Elektriko
Level-2
- Beiträge
- 704
- Reaktionspunkte
- 97
-> Hier kostenlos registrieren
Hi s_Kraut, verstehe ich nicht.... Warum meinst du, dass PLb nicht?
Gruß und gute Nacht
SISTEMA Frage
- Ersteller Alex.TU
- Erstellt am
-> Hier kostenlos registrieren
Gruß und gute Nacht
Elektriko
Level-2
- Beiträge
- 704
- Reaktionspunkte
- 97
Ich würde das Modul von der Berechnung nicht einfach weg lassen.... und bin nicht sicher, dass das Modul ein PLc erreichen darf.... Wenn ihr es nicht tauschen könnt/möchtet, ja, besser am Hersteller direkt fragen....deswegen ... viele meinen das Modul ist irrelevant aus Sicherheitsfunktionen !
ich habe hier sistema-berechnung beigefügt ... könntest du mal anschauen .... Falls du Lust darauf hättest
SF1.5 ohne das Modul
SF2.5 mit dem Modul
-> Hier kostenlos registrieren
Puh. Also ohne rechtliche Verbindlichkeit würde ich sagen:
Wenn du mit deinem Not-Halt (ich nehme an 2 Kontakte mit Zwangsöffnung) 2-kanalig in deine PLC (F) gehst und dann 2 F Kanäle jeweils einen von 2 in Reihe geschalteten Kontakten die 24V Steuerspannung wegnehmen, dann wären in der Sistema jeweils die Ausgangsrelais deiner F-CPU oder (wie in deiner Schaltung) eventuell noch danach kommende Koppler oder Relais die letzten zu betrachtenden Bauteile in der Kette. In meinen Augen verhält es sich wie bei einem FU und Motor. Schaltest du da im Eingangskreis die Versorgungsspannung über Schütze weg, dann sind FU und Motor im Sistema nicht mehr relevant. Ohne Versorgungsspannung der Aktoren kann dein Modul kein Ventil mehr schalten. ABER: Es muss sichergestellt sein, dass hier systematische Fehler keine Rolle spielen. Es muss gewährleistet sein, dass das Modul auch sauber trennt. In der Regel werden genau deswegen die 24V Aktorspannung und die Betriebsspannung getrennt von einander im Modul gehandhabt. Du hast in deinem Kreis einen Sensor der den Druck der Freigabe überwacht. Man kann natürlich auch mit Kat. 2 aufbauen und die Überwachung als 2. Kreis mit reinnehmen. Allerdings ist das in meinen Augen komplizierter wegen den Anforderungen an die Testhäufigkeit und so.
Auch ich würde hier den Hersteller fragen was er angibt oder ob er sich komplett den Empfehlungen in Sachen Sicherheit entzieht. Ein Fehlerszenario wäre ein Kurzschluss oder interner Fehler, der die 24V Betriebsspannung auf den Aktorkanal legt und die Ventile somit trotzdem schalten könnten. Falls der Hersteller das nicht ausschließen kann wäre ich auch vorsichtig. (Bei Fehlerausschluss sowieso, das gibt vor Gericht nur Diskussionen)
Was wäre denn, wenn du mit den 2 Kanälen jeweils am Ausgang des Balluff die Versorgungsspannung der Steuerventile und der Freigabe wegnimmst? Dann hängt das nicht mehr am Balluff. In der Sistema hätte der Balluff dann keinerlei Relevanz mehr.
Du hast nur den Not-halt als Input(2-Kanal), die F-PLC als Logik(gekapselt 2 Kanal) und 2 Relais oder F-Ausgänge(2-Kanal) als Output deiner Sistema Architektur.
Edit: Ich gehe hier von 2-kanaligkeit aus und dass die entsprechenden Anforderungen an die hydr. Ventile eingehalten werden. Diese müssten als finale Aktoren schon noch mit betrachtet werden.
