PDA

View Full Version : SISTEMA - Einige Fragen



Beren
21.09.2009, 13:17
*gelöscht*

istat_gb
22.09.2009, 11:55
Drahtbruch wird bedingt durch Arbeitsstromprinzip überwacht


kannst du mir das kurz erklären?

Ich schreib dann später nochwas dazu....(Wenns bis dahin noch keina nderer getan hat)


André

Beren
22.09.2009, 13:29
*gelöscht*

Beren
24.09.2009, 10:30
*gelöscht*

Rene_sps
25.09.2009, 11:58
Hallo,
wenn du die Spannungsversorgung, der Ausgänge einer Ausgangskarte abschaltest brauchst du diese in deiner Sicherheitsfunktion nicht zu bewerten!
Es gibt da ein Schreiben von Siemens!

http://support.automation.siemens.com/WW/view/de/35443359 (http://support.automation.siemens.com/WW/view/de/35443359)
Wie können SIMATIC S7 „Standard-Ausgangsbaugruppen“, die über die Lastspannung abgeschaltet werden, in einer Sicherheitsfunktion bewertet werden?

Ralle
25.09.2009, 13:00
Hallo,
wenn du die Spannungsversorgung, der Ausgänge einer Ausgangskarte abschaltest brauchst du diese in deiner Sicherheitsfunktion nicht zu bewerten!
Es gibt da ein Schreiben von Siemens!

http://support.automation.siemens.com/WW/view/de/35443359 (http://support.automation.siemens.com/WW/view/de/35443359)
Wie können SIMATIC S7 „Standard-Ausgangsbaugruppen“, die über die Lastspannung abgeschaltet werden, in einer Sicherheitsfunktion bewertet werden?

Bist du sicher? das kann ich aus der PDF irgendwie nicht rauslesen. :confused:

Rene_sps
25.09.2009, 13:49
Also ich verstehe das so:

Zitat:

Durch die Tatsache, dass die Lastspannung der SIMATIC S7 Standard-Ausgabebaugruppen S7 sicher
getrennt wird ist die Ausfallrate bzw. ein MTTF Wert für die Betrachtung des sicherheitsgerichteten Abschaltens
nicht notwendig – die Baugruppen können wie ein „elektronischer Draht“ betrachtet werden, der nur dann
Spannung führen kann wenn auch eine solche anliegt.

Die Ausgangsspannung, wird in dem Beispiel natürlich durch ein Sicherheitsrelais z.B. PNOZ x abgeschaltet.

istat_gb
25.09.2009, 14:36
SF: SS1 - Sicherer Stopp 1: Hydraulische Antriebe

SB: Not-Halt Gerät, Kat. 2

Kanal 1

BL: Not-Halt Taster, DC=99%, weil zwei Öffner-Kontakte in Reihe, Querschlusserkennung über interne Geberversorgung, Drahtbrucherkennung über Arbeitsstromprinzip

Testkanal ist leer, da ich die Prüfung unter DC angegeben hab. Ist das richtig?


Also, ich weiss jetzt nicht, ob da 2 Kontakte in Reihe sind, aber die Begründung ist meiner Ansicht nach nicht korrekt: Wenn 2 Kontakte in Reihe sind, ist das eine Redundanz, aber keine Methode zur Fehleraufdeckung.
Wenn du Querschlusserkennung und Drahtbrucherkennung anwenden kannst, nutz diese als Fehleraufdeckungsmethoden. Das von dir beschriebene "Arbeitsstromprinzip" heisst ja nur, dass falls der taster abgebaut wird, oder die Leitung unterbrochen wird die Anlage in einen sicheren Zustand verfällt (verfallen sollte ;-) ). Das zählt aber zu den grundlegenden oder bewährten Sicherheitsprinzipien soweit ich weiss. Aber Querschlusserkennung (und eigtl auch Drahtbruch!?) dürfte mit Taktspannung möglich sein. Ist nur die Frage, wieviel % man hierfür geben sollte.........

