Funktionen wird in einem Schlüssellaufplan schematisch dargestellt.
Hauptanwendungsgebiete für Schlüsseltransfersysteme sind trennende Schutzeinrichtungen, Schaltanlagen und Ventile. Andere Anwendungen sind denkbar.
Diese Systeme können einfach oder komplex sein.
Ein Schlüsseltransfersystem wird aus einzelnen Komponenten zusammengestellt. Komponenten können üblicherweise aus verschiedenen Technologien bestehen (mechanisch, elektromechanisch, elektrisch, elektronisch, fluidtechnisch). Auch eine Kombination unterschiedlicher Technologien ist möglich (Hybrid).
Typischerweise wird ein kodierter Schlüssel von einer Abschalteinrichtung (z. B. Bolzenverriegelung, Schalterelement) zu einer Zuhaltungseinrichtung an einer Schutzeinrichtung bewegt. Abschalteinrichtung und Zuhaltungseinrichtung sind hier einzelne, unterschiedliche Komponenten. Der Schlüssel stellt die Verbindung zwischen diesen beiden Komponenten her.
Durch individuelle Kodierung der Schlüssel wird der gewünschte Ablauf sichergestellt. Versehentliches Vertauschen oder Umgehen auf einfache Weise werden dadurch verhindert.
Um dies zu gewährleisten, muss sichergestellt werden, dass innerhalb eines Schlüsseltransfersystems keine Schlüssel gleicher Kodierung vorhanden sind, durch die der vorgesehene Ablauf umgangen werden kann. Weiterhin dürfen eventuell vorhandene Generalschlüssel nicht frei zugänglich sein.
Die Verwaltung der Schlüsselkodierungen pro Firma, Werk bzw. Organisation erfolgt durch den Hersteller des Schlüsseltransfersystems in Abstimmung mit dem Maschinenhersteller bzw. dem Betreiber der Maschine.
Man unterscheidet monofunktionale und multifunktionale bzw. modulare Komponenten innerhalb eines Schlüsseltransfersystems.
Monofunktionale Komponenten:
Eine monofunktionale Komponente erfüllt eine einzelne Funktion (z. B. Schalterelement, Zuhaltungseinrichtung, Abb. 3).
Abb. 3 Monofunktionale Komponente
 Monofunktionale Komponente
Multifunktionale Komponenten:
Eine multifunktionale Komponente erfüllt mehrere Funktionen (z. B. Notentsperrung, Fluchtentriegelung, Abb. 4).
Abb. 4 Multifunktionale Komponente
 Multifunktionale Komponente
Technologische Merkmale:
Schlüsseltransfersysteme lassen sich mit Komponenten unterschiedlicher Technologien gestalten. Um eine bessere Übersicht zu erhalten, werden in diesem Dokument Schlüsseltransfersysteme in folgenden Gruppen betrachtet:
A. Mechanische Schlüsseltransfersysteme
B. Elektromechanische Schlüsseltransfersysteme
C. Hybride Schlüsseltransfersysteme
A. Mechanische Schlüsseltransfersysteme
Diese Systeme bestehen ausschließlich aus mechanischen Komponenten.
Die Komponenten sind so ausgewählt und angeordnet, dass durch den festgelegten Schlüsseltransfer (Logik) die sicherheitsrelevante Funktion des Schlüsseltransfersystems gewährleistet ist.
Mögliche Komponenten zur Unterbrechung des Energieflusses (z. B. Ventile, Schalter), die an der Maschine vorhanden sind, sind nicht Bestandteil des mechanischen Schlüsseltransfersystems, müssen jedoch in die Gesamtsicherheitsbetrachtung der Maschine mit einbezogen werden.
Diese Systeme sind charakterisiert durch die Komponenten Bolzenschloss, ggf. Schlüsselwechselstation, ggf. Zeitverzögerungseinrichtung und Zuhaltungseinrichtung (siehe Abschnitt 10, Beispiel 1).
B. Elektromechanische Schlüsseltransfersysteme
Diese Systeme bestehen mindestens aus einer mechanischen und einer elektromechanischen Komponente.
Das einfachste System kann beispielsweise aus einem Schalterelement (elektromechanische Komponente) und einer Zuhaltungseinrichtung (mechanische Komponente) bestehen. Die sicherheitsrelevante Funktion wird durch den festgelegten Schlüsseltransfer (Logik) zwischen diesen Komponenten realisiert.
Zusätzlich können in einem solchen System weitere mechanische, als auch elektromechanische/elektronische Komponenten (z. B. Zeitverzögerungseinrichtung, Stillstandsüberwachung, Schalterelement mit Sperreinrichtung) enthalten sein. Die sicherheitsrelevante Funktion wird durch den festgelegten Schlüsseltransfer (Logik) zwischen diesen einzelnen Komponenten und der möglichen Zusatzfunktionen der Komponenten realisiert (siehe z. B. Abschnitt 3.5, Abb. 18–22).
Sicherheitsrelevante Komponenten (z. B. Stillstandsüberwachung, Schaltgeräte), die an der Maschine vorhanden aber nicht Bestandteil des Schlüsseltransfersystems sind, müssen in die Gesamtsicherheitsbetrachtung der Maschine mit einbezogen werden.
C. Hybride Schlüsseltransfersysteme
Hybride Schlüsseltransfersysteme bestehen aus Komponenten unterschiedlicher Technologien (z. B. Zuhaltungseinrichtung mit elektrischer Freigabe und Überwachung, siehe Abb. 15). Funktionen wie sie üblicherweise von Positionsschaltern oder elektromechanischen Zuhaltungen bekannt sind, können in einer Komponente integriert sein.
Die sicherheitsrelevante Funktion wird durch den festgelegten Schlüsseltransfer (Logik) zwischen diesen einzelnen Komponenten und den möglichen Zusatzfunktionen der Komponenten realisiert.
Sicherheitsrelevante Komponenten (z. B. Stillstandsüberwachung, Schaltgeräte), die an der Maschine vorhanden aber nicht Bestandteil des Schlüsseltransfersystems sind, müssen in die Gesamtsicherheitsbetrachtung der Maschine mit einbezogen werden.
Diese Gruppe stellt das komplexeste Schlüsseltransfersystem dar (siehe z. B. Abschnitt 3.5, Abb. 21).
Besondere Eigenschaften von Schlüsseltransfersystemen sind:
  • Hohe Sicherheit durch individuelle Codierung.
  • Nur festgelegte, sichere Abfolgen sind möglich.
  • Das irrtümliche Öffnen einer beweglichen trennenden Schutzeinrichtung wird auf Grund der immer vorhandenen mechanischen Zuhaltung verhindert.
  • Einfache Möglichkeit zur sicheren Freigabe von besonderen Arbeitsmodi, z. B. Einrichtbetrieb (Teachmode), siehe Abschnitt 10, Beispiel 4.
  • Zwangsläufige Zeitverzögerung und somit Ausgleich von geringen Nachlaufzeiten durch den Schlüsseltransfer. Größere Transferzeiten können durch zusätzliche Verzögerungseinrichtungen erreicht werden.
  • Einsatz unter rauen Umweltbedingungen möglich (z. B. Staub, extreme Temperaturen, Nässe, Ex-Bereiche, Elektromagnetische Felder).
  • Je nach Ausführung keine Verdrahtung nötig.
  • Verwendungsmöglichkeit mit persönlichen Schlüsseln.

3.2   Mechanische Komponenten

Mechanische Komponenten sind z. B.:
  • Bolzenschloss (Bolt lock)
    Ein Riegel/Bolzen, der durch Drehen des Schlüssels bewegt wird, kann zum Blockieren von Hauptschaltern, Ventilen, trennende Schutzeinrichtungen, etc. verwendet werden (Abb. 5).
    Abb. 5 Bolzenschloss
     Bolzenschloss
    Bei Verwendung des Bolzenschlosses muss sichergestellt sein, dass ein Ausfahren des Schließbolzens ins Leere verhindert ist.
  • Schlüsselwechselstation (Key exchange device)
    Hierbei werden ein oder mehrere kodierte Schlüssel in eine Wechselkomponente gesteckt, um einen oder mehrere anders kodierte Schlüssel entnehmen zu können. Somit lassen sich sicherheitsrelevante Funktionen, die einen zwangsweisen Ablauf erfordern, realisieren (Abb. 6).
    Abb. 6 Schlüsselwechselstation
     Schlüsselwechselstation
  • Zuhaltungseinrichtung (Access lock)
    Mechanische Einrichtung für die Zuhaltung von Türen, Klappen usw. (Abb. 7)
    Abb. 7 Zuhaltungseinrichtung
     Zuhaltungseinrichtung
    Mit dem zugehörigen Schlüssel kann der Betätiger aus der Einheit entfernt werden. Sobald der Betätiger entfernt ist, bleibt der Schüssel gesperrt und kann nicht entfernt werden.
    Sind Gefahrenbereiche betretbar, kann in Abhängigkeit der Risikobeurteilung ein persönlicher Schlüssel eingesetzt werden (siehe Abschnitt 4.1.1, Persönlicher Schlüssel).
  • Mechanische Zeitverzögerungseinrichtung (Mechanical timed delay device)
    Eine Komponente, bei der ein oder mehrere kodierte Schlüssel erst entnommen werden können, wenn nach Einstecken eines oder mehrerer Schlüssel einer anderen Kodierung eine festgelegte Zeit vergangen ist (Abb. 8).
    Abb. 8 Mechanische Zeitverzögerungseinrichtung
     Mechanische Zeitverzögerungseinrichtung
    Dadurch können z. B. größere Nachlaufzeiten einer Maschine im Ablauf berücksichtigt werden.