Wenn du mit deinem Not-Halt (ich nehme an 2 Kontakte mit Zwangsöffnung) 2-kanalig in deine PLC (F) gehst und dann 2 F Kanäle jeweils einen von 2 in Reihe geschalteten Kontakten die 24V Steuerspannung wegnehmen, dann wären in der Sistema jeweils die Ausgangsrelais deiner F-CPU oder (wie in deiner Schaltung) eventuell noch danach kommende Koppler oder Relais die letzten zu betrachtenden Bauteile in der Kette. In meinen Augen verhält es sich wie bei einem FU und Motor. Schaltest du da im Eingangskreis die Versorgungsspannung über Schütze weg, dann sind FU und Motor im Sistema nicht mehr relevant. Ohne Versorgungsspannung der Aktoren kann dein Modul kein Ventil mehr schalten. ABER: Es muss sichergestellt sein, dass hier systematische Fehler keine Rolle spielen. Es muss gewährleistet sein, dass das Modul auch sauber trennt. In der Regel werden genau deswegen die 24V Aktorspannung und die Betriebsspannung getrennt von einander im Modul gehandhabt. Du hast in deinem Kreis einen Sensor der den Druck der Freigabe überwacht. Man kann natürlich auch mit Kat. 2 aufbauen und die Überwachung als 2. Kreis mit reinnehmen. Allerdings ist das in meinen Augen komplizierter wegen den Anforderungen an die Testhäufigkeit und so.
Auch ich würde hier den Hersteller fragen was er angibt oder ob er sich komplett den Empfehlungen in Sachen Sicherheit entzieht. Ein Fehlerszenario wäre ein Kurzschluss oder interner Fehler, der die 24V Betriebsspannung auf den Aktorkanal legt und die Ventile somit trotzdem schalten könnten. Falls der Hersteller das nicht ausschließen kann wäre ich auch vorsichtig. (Bei Fehlerausschluss sowieso, das gibt vor Gericht nur Diskussionen)
Was wäre denn, wenn du mit den 2 Kanälen jeweils am Ausgang des Balluff die Versorgungsspannung der Steuerventile und der Freigabe wegnimmst? Dann hängt das nicht mehr am Balluff. In der Sistema hätte der Balluff dann keinerlei Relevanz mehr.
Du hast nur den Not-halt als Input(2-Kanal), die F-PLC als Logik(gekapselt 2 Kanal) und 2 Relais oder F-Ausgänge(2-Kanal) als Output deiner Sistema Architektur.
Edit: Ich gehe hier von 2-kanaligkeit aus und dass die entsprechenden Anforderungen an die hydr. Ventile eingehalten werden. Diese müssten als finale Aktoren schon noch mit betrachtet werden.
Zuletzt bearbeitet:
Ich vermute dass der Hersteller das nur sicherheitshalber nochmal erwähnt. Es dürfte klar sein, dass es sich nicht um ein solches Sicherheitsbauteil handelt, denn man sucht ja vergebens nach einem PL oder einer Kategorie, oder?!
Ohne diese Kat. oder ein PL ist das Bauteil kein Subsystem im Sinne der Sistema, womit ich mich selbst auf die Suche nach der Funktion des Bauteils innerhalb einer von mir gestalteten Sicherheitsfunktion machen muss. der Hersteller gibt eben auch nur das MTTF(d) an.
Gleiches gilt für ein Relais oder Schütz. Diese sind auch keine Sicherheitsbauteile, können aber je nach Aufbau durchaus als bewährte Bauteile durchgehen. Ansonsten bleibt nur die B10d bzw. MTTF(d). Also kann der Balluff theoretisch schon mit in einen Kreis rein. Ich würde aber, falls der Hersteller hier schon keinerlei Angaben machen möchte, dieses Teil überspringen und meine Abschaltung in den Ausgangskreis des Balluff packen. Somit wäre mir wurscht, ob das Ding schaltet oder nicht.
