Not-Aus Realisierung

[Deltal]

Zuviel Werbung?
-> Hier kostenlos registrieren

Gut, ich würde sagen das man normale Türschalter halt nicht für Kat 3/4 benutzen darf wenn die Kontakte zusammen betätigt werden bzw. keine zwangsöffnende Kontakte vorhanden sind.

Frage bleibt, ob man zwei Türschalter in Reihe schalten darf.

 

[Safeexpert]

Hallo Hans. Das mit den Endschaltern ist eine Sache die was mit der Fehlererkennung zu tun hat. Bsp. Stell dir vor du hast mehrere Schutztürschalter mit 2 Kontakten in Reihe geschaltet.
Pro Türe ein Schalter. Somit bist du zwar elektrisch gesehen Kat. 4 aber mechanisch gesehen nicht, da der Schalter im Normalfall nur einen Betätiger hat und somit ein 1-kanaliges System darstellt. Ein Abbrechen dieses Betätigers kann dir kein Hersteller des Schalters vausschließen. So durch die Reihenschaltung kann es jetz zu einer gefährlichen Situation kommen die dazu führt wenn man 2 Türen öffnet. Türe 1 (Schalter ist OK ) schaltet über ein Schaltgerät sicher ab nachdem der Schalter geöffnet wurde. Öffnet man jetzt eine 2 Türe mit abgebrochenem betätiger und schließt danach die Türe 1 wieder, kann der Fehler durch das Schaltgerät nicht erkannt werden da der Schalter seine Kontakte nicht geöffnet hat und die Maschine kann mit offener Schutztüre wieder starten.... Ich hoffe ich habe es verständlich geschrieben.
Das ganze gilt jedoch nicht für den Not-Aus , Not-Halt Kreis und den darin verbauten Tastern.

 

[drfunfrock]

Zuviel Werbung?
-> Hier kostenlos registrieren

Gibt es für solche Diskussionen nicht eine Grundlage in Form einer Norm? Ok, der Not-Aus-Schalter ist definiert, aber die Analyse, wie eine Maschine in den Not-Stop zu gehen hat, kann doch nicht nur dem Programmierer oder dem Zufall überlassen werden.

 

[Deltal]

Ich habe darmals mal nach einer Norm gesucht die die maximale Reaktionszeit eines Not-Aus Systems definiert. Dabei ging es um eine Timout-Zeit an Sicherheitseingängen und Sicherheitskommunikation über Ethernet.
Mehr als "so wenig wie möglich, so viel wie nötig" habe ich nicht in erfahrung bringen können. Also wenn jemand eine Norm zur Hand hat..

So durch die Reihenschaltung kann es jetz zu einer gefährlichen Situation kommen die dazu führt wenn man 2 Türen öffnet. Türe 1 (Schalter ist OK ) schaltet über ein Schaltgerät sicher ab nachdem der Schalter geöffnet wurde. Öffnet man jetzt eine 2 Türe mit abgebrochenem betätiger und schließt danach die Türe 1 wieder, kann der Fehler durch das Schaltgerät nicht erkannt werden da der Schalter seine Kontakte nicht geöffnet hat und die Maschine kann mit offener Schutztüre wieder starten

Darfst mich dumm nennen, aber müsste in dem Fall nicht ein Eingang fehlen? Also:
Eine Tür offen, beide F-Eingänge weg.
Zweite Tür offen immernoch zwei Eingänge weg, da Reihenschaltung.
Erste Tür wieder zu, ein F-Eingang ist da, einer (vom funktionierendem Kontakt des Türschalters) nicht.
-> Diskrepanz an den Eingängen, Steuergerät muss das erkennen und auf Fehler gehen.

 

[Markus]

Ich habe darmals mal nach einer Norm gesucht die die maximale Reaktionszeit eines Not-Aus Systems definiert. Dabei ging es um eine Timout-Zeit an Sicherheitseingängen und Sicherheitskommunikation über Ethernet.
Mehr als "so wenig wie möglich, so viel wie nötig" habe ich nicht in erfahrung bringen können. Also wenn jemand eine Norm zur Hand hat..

