Anforderungsrate Kategorie 2

P

PeterK1981

Level-2
Beiträge
65
Reaktionspunkte
10
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

ich modelliere derzeit ein Kategorie 2 System und habe leichte Probleme bei der Definition der Anforderungsrate.
Nach ISO 13849-1 ist die Anforderungsrate definiert als "Häufigkeit je Zeiteinheit von Anforderungen an eine sicherheitsbezogene Reaktion eines SRP/CS".

Da das betrachtete System recht kompliziert ist, nehme ich mal ein anderes fiktives und unrealistisches Beispiel. Zur Verdeutlichung der Frage ist dies jedoch ganz gut geeignet.

Nehmen wir an, wir haben zwei voneinander getrennte und vollständig umzäunte Wartungsplätze, welche jeweils durch eine eigene Zugangstür (Tür 1 und Tür 2) erreichbar sind. Ein Roboter bedient beide Räume. Sobald Raum 1 zur Wartung betreten wird, muss die Öffnung der Tür angefordert werden. Der Roboter hat daraufhin 10 Sekunden Zeit, Raum 1 zu verlassen und seine Arbeit nur noch auf Raum 2 zu beschränken. Die Tür zu Raum 1 öffnet sich nach 15 Sekunden. Hat der Roboter Raum 1 innerhalb von 10 Sekunden nicht verlassen, wird er sicher ausgeschaltet. Er wird auch ausgeschaltet, wenn er sich von Raum 2 zurück zu Raum 1 bewegen möchte.

Es geht mir hier um die Anforderungsrate der Ausschaltung. Entspricht die Anforderungsrate
a) der Häufigkeit des Zugangs
b) der Häufigkeit eines Fehlerfalls, wenn der Roboter tatsächlich ausgeschaltet wird.

Das Verlassen des Raumes bei Zugangsanforderung oder das Verbleiben in Raum 2 während der Wartung sind keine Sicherheitsfunktionen. Die Sicherheitsfunktion besteht im Ausschalten falls der Roboter den Raum 1 nicht verlässt oder sich während der Wartung von Raum 2 zu Raum 1 bewegt. Daher tendiere ich zu Antwort a. Da die unsicheren Systeme aber höchst selten ausfallen, käme man auf eine sehr geringe Anforderungs- und damit auch Testrate.
 
Mir ist nicht ganz klar, wie du hier Kategorie 2 umsetzen willst?
Nicht sichere Positionserfassung und Abschaltung des Roboters?
 
Meiner Meinung nach Zugänge Raum 1 bzw. Roboter betret Raum 1, und Kommunikation mit dem Roboter

Aber was passiert wenn der Roboter den Raum 1 betret und keine Kommunikation mit dem Roboter gibt (Test Kanal) welche wäre die Reaktion? Die ganze Anlage auszuschalten?
 
Elektriko schrieb:
Meiner Meinung nach Zugänge Raum 1 bzw. Roboter betret Raum 1, und Kommunikation mit dem Roboter

Aber was passiert wenn der Roboter den Raum 1 betret und keine Kommunikation mit dem Roboter gibt (Test Kanal) welche wäre die Reaktion? Die ganze Anlage auszuschalten?
Zum Vergrößern anklicken....

Schutztüren (Zugänge) mit Kategorie 2 ist extrem schwierig ... Wie willst du da auf eine vernünftige Testrate kommen?

Ich kann mir höchstens vorstellen, dass hier die Schutzräume des Robis mit Kategorie 2 ausgewertet werden sollen.
Entweder weil der Roboter es nicht sicher kann oder weil jemand vergessen hat die Option mitzubestellen.

Wir verwenden nie Kategorie 2.
Den Aufwand den man an Material spart, steckt man x-fach in die Doku.
Zumindest bei Sondermaschinen ... Bei Serienmaschienen mit entsprechenden Stückzahlen sieht's anders aus.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich gebe zu, das Ganze ist etwas umständlich beschrieben. Engen wir die Situation folgendermaßen ein.

In Raum 1 befindet sich die Wartungsperson. Der Roboter arbeitet in Bereich 2 und wird von der unsicheren SPS gesteuert. Sollte sich der Roboter, aufgrund einer fehlerhaften Ansteuerung durch die unsichere SPS, auf Bereich 1 hinbewegen, wird er sofort über eine Sicherheitsfunktion ausgeschaltet.
Die Sicherheitsfunktion besteht unter anderem aus Sensoren, Sicherheits-SPS und Hauptschützen (ggf. Bremse etc.). Nehmen wir an, eine Komponente ist nicht redundant ausgeführt, sondern als Kategorie 2 System. Wir hätten also beispielsweise ein Hauptschütz. Um PL von d zu erreichen, müsste das Hauptschütz nun überwacht werden.

Das Beispiel ist rein fiktiv. Umsetzen würde ich das Ganze so nicht. Mir geht es aber nur um die Definition der Anforderungsrate.
Nach meinem Verständnis der Norm entspricht die Anforderungsrate der Sicherheitsfunktion dem Fehlerverhalten der unsicheren SPS. Nur dann müssten die Hauptschütze auch tatsächlich reagieren.
Es gibt aber sicher auch Stimmen, die sagen würden, dass die Anforderungsrate dem Betreten des Raumes entspricht, auch wenn die Sicherheitsfunktion nur bei einem Fehler der unsicheren SPS reagieren würde.
 
@Blockmove ich meinte Zugang nur vom Roboter, also kein Türschalter, sondern Sensoren, Scanner, Lichtvorhänge.