Elektriko
Level-2
- Beiträge
- 704
- Reaktionspunkte
- 97
Ich muss auch sagen, dass ich habe mit einem großen Kunden die Diskussion schon gehabt (ähnlich Verteiler von der Firma Murrelektronik) und die Antwort war: "wir machen es immer so, es ist sicher abgeschaltet.... fertig"... ich finde es nicht richtig, aber manchmal kann man nur seine Meinung sagen, aber die Sachen nicht ändern....
-> Hier kostenlos registrieren
Das sehe ich persönlich etwas anders. Als Maschinenbauer würde ich mit dem Kunden zwar über Sicherheitstechnik diskutieren, schlussendlich entscheiden und bewerten tut das aber doch der Maschinenbauer?! Wie schon mal gesagt, Sicherheitstechnik sind kein Wunschkonzert. Wenn du als Konstrukteur diese Bauteile nicht vernünftigerweise in deinen Kreis integrieren kannst und dich für eine sicherere Lösung entscheidest, dann kann der Kunde nicht sagen: Ich hätte das aber gerne unsicher weil wir das immer schon so gemacht haben. Die Einschätzung bleibt beim Hersteller(also dem Masch. Bauer). Falls es Zweifel gibt, welche Variante nun die sicherere ist, dann kann oder sollte man vielleicht auf die Hilfe eines unabhängigen Experten zurückgreifen.
Elektriko
Level-2
- Beiträge
- 704
- Reaktionspunkte
- 97
Natürlich, dass die Entscheidung liegt am Hersteller, wenn ich über Kunde spreche, spreche auch vom Hersteller, nicht Endkunde
Es gibt Konstrukteure die das gleiche seit Jahren machen, und fertig.... klingt nicht schön, aber manchmal es ist so....
Es gibt Konstrukteure die das gleiche seit Jahren machen, und fertig.... klingt nicht schön, aber manchmal es ist so....
Ok, du sprachst aus Sicht des Herstellers für solche Module?!
Sehe ich auch so. Ich kenne auch viele Unternehmen, die das Thema einfach nur nach bestem Wissen und Gewissen handhaben. So richtig tief in der Materie ist man da oft nicht.
Man muss sich sehr gründlich und regelmäßig mit den Themen auseinandersetzen und ich finde dass das Forum einen wichtigen Beitrag leistet, da hier offen über solche Fallstricke diskutiert werden kann.
Sehe ich auch so. Ich kenne auch viele Unternehmen, die das Thema einfach nur nach bestem Wissen und Gewissen handhaben. So richtig tief in der Materie ist man da oft nicht.
Man muss sich sehr gründlich und regelmäßig mit den Themen auseinandersetzen und ich finde dass das Forum einen wichtigen Beitrag leistet, da hier offen über solche Fallstricke diskutiert werden kann.
Elektriko
Level-2
- Beiträge
- 704
- Reaktionspunkte
- 97
-> Hier kostenlos registrieren
Ich spreche über ein Hersteller, dass die Murr Verteiler immer so nutzt, manche Konstrukteure machen es seit Jahren lang so, und fertig.... ist es falsch? In meinen Augen ja, aber manchmal stoßt man gegen "Mauern"
Ich finde dieses Forum, und seine Leute auch super. Haben mir auf jeden Fall in vielen Themen sehr geholfen.
Ich finde dieses Forum, und seine Leute auch super. Haben mir auf jeden Fall in vielen Themen sehr geholfen.
genau deswegen .... viele Kollege sagen so auch, muss das Balluff Modul von sistema rausschmeißen, dann alles gut .... ja Das Modul ist IO Link Master Modul ... falls sicherabgschaltet wird ... dann die Ventile können nix machen (auch die wartungseinheit wird sicher abgeschaltet, dann die haben extra kein Luft mehr) ....Ich spreche über ein Hersteller, dass die Murr Verteiler immer so nutzt, manche Konstrukteure machen es seit Jahren lang so, und fertig.... ist es falsch? In meinen Augen ja, aber manchmal stoßt man gegen "Mauern"
Ich finde dieses Forum, und seine Leute auch super. Haben mir auf jeden Fall in vielen Themen sehr geholfen.