Gibt es für solche Diskussionen nicht eine Grundlage in Form einer Norm? Ok, der Not-Aus-Schalter ist definiert, aber die Analyse, wie eine Maschine in den Not-Stop zu gehen hat, kann doch nicht nur dem Programmierer oder dem Zufall überlassen werden.

es gibt A, B und C-normen.
in C-normen (das sind quasi eischlägige normen für ein bestimmtes produkt - zb presse) wird genua beschrieben wie du zb deinen sicherheitskreis auszuführen hast.

aber es gibt nicht für jede SONDERmaschine eine C-norm, in diesem fall musst(solltest) du dich eben an die allgemeiner gefassten b und a normen halten.

dem programmierer oder dem zufall wird (sollte) in diesem fall auch nichts überlassen werden, dafür gibt es die gefahrenanalyse die jeder konstrukteuer machen muss! eine gefahrenanlyse ist keine sache von 10min, das kann je nach umfang gut 10 tage oder 10 wochen oder... dauern - nur um mal ein gefühl dafür zu bekommen.
bei der gefarehnanalyse werden alle gefahrenstellen (mechanisch, elektrisch, chemisch, aukustisch,...) ermittelt, bewertet, und entsprechende masnahmen ergriffen (1. läst sich die gefahr komplett vermeiden, 2.schutzeinrichtugn möglich? 3. hinweis - auch diese reihenfolge muss eingehlaten werden, es ist nicht zulssig nur mit hinweisen zu arbeiten!)

eine solche analyse zeigt einem auch wie weit zb ein sicherheitslichtvorhang von der gefahrenstelle weg sein muss bzw. welche reaktionszeiten eingehalten werden müssen...

Darfst mich dumm nennen, aber müsste in dem Fall nicht ein Eingang fehlen? Also:
Eine Tür offen, beide F-Eingänge weg.
Zweite Tür offen immernoch zwei Eingänge weg, da Reihenschaltung.
Erste Tür wieder zu, ein F-Eingang ist da, einer (vom funktionierendem Kontakt des Türschalters) nicht.
-> Diskrepanz an den Eingängen, Steuergerät muss das erkennen und auf Fehler gehen.

dumm nicht, aber du hast die sache nicht zu ende gedacht.

änderer die reihenfolge in der die türen geschlossen werden uns du wirst das problem erkennen.

es ist nicht zulässig schutztürschalter in reihe zu schalten!
weil fehler nicht zuverlässig erkannt werden können.
ausnahmen nur wenn bei speziellen system die dafür ausgelegt sind - bussysteme zb.
aber normale schutztürschalter dürfen nicht in reihe geschaltet werden, auch nicht bei kat.2 wobei sich eine kat.2 bei schutztüren praktisch sowieso nicht realisieren lässt...

 

[Deltal]

Zuviel Werbung?
-> Hier kostenlos registrieren

dumm nicht, aber du hast die sache nicht zu ende gedacht.

änderer die reihenfolge in der die türen geschlossen werden uns du wirst das problem erkennen.

Zu ende denke ich schon mal Grundsätzlich nicht

T1 = ok
T2 = ein Kontakt bleibt auf 1

T1 11 zu
T2 11 zu
=  11

T1 00 auf
T2 01 auf
=  00

T1 00 auf
T2 11 zu
=  00

T1 11 zu
T2 01 auf
=  01 (Fehler)

Gut, der Fehler an sich wird nicht erkannt wenn man die defekte Tür als erstes wieder schliesst. Mit offener Tür kann man die Maschine aber nicht einschalten.

 

[Markus]

Zu ende denke ich schon mal Grundsätzlich nicht

T1 = ok
T2 = ein Kontakt bleibt auf 1

T1 11 zu
T2 11 zu
=  11

T1 00 auf
T2 01 auf
=  00

T1 00 auf
T2 11 zu
=  00

T1 11 zu
T2 01 auf
=  01 (Fehler)

Gut, der Fehler an sich wird nicht erkannt wenn man die defekte Tür als erstes wieder schliesst. Mit offener Tür kann man die Maschine aber nicht einschalten.

RICHTIG!

da der fehler nicht erkannt wurde hast du die spezifikationen von kat3 oder kat4 schon nicht mehr erreicht!


so und jetzt muss man noch wissen das speziell türkontakte durch ihr häufigeres verwenden einem höheren verschleiss als zb not-halt taster unterliegen.

es muss ja einen grund geben warum der von dir angesprochene kontakt kaputt ging. entweder material oder produktionsfehler, warscheinlicher aber verschleiss. der verschleiss betrifft den zweiten kontakt im schalter genauso - mat. und prod. fehler ggf. auch.

also wird es vermutlcih nicht mehr lange gehen bis der zweite kontakt versagt.

dann ist die schutzeinrichtugn völlig wirkungslos und keiner hats gemerkt bzw. wird es merken...