3.3   Elektromechanische/Elektronische Komponenten

Elektromechanische und elektronische Komponenten sind z. B.:
  • Schalterelement (Key operated switch)
    Ein Schalterelement, bei dem die elektrischen Kontakte zwangsläufig über einen Schlüssel betätigt werden. Typischerweise werden Öffnerkontakte geschaltet, sobald der Schlüssel betätigt bzw. entfernt wird. Je nach Anwendung sind auch andere oder zusätzliche Schaltfunktionen möglich (Abb. 9).
    Abb. 9 Schalterelement
     Schalterelement
  • Schalterelement mit Sperreinrichtung (Solenoid controlled switch)
    Ein Schalterelement mit einer elektromagnetischen Einrichtung zum Sperren/Entsperren des Schlüssels (Abb. 10).
    Abb. 10 Schalterelement mit Sperreinrichtung (Einbauausführung)
     Schalterelement mit Sperreinrichtung

(Einbauausführung)
    Der Schlüssel bzw. die Schlüssel können erst nach Freigabe durch ein Steuersignal betätigt und entnommen (Ruhestromprinzip) oder durch das Steuersignal in der Einrichtung gesperrt (Arbeitsstromprinzip) werden.
    Die Sperreinrichtung kann elektrisch überwacht werden.
  • Elektronische/Elektromechanische Zeitverzögerungseinrichtung (Electronical/electromechanical timed delay device)
    Eine Einrichtung, bei der ein oder mehrere Schlüssel erst nach Ablauf einer eingestellten Verzögerungszeit entnehmbar sind (Abb. 11).
    Abb. 11 Elektronische/Elektromechanische Zeitverzögerungseinrichtung
     Elektronische/Elektromechanische

Zeitverzögerungseinrichtung
    Die Zeitverzögerung erfolgt dabei elektrisch, nach Anlegen eines elektrischen Signals.
    Dadurch können Nachlaufzeiten einer Maschine im Ablauf berücksichtigt werden.
  • Elektronische/Elektromechanische Stillstandsüberwachung
    (Electronical/electromechanical stopped motion device)
    Eine Einrichtung, bei der ein Schlüssel erst nach Stillstand der Maschine entnommen werden kann. Der Stillstand kann durch Überwachung von Sensoren oder Messung der Nullspannung gemeldet werden. (Abb. 12).
    Abb. 12 Elektronische/Elektromechanische Stillstandsüberwachung
     Elektronische/Elektromechanische

Stillstandsüberwachung
  • Bolzenschloss mit Stellungsüberwachung (Bolt lock with monitoring)
    Ein Bolzenschloss, bei dem der mechanische Bolzen/Riegel zusätzlich elektrische Kontakte betätigt. Die Kontakte können zur Überwachung der Bolzenstellung verwendet werden (Abb. 13).
    Abb. 13 Bolzenschloss mit Stellungsüberwachung
     Bolzenschloss mit Stellungsüberwachung
  • Zuhaltungseinrichtung mit Überwachung (Access lock with monitoring)
    Eine Zuhaltungseinrichtung, bei der zusätzlich elektrische Kontakte betätigt werden (Abb. 14).
    Abb. 14 Zuhaltungseinrichtung mit Überwachung
     Zuhaltungseinrichtung mit Überwachung
  • Zuhaltungseinrichtung mit Überwachung und elektrischer Freigabe
    (Access lock with monitoring and electrical release)
    Eine Zuhaltungseinrichtung, bei der zusätzlich elektrische Kontakte betätigt werden. Die Zuhaltung kann erst mit einem zusätzlichen elektrischen Signal geöffnet werden (Abb. 15).
    Abb. 15 Zuhaltungseinrichtung mit Überwachung und elektrischer Freigabe
     Zuhaltungseinrichtung mit Überwachung und

elektrischer Freigabe

3.4   Fluidtechnische Komponenten

  • Schlüsselbetätigtes Ventil (Valve lock)
    Ein Ventil, das je nach Ausführung durch Entnahme des Schlüssels in geöffneter bzw. geschlossener Stellung verriegelt wird. Die Betätigung des Ventils erfolgt direkt durch den Schlüssel (Abb. 16).
    Abb. 16 Schlüsselbetätigtes Ventil
     Schlüsselbetätigtes Ventil
  • Ventilverriegelungseinrichtung (Valve interlocking device)
    Eine Einrichtung, die an ein Ventil montiert wird und je nach Ausführung durch Entnahme des Schlüssels das Ventil in geöffneter oder geschlossener Stellung verriegelt (Abb. 17).
    Abb. 17 Ventilverriegelungseinrichtung
     Ventilverriegelungseinrichtung

3.5   Beispiele von Schlüsseltransfersystemen

Die nachfolgenden Beispiele von Schlüsseltransfersystemen (als Teil der technischen Risikominderung in einem Schutzkonzept) bieten einen Überblick über die Vielfältigkeit der Ausführungsformen für unterschiedlichste Anwendungsarten.
Beispiel für die Absicherungsmöglichkeit einer Wartungsklappe:
Abb. 18 Schematische Darstellung der Absicherung einer Wartungsklappe
 Schematische Darstellung der Absicherung einer Wartungsklappe
Die Absicherung erfolgt in dieser Darstellung über ein Schlüsseltransfersystem bestehend aus einem Schalterelement und einer Zuhaltungseinrichtung. Bei geöffneter Schutztür ist der Schlüssel in der Zuhaltungseinrichtung gefangen und ein Einleiten der gefahrbringenden Bewegung dadurch nicht möglich. Abb. 18 zeigt beispielhaft die Absicherung der Wartungsklappe und das zugehörige Schalterelement in Aufbauausführung. Zusätzlich ist ein Schalterelement in Einbauausführung dargestellt.
Beispiel für die Absicherungsmöglichkeit einer Maschine mit Zugangstür und Wartungsklappe bei Maschinennachlauf:
Abb. 19 Schematische Darstellung der Absicherung einer Maschine mit Zugangstür und Wartungsklappe bei Maschinennachlauf
 Schematische Darstellung der Absicherung einer Maschine mit Zugangstür und Wartungsklappe bei Maschinennachlauf
Das vorliegende Systembeispiel zeigt Komponenten mit Drehschlüssel. Schlüssel A, B und C besitzen jeweils unterschiedliche Kodierungen und passen somit nur in das jeweils gleich kodierte Schloss.
Der Schlüssel (A), der nach Maschinenstillstand freigegeben und entnommen wurde, befindet sich auf dem Transfer vom Schalterelement mit Sperreinrichtung zur Schlüsselwechselstation. Der Kontakt des Schalterelementes ist geöffnet.
Die beiden Schlüssel (B) zum Öffnen der Schutztüren sind in der Schlüsselwechselstation gefangen.
Der persönliche Schlüssel (C) befindet sich gefangen in der Zuhaltungseinrichtung.
Beispiel für die Absicherungsmöglichkeit einer Maschine mit zwei Zugangstüren:
Abb. 20 Beispiel für die Absicherung einer Maschine mit zwei Zugangstüren
 Beispiel für die Absicherung einer Maschine mit zwei Zugangstüren
Das vorliegende Systembeispiel zeigt Komponenten mit Steckschlüssel. Beide Schlüssel besitzen die gleiche Kodierung und passen somit in alle Schlösser des Systems.
Ein Schlüssel ist bereits in der Zuhaltungseinrichtung gefangen und die Zugangstür geöffnet. Der zweite Schlüssel befindet sich auf dem Transfer vom Schalterelement mit Sperreinrichtung zur Zuhaltungseinrichtung.
Die Kontakte des Schalterelementes sind geöffnet.
Die Gefahrenbereiche sind von den Zuhaltungseinrichtungen aus vollständig einsehbar.
Beispiel für die Absicherungsmöglichkeit einer Maschine mit zwei Zugangstüren mittels hybridem Schlüsseltransfersystem:
Abb. 21 Beispiel für die Absicherung einer Maschine mit zwei Zugangstüren mittels hybridem System
 Beispiel für die Absicherung einer Maschine mit zwei Zugangstüren mittels hybridem System
Eine Schutztür wurde nach Stillstand der gefahrbringenden Bewegung geöffnet und der Schlüssel entnommen.
Der Schlüssel befindet sich auf dem Transfer von der Zuhaltungseinrichtung (hybride Komponente) zur mechanischen Zuhaltungseinrichtung. Die Gefahrenbereiche sind von den Zuhaltungseinrichtungen aus vollständig einsehbar.
Beispiel für die Absicherungsmöglichkeit eines Zugangs zu einer Hochspannungsschaltanlage, mit zwangsläufiger Erdung:
Abb. 22 Zugangssicherung einer Hochspannungsschaltanlage, mit zwangsläufiger Erdung (nicht dargestellt)
 Zugangssicherung einer Hochspannungsschaltanlage,