ich weiß nicht, ob von Software Seite her, irgendwie Info bekomme, falls Fehler Ausschlüsse vorhanden sind ... aber glaube ja schon ... über IO Link Kommunikation bekommt man so was
ich versuche das mit Herstelle des Modul abzuklären, aber ob das wirklich bringt ... weiß ich nicht
Nein, ist schon richtig. Vielleicht hat der Verwender dieser Teile aber auch eine konkrete Recherche gemacht und die notwendigen Bestätigungen des Herstellers erhalten. Vielleicht kann er somit systematische Fehler ausschließen. Ich kenne die Murr Teile nicht im Detail. Ich vermute dass die meisten dieser dezentralen Module auf gleichem Prinzip arbeiten. So ist es auch bei Festo Ventilstationen. Da ist die Steuerspannung auch immer getrennt vom Rest. Alleine schon deswegen, weil ich Rückmeldungen weiterhin auswerten will/muss und damit ich nicht immer noch unnötige Profinet Meldungen kriege, weil der Teilnehmer dann ganz weg wäre.
Das Problem mit solchen Modulen vermute ich in der Struktur. Meines Wissens nach sind hier nicht einfach nur Relais drin sondern Logik auf Microcontrollerbasis. Solche Teile werden grundsätzlich NIE als bewährte Bauteile gesehen. Wären diese entsprechend sicher aufgebaut mit Redundanzen, Diversitären Controllern und entsprechender Überwachung, dann würde der Hersteller Anforderungen an PL erfüllen und das auch kennzeichnen. Tut er das nicht, bleibt nur die wahrscheinliche Ausfallrate.
Vielleicht fällt einem das leichter, wenn man statt des Balluff Moduls einfach eine einfache SPS an der Stelle vorstellt. Die SPS, zB ne kleine Logo oder ET CPU würde dann die Schaltung der Signale übernehmen. Dann wäre diese Schaltung schon mal nicht bewährt, eben wegen der CPU. Auch die 2-kanaligkeit wird nix, denn die CPU kann Fehler haben und falsche Signale an alle schicken. Ob 1-oder 2 Kanalig spielt dann keine Rolle, solange alle relevanten Signale durch diese unsichere SPS gehen. Man müsste also den zweiten Kanal komplett von dieser SPS lösen und zum Beispiel damit die Freigabe schalten. Die SPS wäre als schaltendes Element aber mit im Sistema.
Der SPS einfach die Eingangsspannung wegnehmen würde in meinen Augen nicht reichen. Somit würde ich mich beim 2. Kanal für einen separaten Weg entscheiden und nicht alles über den Balluff machen.
-> Hier kostenlos registrieren
Vielleicht fällt einem das leichter, wenn man statt des Balluff Moduls einfach eine einfache SPS an der Stelle vorstellt. Die SPS, zB ne kleine Logo oder ET CPU würde dann die Schaltung der Signale übernehmen. Dann wäre diese Schaltung schon mal nicht bewährt, eben wegen der CPU. Auch die 2-kanaligkeit wird nix, denn die CPU kann Fehler haben und falsche Signale an alle schicken. Ob 1-oder 2 Kanalig spielt dann keine Rolle, solange alle relevanten Signale durch diese unsichere SPS gehen. Man müsste also den zweiten Kanal komplett von dieser SPS lösen und zum Beispiel damit die Freigabe schalten. Die SPS wäre als schaltendes Element aber mit im Sistema.
Der SPS einfach die Eingangsspannung wegnehmen würde in meinen Augen nicht reichen. Somit würde ich mich beim 2. Kanal für einen separaten Weg entscheiden und nicht alles über den Balluff machen.
