Validierung Sicherheits-SPS (F-CPU)

Wie validiert ihr eine Sicherheits-SPS (F-CPU)

  • Funktionstest genügt

    Stimmen: 3 18,8%
  • Projektfremder Kollege schaut drüber

    Stimmen: 10 62,5%
  • Zusammen mit der Sicherheitsfachkraft des Kunden

    Stimmen: 2 12,5%
  • Durch externe Sachverständige (TÜV, Dekra, ...)

    Stimmen: 1 6,3%

  • Umfrageteilnehmer
    16
  • Umfrage geschlossen .
Zuviel Werbung?
-> Hier kostenlos registrieren
Das Wörtchen "muss" stört mich ein wenig, auch wenn es für eine Validierung reichen würde. Warum? Weil der Sinn das ein Projektfremder prüft ist ja unter anderem der, dass dieser durch sein Fachwissen selbst Gefahren/Lücken erkennt, die dir vielleicht durch die Lappen gegangen sind. Wenn du dem jetzt haarklein deine ganzen Funktionen erklärst wird er sich möglicherweise darauf fokusieren und nur die von dir genannte Sicherheit und deren Gefahrenabwendung prüfen.

Vielleicht ist das Wort 'muss' ja garnicht so falsch. Das Valedieren ist doch nicht anderes, als zu prüfen ob die Sicherheitsfunktionen
funktonieren oder entsprechend der Gefahrenanalyse umgesetzt wurden. Wenn jetzt Fehler außerhalb seiner Valedierungsaufgabe
erkannt wird und darauf hingewiesen wird ist dieses zu begrüßen.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Dann widerum benötige ich aber keine externe oder projektfremde Person.

Wenn du als Projektersteller Validierst, wird das wohl wenig sinn machen.

Gegenfrage: Warum sollte er jetzt außer den Validieren nocht mehr machen?

Stell dir doch mal ein Serienmaschinenbau vor, da könnte es doch auch sein
das der Monteur Validiert. Er braucht dann eigentlich doch nicht mehr zu wissen,
wie zu der Validierungsaufgabe gehört.
 
Wenn du als Projektersteller Validierst, wird das wohl wenig sinn machen.

Gegenfrage: Warum sollte er jetzt außer den Validieren nocht mehr machen?

Stell dir doch mal ein Serienmaschinenbau vor, da könnte es doch auch sein
das der Monteur Validiert. Er braucht dann eigentlich doch nicht mehr zu wissen,
wie zu der Validierungsaufgabe gehört.

Bei uns machen die Inbetriebnehmer die Safe-Abnahme.
Es gibt eine Liste, welche Parameter und welche Funktionen wie geprüft werden müssen.
Wenn eine Verkettung und/oder Montagelinie dazukommt, dann ist für die Achsen, Aktoren und Sensoren beschrieben, welche Funktionen wann und wie erlaubt sind.
Nach diesen Vorgaben wir geprüft.

Zum Erstellen des SicherheitsKonzeptes braucht man neben der Mechanik, die Elektrohardware und die Software.
Zu diesem Zeitpunkt ist ein mehr als Zweiaugenprinzip schon gegeben.
Es macht keinen Sinn, dass ein Projektfremder sich noch einmal das komplette Sicherheitskonzept erarbeitet und dann nach seinem Konzept prüft.


bike
 
der Meinung bin ich auch.

Bei uns machen die Inbetriebnehmer die Safe-Abnahme.
Es gibt eine Liste, welche Parameter und welche Funktionen wie geprüft werden müssen.
Wenn eine Verkettung und/oder Montagelinie dazukommt, dann ist für die Achsen, Aktoren und Sensoren beschrieben, welche Funktionen wann und wie erlaubt sind.
Nach diesen Vorgaben wir geprüft.

Zum Erstellen des SicherheitsKonzeptes braucht man neben der Mechanik, die Elektrohardware und die Software.
Zu diesem Zeitpunkt ist ein mehr als Zweiaugenprinzip schon gegeben.
Es macht keinen Sinn, dass ein Projektfremder sich noch einmal das komplette Sicherheitskonzept erarbeitet und dann nach seinem Konzept prüft.


bike
 
Zuviel Werbung?
-> Hier kostenlos registrieren
@rostiger Nagel

Wenn du als Projektersteller Validierst, wird das wohl wenig sinn machen.

hab ich auch nie erwähnt.