Ich muss ganz ehrlich sagen, dass ich nicht so recht weiss, wie ich ein kategorie 2 System in diesem Fall zuordnen kann. (Dann müsste die Steuerung ja eigtl wissen, ob jemand den taster gedrückt hat, und dann das Signal in der Logik vergleichen... - um Fehler zu erkennen)


Kannst du für den Taster und die Leitung evtl Fehlerausschlüsse annehmen?

Naja, nochmal kurz was Allgemeines: Der DC-Wert wird eigtlfür jedes Bauteil abgeschätzt. Das Bauteil, welches den test durchführt (Laut ISO 13849 MUSS der Test von der Maschinensteuerung übernommen werden) - also wohl die Sicherheits-SPS mit meinetwegen Querschlusserkennung - müsste dann in den Testkanal - besser gesagt: der MTTFd-Wert dieser. Ich weiss garnicht, ob Siemens für deine Geräte noch MTTFd-Werte rausgibt?

welchen PLr hast du denn? evtl reicht es ja über ein kat 1 System zu gehen ansonsten kannst du mit einer Sicherheits-SPS ja auch ohne Probleme ein Kat 3 System realisieren....



SB: Sicherheitssteuerung (S7-300F) => PL e


korrekt - den PFH-Wert wirst du wohl haben denke ich...


SB: Digitale Ausgangskarte, Kat. 1, nicht f-sicher (erreicht nur PL a)


Wie Rene schon geschrieben hat: Falls du diese Karten sicher abschalten kannst, darfst du diese "weglassen". Ansonsten darfst du diese als Kat-B-System ansehen (dadurch kann aber ein PL b erreicht werden)...


SB: Abschaltung Ventilspannung, Kat. 2

Kanal 1

BL: Schütz (Das Schütz schaltet die Versorgungsspannung der digitalen Ausgangskarten (nicht f-sicher), die die Ventile ansteuern, ab)

EL: Schütz Hauptkontakte
Testkanal

BL: Schütz Hilfskontakt (wird über nicht fehlersicheren Eingang eingelesen)




Also, hier erstmal eines: Auch hier wird der DC für das Relais abgeschätzt. Aber das kontrollierende Element wird auch heir wohl wieder die SPS sein denke ich!? Diese würde ich dann in den Testkanal setzen. Auch hier wieder das Problem mit dem MTTFd-Wert


ich weiss nicht, ob es nur mir so vorkommt, aber ich finde ein Kategorie 2 System zu erstellen irgendwie Praxisfern - zumindest bei uns wird das nie vorkommen.

Also, nochmal kurz für mich:
- Not-Halt-taster geht direkt auf sicherheitseingänge der Sicherheits-SPS
- Sicherheitsausgang steuert Relais an, das die Ausgangskarte abschaltet

richtig so?

nikraym
25.09.2009, 16:49
Also was die Kat.2 betrifft, stimme ich istat_gb zu.
Wir haben auch Abstand von Kat.2 genommen, da daran unmögliche Bedingungen geknüpft sind.

1. Der MTTFd Wert der testenden Einheit sollte mindestens halb so groß sein wie die MTTFd der zu testenden Einheit.

2. Die Testrate sollte mindestens 100 mal höher sein als die Anforderungsrate der Sicherheitsfunktion.

Diese Testungen fließen mit in nop (Zyklen/Jahr) ein und versauen dir vielleicht deinen MTTFd. Siehe BGIA Report 2008 Beispiel 9.

Zum Not-Halt Gerät mit Kat.2 .

Das verstehe ich nicht. Wie testest du die Not-Halt Geräte auf ihre einwandfreie Funktion? Geht das überhaupt?...Bin auch noch am lernen und verstehen.:confused:

Hier schließe ich mich ebenfalls meinem Vorschreiber an. Entweder Kat.1 (Ein Kontakt in Si-SPS) oder wenn notwendig Kat.3 (2 parallel geschaltete Kontakte in Si-SPS).