mit zwangsläufiger Erdung (nicht dargestellt)
Das vorliegende Systembeispiel zeigt Komponenten mit Drehschlüssel. Schlüssel A, C und D besitzen jeweils unterschiedliche Kodierungen und passen somit nur in das jeweils gleich kodierte Schloss.
Der Schlüssel A, ist in dem Schalterelement mit Sperreinrichtung gefangen. Die Kontakte des Schalterelementes sind geschlossen.
Der Riegel/Bolzen des Bolzenschlosses (1) ist ausgefahren und sperrt den Erdungsschalter.
Der Riegel/Bolzen des Bolzenschlosses (2) ist eingefahren und der Schlüssel (C) gefangen.
Die Tür zum Zugang der Hochspannungsanlage ist geschlossen und zugehalten.
Der persönliche Schlüssel (D) befindet sich gefangen in der Zuhaltungseinrichtung.
Der Gefahrenbereich ist betretbar und von der Zuhaltungseinrichtung aus nicht vollständig einsehbar.
Beispiel für die Absicherungsmöglichkeit einer Schaltanlage:
Abb. 23 Absicherung einer Schaltanlage
 Absicherung einer Schaltanlage
Das vorangegangene Beispiel zeigt eine Schaltanlage mit zwei Einspeisungen (I + II), die wechselseitig auf die Abgänge geschaltet werden können.
Um einen Kurzschluss zwischen den beiden Einspeisungen zu verhindern, ist die Schaltanlage mit einem Schlüsseltransfersystem ausgestattet. Das Schlüsseltransfersystem besteht aus drei Bolzenschlössern und zwei Schlüsseln mit gleicher Kodierung.
Die jeweiligen Bolzenschlösser dienen zum Blockieren der Trennschalter im ausgeschalteten Zustand.
Im Schaltzustand (A) befinden sich die Schlüssel in den Bolzenschlössern 1 und 2 (Trennschalter 1 und 2 geschlossen). Trennschalter 3 ist im geöffneten Zustand durch Bolzenschloss 3 blockiert.
Im Schaltzustand (B) befinden sich die Schlüssel in den Bolzenschlössern 2 und 3 (Trennschalter 2 und 3 geschlossen). Trennschalter 1 ist im geöffneten Zustand durch Bolzenschloss 1 blockiert.
Im Schaltzustand (C) befinden sich die Schlüssel in den Bolzenschlössern 1 und 3 (Trennschalter 1 und 3 geschlossen). Trennschalter 2 ist im geöffneten Zustand durch Bolzenschloss 2 blockiert.
Da nur zwei Schlüssel vorhanden sind, können nur zwei der drei Trennschalter gleichzeitig geschlossen sein. Dies verhindert zwangsweise einen Kurzschluss.
Beispiel eines Systems aus Komponenten mit Dreh- und Steckschlüssel:
Abb. 24 Schlüsseltransfersystem mit zwei unterschiedlichen Schlüsselausführungen
 Schlüsseltransfersystem mit zwei unterschiedlichen Schlüsselausführungen
Das vorliegende Systembeispiel zeigt Komponenten mit Dreh- und Steckschlüssel. Schlüssel A, B, C, D und V besitzen jeweils unterschiedliche Kodierungen und passen somit nur in das jeweils gleich kodierte Schloss.
Der Drehschlüssel (B) ist im Schalterelement gesteckt. Der Kontakt des Schalterelementes ist geschlossen. Der Drehschlüssel lässt sich nur nach Betätigen des Schalterelementes entnehmen.
Der Steckschlüssel (V) ist in der Ventilverriegelung gefangen. Das Ventil ist geöffnet.
Drehschlüssel (A) ist in der Schlüsselwechselstation 1 gefangen.
Drehschlüssel (C) ist in der Schlüsselwechselstation 2 gefangen.
Der persönliche Schlüssel (D) ist in der Zuhaltungseinrichtung gefangen. Die Schutztür geschlossen und durch die Zuhaltungseinrichtung blockiert.

4   Kriterien für die Auswahl der Systemkomponenten

4.1   Allgemeines

Systemkriterien, die das Schlüsseltransfersystem erfüllen muss, ergeben sich aus der durchgeführten Risiko-/Gefährdungsbeurteilung und dem daraus notwendigen Schutzkonzept.
U. a. sind zu berücksichtigen:
  • Betretbare Gefahrenbereiche
  • Zeitspanne bis zum Erreichen des sicheren Zustandes
  • Umgebungsbedingungen
  • Art der Abschalteinrichtung
    (siehe Abschnitt 3, Bauarten und Funktionsweisen)
  • Zusätzlicher Schutz gegen Wiedereinschalten
    (siehe Abschnitt 11, Lockout/Tagout)
  • Sind bereits Schlüsseltransfersysteme im Einsatz, z. B. Anlagenerweiterung?
    (siehe Abschnitt 9, Änderungen/Ergänzungen des Schlüsseltransfersystems)
  • Vergabe der Codierung (kein System mit selber Codierung auf einem Werksgelände)
  • Generalschlüssel
Die vorangegangenen Kriterien werden in den nachfolgenden Abschnitten konkretisiert.

4.1.1   Betretbare Gefahrenbereiche

Falls Gefahrenbereiche betretbar sind, müssen Maßnahmen ergriffen werden wie beispielsweise:
  • Persönlicher Schlüssel
    Dieser Schlüssel muss von der Bedienperson mit in den Gefahrenbereich genommen werden. Solange der Schlüssel nicht wieder zurück an der Ausgangsposition ist, ist ein Einleiten des gefährlichen Zustands und Einsperren der Bedienperson nicht möglich.
    Mit mehreren Persönlichen Schlüsseln können auch mehrere Personen gleichzeitig geschützt werden.
  • Fluchtentriegelung
    Möglichkeit des manuellen Entsperrens einer Zuhaltung zum Verlassen des Gefahrenbereichs ohne Hilfsmittel von der Fluchtseite (Gefahrenbereich).
    Zusätzlich muss sichergestellt werden, dass ein Einleiten des gefährlichen Zustands nicht möglich ist, solange die Fluchtentriegelung nicht zurückgesetzt wurde.

4.1.2   Zeitspanne bis zum Erreichen des sicheren Zustandes

Ist die Nachlaufzeit der Maschine/Anlage kürzer als die Schlüsseltransferzeit zur Realisierung der sicherheitsrelevanten Funktion, kann auf zusätzliche Zeitverzögerungseinrichtungen verzichtet werden.
Sind an einer Maschine längere Nachlaufzeiten vorhanden, müssen Zeitverzögerungseinrichtungen oder Schalterelemente mit Sperreinrichtung in Verbindung mit z. B. Stillstandsüberwachungseinrichtungen eingesetzt werden. Unnötig lange Wegstrecken zwischen einzelnen Komponenten, zur Verlängerung der Schlüsseltransferzeit, sollten Zeitverzögerungseinrichtungen nicht ersetzen.

4.1.3   Umgebungsbedingungen

Um ein geeignetes Schlüsseltransfersystem auswählen zu können, muss der Betreiber ermitteln, welche Umgebungsbedingungen am Einsatzort vorliegen.
Ein Überblick möglicher Umgebungsbedingungen ist in Anhang A gegeben.

4.1.4   Schlüsselkodierungen

Bei Verwendung von mehr als einem Schlüsseltransfersystem in einem Produktions-/Anlagenbereich muss der Betreiber Informationen über bereits vorhandene Schlüsseltransfersysteme dem Lieferanten mitteilen. Hierbei ist insbesondere darauf zu achten, dass doppelte Kodierungen vermieden werden (siehe auch Anhang B).
Werden Schlüsseltransfersysteme an ortsveränderlichen Betriebsmitteln verwendet, muss der Betreiber darauf achten, dass keine Betriebsmittel mit gleicher Kodierung an einem Ort verwendet werden.

4.1.5   Generalschlüssel

Um in unvorhersehbaren Situationen (z. B. Feuer, Rettungsfälle, Lieferzeitüberbrückung bei Ersatzbeschaffung von defekten Schlüsseln) Zugang zu ermöglichen/Stillstandszeiten zu vermeiden, können Generalschlüssel verwendet werden. Es muss sichergestellt werden, dass organisatorische Maßnahmen durch den Anlagenbetreiber getroffen werden, die einen Missbrauch verhindern (z. B. gesicherte Aufbewahrung und Ausgabe gegen Unterschrift an berechtigte Personen). Der Generalschlüssel darf nicht für den normalen, dauerhaften Anlagenbetrieb genutzt werden (siehe auch Abschnitt 6.5.2 und Anhang B).

4.2   Lastenheft für die Realisierung der Sicherheitsfunktion

Die in einem Schlüsseltransfersystem vorgegebene Ablauffolge (Schlüsseltransfer) zur Betätigung einzelner Komponenten dient dem Ziel, die Sicherheitsfunktion zu realisieren. Die Ablauffolge wird im Schlüssellaufplan dargestellt. Die Realisierung der Sicherheitsfunktionen erfolgt durch Zusammenspiel verschiedener Systemkomponenten.
Um die Sicherheitsfunktion mit einem Schlüsseltransfersystem zu realisieren, sind u. a. folgende Punkte zu beachten:
  • Applikation mit Angabe der Spezifikation der Sicherheitsfunktionen
  • Umgebungsbedingungen
  • Zuhaltekraft
  • Angabe des erforderlichen Performance Levels
  • Zykluszeit
  • Schaltspiele (Anzahl Betätigungen pro Jahr)

5   Auswahlverfahren

Die Auswahl der Komponenten ergibt sich aus den zusammengestellten Systemkriterien (siehe Abschnitt 4) und dem applikationsabhängigen Schutzkonzept.
Das Schlüsseltransfersystem sollte in Abstimmung mit dem Hersteller bzw. Lieferanten zusammengestellt werden, um eine für die Applikation optimale Lösung zu erhalten. In einem zu erstellenden Schlüssellaufplan sind die erforderlichen Komponenten aufzuführen und der Transfer der Schlüssel ist darzustellen.
Zur Unterstützung der Erstellung eines Schlüssellaufplans können ggf. herstellerspezifische Softwaretools genutzt werden.