Gegenfrage: Warum sollte er jetzt außer den Validieren nocht mehr machen?

Weil der Sinn der Prüfung darin besteht Fehler des Erstellers zu erkennen. Aus der 13849-2 u.a.:

9.5 ...

-angewandte Maßnahmen und Methoden zur Vermeidung von systematischen Softwarefehlern während der Softwareentwicklung

Zeig mir bitte den Monteur der eine Plausibilitätsprüfung unsicherer Daten im F-Programm durchführt oder die Versionskennung mit dem richtigen Annex 1 überprüft.


Wie wird bei dir z. Zt. validiert?


MfG Sinix
 
bike hat doch gerade Beispiele gebracht wie es unter Umständen im
Serienmaschinenbau gemacht wird. Es geht doch um die Aussage, das
ein Valedierer nicht wissen 'muss' oder 'soll', deiner Auffassung nach,
wie das Sicherheitskonzept gestaltet ist. Aber es geht doch nicht um den
Nachweis ob es richtig gewählt wurde, sondern ob es funktioniert.
 
bike hat doch gerade Beispiele gebracht wie es unter Umständen im
Serienmaschinenbau gemacht wird.

Heisst im Klartext du machst es auch so?

Es geht doch um die Aussage, das
ein Valedierer nicht wissen 'muss' oder 'soll', deiner Auffassung nach,
wie das Sicherheitskonzept gestaltet ist.

Meiner Auffassung nach diskutiere ich mit dir/euch darüber wie und (wie sich schnell herausgestellt hat) durch wen
eine Validierung der F-CPU/Sicherheits-SPS vorgenommen wird. Wie es bei mir gehandhabt wird, habe
ich bereits gepostet und sehe viele Parallelen zu user bike und anderen, denen ich dafür dankbar bin.
Darüberhinaus möchte ich wie der TE aber andere Vorgehensweisen prüfen und dazu gehört u.a. auch das Für und Wider einer
Validierung durch externes Personal / Sachverständigen.

Wie man sieht gibt es ja vom TÜV-Sachverständigen bis zum Monteur jede Menge Vorschläge:ROFLMAO:
 
Zuviel Werbung?
-> Hier kostenlos registrieren
So steht es im BGIA Report 2/2008

7.1.1 Leitsätze für die Verifikation und Validierung
Verifikation und Validierung sollen die Konformität der Gestal-
tung der SRP/CS mit der Maschinenrichtlinie sicherstellen.

Da DIN EN ISO 13849-1 als Sicherheitsnorm für Maschinen-
steuerungen unter der Maschinenrichtlinie gelistet ist, müssen
die V&V-Aktivitäten zeigen, dass jedes sicherheitsbezogeneTeil
und jede seiner ausgeführten Sicherheitsfunktionen die Anforde-
rungen der DIN EN ISO 13849-1 erfüllt, sofern die Vermutungs-
wirkung der Norm beansprucht werden soll. Diese Aktivitäten
sollten so früh wie möglich während der Entwicklung begonnen
werden, sodass Fehler rechtzeitig erkannt und behoben werden
können. Die Prüfungen sollten nach Möglichkeit von Personen
durchgeführt werden, die nicht in den Gestaltungsprozess der
sicherheitsbezogenen Teile einbezogen sind, d.h. unabhängig
von Entwurf und Realisierung sind. Dies können andere Per-
sonen, andere Abteilungen oder andere Stellen sein, die der
Konstruktionsabteilung hierarchisch nicht unterstehen.


Der Grad der Unabhängigkeit sollte dabei dem Risiko, also
dem erforderlichen Performance Level PLr, angemessen sein.

Verifikation und Validierung können durch alleinige Analyse
oder durch eine Kombination aus Analyse und Prüfung erfolgen.

So macht es vielleicht auch Sinn, ein Abteilungsfremder der es
nicht mit ausgearbeitet hat. Da ist aber auch das Problem, welche
Firma kann sich solche Parallel Welten leisten, die das entsprechende
Fachwissen mitbringen.
 