LG

Safety
25.09.2009, 19:09
Hallo,
eine Architektur von Kat 2, wird in Zukunft auch nach meiner Meinung nur durch Vollelektronische Systeme anwendbar sein. Das Problem ist die Testrate die größer als die Anforderungsrate sein muss, da man den Ausfall der Sifu erkennen muss bevor es zu einer Gefahr kommen kann!

@Ralle
Auch ich finde das gezeigte Dokument alles andere als eindeutige.

Rene_sps
29.09.2009, 07:27
Stimme da voll und ganz zu, dass es schwer ist die Anforderungen an ein Kategorie 2 System zu erfüllen.
Haben bei der Beurteilung unserer Sicherheitsfunktionen im Zweifel immer auf ein Kategorie 3 System zurückgegriffen.
Gerade die Anforderung an die Testrate, ist meistens nur schwer zu belegen.
Zudem muss ich sagen, dass sich bis um Ende der Übergangsfrist, einige Hersteller noch sehr ranhalten müssen Werte für ihre Bauteile den Kunden bereitzustellen.

Toddy_1
29.09.2009, 16:54
Hallo,
wenn du die Spannungsversorgung, der Ausgänge einer Ausgangskarte abschaltest brauchst du diese in deiner Sicherheitsfunktion nicht zu bewerten!
Es gibt da ein Schreiben von Siemens!

http://support.automation.siemens.com/WW/view/de/35443359 (http://support.automation.siemens.com/WW/view/de/35443359)
Wie können SIMATIC S7 „Standard-Ausgangsbaugruppen“, die über die Lastspannung abgeschaltet werden, in einer Sicherheitsfunktion bewertet werden?

Ich kann mich auch nur Ralle anschließen. Sehr fragwürdig!
Erst schreiben sie, dass die Standard Ausgangsbaugruppen keine sichere Trennung gewährleisten und auf der nächsten Seite nehmen sie es einfach an. Da stimmt doch was nicht oder????

Nach meinem wissen gehen durch solche Ausgangsbaugruppen noch mehr Spannungen als nur die Peripheriespannungen (z.b. Logikspannung). Einen Fehlerauschschluss auf diese Einwirkungen kann man als Anwender doch gar nicht machen. Man kennt doch nicht das Innenleben der Baugruppe.
Und das Schalten übernimmt doch ein Ausgangstreiber. Als reine Drahtlösung ist das doch auch nicht zu sehen. Wenn ich schon alle Bauteile betrachten muss, dann gehört die Ausgangsbaugruppe auch dazu oder nicht?

Safety
29.09.2009, 18:53
ich habe weiter oben schon geschrieben das es für mich nicht eindeutig ist.


Wenn man aber die Zeichnung genau ansieht, findet man zwei getrennte Baugruppen mit zwei
Einspeisungen welche direkt auf die Schütze gehen. Vermutlich Relais mit getrennten Kontakten.


Ich kann nur vermuten, dass wenn ein Fehler passieren würde ja nur ein Schütz anziehen und dieser
Fehler würde durch den Rückführkreis erkannt.
Aber ist das bei allen Baugruppen so, wie sieht es mit Transistorausgängen aus?


Und wenn ich diese Schaltung sehe kann ich die Sicherenkontakte hinter die SPS Baugruppe legen und gut ist.


Es sind für mich sehr viele Fragen offen.

Rene_sps
01.10.2009, 07:58
Also, habe mir das Dokument von Siemens im Internet nochmal angeschaut und es mit meinem, welches ich vor einigen Wochen geladen habe, verglichen.
Beide sind komplet unterschiedlich!!!!!! In dem alten steht, dass eine sichere Trennung gewährleistet wird und in dem neuen, dass keine sichere trennung gewährleistet wird.

nikraym
01.10.2009, 19:01
Hi,


Also, habe mir das Dokument von Siemens im Internet nochmal angeschaut und es mit meinem, welches ich vor einigen Wochen geladen habe, verglichen.
Beide sind komplet unterschiedlich!!!!!!

