Fehlerausschluss von Endschaltern

M

maggyrider

Level-1
Beiträge
22
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Servus Leute,

Ich bin gerade damit beschäftigt diverse Sicherheitsfunktionen einer Steuerung zu überarbeiten.
Diesbezüglich muss unter anderem eine Sicherheitsfunktion nach PL d realisiert werden. Der Plan ist soweit klar und ich versuche nun die Umsetzung in den Griff zu bekommen, habe allerdings noch kleinere Probleme damit, das Thema Fehlerausschlüsse komplett zu verstehen bzw. verwirrt mich SISTEMA dabei etwas.
Im Konkreten befindet sich an erster Stelle der Sicherheitsfunktion (aktuell) ein einzelner Endschalter mit einem Öffnerkontakt. Dieser wird per Steckverbindung, Kabel und erneuter Steckverbindung mit einem nachfolgenden Sicherheitssteuergerät (Kat. 2, PL d; MTTFd, etc. von Hersteller angegeben) verbunden. Nach meinem bisherigen Wissenstand kann dieser Teil in SISTEMA als Subsystem der Sicherheitsfunktion betrachtet werden, beginnend mit dem Endschalter und aufhörend mit der Steckverbindung am Sicherheitssteuergerät. Nächstes Subsystem wäre dann das Sicherheitssteuergerät mit den vom Hersteller angegebenen Werten und nachfolgend noch die Ausgangsschaltung, wiederum als eigenes Subsystem. Ist das soweit korrekt oder mache ich hier bereits einen ersten Fehler?

Trotzdem, weiter im Programm...
Folgende gefährliche Fehler innerhalb dieses ersten Subsystems bzw. der einzelnen Bestandteile, die mir meine Sicherheitsfunktion außer Kraft setzen, können auftreten:

  1. Mechanische Fehler nach EN 13849-2, Tabelle A.4 (Verschleiß, Korrosion, Lösen, Bruch, Verformung, Hängenbleiben)
  2. Nichtöffnen des Kontaktes
  3. Kurzschluss am Steckverbinder zwischen den beiden entsprechenden Kontakten am Endschalter
  4. Kurzschluss zwischen den beiden Adern in der Leitung zum Endschalter
  5. Kurzschluss am Steckverbinder zwischen den beiden entsprechenden Kontakten am nachfolgenden Sicherheitssteuergerät
Laut meinem Verständnis nach eingehender Beschäftigung mit der EN 13849-2 können nun sämtliche Fehler mit der folgenden Begründung ausgeschlossen werden:
  1. Mechanisch entsprechend EN 13849-2, Tabelle A.2 konstruiert (bewährte Sicherheitsprinzipien) bzw. Tabelle A.4 (Kriterien für Fehlerausschluss)
  2. Endschalter entsprechend IEC 60947-5-1, Anhang K konstruiert
  3. Bemerkung EN 13849-2, Tabelle D.7 erfüllt
  4. Leitungen und Einbauraum entsprechen IEC 60204-1
  5. Siehe 3.
Im Gesamten müsste damit also ein Fehlerausschluss für dieses Subsystem möglich sein.

Nun meine Frage - gebe ich diesen Fehlerausschluss in SISTEMA direkt in der Ebene Subsystem im Reiter PL oder auch im Reiter MTTFd ein, so funktioniert die ganze Sache, allerdings verstehe ich nicht ganz warum SISTEMA ein PL von e vorschlägt. Immerhin handelt es sich ja trotz Fehlerausschluss um Kategorie 1, die ja an und für sich nicht über PL c kommen kann.
Gehe ich eine Ebene tiefer, definiere ich das Subsystem als Kategorie 1 und lasse MTTFd, etc. über die einzelnen Blöcke berechnen, wobei ich dann eben den Block bzw. dessen Elemente mit Fehlerausschluss angebe, so meldet mir SISTEMA, dass ein Fehlerausschluss im Kanal in der Regel nicht zulässig ist.

Wo liegt hier mein Denkfehler oder Anwendungsfehler? Oder sind meine Annahmen richtig, der Fehlerausschluss auf Subsystem Ebene ist korrekt und meine Sicherheitsfunktion, die wie bereits Eingangs erwähnt PL d erreichen soll, kann mit einem einzigen, einkanaligen Schalter als Eingangsstufe umgesetzt werden?