 

[Deltal]

Ok, habs geschnallt

 

[Oberchefe]

Zuviel Werbung?
-> Hier kostenlos registrieren

aber normale schutztürschalter dürfen nicht in reihe geschaltet werden, auch nicht bei kat.2

Das wäre mir neu, bei Kat 4 darf man nicht, aber sonst schon, siehe Applikationshandbuch von Pilz:

 

[HBL]

Hallo Zusammen

Zitat von drfunfrock
Gibt es für solche Diskussionen nicht eine Grundlage in Form einer Norm? Ok, der Not-Aus-Schalter ist definiert, aber die Analyse, wie eine Maschine in den Not-Stop zu gehen hat, kann doch nicht nur dem Programmierer oder dem Zufall überlassen werden.

Die Analyse, wie eine Maschine im Notfall anzuhalten ist, kann nur über eine Risiko-, Gefahrenanalyse und anschliessend mit einem Massnahmenkatalog ermittelt werden. Dies verlangt die MRL (europäisches Recht). Zum Vorgehen einer Risikoanalyse gibt die Norm EN ISO 14121 "RISIKOBEURTEILUNG" eine Anleitung.


In keiner Norm steht, dass es verboten ist, Endschalter in Reihe zu schalten. Zu dieser Aussage habe ich mich bei einer Zertifizierungsstelle schlau gemacht, welche das bestätigt.

Zu Steuerungskategorie 3 nach Norm EN 954-1 oder EN ISO 13849-1 steht in der entsprechenden Erläuterung sinngemäss, die sicherheitsgerichteten Steuerungsteile müssen so angeordnet sein, dass ein Fehler erkannt wird und die Maschine in den sicheren Zustand übergeht. Weitere Fehler werden nicht erkannt und können zum Verlust der Sicherheit führen.

Im Gegensatz dazu, wird in beiden vorgenannten Normen bei der Steuerungskategorie 4 verlangt, jeder Fehler in den sicherheitsgerichteten Steuerungsteilen muss erkannt werden und die Maschine in den sicheren Zustand bringen.

Der genaue Wortlaut muss halt in den einschlägigen Normen nachgelesen werden.

Was den gebrochenen Betätiger eines Enschalters der Kategorie 2 (ist nicht identisch mit der Steuerungskategorie 2 nach Norm EN 954-1 oder EN ISO 13894-1) betrifft, so wird in der Norm EN ISO 12100 "Grundbegriffe, allgemeine Gestaltungsleitsätze" verlangt, dass Endschalter und deren Betätiger so zu montieren sind, dass ein offensichtlicher Missbrauch verhindert wird.

Ebenso ist ein Betätiger so zu montieren, dass er nicht bricht.

Allerdings müssen die Enschalter eine entsprechende Zertifizierung aufweisen.

Um die oben erwähnten Anforderungen der Steuerungskategorien zu erreichen, besteht auch die Möglichkeit der Diversität der Endschalter. Es gibt Endschalter, die weisen einen Öffner und einen Schliesser auf. Das entsprechende Sicherheitsmodul merkt nun, ob der Schalter innerhalb einer Zeittoleranz richtig geschaltet hat. Ist dies nicht der Fall, so kann das Sicherheitsmodul nicht wieder zurückgestellt werden, und der Fehler muss zuerst behoben werden.

Mit Gruss

Hans

 

[ElemenT]

Hallo HBL,

in Steuerungskategorie 3 erkennt man aber nicht jeden Fehler wenn man eine Reihenschaltung macht!

Gruß,

ElemenT

 

[HBL]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo ElemenT

Die Steuerungskategorie 3 erfordert 1-Fehlersicherheit.

Erst mit Steuerungskategorie 4 müssen alle Fehler erkannt werden.

Um diese Forderungen zu dokumentieren, muss nach Norm EN ISO 13849-2, eine Validierung der relevanten Steuerungsteile durchgeführt werden.

Auf Grund einer solchen Validierung erkennt man auch, ob die obgenannten Forderungen erfüllt werden.

Eine Validierung kann entfallen, wenn Schaltungen, welche von anerkannten Stellen dokumentiert und veröffentlicht wurden, angewendet werden.

Gruss

Hans

 

[ElemenT]

Hallo,

ich meinte auch.... Bei Reihenschaltung von Schaltern, ist Kat.4 nicht möglich... Sollte nicht Kat.3 heissen. Sry..