6   Anbringung

6.1   Allgemeines

Die ordnungsgemäße Anordnung und Montage ist in Bezug auf die Betätigung von Komponenten eines Schlüsseltransfersystems ein wichtiger Punkt.
Dabei spielen Kriterien wie Erreichbarkeit, Bedienbarkeit, Lageänderung, Schutz vor Beschädigungen und Umgehbarkeit eine entscheidende Rolle.
Grundsätzlich sind die Anforderungen an Anordnung und Befestigung entsprechend DIN EN ISO 14119 [5] zu beachten.
Die bei der Risikobeurteilung festgelegten Grenzen der Maschine (z. B. Bestimmungsgemäße Verwendung, vorhersehbare Fehlanwendung, Personal) sind bei der Anbringung ebenfalls zu berücksichtigen.

6.2   Anordnung und Zugänglichkeit

Die sinnvolle Anordnung der Komponenten eines Schlüsseltransfersystems in Bezug auf leichte Erreichbarkeit und Betätigung muss auch die Wartung, Instandhaltung und Prüfung berücksichtigen.
Beispielhafte Bewertungskriterien:
  • Erreichbarkeit ohne Hilfsmittel
  • Anordnung außerhalb des Gefahrenbereiches
  • Ergonomische Anordnung
  • Einbaulagen
  • Umgebungsbedingungen
  • Spezielle Angaben des Herstellers

6.3   Sicherung gegen Lageänderung

Wo die Lageänderung der Bauteile zu einem Verlust der Sicherheitsfunktion führen kann, sind Maßnahmen gegen Selbstlockern der Befestigungselemente vorzusehen. Dies ist beispielsweise durch die Verwendung von Schraubensicherungskleber möglich.
Ein genaues Fluchten des Bolzens/Betätigers mit den entsprechenden Gegenstücken (siehe Abschnitt 3.2) mindert übermäßigen Verschleiß, die Wahrscheinlichkeit der Zerstörung der mechanischen Bauteile oder das Ausfahren des Bolzens ins Leere.
Bei Befestigung des Betätigers ist darauf zu achten, dass die Schutzwirkung der Schutzeinrichtung im gesteckten Zustand des Betätigers gegeben ist. Verfügt der Betätiger über Ausgleichselemente (z. B. Federn, Ketten, Rasten), so darf der Spalt zwischen beweglichem und feststehendem Teil der Schutzeinrichtung bei gestecktem Betätiger nur so groß sein, dass die Gefahrstelle nicht erreicht werden kann.

6.4   Schutz gegen Beschädigung

Die Komponenten des Schlüsseltransfersystems sind so anzuordnen, dass sie den zu erwartenden Beanspruchungen standhalten können. Hierbei sind Arbeitsumgebung, Zuhaltekräfte, Umwelteinflüsse sowie das Handling von Produkten und Materialien zu berücksichtigen.
Zuhaltungseinrichtungen sind so anzuordnen, dass sie beim Schließen der Schutzeinrichtung nicht beschädigt werden. Sie dürfen nicht als mechanischer Anschlag verwendet werden, sofern sie nicht dafür vorgesehen sind. Wenn erforderlich, ist ein separater Anschlag anzubringen.
Bei der Wahl der Leitungseinführung und beim Verlegen von Anschlussleitungen ist darauf zu achten, dass die IP-Schutzart erhalten bleibt. Leitungseinführungen sind ggf. so abzudichten, dass keine Flüssigkeiten und Fremdkörper, z. B. Regenwasser, Bohremulsion, Reinigungswasser oder Staub in das Gehäuseinnere eindringen können. Abb. 25 und Abb. 26 stellt die Problematik an einem Bolzenschloss mit Stellungsüberwachung beispielhaft dar.
Abb. 25 Beispiele für nicht empfohlene Leitungseinführungen
 Beispiele für nicht empfohlene Leitungseinführungen
Abb. 26 Beispiele für empfohlene Leitungseinführungen
 Beispiele für empfohlene Leitungseinführungen
Bei der Anbringung von Systemkomponenten mit elektrischen Anschlussleitungen ist darauf zu achten, dass der vom Leitungshersteller vorgegebene Biegeradius nicht unterschritten wird. Liegen keine Angaben vor, so sollte wie in Abb. 27 dargestellt, mindestens ein Biegeradius von r ≥ 5 d (bei beweglichen Leitungen von r ≥ 10 d) eingehalten werden.
Abb. 27 Beachten eines ausreichenden Biegeradius
Abb. 27 Beachten eines ausreichenden Biegeradius
Zu beachten:
  • nicht benutzte Einführungsöffnungen durch Gewindestopfen verschließen
  • nicht mehrere Leitungen durch eine Leitungseinführung führen
In besonders ungünstigen Anwendungsfällen ist der Einsatz von Schutzschlauchverschraubungen empfehlenswert. Hierbei hält der Schutzschlauch die Umwelteinflüsse von Leitung und Leitungseinführung fern.
Abb. 28 Beispiel einer Schutzschlauchfixierung
 Beispiel einer Schutzschlauchfixierung
Bei der Verlegung von Anschlussleitungen sind folgende Punkte zu beachten:
  • Leitungslängen und Leiterquerschnitte nach Herstellerangaben
  • möglichst getrennte Verlegung zu Energieleitungen
  • ggf. zusätzliche Maßnahmen zur Verbesserung der elektromagnetischen Störfestigkeit
  • Leitungen vor mechanischen Beschädigungen schützen

6.5   Umgehen

Umgehen, auch Manipulation genannt, umfasst jegliche Handhabung an Schutzeinrichtungen, mit dem Ziel die Schutzwirkung aufzuheben.
Anreize für ein Umgehen von Schutzeinrichtungen können beispielsweise sein:
  • Schutzeinrichtungen behindern den Arbeitsablauf
  • Vom Bediener auszuführende Tätigkeiten (z. B. Reinigen, Fehlersuche, Reparatur, Einrichten) wurden bei der Konstruktion der Maschine nicht berücksichtigt.
  • Zeitersparnis zu Lasten der Sicherheit (z. B. Vermeidung von Unterbrechungen, schnellere/höhere Produktion)
  • unzureichende Ergonomie (leichteres, bequemeres Handling, geringere körperliche Anstrengung, kürzere Arbeitswege)
Die wirksamste Maßnahme, um ein Umgehen zu vermeiden, ist die konstruktive Gestaltung der Maschine einschließlich aller Schutzeinrichtungen so auszuführen, dass Anreize zum Umgehen beseitigt, zumindest aber minimiert werden.
Das heißt, eine Maschine muss ihre vorgesehenen Funktionen während ihrer Lebensdauer bei hinreichend verringertem Risiko ausführen können, ohne dass Umgehen von Schutzeinrichtungen nennenswerte Vorteile bringen, z. B. durch die Wahl geeigneter Betriebsarten.
DIN EN ISO 14119 [5] beschreibt im Anhang H ein Verfahren, um Anreize zum Umgehen von Verriegelungseinrichtungen abschätzen und bewerten zu können. Dieses Verfahren wird benutzt, um den Manipulationsanreiz zu minimieren. Ggf. werden Maßnahmen ergriffen, um die Manipulation zu erschweren. Dieses Verfahren ist auch für Schlüsseltransfersysteme anwendbar (siehe Abb. 29).
Praktische Hilfestellungen zur systematischen Erfassung von Manipulationsanreizen sind zu finden unter: www.stopp-manipulation.org [7], Stichwort: „Manipulationsanreiz“.
Zusätzlich zur weitest gehenden Minimierung von Manipulationsanreizen aufgrund konstruktiver Eigenschaften der Maschine, müssen Schlüsseltransfersysteme selbst einen Beitrag zur Verringerung der Umgehungsmöglichkeiten leisten. Sie müssen deshalb so ausgewählt und angebracht sein, dass sie nicht auf eine vernünftigerweise vorhersehbare Art, d. h. von Hand oder durch Benutzung eines leicht verfügbaren Gegenstandes, umgangen werden können.
Leicht verfügbare Gegenstände können auch Ersatzschlüssel und Ersatzbetätiger sein (siehe hierzu auch Abschnitt 2, „Begriffe“: Umgehen auf eine vernünftigerweise vorhersehbare Art, Anmerkung 2), speziell, wenn sie im Betrieb mehrfach vorgehalten werden.
Abb. 29 Methodik zur Bestimmung und Beseitigung von Umgehungsmöglichkeiten [5]
 Methodik zur Bestimmung und Beseitigung von Umgehungsmöglichkeiten
Als Umgehen auf vernünftigerweise vorhersehbare Art gilt nicht ein aufwändiges Unwirksammachen von Schutzfunktionen wie z. B.
  • das Demontieren oder Verschieben mittels „schwerer Werkzeuge“ (z. B. Brecheisen, Trennschleifer)
  • das Überbrücken der Kontakte
  • Selbstanfertigung eines Schlüssels oder Betätigers
Bei der Anwendung von Schlüsseltransfersystemen kann es jedoch in besonderen Situationen erforderlich sein, mittels geeigneter Maßnahmen einen Zugang zum Gefahrenbereich zu ermöglichen oder einen vorübergehenden Betrieb zuzulassen, der von der festgelegten Betriebsweise des Schlüsseltransfersystems abweicht. Hierbei kommt es zu einer reduzierten Sicherheit, der sich der Anwender bewusst sein muss und sicherzustellen hat, dass ein Missbrauch verhindert wird (siehe dazu Abschnitt 4.1.5 und 6.5.2).