Danke schon mal in Voraus!
 
Hallo,
ich würde mir die Kenndaten des Schalters anschauen, gibt der Hersteller "d" an alles gut. Mit Fehlerausschlüssen wäre ich persönlich etwas vorsichtiger und würde da eher einen neuen 2-kanaligen Schalter einbauen.

Gruß
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Der Hersteller gibt hier nichts an. Allerdings würde mich auch so interessieren, wie ein einkanaliger Schalter, nur weil es der Hersteller angibt, PL d erreichen kann. Die EN 13849 gibt doch eindeutig vor, dass mit Kategorie b oder 1 nur PL c erreicht werden kann.
Nur noch vielleicht noch eine kleine Zwischenfrage, wobei mich dieses Thema auch etwas verwirrt - worin genau unterscheidet sich ein sog. Sicherheitsschalter von einem normalen Positionsschalter?
Macht es außerdem einen Unterschied, ob ich nun den Schließerkontakt (der Schalter hat die Konfiguration 1NC+1NO) auch noch mit zur Sicherheitssteuerung führe? Kommt doch weiterhin beides von einem Schalter und läuft in eine einzelne Sicherheitssteuerung. Ein "Steckenbleiben" im geschalteten Zustand ist definitiv nicht kritisch...
 
Also mit dem Sicherheitsschaltgerät der Kat. 2 kannst du wenn du deine Sicherheitsfunktion entsprechend der Anforderungsrate testes einen PL=d erreichen. Allerdings wird das bei elektromechanischen Bauteilen schwierig, da du mit zulässigen Schaltspielen und geforderter Testrate schnell in einen Konflikt gerätst. Wie sieht den dein Abschaltpfad aus?

Edit: Wenn der Schalter zwei Ausgänge hat und der Druckmechanissmus so konstruiert ist, dass bei defekt am Druckmechanismuss nicht beide Kanäle zur gleichen Zeit ausfallen kann der Schalter PL=d erreichen.
 
Zuletzt bearbeitet:
Der Abschaltpfad wird wahrscheinlich mittels eines hydraulischen Wegeventils inkl. Positionsüberwachung umgesetzt werden, wobei ein zweites Ventil (allerdings unüberwacht) den separaten Abschaltpfad herstellt. Meiner Meinung nach (bitte korrigieren falls ich hier falsch liege) handelt es sich hierbei um ein Kategorie 2 Subsystem, wobei ich von den Kennwerten her so liege, dass eigentlich PL d erreicht werden sollte. Beide Ventile werden wiederum von der Sicherheitssteuerung angesteuert.
Ganz prinzipiell noch einmal die Frage - ich unterteile meine gesamte Sicherheitsfunktion in 3 Subsysteme (wobei diese dann eben auch als Subsysteme in SISTEMA angelegt sind). Im Konkreten sieht mein Aufbau aktuell folgendermaßen aus:



  • Subsystem: Eingangsstufe - Kat. 1
    • Kanal 1:
      • Block: Endschalter - MTTFd FE

  • Subsystem: Steuerung - Kat. 2, MTTFd+DC+CCF von Hersteller

  • Subsystem: Ausgangsstufe - Kat. 2, CCF ok
    • Kanal 1:
      • Block: Wegeventil - MTTFd 150 Jahre, DC 90%
    • Testkanal:
      • Block: Positionsschalter - MTTFd von Hersteller
      • Block: Abschaltventil - MTTFd 150 Jahre

In diesem Fall beschwert sich SISTEMA, dass ein Fehlerausschluss im Kanal nicht zulässig ist. Bin ich denn damit grundsätzlich auf dem richtigen Weg? Oder ist mein Ansatz komplett falsch?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Also wenn du schon zwei Ventile zur Abschaltung hast, dann nimm noch nen Positionsschalter dazu, ein Sicherheitsrelais kat.3 und mach dein System zum einem Kat. 3 System. Ich bezweifle das mit mechanischen Schaltern und mechanischen Ventilen dein Kat. 2 Sysem funktionieren wird. Wie oft werden den Schalter und Ventile beansprucht?
 
