Not-Halt | Ermitteln PL / Vermeiden Wiederanlauf = Sicherheitsfunktion?

Zuviel Werbung?
-> Hier kostenlos registrieren
Danke Rofang, die TRBS 1201 kenne ich schon, ich habe nur gefragt weil vielleicht gibt es noch anders. Aber auch "keine" Antwort ist eine Antwort, und jetzt ist mir klar, dass die Sicherheitsfunktion-Prüfungen sind nicht wirklich definiert (außer vielleicht Normen-C Fälle).

Gruß
 
stevenn schrieb:
Not-Halt ist auch dafür da, wenn eine normale Sicherheitsfunktion nicht funktioniert.(zusätzlich)
Wenn natürlich bei einer Sicherheitsfunktion beide Aktoren(beide Schütze) nicht mehr funktionieren, dann hilft in diesem Fall der Not-Halt auch nichts. (so gut wie ausgeschlossen, "Ausfallwahrscheinlichkeits-Thema" habe ich ja schon oft geschrieben) Wenn allerdings der Sicherheitsschalter an der Tür einen Fehler hat, dann hilft der Not-Halt schon. Für diesen Fall wäre die korrekte Funktion mit unserem PL d dann wahrscheinlicher als bei einem PL c. Aber eben darüberhinaus haben wir Anlagen, bei denen unter "PL d-Bedingungen" gearbeitet werden muss.
Zum Vergrößern anklicken....
Jo. Dann macht ihr euch es einfach und legt pauschal für die ganze Anlage Bedingungen fest?

Wir machen das feingranularer - es gibt bei den Anlagen einen Haufen Gefahrenstellen und einen angemessenen Haufen an Schutzmaßnahmen. Die meisten sind konstruktiv und schlagen bei mir als Automatisierer gar nicht auf - feststehende trennende Schutzeinrichtungen zum Beispiel.

Je nach Gefährdungspotential sind Zugriffsmögichkeiten entsprechend verriegelt.

Beispiel: Für eine manchmal verbautes System zur Kunststoffzerkleinerung gibt es eine C-Norm (DIN EN 12012), die explizit Mindest-Forderungen an verschiedene Teilelemente stellt (unvollständig zitiert):
- Nothalt muss nach DIN EN 13850 ausgeführt sein in SIL1 / PLc;
- Eingriff an das Zerkleinerungswerkzeug muss nach DIN EN 62061 ODER DIN EN 13849-1 verriegelt sein in SIL2 / PLd;
- Rohprodukt-Aufgabestelle je nach geeigneten Möglichkeiten mit Einschubkasten, Eingreifschutz, Reißleine, Trittmatte SIL1 / PLc.
-...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
stevenn schrieb:
du schreibst immer "betriebsmäßiges" ausschalten durch die "Sicherheitsfunktion (NOt-Halt und Schütztüre)". Dann ist das aber kein ausschalten durch die Sicherheitsfunktion! wenn ich einen sicheren Zustand habe und dann die Türe öffne, muss ich danach nicht auch noch ein Schütz schalten.
klingt irgendiw komisch was du da machst.
Zum Vergrößern anklicken....
Du hast es halt nicht gescheit gelesen....ich unterscheide
- betriebsmäßiges Ein- und Ausschalten (Bedienerhandlung) - da reicht es mir wenn ein Schütz schaltet; und
- Sicherheitsfunktion (Not-Halt und Schutztüre) - bei der Schutztür braucht ich zwei Schütze, beim Nothalt kann vielleicht eins reichen
stevenn schrieb:
tut mir leid, aber '"plötzlich aus und zu und tot" ist schon lange nicht mehr. es gibt Stoppkategorien. die richtige muss je nach Anlage gewählt werden, das hat nichts mit Prozessindustrie zu tun, das ist überall im Maschinenbau so.
Zum Vergrößern anklicken....
Der Unterschied zwischen Prozessindustrie und Maschinenbau ist, dass in der Prozessindustrie ein Nothalt nicht immer gut ist. Z.B. Kühlmittelpumpe eines Reaktors.
stevenn schrieb:
auf was ist das eine Antwort?