6.5.1   Zusätzliche Maßnahmen zur Verringerung von Umgehungsmöglichkeiten durch den Anwender/Maschinenhersteller

Die im Folgenden genannten Maßnahmen können entsprechend Risikobeurteilung, einzeln oder in Kombination zur Verringerung von Umgehungsmöglichkeiten beitragen:
  • Verwendung von unterschiedlichen Systemkodierungen, wenn mehrere Schlüsseltransfersysteme am Aufstellungsort der Maschine vorhanden sind.
  • Verwendung von nicht lösbaren Befestigungen (z. B. Schweißen, Kleben, Einwegschrauben, Nieten), insbesondere zur Befestigung des Betätigers bei Zuhaltungseinrichtungen.
  • Zustandsüberwachung/Plausibilitätsprüfung.
Die Steuerung erwartet beispielsweise das Öffnen einer Tür in einem bestimmten Maschinenzyklus oder nach einer bestimmten Zeit. Das Fehlen des Steuersignals kann auf ein Umgehen hinweisen.

6.5.2   Maßnahmen bei Verwendung eines Generalschlüssels

In besonderen Situationen (z. B. Rettungseinsätze) kann die Verwendung eines Generalschlüssels erforderlich sein, um in den geschützten Maschinenbereich zu gelangen.
Wenn in der täglichen Nutzung des Schlüsseltransfersystems ein Schlüssel beschädigt wird oder verloren geht, kann für den Zeitraum der Wiederbeschaffung beim Hersteller der Generalschlüssel verwendet werden, um Stillstandzeiten der Maschine zu vermeiden und somit die Grundlage für einen Manipulationsanreiz zu nehmen.
Durch organisatorische Maßnahmen ist sicher zu stellen, dass nur befugte Personen Zugriff auf den Generalschlüssel haben. Die Ausgabe und Rücknahme des Generalschlüssels ist durch den „Schlüsselverantwortlichen“ zu dokumentieren (siehe Anhang B).
Bedingt durch die bessere Kontrollierbarkeit eines einzelnen Generalschlüssels, verringert sich die Wahrscheinlichkeit eines Umgehens, im Vergleich zum Vorhalten mehrerer Ersatzschlüssel.
Bei der Verwendung eines Generalschlüssels, speziell in Verbindung mit mehreren Maschinen ist jedoch zu berücksichtigen, dass dieser in der Regel auf alle Schlösser der gleichen Produktlinie eines Schlüsseltransfersystems passt.
Hersteller- und systemabhängig sind auch Generalschlüssel mit eingeschränkter Kodierung und somit eingeschränkter Verwendungsmöglichkeit realisierbar.
Alternativ zum Generalschlüssel können auch Zuhaltungen mit Hilfsentriegelung oder Notentsperrung eingesetzt werden.
Diese Möglichkeiten und die sich daraus ergebenden Auswirkungen bei der Anwendung, sind vorab innerhalb der Gefährdungsbeurteilung nach Betriebssicherheitsverordnung vom Anwender zu berücksichtigen.
Abb. 30 Mögliche Sicherung eines Generalschlüssels (Steckschlüsselsystem)
 Mögliche Sicherung eines Generalschlüssels

(Steckschlüsselsystem)

7   Informationen

Wichtige Informationen für die Inbetriebnahme und der Realisierung von Sicherheitsfunktionen mit Schlüsseltransfersystemen sind:
  • Betriebsanleitung
  • Schlüssellaufplan
  • Konformitätserklärung
  • Kennzeichnung

7.1   Betriebsanleitung

Die Betriebsanleitung muss in der Amtssprache des Verwendungslandes vorliegen und neben der bestimmungsgemäßen Verwendung auch die vernünftigerweise vorhersehbare Verwendung (Fehlanwendung) berücksichtigen. Damit dem Endanwender die notwendigen Informationen des Schlüsseltransfersystems zur Verfügung stehen, sollten abweichende Sprachfassungen beim Kauf des Schlüsseltransfersystems mitbestellt werden.
Wesentlicher Bestandteil der Betriebsanleitung eines Schlüsseltransfersystems ist der Schlüssellaufplan.
Für Schlüsseltransfersysteme sind sowohl Mindestangaben zum System, als auch zu den Komponenten unter Berücksichtigung der Applikation aufzuführen.
Neben den gesetzlich vorgeschriebenen Mindestangaben und den unter Abschnitt 4 genannten Auswahlkriterien, sind insbesondere folgende anwendungsbezogene Herstellerangaben zu beachten:
Angaben für Systeme:
  • Verwendungshinweise bzgl. unterschiedlicher Kodierungen am selben Standort
  • Spezifikation der Sicherheitsfunktion(en)
  • Systembezeichnung und allgemeine Beschreibung des Systems
  • Beschreibung der bestimmungsgemäßen Verwendung, inkl. Umgebungs-, Einsatzbereiche
  • Angabe zu vernünftigerweise vorhersehbarer Verwendung (Fehlanwendung)
  • Zeichnungen, Schaltpläne, Beschreibungen und Erläuterungen die für Verwendung, Wartung, Instandsetzung und Überprüfung/Störungsbeseitigung notwendig sind
  • Anleitung zur Montage, zum Aufbau und Anschluss (inkl. Zeichnungen, Schaltplänen, Befestigung, erforderliche Kurzschlussschutzeinrichtungen, Schaltvermögen/-spannung der Ausgänge)
  • Hinweise zur Inbetriebnahme und Betrieb (ggf. Hinweise zur Ausbildung/Einarbeitung/Schulung der Bediener)
  • Angabe von Restrisiken
  • Angabe der Kategorie und des Performance Levels gemäß ISO 13849-1[3] (inkl. Angabe der Fehlerausschlüsse)
  • Hinweis, dass das Gesamtkonzept (Maschine/Anlage) in welches das Schlüsseltransfersystem eingebunden wird, nach DIN EN ISO 13849-2 [4] zu validieren ist.
  • Angaben zur Funktionsprüfung
  • Ggf. Hinweise, die die Risiken der Verfügbarkeit eines Generalschlüssels erörtern und die Angabe, dass und wie dieser Schlüssel sicher zu überwachen ist.
  • Ggf. Hinweise, dass wenn aufgrund der Risikobewertung nicht ausgeschlossen werden kann, dass Personen im Gefahrenbereich eingeschlossen werden können, Zuhaltungseinrichtungen mit persönlichem Schlüssel zu verwenden sind.
Angaben für Komponenten:
  • Komponentenbezeichnung und allgemeine Beschreibung der Komponente (mit detaillierten Angaben z. B. Zuhaltekraft bei Zuhaltungseinrichtungen)
  • Angabe zu vernünftigerweise vorhersehbarer Verwendung (Fehlanwendung)
  • Zeichnungen, Schaltpläne, Beschreibungen und Erläuterungen die für Verwendung, Wartung, Instandsetzung und Überprüfung/Störungsbeseitigung notwendig sind
  • Anleitung zur Montage, zum Aufbau und Anschluss (inkl. Zeichnungen, Schaltplänen, Befestigung, erforderliche Kurzschlussschutzeinrichtungen, Schaltvermögen/-spannung der Ausgänge)
  • Hinweise zur Inbetriebnahme und Betrieb (ggf. Hinweise zur Ausbildung/Einarbeitung/Schulung der Bediener)
  • Angabe von Restrisiken
  • Hinweise zur Einbindung von Verzögerungseinrichtungen in Bezug auf das Zeitverhalten
  • Technische Daten (z. B. minimaler/maximaler Betätigungsradius, bei gebogenem oder vorgespanntem Betätiger, Maximale Betätigungszahl/Schaltspielzahl (mechanisch, elektrisch), MTTFD, PFHD oder B10 D-Werte
  • Hinweis dass die Zuhaltung nicht als mechanischer Anschlag verwendet werden darf, außer sie ist dafür konstruiert.
  • Angabe der Gebrauchslage

7.2   Schlüssellaufplan

Der Schlüssellaufplan ist Bestandteil der Betriebsanleitung. Er kann auch separat der Betriebsanleitung beigefügt sein.
Der Schlüssellaufplan stellt die Anzahl der Komponenten und den Schlüssellauf der applikationsspezifischen Anwendung dar.
Da es keine genormten Symbole für die Funktionsdarstellungen in Schlüssellaufplänen gibt, ist die Darstellung in den nachfolgend dargestellten Schlüssellaufplänen beispielhaft. Eine jeweilige Legende erklärt die Symbolik. Abweichende Darstellungen sind jederzeit möglich.
Abb. 31 Beispiel für einen Schlüssellaufplan zu einem Schlüsseltransfersystem mit mechanischen Komponenten
 Beispiel für einen Schlüssellaufplan zu einem Schlüsseltransfersystem mit mechanischen Komponenten
Abb. 32 Beispiel für einen Schlüssellaufplan zu einem Schlüsseltransfersystem mit mechanischen und elektromechanischen Komponenten
 Beispiel für einen Schlüssellaufplan zu einem Schlüsseltransfersystem mit mechanischen und elektromechanischen

Komponenten
Abb. 33 Beispiel für einen Schlüssellaufplan zu einem Schlüsseltransfersystem mit hybrider Komponente
 Beispiel für einen Schlüssellaufplan zu einem Schlüsseltransfersystem mit

hybrider Komponente

7.3   Kennzeichnung

Zusätzlich zu den Vorgaben aus der EG-Maschinenrichtlinie (2006/42/EG) [1] muss bei einem Schlüsseltransfersystem die eindeutige Zuordnung der einzelnen Komponenten zu dem zugehörigen System erkennbar sein.
Diese Identifizierungen spielen im Störungsfall, sowie bei Kodierungsfragen, z. B. für die Ersatzteilbeschaffung eine wichtige Rolle.
Bei Zuhaltungseinrichtungen muss zusätzlich die Zuhaltekraft angegeben sein.