Wenn ich die Herstellerhandbücher und die Norm richtig interprediere, dann ist die Software-Validierung im einfachsten Fall durch einen Mitarbeiter möglich, der nicht an der Erstellung / Programmierung der Sicherheitsfunktionen beteiligt war.
Die Software-Validierung erfolgt anhand eines Validierungsplanes (Checkliste) in dem alle Gefährdungen, die vorgesehenen Sicherheitselemente und Funktionen und deren Umsetzung kurz beschrieben sind. Der validierende Mitarbeiter muss in der Lage sein, die Logik und Parametrierung zu verstehen.
Solange vorkonfigurierte und zertifizierte Bausteine verwendet werden, ist damit das Thema Software-Validierung recht einfach zu erledigen.

Werden neue Sicherheitsfunktionen (Chemie, Anlagenbau, ...) programmiert, dann kann eine weitergehende Validierung inkl. Prüfung durch externe Sachkundige oder Sachverständige notwendig sein.

@Safety:
Ich hoffe ich habe mit den Aussagen recht :)

Gruß
Dieter
 
@Sinix

Das Thema Validierung (V-Modell) aus der 13849-2 kenne ich auch.
Nur geht hier das Siemens-Handbuch über die Norm hinaus.
Wir haben demnächst die Siemens Fachberatung im Haus und da will ich eine verbindliche Stellungsnahme zu diesem Punkt

Gruß
Dieter

Ja das Thema mit dem V-Modell ist echt ein wichtiges. Normalerweise sollte das Siemens Handbuch dir in diesem Punkt alles schlüssig erklären. Aber wenn Du sowieso einen Fachberater ins Haus bekommst wird er Dir den Punkt ausführlich erklären.

Grüße
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ja das Thema mit dem V-Modell ist echt ein wichtiges. Normalerweise sollte das Siemens Handbuch dir in diesem Punkt alles schlüssig erklären. Aber wenn Du sowieso einen Fachberater ins Haus bekommst wird er Dir den Punkt ausführlich erklären.

Grüße

Weil das Siemens-Handbuch sooo gut ist, habe ich den Thread gestartet :p
Lies dir den Anfang des Threads durch

Gruß
Dieter
 
Wenn ich die Herstellerhandbücher und die Norm richtig interprediere, dann ist die Software-Validierung im einfachsten Fall durch einen Mitarbeiter möglich, der nicht an der Erstellung / Programmierung der Sicherheitsfunktionen beteiligt war.
Die Software-Validierung erfolgt anhand eines Validierungsplanes (Checkliste) in dem alle Gefährdungen, die vorgesehenen Sicherheitselemente und Funktionen und deren Umsetzung kurz beschrieben sind. Der validierende Mitarbeiter muss in der Lage sein, die Logik und Parametrierung zu verstehen.
Solange vorkonfigurierte und zertifizierte Bausteine verwendet werden, ist damit das Thema Software-Validierung recht einfach zu erledigen.

Werden neue Sicherheitsfunktionen (Chemie, Anlagenbau, ...) programmiert, dann kann eine weitergehende Validierung inkl. Prüfung durch externe Sachkundige oder Sachverständige notwendig sein.

@Safety:
Ich hoffe ich habe mit den Aussagen recht :)

Gruß
Dieter

Hallo Dieter,
ja wenn man einfache Strukturen und dann auch Zertifizierte Module (Funktionsbausteine) benutzt brauchst Du diesen Teil des V-Model nicht mehr zu erfüllen.
Wie gesagt Ziel des ganzen ist Fehler Vermeidung in der Software. Denn das ist das einzige was man machen kann.
Man muss sich bei der Forderung von Normen auch Fragen warum wollen die das?
Bei der Validierung durch eine zweite Person geht es darum, das der Mensch dazu neigt eigene Fehler nicht zu sehen. Ich habe gut Erfahrung mit dem Vieraugenprinzip gemacht, der Ersteller erklärt anhand der Dokumentation was er wie und warum gemacht hat. Meist merkt der Ersteller schon beim erklären was falsch ist. Es sollten aber auch in Sicherheitsfunktionen erfahrene Personen sein.
Es ist eben wichtig, dass man von Anfang an alles durch arbeitet, Risikobeurteilung Risikominderungsmaßnahmen, Funktionstest und Prüfungen ob die Maßnahmen auch umgesetzt wurden usw.
Bei der Software ist fast immer der nicht vorhandenen Nahvollziehbare Weg das größte Problem, hier muss man eine Spezifikation haben, damit ich überhaupt weiß was zu tun ist.
 