Oje. Aber das neue Dokument ist auch widersprüchlich in sich selbst. Hab´s zwar gerade nicht vor mir liegen. Aber wenn ich mich recht erinnere, steht auf einer Seite, dass "keine sichere Trennung" vorliegt. Doch auf der Folgeseite steht wieder etwas von "sicherer Trennung".


Und wenn ich diese Schaltung sehe kann ich die Sicherenkontakte hinter die SPS Baugruppe legen und gut ist.

Für 2 Ausgänge ist das OK aber was ist bei mehreren Ausgängen? Wäre schon extrem, extra 5 Sicherheitsschaltgeräte oder mehr nachzurüsten zu müssen.

Safety
11.10.2009, 15:27
Hallo nikraym (http://www.sps-forum.de/member.php?u=9306),
also wenn Du vom Hersteller keine klare Ansage bekommst wird Dir nichts anderes übrig bleiben.
Die Vervielfältigung kann mit bestimmten Erweiterungsrelais geschehen aber es geht auch mit z.B. zwei Schützen und je einem zwangsgeführten öffner Kontakt.
Hier muss natürlich alles beachtet werden, mit dem Öffner erreicht man DC 99% und kann durchaus Ple erreichen.
Nicht alles was man früher immer gemacht hat war auch richtig!

Beren
12.10.2009, 13:49
*gelöscht*

Beren
15.10.2009, 13:34
*gelöscht*

Beren
16.10.2009, 14:19
*gelöscht*

Beren
23.10.2009, 12:06
*gelöscht*

volker
02.11.2009, 18:32
ich versuche mich auch mal wieder in sistema.
aber irgendwie drehe ich mich hier im kreis.
die beispiele sind ja alle schön ung gut aber wenn ich versuche das mal auf eine anlage anzuwenden komm ich irgendwie nicht zurecht.
ich weiss nicht wie ich die verschiedenen 'elemente' zuzammenschalten soll.

mal ein beispiel einer anlage:
s7-300 (im folgenden als sps bezeichnet)
sichere sps PNOZmulti von pilz (im folgenden als pnoz bezeichnet)
schutzzaun mit zwei türen.
der zaun wird gesichert durch schmersal azm200.. zuhaltung
diese zuhaltung wird ausgewertet durch die auswerteeinheit aes.. (genaue bezeichnung habe ich z.Z nicht im kopf)
die sicheren ausgänge der auswerteeinheiten gehen auf die pnoz
die pnoz schaltet mir bei geöffneter tür + und - von 3 hydraulikventilen weg. ein 5/2 wegeventil hat eine stellungsüberwachung (eingänge gehen in die pnoz) die anderen zwei sind normale 5/2 wegeventile.
grundsätzlich wird ein ventil durch einen sps-ausgang gesteuert. (die pnoz hängt also nur zusätzlich im hardwarekreis drin)
die endlagen der hydraulischen bewegung werden in der sps ausgewertet. bei laufzeitfehler wird die bewegung durch die sps gesperrt.
zusätzlich gibt es noch 2 not-halt schalter. auch diese gehen 2-kanalig in die pnoz

so...
und wie bastel ich das nun zusammen SF,SB,CH,BL,EL???
in der schmersal-bib gibt es ein SB von der AZM und eins von der AES.
müssen die beide ins sistema?
was ist mit der pnoz? muss die auch mit rein? eingänge/ausgänge?
wie muss ich die ventile einpflegen?
als BL in dem zwei ventile als EL für die beiden richtungen auftauchen?
oder für jede richtung ein eigenes BL? oder gar als eigenen CH?
die stellungsüberwachung der normalen hydraulikventile würde ich als testkanal bewerten.
wäre das korrekt? müssen hier dann beide endschalter als element im testkanal auftachen?