 

[HBL]

Hallo

In der Norm EN954-1 unter Pkt. 6.2.5 Kategorie 4 ist unter anderem nachstehendes festgehalten (Auszug):

Sicherheitsbezogene Teile von Steuerungen der Kategorie 4 müssen so gestaltet werden, dass:

......
- ein einzelner Fehler in jedem dieser sicherheitsbezogenen Teile nicht zum Verlust der Sicherheitsfunktion führt und

- der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt wird, z.B. unmittelbar, beim Einschalten, am Ende eines Maschinenzyklus. Falls diese Erkennung nicht möglich ist, darf die Anhäufung von Fehlern nicht zum Verlust der Sicherheitsfunktion führen.
.....

Fehler gemeinsamer Ursache müssen berücksichtigt werden, z.B. durch Anwendung von Diversität, .... .

Durch Anwendung diversitärer Schaltern ist es sehr wohl möglich, auch bei in Reihe geschalteten ES die Fehler zu erkennen.

Um eine 2-Kanaligkeit zu erreichen, müssen pro Schutzverdeck 2 ES montiert sein. Damit kann gewährleistet werden, dass wenn ein ES einen Fehler aufweist, der 2. ES trotzdem sicher abschaltet. Solange das Schutzverdeck geschlossen ist, besteht ja keine Gefahr. Bei Öffnen des Schutzverdeckes werden die Endschalter entsprechend betätigt. Wenn nun in einem ES ein Kontaktfehler auftritt, und das Sicheerheitsmodul Diversität zulässt, kann sehr wohl der Fehler in diesem sicherheitsbezogenen Teil der Steuerung aufgedeckt werden.

Fast wortgleich ist die Beschreibung der Kat. 4 unter Pkt. 6.2.7 Kategorie 4 der Norm EN ISO 13849-1 zu finden.

Es lohnt sich, die entsprechenden Sicherheitnormen und die ausführliche Beschreibung der einzelnen Kategorien genau zu studieren.

Gruss

Hans

 

[ElemenT]

Zuviel Werbung?
-> Hier kostenlos registrieren

Wenn ich aber 2 mech. Schalte (beide z.B. 2 Öffnerkontakte) auf ein Sicherheitsrelais in Reihe anschliesse und jetzt an einem der beiden Schalter ein Kontakt nicht öffnet (verkleben, oder sonst. defekt) dann schaltet das Sicherheitsrelais sauber ab. Wird jetzt aber der andere Schalter (beide Öffnerkontakte funktionieren) geöffnet und wieder geschlossen, dann ist der Kanalfehler am Sicherheitsrelais quittiert und der andere Schalter hat immer noch den "defekten Kontakt".
Das ist nicht mehr Kat.4

Gruß,

ElemenT

 

[HBL]

Guten Morgen ElemT

Das ist richtig so. Aus diesem Grunde habe ich geschrieben, dass z.B. Diversität der Kontakte oder sogar Diversität der ES in Betracht gezogen werden muss.

Das alles, und vor allem die einzelnen Punkte, müssen in einer seriösen Risikoanalyse und dem daraus resultierenden Massnahmenkatalog betrachtet und realisiert werden.

Mit Gruss

Hans

 

[ElemenT]

Da stimm ich dir zu. Ich habe dann nur dein geschriebenes falsch interpretiert. Nobody is perfect

Gruß,

ElemenT

 

[Deltal]

Zuviel Werbung?
-> Hier kostenlos registrieren

- ein einzelner Fehler in jedem dieser sicherheitsbezogenen Teile nicht zum Verlust der Sicherheitsfunktion führt und

Ist in unserem Beispiel gegeben, die Sicherheitsfunktion ist immer da

- der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt wird, z.B. unmittelbar, beim Einschalten, am Ende eines Maschinenzyklus. Falls diese Erkennung nicht möglich ist, darf die Anhäufung von Fehlern nicht zum Verlust der Sicherheitsfunktion führen.

Der Fehler kann nicht erkannt werden, aber die Sicherheitsfunktion ist immer gewährleistet.

Also bleibt noch die Frage wie hoch das Risiko ist wenn der Fehler an der einen Tür nicht erkannt wird.

 

[Safety]

Hi,
@ HBL

Der genaue Wortlaut muss halt in den einschlägigen Normen nachgelesen werden.

Was den gebrochenen Betätiger eines Enschalters der Kategorie 2 (ist nicht identisch mit der Steuerungskategorie 2 nach Norm EN 954-1 oder EN ISO 13894-1) betrifft, so wird in der Norm EN ISO 12100 "Grundbegriffe, allgemeine Gestaltungsleitsätze" verlangt, dass Endschalter und deren Betätiger so zu montieren sind, dass ein offensichtlicher Missbrauch verhindert wird.

Ebenso ist ein Betätiger so zu montieren, dass er nicht bricht.