@PeterK1981 aber ich verstehe noch nicht wo den Test Kanal ist, im Hauptschütz?
Wenn ja, der Hauptschütz musst dann 100 Mal an- und ausgeschaltet werden (zwischen jede Sicherheitsanforderung) und den Test Kanal sein Zustand überprüfen
 
Elektriko schrieb:
@Blockmove ich meinte Zugang nur vom Roboter, also kein Türschalter, sondern Sensoren, Scanner, Lichtvorhänge.

@PeterK1981 aber ich verstehe noch nicht wo den Test Kanal ist, im Hauptschütz?
Wenn ja, der Hauptschütz musst dann 100 Mal an- und ausgeschaltet werden (zwischen jede Sicherheitsanforderung) und den Test Kanal sein Zustand überprüfen
Zum Vergrößern anklicken....
Der Testkanal ist für die Frage nach der Anforderungsrate nicht relevant. Man könnte bspw. das Hauptschütz über die Sicherheits-SPS kontrollieren, ob es klebt und dann anderweitig einen sicheren Zustand einleiten.

Würde man beispielsweise einen Not-Halt Taster als Kategorie 2 System modellieren (was wohl keiner tun wird), dann wäre die Anforderungsrate, die erwartete Betätigung des Tasters. Würde man, bspw. 1x pro Monat annehmen, dann müsste dieser 100x (bzw. 25x) monatlich getestet werden.

Die Sicherheitsfunktion wird nur aktiv, wenn die unsichere SPS ein Fehlverhalten zeigt, daher hätte ich das als Grundlage für die Testrate angesehen.
 
Kat 2 verwenden wir auch nie!
Aber zu deiner Thematik, ich hoffe ich habe es richtig verstanden.
Meiner Meinung nach würde ich auf die sichere Seite gehen und auch a) anwenden, weil dafür wahrscheinlich die gleiche Sicherheitsfunktion (in der SPS) verwendet wird, sowie der gleiche Aktor. Für mich ist das Abschalten über die Tür die gleiche Sicherheitsfunktion, wie wenn der Roboter im Fehlerfall zurückkehrt. Es ist halt nur ein anderer Sensor
 
Die Anforderungsrate entspricht der Häufigkeit des Zugangs. Bei der Testrate kommt es auf den PFHd an, ob man 100x oder 25x ansetzen muss.
Man kann das System aber auch so gestalten, dass mit der Anforderung ein Test der SiFu durchgeführt wird.
Hier kommt jetzt der PLr in Spiel: Bei D muss der Testausgang einen sicheren Zustand auslösen, bei C reicht eine Warnung.

Ich schließe mich aber auch der Meinung von Kollegen an, dass Kat2 nicht das Gelbe vom Ei ist um PLd zu erreichen.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
nilpferd schrieb:
Die Anforderungsrate entspricht der Häufigkeit des Zugangs. Bei der Testrate kommt es auf den PFHd an, ob man 100x oder 25x ansetzen muss.
Man kann das System aber auch so gestalten, dass mit der Anforderung ein Test der SiFu durchgeführt wird.
Hier kommt jetzt der PLr in Spiel: Bei D muss der Testausgang einen sicheren Zustand auslösen, bei C reicht eine Warnung.

Ich schließe mich aber auch der Meinung von Kollegen an, dass Kat2 nicht das Gelbe vom Ei ist um PLd zu erreichen.
Zum Vergrößern anklicken....
Was ist das von "100x oder 25x", ich habe geglaubt, dass nur 100x zulässig war
 
Elektriko schrieb:
Was ist das von "100x oder 25x", ich habe geglaubt, dass nur 100x zulässig war
Zum Vergrößern anklicken....

Der Vorteil von Kat. 2 ist, dass sie unter Umständen günstiger ist.
Das macht es für Serienmaschinen interessant.
Deshalb wurde sie vor einiger Zeit genauer definiert. (PL, Testrate, Störung / Warnung)
So wie es eben @nilpferd beschreibt.
 
Zuletzt bearbeitet:
stevenn schrieb:
wie kommst du zu dieser Annahme?
Zum Vergrößern anklicken....
IFA Report 2/2017 Kapitel 6.2.5

Grundsätzlich und für PLr = d zwingend muss die Ausgabe (OTE) einen sicheren Zustand einleiten, der bis zur Behebung des Fehlers beibehalten wird. Bis PLr = c kann es alternativ – wenn das Einleiten eines sicheren Zustands nicht praktikabel ist (z.B. durch Verschweißen des Kontakts des finalen Schaltglieds) – ausreichen, wenn der Ausgang der Testeinrichtung, OTE, nur eine Warnung bereitstellt.
Zum Vergrößern anklicken....
Wobei das "Warnung reicht" bei PLr c nicht generell gilt.
 
Das Erreichen eines sicheren Zustands ist tatsächlich ein Problem bei der Kategorie 2 um einen PL von d zu erreichen.
Es wäre jedoch denkbar, dass der Testkanal die Freigabe des Antriebs wegnimmt, womit ebenfalls ein sicherer Zustand gewährleistet ist. Dies setzt aber voraus, dass der Antriebshersteller einen MTTFd Wert zur Verfügung stellt.
 

Similar threads

R
Anwendung von SIL Zertifizierten Bauteilen in 13849
2
Antworten
31
Aufrufe
12K
Elektriko
Elektriko
P
Sicherheitsrelevante Embedded Software und BGIA Report
Antworten
1
Aufrufe
663
PeterK1981
P
F
EN 13849 / Kat. 3 - Einfehlersicherheit, bei dem der redundante Kanal nur im Fehlerfall benutzt wird
2
Antworten
28
Aufrufe
13K
SPSAlex83
S
S
Sistema - Erklärung zur Kategorie 2
Antworten
2
Aufrufe
4K
Tommi
Tommi
A
TIA bräuchte Hilfe bei einer Grundprogramierung einer S7-1200
Antworten
12
Aufrufe
2K
AlexanderW
A
Zurück
Oben