Sorry, wenn ich jetzt schon wieder auf der Leitung stehe, aber wo genau soll das Sicherheitsrelais hin und welche Funktion soll es dort erfüllen? Das sichere Abschalten der Ausgänge der Steuerung selbst erfolgt ja mit ausreichend hoher Sicherheit.
2 Ventile sind räumlich leicht unterzubringen, 2 Schalter leider nicht. Es wäre von dem her eine Lösung mit nur einem Schalter absolut zu bevorzugen. Sowohl Schalter als auch Ventile werden mit Pi mal Daumen 100 Zyklen pro Stunde beansprucht. Einsatzdauer 40 Stunden pro Woche, 52 Wochen pro Jahr.

Tortzdem nochmal, wie bereits Eingangs gefragt - mir kommt etwas bei meinem Fehlerausschluss für den Endschalter nicht in Ordnung vor, nur wüsste ich eben gerne, wo denn mein Denkfehler genau liegt.
Und auch nochmal die Frage, ist mein grundlegender Aufbau in SISTEMA so überhaupt korrekt oder mache ich auch hier schon einen Fehler?
 
Also um meine Frage in anderen Worten noch einmal zusammen zu fassen - darf ich den Fehlerausschluss für den Schalter bzw. das Eingangssubsystem treffen?
  • Wenn ja, wo muss ich den Fehlerausschluss in SISTEMA setzen?
  • Wenn nein, warum nicht? (Siehe die von mir angeführte Begründung in meinem ersten Post)
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich sag jetzt mal nein, da ich denke, nur weil du das in Sistema zusammengeklickt bekommst deine Sicherheitsfunktion nicht den Anforderungen an einen PL=d erfüllen wird. Habt ihr schon eine Risikobeurteilung gemacht? Welche Gefährdungen ergeben sich?

Bei der Hohen Anforderungsrate werden deine Bauteile im Abschaltpfad bei Zeiten die zulässigen Schaltspiele erreicht haben und die Ausfallwahrscheinlichkeit steigt. Kat 2 Systeme eigenen sich nur auf elektronische Bauteile wie z.B. Lichtvorhänge, da diese permanent von einer Steuerung getestet werden können.

Das Sicherheitsrelais ist imprinzip dein SB für die Logik deiner Sicherheitsfunktion. Ich empfehle dir hier die Sicherheitsfunktion mit kat. 3 aufzubauen und dich nochmal in der Norm zu belesen. Vorallem in der DIN EN ISO 13849-1!
 
snake_1842 schrieb:
Ich empfehle dir hier die Sicherheitsfunktion mit kat. 3 aufzubauen und dich nochmal in der Norm zu belesen. Vorallem in der DIN EN ISO 13849-1!
Zum Vergrößern anklicken....

Kat. 3 ist meist wesentlicher einfacher handelbar.
Mit einem 2-kanaligen Schalter müsstest du hinkommen.
Wenn du eine Sicherheitssteuerung hast, dann hast du üblicherweise auch Taktsignale für die Eingänge.
Damit sind die Fehlerausschlüsse für die Steckverbindungen einfach.

Bei der Hydraulik kannst du z.B. auch die Pumpe abschalten und hast einen weiteren Abschaltweg.

Gruß
Dieter
 
Eine etwas detailliertere Antwort als "ich denke..." wäre schon schön (ohne das jetzt böse zu meinen). Außerdem frag ich ja genau, was denn an meiner Berechnung an Sistema nicht stimmt?!

Eine Risikobeurteilung gibt es, ebenso eine sehr detaillierte, zugehörige Typ C Norm, die eben auch die Anforderungen an die ebenfalls genau definierten Sicherheitsfunktionen stellt.

Das sich Kat. 2 Systeme nur auf elektronische Bauteile beschränken, stimmt so nunmal einfach garnicht, siehe z.B. den BGIA Report 2/2008, Seite 117 (Beispiel 11) oder Seite 120 (Beispiel 12) (Link).

Wie bereits gefragt, warum ist mein Fehlerausschluss nicht zulässig?

Wenn denn nun das Sicherheitsrelais mein Subsystem wäre, wo platziere ich dann mein Steuergerät, das ja für sich selbst auch schon ein Subsystem ist?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ist es denn möglich mit dem erwähnten einzelnen Schalter ein Kategorie 3 Subsystem aufzubauen, indem z.B. in Kanal 1 der Öffnerkontakt und in Kanal 2 der Schließerkontakt sitzt (mit entsprechendem Kreuzvergleich in der nachfolgenden Logik natürlich)?
 