"er" bzw. die Sicherheitsfunktion muss ja nicht richtig unabhängig sein!!!!!!!!!!!!!!!!!! die Wahrscheinlichkeit ist so gering das die Sicherheitsfunktion nicht ausfällt. willst du das nicht verstehen? das ist übrigens mit SIL nicht anders. hier ist auch die Ausfallwahrscheinlichkeit entscheidend
Zum Vergrößern anklicken....
Der Unterschied zwischen Prozessindustrie und Maschinenbau ist, dass in der Prozessindustrie eine Zuverlässigkeit eines Teilsystems in SIL3/PLe manchmal nicht reicht. Wie auch in anderen Sektoren wie Bahn oder Luftfahrt oder Nuklearindustrie...
Für den Maschinenbau reicht es aber, weil typischerweise maximal eine Person zu Schaden kommt, katastrophale Schadensereignisse werden nicht betrachtet. DIN EN 62061 beendet die Skala bei SIL3, genauso wie die DIN EN 13849-1 bei PLe aufhört.

Belassen wirs dabei erst ..


Netter Artikel flattert grad noch rein:
www.konstruktionspraxis.vogel.de

Ein generell hoher Performance Level ist nicht immer nötig oder technisch möglich

(Bild: 2018 Martin Stollberg / TRUMPF GMBH+CO. KG) Dieser Beitrag zeigt anhand eines Beispiels, warum eine generelle Anforderung nach einem hohen Performance Level required (PLr) von PLr=d, Kat. 3 einer Sicherheitsfunktion unter Berücksichtigung der ISO 13849-1 unnötig ist.
www.konstruktionspraxis.vogel.de www.konstruktionspraxis.vogel.de
 
s_kraut schrieb:
Netter Artikel flattert grad noch rein:
www.konstruktionspraxis.vogel.de

Ein generell hoher Performance Level ist nicht immer nötig oder technisch möglich

(Bild: 2018 Martin Stollberg / TRUMPF GMBH+CO. KG) Dieser Beitrag zeigt anhand eines Beispiels, warum eine generelle Anforderung nach einem hohen Performance Level required (PLr) von PLr=d, Kat. 3 einer Sicherheitsfunktion unter Berücksichtigung der ISO 13849-1 unnötig ist.
www.konstruktionspraxis.vogel.de www.konstruktionspraxis.vogel.de
Zum Vergrößern anklicken....

Der Artikel bringt keine neue Erkenntnisse.
Es war schon immer so, dass ich Stoppen und Schutz gegen Wiederanlauf unterschiedlich bewerten kann.
Wir haben hier auch Anlagen bei denen die Schutztüren, Lichtvorhänge und Not-Halt mit Kategorie 3 PLd ausgeführt sind und der Wiederanlauf nur durch einen einfachen Schütz in Kategorie 1 realisiert wird. Als ich das das erstemal gesehen hab, hab ich auch dumm geschaut, aber der Hersteller hat alles komplett und nachvollziehbar dokumentiert.

Persönlich setze ich selten solche Lösungen ein.
Wir haben immer F-Steuerungen und da ist die Ersparnis gering und wird zum Teil wieder durch den erhöhten Aufwand bei Doku aufgefressen.
Bei kleinen Anlagen oder Serienmaschinen sieht es natürlich anders. Da schlagen 100€ Ersparnis anders ins Gewicht.
 
Kann mir jemand dieses Bild erzählen, sind 2 Kanäle oder einer? Und warum machen sie einen Fehlerausschluss?

1625852551194.png
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
Blockmove schrieb:
Der Artikel bringt keine neue Erkenntnisse.
Es war schon immer so, dass ich Stoppen und Schutz gegen Wiederanlauf unterschiedlich bewerten kann.
Zum Vergrößern anklicken....
Den Ansatz habe ich auch schon argumentiert weil nichts einschalten kann, wenn die Energiezufuhr sicher getrennt ist.
Das gefährliche Ausfallen eines Schütz "kleben bleiben" kann ja nicht passieren, wenn schon getrennt ist.

Ich gebe vorab zu, dass ich eher mit der DIN EN 61508 und deren Töchtern unterwegs bin, da könnte ich einen Faden spinnen:
1. Schütz ist ein einfaches Bauelement Typ A, heißt einfaches System, Ausfallverhalten hinreichend bekannt, nach guter Praxis ausgelegt, Trennstrecken innen drin eingehalten usw.
2. SFF ist in dem Fall dass der Schütz bereits abgeschaltet ist >60%. Wenn das ausgeschaltete Schütz kaputt geht, dann bleibt es sehr wahrscheinlich aus. Habe noch nie einen Schütz gesehen, der von allein einschaltet und ich kenne auch niemand, der sowas berichten kann.
Ergo SIL2 trotz HFT 0 nach der Tabelle aus DIN EN 61508
1625862743873.png
Leider bescheinigt mir der Schütz-Lieferant aber nur eine erbärmliche SFF <40% weil er das Klebenbleiben stark gewichtet und in Ermangelung dieser Info in valider Form habe ich dort wo es kritisch ist immer einen zweiten Schütz spendiert. Bzw. bei Stern-Dreieck kann man eh recht einfach redundant abschalten.