7.4   Konformitätserklärung

Beim Inverkehrbringen des Schlüsseltransfersystems oder der Komponente, muss dem Produkt eine Konformitätserklärung nach Anhang II A der EG-Maschinenrichtlinie (2006/42/EG) [1] beigefügt sein.
Da für Schlüsseltransfersysteme keine harmonisierte Norm existiert, muss auf der Konformitätserklärung des Systems entweder
  • die benannte Stelle angegeben sein, die eine EG-Baumusterprüfung für das System durchgeführt hat
  • oder
  • die benannte Stelle angegeben sein, die das umfassende Qualitätssicherungssystem zugelassen hat.

7.5   Konfiguration von Schlüsseltransfersystemen durch den Maschinenhersteller

Bildet ein Maschinenhersteller aus einzelnen Komponenten ein Schlüsseltransfersystem und baut dieses in eine Maschine ein, so ist der Schlüssellaufplan Teil der technischen Dokumentation der Maschine.

8   Funktionsprüfungen

8.1   Systemprüfung durch den Maschinenhersteller

Im Rahmen des Konformitätsbewertungsverfahrens nach Maschinenrichtlinie, hat der Maschinenhersteller unter anderem eine Funktionsprüfung durchzuführen.

8.1.1   Systemvalidierung

Innerhalb des Konformitätsbewertungsverfahrens, spielt die Validierung des sicherheitsrelevanten Teils der Steuerung eine besondere Rolle.
Dabei ist der vom Hersteller der Maschine ermittelte erforderliche Performance Level (PLr) mit dem realisierten Performance Level zu vergleichen. Diese Validierung umfasst die jeweilige Sicherheitsfunktion der Maschine, von den Sensoren zu den Aktoren. Das Schlüsseltransfersystem kann Teil dieser Kette sein, oder die Sicherheitsfunktion alleine realisieren.
Die Grundlagen und Ausführungsbestimmungen für die Systemvalidierung sind in der harmonisierten Norm DIN EN ISO 13849-2 [4] aufgeführt.

8.2   Systemprüfung durch den Betreiber

Nach § 14–16 der Betriebssicherheitsverordnung [6] hat jeder Arbeitgeber sicherzustellen, dass Arbeitsmittel auf Grundlage der Gefährdungsbeurteilung
  • vor der ersten Inbetriebnahme
  • innerhalb bestimmter Fristen
  • nach außergewöhnlichen Ereignissen, die schädigende Auswirkungen auf die Sicherheit haben können (z. B. Unfälle, längere Nichtbenutzung, Veränderungen oder Naturereignisse)
  • nach Änderungen oder Instandsetzungen, die die Sicherheit beeinträchtigen können,
durch eine befähigte Person auf ihren sicheren Betrieb geprüft werden.
Speziell die an der Maschine/Anlage angebrachten Schutzeinrichtungen unterliegen den vorgenannten Prüfungen. Das Prüfintervall, sowie Art und Umfang der Prüfungen muss vom Arbeitgeber innerhalb der durchzuführenden Gefährdungsbeurteilung nach § 3 Betriebssicherheitsverordnung [6] ermittelt werden. Dabei sind die Höchstfristen für bestimmte Einrichtungen (Krane, Flüssiggasanlagen, maschinentechnische Arbeitsmittel der Veranstaltungstechnik, überwachungsbedürftige Anlagen) zu beachten.
Die befähigte Person, die die Prüfungen durchführt, muss durch ihre Berufsausbildung, ihre Berufserfahrung und ihre zeitnahe berufliche Tätigkeit über die erforderlichen Fachkenntnisse zu diesen Arbeitsmitteln verfügen.
Dies können Personen des eigenen Unternehmens oder externe Dienstleister sein.
Nach erfolgter Prüfung sind die Ergebnisse aufzuzeichnen und mindestens bis zur nächsten Prüfung aufzubewahren. Auf Verlangen können die zuständigen Arbeitsschutzbehörden diese Ergebnisse einsehen.

8.2.1   Prüfungen vor der ersten Inbetriebnahme (§ 14 Abs. 1, § 15 BetrSichV [6])

Im Rahmen einer vollständigen Prüfung sollte der Betreiber der Maschine mindestens die nachfolgenden Punkte für Schlüsseltransfersysteme berücksichtigen:
  • Ordnungsgemäße Befestigung aller Komponenten
  • Prüfung der Schutzstellung und der sicheren Zuhaltung
  • Prüfung des funktionalen Ablaufs des Schlüsseltransfersystems
  • Prüfung der Kodierung/Schlüsselreihenfolge
  • Prüfung bezüglich Umgehen (siehe DIN EN ISO 14119 [5])
  • Prüfung der Verzögerungseinrichtungen und des zeitlichen Ablaufs des Schlüsseltransfers in Bezug auf den Maschinennachlauf
  • Prüfung, ob alle Schlüssel sich während des Maschinenlaufs in gesicherter Stellung befinden und nicht entfernt werden können
  • Prüfung von elektr. Überwachungsfunktionen einzelner Komponenten
  • Funktionsprüfung der sicherheitsrelevanten Funktion

8.2.2   Wiederkehrende Prüfungen (§ 14 Abs. 2 ff., § 16 BetrSichV [6])

Wiederkehrende Prüfungen sind innerhalb bestimmter Fristen, nach außergewöhnlichen Ereignissen oder nach Änderungen/Instandsetzungen, die die Sicherheit beeinträchtigen können, durchzuführen.
Kriterien siehe Abschnitt 8.2.1.

9   Änderungen/Ergänzungen des Schlüsseltransfersystems

Gemäß Bekanntmachung des BMAS vom 09.04.2015 – IIIb5-39607-3 –, „Interpretationspapier zum Thema: Wesentliche Veränderung von Maschinen.“ [8], ist bei jeder Veränderung an einer Maschine zu untersuchen, ob diese eine sicherheitsrelevante Auswirkung hat.
Bei Veränderungen (z. B. Umbau, Erweiterungen) von Maschinen/Anlagen, muss demnach das vorhandene Sicherheitskonzept dahingehend überprüft werden, ob es seine Schutzwirkung noch in vollem Umfang hinsichtlich aller Gefährdungen/Risiken erfüllt. Hierbei ist der Stand der Technik (Betriebssicherheitsverordnung [6], § 2 (10)) zu berücksichtigen.
Stellt sich heraus, dass durch
  • neue Betriebsbedingungen
  • neue Sicherheitsfunktionen
  • neue Komponenten
  • neuer Ablauf des Schlüssellaufs
Änderungen oder Ergänzungen des Schlüsseltransfersystems erforderlich sind, müssen die Auswahlkriterien entsprechend Abschnitt 4 für die Systemänderung berücksichtigt werden. Für die weitere Auswahl der Komponenten ist Abschnitt 5 zu beachten.
Nach einer Veränderung an einem Schlüsseltransfersystem hat der Betreiber sicherzustellen, dass dieses entsprechend Abschnitt 8 zu prüfen und zu validieren ist. Zusätzlich ist eine Anpassung der technischen Dokumentation (z. B. Prüfdokumentation, Schlüssellaufplan) vorzunehmen.