Also den Balluff "einfach" rausschmeißen würde aber bedeuten, dass du deine Struktur so anpasst, dass du zB. die Spannungsversorgung deiner Ventile bei der Sicherheitsfunktion gar nicht mehr über den Balluff steuerst.
Ich würde wie gesagt, die Kontakte der Sicherheitsfunktion mit in die beiden Kreise, aber hinter dem Balluff einbauen (Sozusagen in Reihe zu deinen Kontakten aus dem Balluff).
In etwa grob wie in der Skizze
zusätzlich, falls man die Leistung der Ventile über Relais steuert, kann man die Rückmeldekontakte auswerten, was bei der Sistemaberechnung und dem DC nen schlanken Fuß macht. Wenn zB. ein Relais hängt, würde man das über den Zwangsgeführten Öffner(oder besser Spiegelkontakt) mitbekommen und wenn dieser mit im Start/Resetkreis des Moduls oder der F-CPU eingebaut ist, wäre ein Neustart nicht mehr möglich. Man würde also Fehler mitbekommen.
Anhänge
Zuletzt bearbeitet:
nein ... ich meinte Modul rausschmeißen, da die Aktorenspannung getrennt sind vom Modul
deine Skizze ist theoretisch beste Lösung ... aber Praktisch, wann man komplexe Greifer hat, 20 bis 30 schwenkspanner (viele ventile) oder mehrere Greifer hat ... dann ist zu viel Aufwand das zu machen, vor allem , falls das alles bei Automobile-industrie ist, kannst du dann dich vorstellen, was für IP wert brauchst .... dann jedes Kabel abzuschneiden und viele klemmen bei Montageplatte am Achse3 vom Roboter, das ist fast unmöglich leider ...
-> Hier kostenlos registrieren
Hallo,
wir haben ein ähnlich gelagertes Thema bei uns schon mal u.a. mit unserem Ansprechpartner bei der Fa.Balluff beackert. Hier ging es aber nur um einen PLc, wobei hinter dem Master noch eine Sensor-Aktor-Box (SAB) kam.
Wichtig ist zu beachten, dass ein Port-Class A parametrierbar ist. Hier wird schon das ganze Dilemma offensichtlich.
Folgende Aussagen des Herstellers in dem Zusammenhang (kursiv):
Wenn PIN2 und/oder PIN4 als Ausgang konfiguriert sind/ist wird UA durchgeschaltet.
Wenn PIN2 und/oder PIN4 als Eingang konfiguriert sind/ist wird US durchgeschaltet.
...über einen Class A-Port am IO-L Master, wobei PIN 2 als Ausgang und PIN 4 (SAB) als Ausgang definiert sind, ist für "sicherheitsgerichtete Anwendungen bis in den mittleren PL oder SIL-Bereich" machbar.
Was ist der mittlere Bereich? Das ist keine Aussagemit der man etwas anfangen kann.
Eine tatsächliche Eignung dieser Beschaltung kann nur mittels einer qualifizierten Risikobetrachtung incl. der Berechnung der SF ermittelt werden. Ausfälle bei IO-LMaster +SAB sind bis her unbekannt, Fehler durch z.B. Querschlüsse zwischen UA und US sind abhängig von der eingesetzten Technik.
Die Class B-Port am IO-L Master haben eine erhöhte Sicherheit, da die Zuordnung der UA fest verdrahtet und nicht paramtriebar ist.
Der Aktor an einem Class B-Port würde also "gefühlt" die SF aufwerten.
Ich persönlich würde nach den Aussagen, die wir damals von dem Vertreter der Fa. Baffuff erhielten, definitiv keinen PLd in Verbindung mit einem Standard-IO-L Master realisieren.
PLc in Verbindung mit einem Port-Class B wäre bei genauer Abwägung das Maximum.
wir haben ein ähnlich gelagertes Thema bei uns schon mal u.a. mit unserem Ansprechpartner bei der Fa.Balluff beackert. Hier ging es aber nur um einen PLc, wobei hinter dem Master noch eine Sensor-Aktor-Box (SAB) kam.
