CCF - Unklarheit bei Bus-basierter Kommunikation

P

Proxy6484

Level-2
Beiträge
15
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Irgendwie werde ich mit dem CCF nicht ganz warm. Bei einfachen elektromechanischen Systemen erscheint mir alles einleuchtend. Wenn es aber um "moderne" Steuerungssysteme mit Bus-Kommunikation geht, habe ich so meine Schwierigkeiten.

Zunächst die Frage, die ich durch Studieren der Normen nicht so recht beantwortet bekommen habe: Welche Fehler sind beim CCF genau zu berücksichtigen?
Die DIN EN IEC 62061 scheint mir da klarer zu sein als die Definition in der DIN EN ISO 13849, da in ihr von einem Ausfall der Sicherheitsfunktion gesprochen wird. Das bedeutet für mich, dass um nicht aufzudeckende Fehler geht. Wenn der Fehler, der beide Kanäle betrifft, aufgedeckt werden kann, wird der sichere Zustand eingeleitet. Ergo ist die Sicherheitsfunktion nicht wirklich ausgefallen. Oder sehe ich das falsch?

Beispiel: Ich habe Sensoren, die über einen Bus angebunden werden. Einer ist z.B. ein zertifizierter Drehgeber (bis PLd) und
ein anderer ist ein Standard-Drehgeber zur Plausibilitätsprüfung. Wenn es zu einem Kabelbruch in der Netzwerkleitung kommt, über die der Bus läuft, über den die Signale beider Kanäle laufen, dann fallen beide Kanäle aus. Allerdings ja nicht gefährlich, da ich diesen Fehler aufgrund der Diagnosemaßnahmen des Bus-Protokolls aufdecken kann.
Handelt es sich nun um einen CCF oder nicht?

Zu Punkt 1 in der Tabelle F.1 der DIN EN ISO 13849: Bis wohin gilt die "Physikalische Trennung zwischen den Signalpfaden"?
Von Drehgeber bis Eingangsklemme sind die Signalpfade getrennt. Aber sobald das Signal auf den Bus geht, ist es ja ein Signalpfad. Diese 15 Punkte bekomme ich zwar vermutlich dennoch, da auf Netzwerkleitungen Kurzschlüsse und Unterbrechungen im Kabel ja direkt durch das Bus-Protokoll erkannt werden (ist das schon eine dynamische Prüfung?), aber trotzdem tue ich mich schwer damit, die Maßnahmen auf Bus-basierte Systeme anzuwenden.

Ich würde mich freuen, wenn ihr schreibt, wie ihr das so seht.
 
CCF hat nur indirekt mit dem Erkennen des Ausfalls zu tun.
Das "Erkennen" ist dann der DCavg.
Fällt dein Bus aus, funktionieren beide Drehgeber nicht mehr. Ausfall beider Drehgeber.
nach 13849 musst du Maßnahmen vorsehen um Ausfälle gemeinsamer Ursache zu verhindern. Da gibt es dann nur ein ja (erfolgreich) 65 Punkte oder ein nein (nicht erfolgreich).
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
stevenn schrieb:
CCF hat nichts mit dem Erkennen des Ausfalls zu tun.
Das "Erkennen" ist dann der DCavg.
Fällt dein Bus aus, funktionieren beide Drehgeber nicht mehr. Ausfall beider Drehgeber.
nach 13849 musst du Maßnahmen vorsehen um Ausfälle gemeinsamer Ursache zu verhindern. Da gibt es dann nur ein ja (erfolgreich) 65 Punkte oder ein nein (nicht erfolgreich).
Zum Vergrößern anklicken....
Genau, Aufall beider Drehgeber. Aber ja nicht Ausfall der Sicherheitfunktion, da die SF die Anlage ja in den sicheren Zustand bringt?
Die unterschiedliche Definition zwischen 13849 und 62061 stört mich da.

Ansonsten dürften für die 15Punkte bei Nr. 1 in der Tabelle ja nur gegeben sein, wenn beide Kanläle der SF auf zwei unterschiedlichen (physikalisch getrennten) Bussen laufen. Oder sehe ich das falsch?
 
Proxy6484 schrieb:
Ansonsten dürften für die 15Punkte bei Nr. 1 in der Tabelle ja nur gegeben sein, wenn beide Kanläle der SF auf zwei unterschiedlichen (physikalisch getrennten) Bussen laufen. Oder sehe ich das falsch?
Zum Vergrößern anklicken....
1
Trennung/Abtrennung
Physikalische Trennung zwischen den Signalpfaden, z. B.:
 Trennung der Verdrahtung/Verrohrung;
Erkennen von Kurzschlüssen und Unterbrechungen in Kabeln durch dynamische Prüfung;
 getrennte Abschirmung des Signalpfads jedes Kanals;
 ausreichende Luft- und Kriechstrecken auf gedruckten Schaltungen.
 
stevenn schrieb:
1
Trennung/Abtrennung
Physikalische Trennung zwischen den Signalpfaden, z. B.:
 Trennung der Verdrahtung/Verrohrung;
Erkennen von Kurzschlüssen und Unterbrechungen in Kabeln durch dynamische Prüfung;
 getrennte Abschirmung des Signalpfads jedes Kanals;
 ausreichende Luft- und Kriechstrecken auf gedruckten Schaltungen.
Zum Vergrößern anklicken....
Genau der Teil ist der springende Punkt, den ich in der Thread-Eröffnung erwähnt hatte.
Ist eine erkannte Störung, in der auf Ethernet-basierenden Kommunikation eine "dynamische Prüfung"? Einen Kurzschluss oder eine Unterbrechung bekomme ich ja auf jeden Fall mit, wenn die Kommunikation daraufhin nicht mehr funktionsfähig ist.
Das ist ja genau die vermutlich von Dir genannte Überschneidung von CCF und DC, wieso der CCF nur indirekt was mit dem Erkennen zutun hat.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Die CCF Punkte beziehen sich halt in erster Linie auf Klappertechnik. Auf die serielle Datenübertragung in Feldbussystemen sind sie nicht wirklich anwendbar.
Ist der Drehgeber mit PLd über ein sicheren Kommunikationskanal angebunden?
Bei Standard (Ethernet-) Kommunikation kannst du leider nicht sicher sein, das Ausfälle und Störungen immer (zeitnah) erkannt werden. Ein Ausfall des Busses kann dann z.B. dafür sorgen, dass der letzte Wert noch einige Zeit im Puffer hängt.
 