10   Anwendungsbeispiele

Die gezeigten Beispiele stellen Sicherheitskonzepte mit Schlüsseltransfersystemen dar.
Dabei ist in der schematischen Darstellung der Schlüssellauf zwischen den Komponenten des Systems abgebildet. Verschiedene Schlüsselkodierungen mit jeweils zugehörigen Schlössern sind farblich dargestellt.
Zusätzlich werden die im System verbauten Komponenten applikationsspezifisch gezeigt. Die Ausführung der gezeigten Komponenten ist dabei herstellerunabhängig zu sehen.
Die dargestellten Beispiele mittels Schlüsseltransfersystem geben eine mögliche Vorgehensweise wieder.
Abb. 34 Beispiel 1
 Beispiel 1
iBeispiel 1
Aufgabe:
Absicherung einer Wartungsklappe an einer Maschine. Der Gefahrenbereich hinter der Wartungsklappe ist nicht betretbar. Der Eingriff in den Gefahrenbereich darf nur bei Stillstand der gefahrbringenden Bewegung erfolgen. Ein Nachlauf der gefahrbringenden Bewegung1 findet nicht statt.
Realisierungsvorschlag:
Die Absicherung erfolgt in diesem Beispiel mit Hilfe eines Schlüsseltransfersystems, bestehend aus einem Bolzenschloss und einer Zuhaltungseinrichtung.
Die vorhandene Netztrenneinrichtung wird durch den ausgefahrenen Bolzen eines Bolzenschlosses, in der „Aus“-Stellung blockiert. Nur in dieser Stellung kann der Schlüssel am Bolzenschloss entnommen und danach das Schloss der Zuhaltungseinrichtung, an der Wartungsklappe betätigt werden. Die Wartungsklappe lässt sich nun öffnen. Eine Entnahme des Schlüssels ist bei geöffneter Wartungsklappe nicht möglich. Das Wiedereinschalten der Maschine an der Netztrenneinrichtung ist nur in umgekehrter Ablauffolge möglich.
Komponenten:
Komponenten:
iBeispiel 2
Aufgabe:
Zwei Wartungsklappen an einer Maschine sollen abgesichert werden. Die Maschine darf nur durch autorisiertes Personal ausgeschaltet werden. Der Gefahrenbereich hinter den Wartungsklappen ist nicht betretbar. Der Eingriff in den Gefahrenbereich darf nur bei Stillstand der gefahrbringenden Bewegung erfolgen. Ein Nachlauf der gefahrbringenden Bewegung2 findet nicht statt.
Realisierungsvorschlag:
Die Absicherung erfolgt in diesem Beispiel mit Hilfe eines Schlüsseltransfersystems, bestehend aus einem Schalterelement mit einem Eingangsschlüssel und zwei Ausgangsschlüsseln und zwei Zuhaltungseinrichtungen.
Der Eingangsschlüssel wird von dem autorisierten Personal in das Schalterelement eingesteckt. Durch Betätigung des Schalterelementes wird die gefahrbringende Bewegung stillgesetzt.
Nur in dieser Stellung können die beiden Ausgangsschlüssel entnommen und damit die Schlösser der Zuhaltungseinrichtungen, an den Wartungsklappen betätigt werden. Die Wartungsklappen lassen sich nun öffnen. Die Entnahme des Schlüssels ist bei geöffneter Wartungsklappe nicht möglich. Die Betätigung des Schalterelementes ist nur in umgekehrter Ablauffolge möglich.
Abb. 35 Beispiel 2
 Beispiel 2
Komponenten:
Komponenten:
iBeispiel 3
Aufgabe:
Drei Zugangstüren sollen an einer Maschine abgesichert werden. Der Gefahrenbereich ist durch jeden Zugang betretbar. Die gefahrbringenden Bewegungen3 besitzen einen Nachlauf und sollen zentral stillgesetzt werden. Der Zugang darf nur bei Stillstand der gefahrbringenden Bewegungen erfolgen.
Realisierungsvorschlag:
Die Absicherung erfolgt in diesem Beispiel mit Hilfe eines Schlüsseltransfersystems, bestehend aus einem Schalterelement mit Sperreinrichtung, einer Schlüsselwechselstation und drei Zuhaltungseinrichtungen (jeweils mit persönlichem Schlüssel).
Der Schlüssel des Schalterelementes mit Sperreinrichtung kann erst nach Beendigung der gefahrbringenden Bewegungen entnommen werden.
Mit diesem Schlüssel können in einer Schlüsselwechselstation die drei Ausgangsschlüssel freigegeben und entnommen und damit die Schlösser der Zuhaltungseinrichtungen betätigt werden. Nach Betätigung des persönlichen Schlüssels können die Zugangstüren geöffnet werden. Der persönliche Schlüssel kann entnommen und vom Bediener mitgenommen werden. Die Entnahme des Eingangsschlüssels aus der Zuhaltungseinrichtung ist bei geöffneter Zugangstür oder entnommenem persönlichen Schlüssel nicht möglich. Die Betätigung des Schalterelementes mit Sperreinrichtung ist nur in umgekehrter Ablauffolge möglich.
Schematische Darstellung des Schlüssellaufs:
Abb. 36 Beispiel 3
 Beispiel 3
Komponenten:
Komponenten:
iBeispiel 4
Aufgabe:
Die Zugangstür an einer Maschine soll abgesichert werden. Der Gefahrenbereich ist betretbar. Die gefahrbringenden Bewegungen sollen zentral stillgesetzt werden. Der Zugang darf nur bei Stillstand der gefahrbringenden Bewegungen erfolgen. Ein Nachlauf der gefahrbringenden Bewegungen4) findet nicht statt. Der Einrichtbetrieb soll bei geöffneter Schutztür, unter definierten Bedingungen möglich sein. Der Automatikbetrieb darf während des Einrichtbetriebs nicht möglich sein.
Realisierungsvorschlag:
Die Absicherung erfolgt in diesem Beispiel mit Hilfe eines Schlüsseltransfersystems, bestehend aus zwei Schalterelementen und einer Zuhaltungseinrichtung mit einem Eingangs- und einem Ausgangsschlüssel.
Durch Betätigung des Schalterelementes 1 wird die gefahrbringende Bewegung stillgesetzt.
Nur in dieser Stellung kann der Schlüssel entnommen und damit das Schloss der Zuhaltungseinrichtung, an der Zugangstür betätigt werden. Die Zugangstür lässt sich nun öffnen. Der Ausgangsschlüssel der Zuhaltungseinrichtung kann entnommen werden. Mit diesem Schlüssel kann jetzt das Schalterelement 2, das im Gefahrenbereich angeordnet ist, betätigt werden. Der Einrichtbetrieb ist jetzt möglich.
Die Entnahme des Eingangsschlüssels aus der Zuhaltungseinrichtung ist bei geöffneter Zugangstür oder entnommenem Ausgangsschlüssel nicht möglich. Die Betätigung des Schalterelementes 1 ist nur in umgekehrter Ablauffolge möglich.
Schematische Darstellung des Schlüssellaufs:
Abb. 37 Beispiel 4
 Beispiel 4
Komponenten:
Komponenten:
iBeispiel 5
Aufgabe:
Die Wartungsklappe an einer Maschine soll abgesichert werden. Der Gefahrenbereich hinter der Wartungsklappe ist nicht betretbar. Der Eingriff in den Gefahrenbereich darf nur bei Stillstand der gefahrbringenden Bewegungen (elektrisch und pneumatisch) erfolgen. Ein Nachlauf der gefahrbringenden Bewegungen5 findet nicht statt.
Realisierungsvorschlag:
Die Absicherung erfolgt in diesem Beispiel mit Hilfe eines Schlüsseltransfersystems, bestehend aus einem Schalterelement, einer Ventilverrieglung und einer Zuhaltungseinrichtung mit zwei Schlössern.
Durch Betätigung des Schalterelementes wird eine gefahrbringende Bewegung stillgesetzt. Durch Betätigung der Ventilverriegelung wird eine weitere gefahrbringende Bewegung stillgesetzt.
Nur in dieser Stellung können die beiden Schlüssel entnommen und damit die Schlösser der Zuhaltungseinrichtung, an der Wartungsklappe betätigt werden. Die Wartungsklappe lässt sich nun öffnen. Die Entnahme der Schlüssel an der Zuhaltungseinrichtung ist bei geöffneter Wartungsklappe nicht möglich. Die Betätigung des Schalterelementes und der Ventilverriegelung ist nur in umgekehrter Ablauffolge möglich.
Schematische Darstellung des Schlüssellaufs:
Abb. 38 Beispiel 5
 Beispiel 5
Komponenten:
Komponenten:
iBeispiel 6
Aufgabe:
In einer Prozessanlage soll von dem einem Medium (gelb) auf das andere Medium (blau) gewechselt werden. Es soll verhindert werden, dass der Durchlass des zweiten Mediums erfolgt, bevor der Durchlass des ersten Mediums gesperrt ist.
Realisierungsvorschlag:
Die Realisierung erfolgt in diesem Beispiel mit Hilfe eines Schlüsseltransfersystems, bestehend aus zwei Ventilverriegelungen mit jeweils einem Ein- und Ausgangsschloss, sowie drei Schlüsseln.
Schlüssel A (Rot) wird von einer autorisierten Person mitgebracht. Mit diesem Schlüssel wird die Ventilverriegelung 1 betätigt und das Ventil kann geschlossen werden (Durchlass für gelbes Medium gesperrt). Im geschlossenen Zustand ist Schlüssel A gefangen und Schlüssel B (Grün) freigegeben. Nach Entnahme von Schlüssel B ist das Ventil in geschlossener Stellung gesperrt und Ventilverriegelung 2 wird mit Schlüssel B betätigt. Das Ventil kann geöffnet werden (Durchlass für blaues Medium frei). Im geöffneten Zustand ist Schlüssel B gefangen und Schlüssel C (Blau) ist freigegeben und kann entnommen werden.
Schematische Darstellung des Schlüssellaufs:
Abb. 39 Beispiel 6
 Beispiel 6
Komponenten:
Komponenten:
Fußnote 1
Fußnote 2
Fußnote 3
Fußnote 4)
Fußnote 5