Wie gesagt Ziel des ganzen ist Fehler Vermeidung in der Software. Denn das ist das einzige was man machen kann.
Man muss sich bei der Forderung von Normen auch Fragen warum wollen die das?
Bei der Validierung durch eine zweite Person geht es darum, das der Mensch dazu neigt eigene Fehler nicht zu sehen. Ich habe gut Erfahrung mit dem Vieraugenprinzip gemacht, der Ersteller erklärt anhand der Dokumentation was er wie und warum gemacht hat. Meist merkt der Ersteller schon beim erklären was falsch ist. Es sollten aber auch in Sicherheitsfunktionen erfahrene Personen sein.
Es ist eben wichtig, dass man von Anfang an alles durch arbeitet, Risikobeurteilung Risikominderungsmaßnahmen, Funktionstest und Prüfungen ob die Maßnahmen auch umgesetzt wurden usw.

*ACK*

Sag ich doch:
...der Sinn das ein Projektfremder prüft ist ja unter anderem der, dass dieser durch sein Fachwissen selbst Gefahren/Lücken erkennt, die dir vielleicht durch die Lappen gegangen sind...
...Weil der Sinn der Prüfung darin besteht Fehler des Erstellers zu erkennen. Aus der 13849-2 ...

Würd mich mal interessieren wie Ihr so vorgeht.

Im Handbuch Siemens Distributet Safety Kapitel 11.2.2 - finde ich keinen Hinweis zu vorkonfigurierten und zertifizierten Bausteinen, dessen Betrachtung die Validierung erleichtert.
11.2.2 Abnahme des Sicherheitsprogramms
Sicherheitsprogramm überprüfen (Druckinhalt "Sicherheitsprogramm")
1. Überprüfen Sie im Ausdruck, ob die beiden Gesamtsignaturen übereinstimmen:
– Gesamtsignatur aller F-Bausteine mit F-Attribut des Bausteincontainers
– Gesamtsignatur des Sicherheitsprogramms

...

11.Überprüfen Sie die ergänzenden Informationen:
– ob die Einstellung "Sicherheitsbetrieb deaktivierbar" dem von Ihnen projektierten Wert
entspricht.
– anhand der Gesamtanzahl Seiten

Validiert ihr nach Siemens Handbuch, nach DIN 13849-2, Beides oder Sonst irgendwie?
Mir ist schon klar das "Beides" richtig ist, dass muss jetzt niemand beschwichtigen, aber wie wird es in der Praxis gehandhabt?

Danke und Gruß
Sinix
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Also mein Wissensstand ist folgender:

# Validierung durch TÜV, Sachverständigen o.Ä. > Hängt vom "zutreffenden onfomitätsbewertungsverfahren" ab, siehe MRL. Im normalen Maschinenbau ist das sicher nicht erforderlich. Ob allerdings der Projektleiter der Richtige ist frag ich mich schon. Validieren ist eben nicht nur mal eben die Funktion der Sicherheits- einrichtungen testen. Ein gewisses Wissen über die Anlage reicht wohl kaum aus, dann kann ich auch gleich Sabine - die Azubine- nehmen.
# Genauso vorsichtig sein sollte man mit Pauschalausagen der Bauteilhersteller im Sinne von .. Abnahme durch unabhängigen Sachverständigen. Ich bin der Meinung hier wollen sich die Hersteller nur durch das Aufstellen von "Maximalforderungen" jegliche Verantwortung vom Hals halten. Fakt ist aber die Norm (13849-1/2) beschreibt wie /durch wen zu validieren ist, und nicht der Hersteller der F-CPU.
# 2014 wird das Jahr der Validierung, das glaube ich auch!
# Übrigens, was hier unterzugehen scheint, validiert werden muss die GESAMTE SF, (Sensor - Logik - Aktor) nicht nur die F-CPU.
# Was mich erschreckt: das Abstimmungsergebnis 62% lassen einen ... Kollegen "drüberschauen" und haben
dann ihre Validierung fertig. Ob das ausreicht ?



MfG
 
# Was mich erschreckt: das Abstimmungsergebnis 62% lassen einen ... Kollegen "drüberschauen" und haben
dann ihre Validierung fertig. Ob das ausreicht ?

Ja! Wenn der Kollege genügend Sachkenntnis hat und systematisch vorgegangen wird,
incl. Dokumentation.
Wenn die Personen, die in diesem Thread posten, gegenseitig "drüberschauen würden,
wäre das mehr wert, als 10 Sachverständige einzuschalten.

Gruß
Tommi
 
Zurück
Oben