Beren
09.11.2009, 13:47
*gelöscht*

Andreas Koenig
24.11.2009, 07:13
Hallo,
wenn die Ventile nicht redundant sind, konnte man nach EN 954-1 dann eine Kat. 2 annehmen, wenn in angemessenen Abständen getestet wird. Ob ein Ventil ohne Hubüberwachung seine Mittelstellung einnimmt, kann man aber nicht immer über den Prozess erkennen !

Nach EN 13849 kannst Du die Kat. 2 vergessen (nun Testung 100x öfter als Anforderung der SF erforderlich !) --> das wäre dann also eine Kat. 1. Damit erreichst Du für hydraulische Bewegungen nicht den nach dem Risikograph in der Regel erforderlichen PL = d.

Zudem wäre bei der Reihenschaltung von Ventilen auch bei ausreichender Überdeckung noch die Möglichkeit einer Bewegung durch interne Leckage zu beachten, durch die sich auch bei zwei in Reihe geschalteten Wegeventilen ein allmählicher Druckaufbau ergeben kann, das kann reichen z.B. um eine Feststelleinheit zu öffnen.

Gruss Andreas

Rene_sps
24.11.2009, 09:21
Hallo,
nun haben wir uns ja alle extrem mit der neuen Maschinenrichtlinie befasst. Denke es hat auch vielen viel Zeit, Mühe und wahrscheinlich auch Geld gekostet. Was ist denn nun an dem Gerücht das die DIN 954-1 für 3 Jahre in die Verlängerung gehen soll? Oder was haltet ihr davon?
Bestimmt haben sich viele viel zu spät mit dem Thema befasst, aber sind sie das nicht selber schuld?

Hier noch ein Link zu einem Artikel in der Zeitschrift OpenAutomation

http://www.openautomation.de/1329-0-geht-die-din-en-954-1-in-die-verlaengerung.html

Andreas Koenig
24.11.2009, 15:31
Das mit dem "selber schuld" sehe ich etwas differenzierter:

In jedem Fall bringt die neue Norm einen erheblichen Mehraufwand (für die Analyse und Berechnung, was besonders den Sondermaschinenbau trifft, für aufgrund des PL erforderliche höherwertige Komponenten, für Austausch von Bauteilen nach Ablauf der T10-Zeit, für die Prüfverfahren zur Ermittlung der Mttfd/B10 etc etc. ) .

Dagegen muss man das Schutzziel setzen, Personenschäden durch Steuerungsversagen zu verhindern.
In unserem Unternehmen haben wie aber mehrere 1000 Maschinen in Betrieb. Da spielt Steuerungsversagen als Unfallursache eine vernachlässigbare Rolle. Von den sehr wenigen Maschinenunfällen sind der größte Teil auf Manipulation (weil der Hersteller ggf. Zugang zum Rüsten und Instandhalten nicht genau genug betrachtete), Auswahl ungeeigneter Bauteile oder gfrob fahrlässige Verstöße gegen die geltende 954-1 (z.B. Absicherung gegen schwere Verletzung über nicht fehlersichere SPS) zurückzuführen.

Das Problem ist für mich also, dass man mit dem selben Aufwand das Schutzziel, Menschen vor Verletzungen zu schützen, an anderen Stellen mit wesentlich höherer Effizienz hätte fördern können.

Unser Unternehmen kann sich den "Luxus" leisten, aber was macht der kleine Maschinenbauer um die Ecke? Er kann sich ein entsprechendes Spezialwissen nur schwer neben seiner ohnehin komplexen Arbeit kaum aneignen und so wird er wohl Anfang 2010 bei seinen Kunden ins Messer laufen, gerade wenn diese Gründe suchen eine bestellte Anlage nicht abzunehmen weil sie die gerade zwecks Krise nicht mehr brauchen.

Dann ist es auch ein Gewinn wenn man Kosten in die Zukunft verlagern kann und nicht sofort hat, gar in einer Zeit wo das Geld in den Unternehmen knapp ist.

Muss also nicht unbedingt der Schlendrian sein, wenn man die Übergangsfristen ausreizt....

Gruss Andreas