Allerdings müssen die Enschalter eine entsprechende Zertifizierung aufweisen.

Um die oben erwähnten Anforderungen der Steuerungskategorien zu erreichen, besteht auch die Möglichkeit der Diversität der Endschalter. Es gibt Endschalter, die weisen einen Öffner und einen Schliesser auf. Das entsprechende Sicherheitsmodul merkt nun, ob der Schalter innerhalb einer Zeittoleranz richtig geschaltet hat. Ist dies nicht der Fall, so kann das Sicherheitsmodul nicht wieder zurückgestellt werden, und der Fehler muss zuerst behoben werden.

Mit Gruss

Hans

Genau wie Du schreibst, ist es!
1.Wer kann Garantieren das der Betätiget nicht bricht?
2.Wer kann Garantieren das er nicht Manipuliert wird?
Sprich doch mal mit Anwendern viele sagen, dass fast jeder Bediener solch einen Stößel in der Tasche hat!!!!!
Diese Tatsachen hat die BG erkannt und Empfehlungen gegeben! Auch die Tägliche Praxis zeigt das man hier zwei Schalter verwenden soll (muss)!
Für mich ist Stand der Technik Berührungslos und Codierte Sicherheitsschalter !

Wie sieht das dann mit der neuen Norm aus, bin mal gespannt wie die Sicherhheitseinsparer hier dann vorgehen???
Sag nur Sistema MTTFd und konsorten?

Wenn man die Norm heute biegt kann man vieles machen!

 

[Safety]

Hallo

In der Norm EN954-1 unter Pkt. 6.2.5 Kategorie 4 ist unter anderem nachstehendes festgehalten (Auszug):

Sicherheitsbezogene Teile von Steuerungen der Kategorie 4 müssen so gestaltet werden, dass:

......
- ein einzelner Fehler in jedem dieser sicherheitsbezogenen Teile nicht zum Verlust der Sicherheitsfunktion führt und

- der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt wird, z.B. unmittelbar, beim Einschalten, am Ende eines Maschinenzyklus. Falls diese Erkennung nicht möglich ist, darf die Anhäufung von Fehlern nicht zum Verlust der Sicherheitsfunktion führen.
.....

Fehler gemeinsamer Ursache müssen berücksichtigt werden, z.B. durch Anwendung von Diversität, .... .

Durch Anwendung diversitärer Schaltern ist es sehr wohl möglich, auch bei in Reihe geschalteten ES die Fehler zu erkennen.

Um eine 2-Kanaligkeit zu erreichen, müssen pro Schutzverdeck 2 ES montiert sein. Damit kann gewährleistet werden, dass wenn ein ES einen Fehler aufweist, der 2. ES trotzdem sicher abschaltet. Solange das Schutzverdeck geschlossen ist, besteht ja keine Gefahr. Bei Öffnen des Schutzverdeckes werden die Endschalter entsprechend betätigt. Wenn nun in einem ES ein Kontaktfehler auftritt, und das Sicheerheitsmodul Diversität zulässt, kann sehr wohl der Fehler in diesem sicherheitsbezogenen Teil der Steuerung aufgedeckt werden.

Fast wortgleich ist die Beschreibung der Kat. 4 unter Pkt. 6.2.7 Kategorie 4 der Norm EN ISO 13849-1 zu finden.

Es lohnt sich, die entsprechenden Sicherheitnormen und die ausführliche Beschreibung der einzelnen Kategorien genau zu studieren.

Gruss

Hans

Hallo Hans,
ich hoffe, dass ich Dich duzen darf?
Auch bei der Reihenschaltung von Sicherheitsschaltern Kat.2 mit Diversitär aufgebauten Kontakten oder auch getrennt aufgebaute ES können Fehlersituationen entstehen die zwar das nachgeschaltete Relais erkennt aber der normale Bediener durch einfaches öffnen einer der davor liegenden Türen beseitigen kann !
Das bedeutet für mich kein erreichen der Kat4. Und genau solche Verdrahtungen erzeugen diese Fehler, unübersichtlich, schwer zuwarten, Fehlersuche sehr schwierig. Auch das muss man berücksichtigen, die ganze Lebensdauer einer Maschine auch Wartungen und Reparaturen, für mich ein ganz klares K.O. Kriterium.
Die Normen lassen sehr viel Spielraum aber man sollte immer das ganze sehen!
Und nochmal Danke Hans das Du hier sehr Detailiert auf die Normen eingehst, den genau solche Diskussionen brauchen wir um die Umsetzung und auch das Verständnis zu verbessern!