Das grö0te Hindernis werden wohl die fehlenden Herstellerangaben sein für den Schalter sein, woher willst du wissen wie lange der Schalter im Schnitt hält, gerade bei dieser häufigen Betätigung. Du kannst ja auch bei einem Schalter bleiben, nur würde ein 2-kanaliger Schalter dein Leben ungemein vereinfachen.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ok ok... Mein ursprünglicher Fehler ist mir inzwischen bewusst geworden. Fehlerausschluss auf elektrischer Ebene ist ja wie bereits erwähnt absolut realistisch und auch nicht aus der Luft gegriffen (Noch mal zur Erinnerung, kritisch wäre ein verkleben/verschweißen der Kontakte, was aber wiederum durch die Zwangsöffnung der Kontakte ausgeschlossen werden kann - siehe EN 13849-2, Anhang D). Problematisch ist nur die mechanische Lebensdauer bzw. der B10d Wert des Endschalters, für den so auch direkt keine Werte angegeben werden, jedoch bietet die 13849 hier ja immer noch die Option den B10d Wert mit 20.000.000 Betätigungen anzugeben. Werden beide Anteile des Schalters (also der mechanische und der elektrische Part) in Sistema als Element eingegeben, so hat sich mein ursprüngliches Problem erledigt.
Meine nächste Frage wäre nun, ob es denn prinzipiell möglich ist, mittels eines einzigen Schalters mit 2 elektrischen Kanälen, aber nur einem mechanischen Betätiger eine Architektur nach Kategorie 3 umzusetzen? Kreuzvergleich durch die nachfolgende Steuerung natürlich inklusive... Oder werden hierfür zwingend zwei getrennte Schalter benötigt?
 
maggyrider schrieb:
Meine nächste Frage wäre nun, ob es denn prinzipiell möglich ist, mittels eines einzigen Schalters mit 2 elektrischen Kanälen, aber nur einem mechanischen Betätiger eine Architektur nach Kategorie 3 umzusetzen? Kreuzvergleich durch die nachfolgende Steuerung natürlich inklusive... Oder werden hierfür zwingend zwei getrennte Schalter benötigt?
Zum Vergrößern anklicken....

Schau dich mal bei Euchner oder Schmersal um. Dort findest du entsprechende Schalter und Betätiger.
Ausserdem findest du dort auch in der Doku die Anforderungen die an die Montage des Betätigers gestellt werden.

Ansonsten gehst du -meines Erachtens - sehr locker mit Annahmen / Ausschlüssen an.
Für die Zeit, die du mit dem Finden von Annahmen und Ausschlüssen verbrauchst, hättest du locker schon einen geprüften Schalter kaufen können ;)
Von ifm gibt es z.B. einen sicheren 2-kanaligen Ini für 70€ Liste ...
 
Danke danke soweit...
Wo genau liegt denn eigentlich der Unterschied zwischen einem Sicherheitsschalter und einem normalen Positionsschalter, z.B. diesem Sicherheitsschalter und diesem "normalen" Positionsschalter? Nur in den zwangsöffnenden Kontakten? Wie siehts dann mit "normalen" Positionsschaltern mit zwangsöffnenden Kontakten aus? Gibts hier einen Unterschied zu Sicherheitsschaltern?
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
maggyrider schrieb:
Ok ok... Mein ursprünglicher Fehler ist mir inzwischen bewusst geworden. Fehlerausschluss auf elektrischer Ebene ist ja wie bereits erwähnt absolut realistisch und auch nicht aus der Luft gegriffen (Noch mal zur Erinnerung, kritisch wäre ein verkleben/verschweißen der Kontakte, was aber wiederum durch die Zwangsöffnung der Kontakte ausgeschlossen werden kann - siehe EN 13849-2, Anhang D)
Zum Vergrößern anklicken....

Warum gehst du eigentlich davon aus einen Fehlerausschluss machen zu können? Ohne Herstellerangaben kannst du doch nicht beurteilen ob die Bauteile wie in 13849-2 Tabbele A.4 wirklich "Überdimensioniert" o.ä. sind. Du nimmst ja jetzt kein Schütz von 30 kW um 3 kW zu schalten, du weißt es ja schlicht bei deinem Schalter nicht.