11   Lockout/Tagout (LOTO)

Lockout/Tagout ist eine organisatorische Maßnahme, die, unter Verwendung von Vorhängeschlössern, ein Betätigen von Bedienelementen verhindern soll.
Diese Maßnahme unterscheidet sich von Schlüsseltransfersystemen dadurch, dass kein zwangläufiger und vorgegebener Bedienablauf zwischen einzelnen Komponenten stattfinden muss.
Lockout/Tagout kann auch in einem Schutzkonzept mit einem Schlüsseltransfersystem kombiniert werden, wie das Beispiel in Abbildung 40 zeigt.
Abb. 40 Beispielhafte Lockout/Tagout-Maßnahme: Mit Vorhängeschlössern gesicherte Staubkappen (gelb) einer Schlüsselwechselstation verhindern das Einstecken der Schlüssel. Schließbügel ermöglichen das Anbringen mehrerer Vorhängeschlösser (vergl. Abb. 41).
 Beispielhafte Lockout/Tagout-Maßnahme: Mit Vorhängeschlössern

gesicherte Staubkappen (gelb) einer

Schlüsselwechselstation verhindern das Einstecken

der Schlüssel. Schließbügel ermöglichen das Anbringen

mehrerer Vorhängeschlösser (vergl. ).
Durch die zusätzliche Sicherung ist beispielsweise im Wartungs- oder Instandhaltungsfall ein Wiedereinschalten einer Maschine oder das Verschließen von Schutztüren erst möglich, wenn alle Vorhängeschlösser entfernt wurden.
Da Lockout/Tagout willensabhängig ist, kann ein versehentliches oder bewusstes Auslassen von Bedienschritten nicht völlig ausgeschlossen werden.
Gemäß Maschinenrichtlinie [1], Anhang I, Abs. 1.1.2 sind organisatorische Maßnahmen erst zu wählen, wenn die vollständige Wirkung durch die getroffenen technischen Schutzmaßnahmen nicht erzielt werden kann.
Beim Einsatz von Lockout/Tagout ist sicherzustellen, dass die vorgesehene Funktionsfähigkeit des Schlüsseltransfersystems nicht beeinträchtigt wird.
Abb. 41 Beispiel eines Schließbügels für bis zu drei Vorhängeschlösser, der erst nach Entfernen aller Schlösser geöffnet werden kann.
 Beispiel eines Schließbügels für bis zu drei Vorhängeschlösser,

der erst nach Entfernen aller Schlösser

geöffnet werden kann.
Anhang
Zusatzinformationen

A   Umgebungsbedingungen

  • Explosionsgefährdete Bereiche
    Bei Schlüsseltransfersystemen funktioniert der größte Teil der verwendeten Komponenten rein mechanisch, also ohne elektrische Energie. Dadurch können die Systeme für den Einsatz in explosionsgefährdeten Bereichen besonders geeignet sein.
    Falls für das Stillsetzen einer Maschine elektrische Schalter notwendig sind, können diese häufig außerhalb des explosionsgefährdeten Bereichs platziert oder in geeigneten Gehäusen montiert werden.
  • Temperaturen, Temperaturwechsel
    Bei besonders hohen bzw. niedrigen Temperaturen sind mechanische Schlüsseltransfersysteme besonders geeignet, da keine elektronischen Komponenten vorhanden sind, die von diesen Temperaturen negativ beeinflusst werden könnten. Gleiches gilt bei Temperaturwechsel, die zu Betauung führen können.
  • Hygiene
    Für Anwendungen zum Beispiel im Lebensmittelbereich sind Schlüsseltransfersysteme verfügbar, die in Edelstahl gefertigt sind. Diese sind unempfindlich gegen Wasser und Reinigungsmittel.
  • Staub, Schmutz
    Für Anwendungen in besonders staubigen bzw. schmutzigen Umgebungen (Stahlwerk, Gießerei, Zementwerk usw.) sind Schlüsseltransfersysteme verfügbar, die auch unter diesen Umgebungsbedingungen eine hohe Verfügbarkeit und sichere Funktion gewährleisten.
  • Stoß- und Schlagbelastung
    Auf Grund der mechanischen Konstruktion verfügen Schlüsseltransfersysteme über eine hohe Widerstandsfähigkeit gegenüber äußeren mechanischen Einwirkungen, wie zum Beispiel Stoßen, Anfahren, Steinschlag.

B   Organisation

Ausgabeformular Generalschlüssel (Beispiel)
Tabelle 1
Maschinennummer:Standort:Verantwortliche für Schlüsselausgabe:
AusgabegrundGeneral­schlüssel­nummerDatum der AusgabeEmpfängerUnterschrift EmpfängerDatum der RückgabeUnterschrift Ver­ant­wort­liche/r
       
       
       
Formular für die Kodierungsverwaltung (Beispiel)
Tabelle 2
Maschinennummer:Hersteller des Schlüsseltransfersystems:
MaschineMaschinen­nummerSchlüsselkode (Kennung)MaschineMaschinen­nummerSchlüsselkode (Kennung)
      
      
      

C   Beispiel für die Bestimmung eines Performance Levels

Anmerkung: Die Grundlagen und Ausführungsbestimmungen für die Ermittlung sind in der harmonisierten Norm DIN EN ISO 13849-1:2016-06 [3] aufgeführt.
Zwei Wartungsklappen an einer Maschine sollen abgesichert werden (siehe Beispiel 2, Abschnitt 10). Die Maschine darf nur durch autorisiertes Personal ausgeschaltet werden. Der Gefahrenbereich hinter den Wartungsklappen ist nicht betretbar. Der Eingriff in den Gefahrenbereich darf nur bei Stillstand der gefahrbringenden Bewegung erfolgen. Ein Nachlauf der gefahrbringenden Bewegung6 findet nicht statt.
Die Risikobeurteilung hat ergeben, dass für die Realisierung der sicherheitsrelevanten Funktion: „Ein Öffnen der beiden Wartungsklappen ist erst nach Stillstand der gefahrbringenden Bewegungen möglich“ ein Performance Level c erforderlich ist (PLr = c).
Folgende Kriterien wurden bei der Ermittlung des Performance Levels für den sicherheitsgerichteten Teil der Steuerung zu Grunde gelegt:
  • B10 D-Wert des Schützes = 1,3 Mio.
    (DIN EN ISO 13849-1:2016-06 [3], Tab. C1)
  • nop = 100 Zyklen/Jahr
    (Ca. 2 x pro Woche. Aus der Applikation ermittelt)
  • PL Schlüsseltransfersystem = c
    (Vom Lieferant des Schlüsseltransfersystems)
Die Berechnung der MTTFD für das Schütz ergibt:
130 000 Jahre
(gemäß DIN EN ISO 13849-1:2016-06 [3], begrenzt auf 100 Jahre)
Unter Berücksichtigung von:
DCavg = 0
CCF nicht relevant (Einkanaligkeit)
Kategorie 1
(Unter Verwendung von:
hoher MTTFD,
grundlegender und bewährter Sicherheitsprinzipien,
bewährter Bauteile)
entspricht dies einem Performance Level = c für das Schütz7
(Gemäß DIN EN ISO 13849-1:2016-06 [3], Tab. K1)
Abb. 42 Schaltschema und Blockschaltbild
 Schaltschema und Blockschaltbild
Aus DIN EN ISO 13849-1:2016-06 [3], Tab. 11 lässt sich der Performance Level für den sicherheitsgerichteten Teil der Steuerung ermitteln.
Die PFHD Schütz und die PFHD Schlüsseltransfersystem entsprechen jeweils einem PL = c.
Das ergibt einen Gesamt PL von c.
Fußnote 6
Fußnote 7
Das Schütz wird als Subsystem betrachtet
Literaturverzeichnis
(1)
Amtsblatt der Europäischen Union (2006):
Richtlinie 2006/42/EG des europäischen Parlaments und des Rates vom 17.05.2006 über Maschinen und zur Änderung der Richtlinie 95/16/EG (Neufassung)
(2)
DIN EN ISO 12100 (2011-03):
„Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung“
(3)
DIN EN ISO 13849-1 (2016-06):
„Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze“
(4)
DIN EN ISO 13849-2 (2013-02):
„Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 2: Validierung“
(5)
DIN EN ISO 14119 (2014-03):
„Sicherheit von Maschinen – Verriegelungseinrichtungen in Verbindung mit trennenden Schutzeinrichtungen – Leitsätze für Gestaltung und Auswahl“
(6)
Verordnung über Sicherheit und Gesundheitsschutz bei der Verwendung von Arbeitsmitteln
(Betriebssicherheitsverordnung – BetrSichV) vom 3. Februar 2015 (BGBl. I S. 49), geändert durch Artikel 1 der Verordnung vom 13.Juli 2015 (BGBl. I S. 1187)
(7)
Mannheimer Verein zur internationalen Förderung der Maschinen- und Systemsicherheit e.V. Sektion Maschinen- und Systemsicherheit der IVSS
(8)
Bekanntmachung des BMAS vom 09.04.2015-IIIb5-39607-3-,
„Interpretationspapier zum Thema: Wesentliche Veränderung von Maschinen.“
(9)
ISO/TS 19837:
„Safety of machinery – Trapped key interlocking devices – Principles for design, selection and configuration“8
Fußnote 8
Das Dokument war zum Zeitpunkt der Erstellung der Broschüre noch in Bearbeitung