Wichtig ist zu beachten, dass ein Port-Class A parametrierbar ist. Hier wird schon das ganze Dilemma offensichtlich.
Folgende Aussagen des Herstellers in dem Zusammenhang (kursiv):
Wenn PIN2 und/oder PIN4 als Ausgang konfiguriert sind/ist wird UA durchgeschaltet.
Wenn PIN2 und/oder PIN4 als Eingang konfiguriert sind/ist wird US durchgeschaltet.
...über einen Class A-Port am IO-L Master, wobei PIN 2 als Ausgang und PIN 4 (SAB) als Ausgang definiert sind, ist für "sicherheitsgerichtete Anwendungen bis in den mittleren PL oder SIL-Bereich" machbar.
Was ist der mittlere Bereich? Das ist keine Aussagemit der man etwas anfangen kann.
Eine tatsächliche Eignung dieser Beschaltung kann nur mittels einer qualifizierten Risikobetrachtung incl. der Berechnung der SF ermittelt werden. Ausfälle bei IO-LMaster +SAB sind bis her unbekannt, Fehler durch z.B. Querschlüsse zwischen UA und US sind abhängig von der eingesetzten Technik.
Die Class B-Port am IO-L Master haben eine erhöhte Sicherheit, da die Zuordnung der UA fest verdrahtet und nicht paramtriebar ist.
Der Aktor an einem Class B-Port würde also "gefühlt" die SF aufwerten.
Ich persönlich würde nach den Aussagen, die wir damals von dem Vertreter der Fa. Baffuff erhielten, definitiv keinen PLd in Verbindung mit einem Standard-IO-L Master realisieren.
PLc in Verbindung mit einem Port-Class B wäre bei genauer Abwägung das Maximum.
ja ... die sind einzelne Ventile, werden über Balluff Modul ein/aus schalten
wie meinst du genau hier ... mit diesem Absatz (
...über einen Class A-Port am IO-L Master, wobei PIN 2 als Ausgang und PIN 4 (SAB) als Ausgang definiert sind, ist für "sicherheitsgerichtete Anwendungen bis in den mittleren PL oder SIL-Bereich" machbar.)da ich Modul mit Port Class A habe, das heißt PLc ist, wenn ich die UA sicher abschalte oder ?
-> Hier kostenlos registrieren
gibt es denn so ein Balluff IO nicht mit höheren Sicherheitsanforderungen?
ja ... meine Frage ist bezüglich die Funktion genau ... ich will hier keine SafetyModul verwende ... sondern will nur wissen, ob ich die Aktoren Spannung vom einem Modul sicher abschalte, dann ist das Modul nicht mehr beteiligt oder doch ja ?!
marcusscholle
Level-2
- Beiträge
- 153
- Reaktionspunkte
- 156
Natürlich gibt es die - z.B. https://www.balluff.com/de-de/products/BNI00CL
Die werden dann auch mit entsprechendem PL/SIL beworben. Das verlinkte hat einen PFHd-Wert von 1.25 E-8
Dementsprechend kann es schon sein, dass Balluff sagt: Naja, wir haben genau hierfür was im Programm.
Nebenbei ist mir aufgefallen, dass laut Skizze sowohl das Freigabe- als auch die Bewegungsventile über das MasterModul abgeschalten werden. Das funktioniert sowieso so nicht. Wenn überhaupt nimmt man die Bewegungsventile auf solch ein Modul (die ganzen anderen Bemerkung wie Eignung mal vorausgesetzt) und lässt das Freigabeventil über einen separaten sicheren Ausgang schalten.
Das kann man so nicht sagen. Da das Modul direkt vorm Ventil sitzt, könnten bestimmte Fehler dazu führen, dass die Bewegungsventile schalten. Oder wenn tatsächlich auch das Freigabeventil darüber geschalten wird, auch das. Bei der von @SPSAlex83 gezeigten Beschaltung wäre das nicht der Fall.