Blockmove schrieb:
Wir haben hier auch Anlagen bei denen die Schutztüren, Lichtvorhänge und Not-Halt mit Kategorie 3 PLd ausgeführt sind und der Wiederanlauf nur durch einen einfachen Schütz in Kategorie 1 realisiert wird. Als ich das das erstemal gesehen hab, hab ich auch dumm geschaut, aber der Hersteller hat alles komplett und nachvollziehbar dokumentiert.
Zum Vergrößern anklicken....
Ich schau grad frei auch dumm :unsure:

Weil bei uns der Schutz vor unbeabsichtigtem Wiederanlauf maßgeblich die hohe SIL-Einstufung begründet:
1. Wenn die Maschine nicht ausschaltet, passiert deswegen normal erst mal nichts, dann läuft sie halt - it´s in the box. Jeder kann hören und fühlen dass sie läuft, niemand würde jetzt ohne Suizidgedanken anfangen die Tür aufzuschrauben. Der Türwächter kommt da wie im Artikel beschrieben nach S2-F1-P1 zu einem PLr=c .
2. Aber wenn das Ding offen ist und der Monteur seine Hände oder Kopf da drin hat dann darf nichts in der Welt das Ding einschalten können.
Weil er keine Chance zum Erkennen und Ausweichen hat, führt S2-F1-P2 zu einem PLr=d .


Blockmove schrieb:
Persönlich setze ich selten solche Lösungen ein.
Wir haben immer F-Steuerungen und da ist die Ersparnis gering und wird zum Teil wieder durch den erhöhten Aufwand bei Doku aufgefressen.
Bei kleinen Anlagen oder Serienmaschinen sieht es natürlich anders. Da schlagen 100€ Ersparnis anders ins Gewicht.
Zum Vergrößern anklicken....
Man kann das ja lösungsneutral hinsichtlich der Logiksteuerung diskutieren. Klappertechnik oder FSPS.

Im Artikel wird von einem bewährten Ventil gesprochen, was nach PLd abgeschaltet wird. Also vom Sensor bis zur Logik.....oder bis zum Schütz (??) PLd.
 
Fazit:
Auch wenn es noch so schöne Normen, Diagramme, Formeln und Berechnungstools gibt, ist es sinnvoll den Verstand zu benutzen.
Man kann vom “Mainstream“ abweichen, ohne dass dadurch eine Anlage unsicher wird.
Erfordert mehr Hirnschmalz, bedeutet mehr Doku, löst Diskussionen aus, kann aber Geld sparen.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
s_kraut schrieb:
Als ich den Artikel gelesen habe, stand es gleich neben dem Bild im Text drin!
Zum Vergrößern anklicken....
Ja, lesen kann ich auch.

Dann, Versuche ich anders, wie interpretiert man dieser Text? Erste Absatz ist klar..... ich meinte der zweite (ich sehe keine Kat.3).

(Dieser Text gehört das Bild)

"Für die technische Umsetzung dieser Anforderungen - hier exemplarisch an einer hydraulischen Abschaltung - bedeutet dies, dass der PLr=c des sicherheitsbezogenen Stopps ohne weiteres mit einem 1-kanaligen System unter Verwendung eines Ventils nach dem Stand der Technik realisiert werden kann.

Betrachtet man die Anforderung des unerwarteten Anlaufs (PLr=d, Kat 3), so kann diese durch Auswahl eines geeigneten hydraulischen Ventils nach ISO 13849-2 (Punkt Fehlerausschluss für die selbsttätige Veränderung der Ausgangs-Schaltstellung – ohne Eingangssignal) und entsprechender Realisierung der elektrischen Ansteuerung des Ventils nach PL=d, Kat.3 mit dieser Architektur ebenfalls realisiert werden. Das Sicherheitsniveau der Funktion wird aufgrund des Fehlerausschlusses durch die einkanalige Verwendung des Ventils nicht beeinflusst, da es unter keinen Umständen gefahrbringend ausfällt."
 