MasterOhh schrieb:
Die CCF Punkte beziehen sich halt in erster Linie auf Klappertechnik. Auf die serielle Datenübertragung in Feldbussystemen sind sie nicht wirklich anwendbar.
Zum Vergrößern anklicken....
Genau das ist leider das, was mich aktuell etwas verwirrt.

MasterOhh schrieb:
Ist der Drehgeber mit PLd über ein sicheren Kommunikationskanal angebunden?
Zum Vergrößern anklicken....
Das Konzept sieht erstmal so aus, dass ich einen SIL2-Encoder über eine dieser Beckhoff SC-Klemmen einlese (Unsicheres Einlesen mit sicherer Black-Channel-Übertragung) und in einem zweiten Kanal die unsicher übertragenen Positionswerte des in den Motor integrierten Encoders einlese. Diese Werte werden dann in der Safety-Logik bzw. Safety-SPS verglichen.
Der erste Kanal bekommt über die in das FSoE-Protokoll integrierten Watchdogs "zeitnah" mit, wenn in der Übertragung etwas schiefgelaufen ist (Kurzschluss oder Kabelbruch). Der zweite Kanal könnte einen Moment länger dafür brauchen. Da aber die Safety-Gruppe eh in Störung geht, wenn die FSoE-Verbindung abläuft, wird eh der sichere Zustand eingeleitet.

Also meine ich, dass ich mir die 15 Punkte eigentlich geben könnte. Aber durch die Formulierung in der 13849 bin ich wieder verunsichert, da es ja nicht direkt ein dynamischer Test ist.
 
Im TwinSafe Applikationshandbuch gibt es ein sehr schönes Beispiel, das deiner Anwendung sehr nahe kommt, falls du das noch nicht kennst. Hier wird der Positions-Istwert aus dem Antriebsregler verwendet und nicht direkt ein zweiter Encoder. Aber in Gänze hat das Beispiel einen Encoder über TwinCAT SC Klemme und einen Wert über Standard EtherCAT. Damit kommen die auf PLd Kat3.

In Sistema kannst du ja die 65 Punkte abhaken, das die SF grün wird und zusätzlich im Freitext den realen Sachverhalt erklären.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
MasterOhh schrieb:
Im TwinSafe Applikationshandbuch gibt es ein sehr schönes Beispiel, das deiner Anwendung sehr nahe kommt, falls du das noch nicht kennst. Hier wird der Positions-Istwert aus dem Antriebsregler verwendet und nicht direkt ein zweiter Encoder. Aber in Gänze hat das Beispiel einen Encoder über TwinCAT SC Klemme und einen Wert über Standard EtherCAT. Damit kommen die auf PLd Kat3.

In Sistema kannst du ja die 65 Punkte abhaken, das die SF grün wird und zusätzlich im Freitext den realen Sachverhalt erklären.
Zum Vergrößern anklicken....
Ja, genau an diesem Beispiel habe ich auch versucht mich entlangzuhangeln. In der Berechnung bin ich nur auf das Problem gestoßen, dass Beckhoff keine wirkliche Kategorie 3 erreicht hat, sondern von der Ausnahme Gebrauch macht und über die FMEA statt der Bedingungen (MTTFd jedes Kanals von mindestens mittel bzw. hoch für PLd) für Kategorie. Den MTTFd-Wert für den zweiten Kanal über Standard-EtherCAT, berechnen sie überhaupt nicht, sodass deren Lösungsweg nicht mit SISTEMA umsetzbar ist. In meiner Berechnung (mit SISTEMA) habe ich noch den Verstärker und die Standard-SPS mit 10 Jahren als MTTFd-Wert hinzugefügt, da diese den EtherCAT-Frame ja modifizieren bzw. die Standard-SPS den Positionswert für den neuen Zyklus umkopieren muss. Dann sollte ich auf der sicheren Seite sein, wenn ich die beiden Bauteile mit einem MTTFd-Wert von 10 Jahren bewerte.

Alles klar, danke. So werde ich das dann auch machen. Die Option der direkten Eingabe des CCF-Punktewertes hatte gar nicht mehr präsent.
 

Similar threads

Safety
Nachweise zur funktionalen Sicherheit nach DIN EN ISO 13849-1
Antworten
0
Aufrufe
636
Safety
Safety
P
Sicherheitsrelevante Embedded Software und BGIA Report
Antworten
1
Aufrufe
663
PeterK1981
P
Safety
Seminare zur funktionalen Sicherheit DIN EN ISO 13849-1:2023
Antworten
0
Aufrufe
763
Safety
Safety
volker
Movidrive erweiterte Buspositionierung. keine Bus-Funktion nach Übertragung
Antworten
4
Aufrufe
741
volker
volker
M
DGUV-Info zur vierten Edition der EN ISO 13849-1
Antworten
3
Aufrufe
3K
Elektriko
Elektriko
Zurück
Oben