Sicherheitssbauteile sind normalerweise von TÜV o.ä. geprüfte Bauteile.
 
maggyrider schrieb:
Wo genau liegt denn eigentlich der Unterschied zwischen einem Sicherheitsschalter und einem normalen Positionsschalter, z.B. diesem Sicherheitsschalter und diesem "normalen" Positionsschalter? Nur in den zwangsöffnenden Kontakten? Wie siehts dann mit "normalen" Positionsschaltern mit zwangsöffnenden Kontakten aus? Gibts hier einen Unterschied zu Sicherheitsschaltern?
Zum Vergrößern anklicken....

Moin,

trickreiche Frage! Leider führt es immer wieder zu Verwirrungen was sog. "Sicherheitsschalter" angeht. Schalter sind nicht mal in der "Nicht erschöpfenden Liste..." in Anhang V der MRL genannt! Folglich ist ein "Sicherheitsschalter" ein Schalter der eben Funktionen initiiert, die der Personensicherheit dienen. Dann sollte er eben den Anforderungen der EN ISO 13849-2 entsprechen.

Du hast ja in Deinem eingehenden Beitrag schon einmal die Liste der möglichen Fehlerausschlüsse auf diesen Schalter angewandt. Wenn die Testrate stimmt (Schalter wird betriebsmäßig 100 mal häufiger betätigt als der Fehlerfall eintritt UND diese erfolgreiche Betätigung wird entsprechend durch die (Prozess-) Steuerung auch überwacht) dann kann auch der einkanalige elektromechanische Schalter die Anforderungen der Kat. 2 erfüllen. Kat. 3 ist einfacher umzusetzen, da hier lediglich zwei zusätzliche Leitungen und ein Kontakt mehr benötigt werden, dann aber die Überwachung auch einfacher ausgeführt werden kann. Auch ist die Kat. 3 unabhängig von der Testrate.

Das größte Problem bei elektromechanischen Komponenten ist der Fehlerausschluss auf mechanischer Seite. SISTEMA weist daher auch darauf hin, dass bei PLe ein Fehlerausschluss auf einen einzelnen mechanischen Betätiger in der Regel nicht ausreichend ist. Damit folgt SISTEMA der EN ISO 13849-2:2012 Tabelle D.8.

Auf der anderen Seite hat SISTEMA auch kein Problem damit, einen PLe auszuwerfen, wenn ich einen Fehlerausschluss auf einen einkanaligen Schalter mache. Fehlerausschluss heißt ja, dass KEIN Fehler passieren kann, daher ist der PFHd quasi 1E- unendlich (also sowas von klein, dass man die Zahl nicht mal unter dem Mikroskop sehen würde :ROFLMAO:).

Gruß

Klopfer
 
Rofang schrieb:
Sicherheitssbauteile sind normalerweise von TÜV o.ä. geprüfte Bauteile.
Zum Vergrößern anklicken....

Sagt wer?

Wenn Du auf die Baumusterprüfung durch eine Benannte Stelle anspielst, dann sind wir im Falle der MRL bei Anhang IV Punkt 19. und 21. Und selbst hier muss eine Benannte Stelle nicht zwangsläufig involviert sein wenn es C-Normen oder ein umfassendes Qualitätssicherungssystem (Anhang X) gibt.

Vielleicht hat der TÜV ja doch nur die Antwortzeiten der Hersteller-Hotline geprüft :ROFLMAO:

Gruß

Klopfer
 

Similar threads

B
Standard SPS-Signal als Input bei Kat.3 ?
Antworten
16
Aufrufe
5K
s_kraut
s_kraut
P
Sicherheitsrelevante Embedded Software und BGIA Report
Antworten
1
Aufrufe
707
PeterK1981
P
P
Sicherheit schwerkraftbelastete Achse - Bremsen
Antworten
8
Aufrufe
3K
SPSAlex83
S
Safety
Nachweise zur funktionalen Sicherheit nach DIN EN ISO 13849-1
Antworten
0
Aufrufe
698
Safety
Safety
M
DGUV-Info zur vierten Edition der EN ISO 13849-1
Antworten
3
Aufrufe
3K
Elektriko
Elektriko
Zurück
Oben