Elektriko schrieb:
Ja, lesen kann ich auch.

Dann, Versuche ich anders, wie interpretiert man dieser Text? Erste Absatz ist klar..... ich meinte der zweite (ich sehe keine Kat.3).

(Dieser Text gehört das Bild)

"Für die technische Umsetzung dieser Anforderungen - hier exemplarisch an einer hydraulischen Abschaltung - bedeutet dies, dass der PLr=c des sicherheitsbezogenen Stopps ohne weiteres mit einem 1-kanaligen System unter Verwendung eines Ventils nach dem Stand der Technik realisiert werden kann.

Betrachtet man die Anforderung des unerwarteten Anlaufs (PLr=d, Kat 3), so kann diese durch Auswahl eines geeigneten hydraulischen Ventils nach ISO 13849-2 (Punkt Fehlerausschluss für die selbsttätige Veränderung der Ausgangs-Schaltstellung – ohne Eingangssignal) und entsprechender Realisierung der elektrischen Ansteuerung des Ventils nach PL=d, Kat.3 mit dieser Architektur ebenfalls realisiert werden. Das Sicherheitsniveau der Funktion wird aufgrund des Fehlerausschlusses durch die einkanalige Verwendung des Ventils nicht beeinflusst, da es unter keinen Umständen gefahrbringend ausfällt."
Zum Vergrößern anklicken....
Du siehst keine Kategorie 3 (2.Ventil) weil er den Fehlerausschluss nutzt.
Durch den Fehlerausschluss "betrügt" er und sagt die Ausführung erfüllt PLd.

Wir haben viel Hydraulik an unseren Anlagen, aber das wäre jetzt eine Argumentation, die ich so nie umsetzen würde.
Hydraulik hat verdammt hohe Sicherheitskennwerte. Deutlich über der jeglicher anderer Systeme.
Aber die Krux liegt am Kleingedruckten der Hersteller.
Dinge wie Hydraulische Beschaltung, Einbaulage, Vibrationen, Temperaturen, Ölqualität, Verschmutzung, ... spielen hier alle mit rein.
Ich hab in der Praxis selber schon erlebt, wie ein abgeschaltetes hydraulisches Wegeventil durch Vibration umgeschaltet hat.
Im Sinne des Artikels habe ich halt einfach nicht das geeignete Ventil gewählt gehabt o_O

Das Thema ein- / zweikanalig und PLc / PLd ist alt bekannt.
Es wird - wie geschrieben - hauptsächlich von den Werkzeugmaschinenherstellern getrieben.
Dabei handelt es sich meist um Serienmaschinen in höherer Stückzahl.
Kann ich hier einkanalig fahren, dann spart man natürlich deutlich Geld.
 
Blockmove schrieb:
Du siehst keine Kategorie 3 (2.Ventil) weil er den Fehlerausschluss nutzt.
Durch den Fehlerausschluss "betrügt" er und sagt die Ausführung erfüllt PLd.

Wir haben viel Hydraulik an unseren Anlagen, aber das wäre jetzt eine Argumentation, die ich so nie umsetzen würde.
Hydraulik hat verdammt hohe Sicherheitskennwerte. Deutlich über der jeglicher anderer Systeme.
Aber die Krux liegt am Kleingedruckten der Hersteller.
Dinge wie Hydraulische Beschaltung, Einbaulage, Vibrationen, Temperaturen, Ölqualität, Verschmutzung, ... spielen hier alle mit rein.
Ich hab in der Praxis selber schon erlebt, wie ein abgeschaltetes hydraulisches Wegeventil durch Vibration umgeschaltet hat.
Im Sinne des Artikels habe ich halt einfach nicht das geeignete Ventil gewählt gehabt o_O

Das Thema ein- / zweikanalig und PLc / PLd ist alt bekannt.
Es wird - wie geschrieben - hauptsächlich von den Werkzeugmaschinenherstellern getrieben.
Dabei handelt es sich meist um Serienmaschinen in höherer Stückzahl.
Kann ich hier einkanalig fahren, dann spart man natürlich deutlich Geld.
Zum Vergrößern anklicken....
Danke Blockmove, für deine Antwort. Dann ist eine echte 3 Kategorie bis das Ventil? Also Input und Logik sind eigentlich in beide Fälle Kategorie 3. In der ersten Zeichnung wegen dem Ventil erfüllt nur Kategorie 1, in der zweiten Zeichnung er macht ein Fehleranschluss im Ventil, und so bleibt "alles" als Kategorie 3.
Habe ich es richtig verstanden?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Elektriko schrieb:
Danke Blockmove, für deine Antwort. Dann ist eine echte 3 Kategorie bis das Ventil? Also Input und Logik sind eigentlich in beide Fälle Kategorie 3. In der ersten Zeichnung wegen dem Ventil erfüllt nur Kategorie 1, in der zweiten Zeichnung er macht ein Fehleranschluss im Ventil, und so bleibt "alles" als Kategorie 3.
Habe ich es richtig verstanden?
Zum Vergrößern anklicken....
Den Fehlerausschluss braucht er für den Performancelevel nicht für die Kategorie
 
Ja, aber in diesem Fall bedeutet gleich, er bekommt PLd weil er bei Input und Logik schon Kat.3 hat. Wenn er das Ventil hinzufügt bekommt die SF ein niedriger PL, weil das Ventil Kat.1 hat (ein Kanal)
 
Zuviel Werbung?
-> Hier kostenlos registrieren
holgermaik schrieb:
Darum erreicht er für die SF "Stopp" auch nur PLc. Für die SF "unerwarteter Anlauf" erreicht er PLd, da ein Fehlerausschluss durchgeführt wurde.
Ich persöhnlich wäre mit Fehlerausschlüssen immer sehr vorsichtig
Zum Vergrößern anklicken....
Ja genau, aber was ich meinte ist, dass Input und Logik von der ersten Zeichnung waren schon Kat.3 (wo er PLc erreicht hat), und dann wegen dem output-Fehleranschluss hat er PLd erreicht
 
Elektriko schrieb:
Ja genau, aber was ich meinte ist, dass Input und Logik von der ersten Zeichnung waren schon Kat.3 (wo er PLc erreicht hat), und dann wegen dem output-Fehleranschluss hat er PLd erreicht
Zum Vergrößern anklicken....
Der Fehlerausschluss ging ja um den Ausgang, dass der Schütz nicht von allein schaltet.

Solange der Input keinen niedrigeren PL/SIL hat als sonst ein Glied der Kette, ist er nicht die Schwachstelle, einen höheren PL/SIL haben schadet nicht.
 
Ich mache kein Fehlerausschuss, aber noch weniger in diesem Fall.
Aber ich glaube ist trotzdem falsch, meiner Meinung nach, in diesem Fall ein Fehleranschluss könnte gemacht werden wenn der Ausgang 2 Kanäle auch hätte, deswegen frage ich über die Kategorie 3 bei Input und Logik.
Wenn alles 2 kanalig wäre und wegen keine Ahnung, der MTTF von den Ventilen keine PLd erreicht wird, da vielleicht könnte man überlegen ein Fehleranschluss zu machen.... Aber wenn der Ausgang schon ein Kanal ist, ein Fehleranschluss zu machen um PLd zu erreichen..... Ich sehe es falsch...

Und ich spreche noch über Kategorie 3 und nicht PLd, weil in diesem Fall das gleiche ist, PLd kann nur ab Kategorie 3 erreicht werden (Kat 2 auch, aber hier nicht)

Gruß
 
Zuletzt bearbeitet:
Rofang schrieb:
Ich frage mich gerade nur warum der defekte Not-Halt auffällt wenn er nicht betätigt wird, aber der defekte Schutztürschalter nicht? Thema Sichtprüfung vor Arbeitsbeginn.
Zum Vergrößern anklicken....
hängt mit der Mechanik und den schon bereits erwähnten Kennwerten wie B10D und DC zusammen. lies dir den Report durch
 

Similar threads

P
Not-Halt vs. Maschinenstopp
2
Antworten
29
Aufrufe
14K
silverfreaky
S
Safety
Prüfungen von Schutzeinrichtungen
Antworten
0
Aufrufe
915
Safety
Safety
F
Verknüpfung von Not-Halt & Schütztür-Überwachung & verzögert öffnende Schutztür-Verriegelung
Antworten
16
Aufrufe
10K
ChristianVogel
ChristianVogel
M
Not-Halt im Schaltschrank bei komplexen Anlagen
Antworten
10
Aufrufe
12K
marscho
M
L
Not-Halt Pilz Taster rückstellen = bewusste Handlung?
Antworten
1
Aufrufe
3K
Tigerente1974
T
Zurück
Oben