PL oder SIL1 über PNIO Ventilinsel ohne Profisafe

Zuviel Werbung?
-> Hier kostenlos registrieren
@s_kraut
Die Aussage „Sicherer Zustand ist immer der Energielose“ möchte ich nicht so stehen lassen.
Nimm Spannsysteme oder auch hydraulische Pressen, da gibt es genügend Beispiel, wo die Energie erhalten bleibt oder sogar bleiben muss.
 
@s_kraut
Die Aussage „Sicherer Zustand ist immer der Energielose“ möchte ich nicht so stehen lassen.
Nimm Spannsysteme oder auch hydraulische Pressen, da gibt es genügend Beispiel, wo die Energie erhalten bleibt oder sogar bleiben muss.
Ja der magnetische Hallenkran oder die Flugzeugturbine, haste recht.

Sowas umzusetzen kann halt recht kompliziert sein. Mehrfachredundanzen, Energiespeicher usw.
Mag ich nichts damit zu tun haben ;)
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ansonsten hast Du ja genug Erfahrung, eine gute Einschätzung zu treffen.
Ja, mich hätte nur Eure Einschätzung interessiert, welchen PL man mit der normalen PNIO Ventilinsel erreichen könnte und ob Ihr das im normalen oder fehlersicheren Teil programmieren würdet.
 
Den Gaul würde ich andersrum aufzäumen: alles, von dem ich nichts genaues weiß bleibt grau - bis dass jemand das Gegenteil beweist.

Ansonsten halt wie andere schon vorab geschrieben haben mit übergeordneten Sicherheitsfunktionen wie Hauptventil oder Hauptschütz kommt man dann in Richtung PLb-d.
Alles größer d braucht Redundanzen, eigentlich ist es für d auch schon sinnvoll wenn man eine Redundanz hat.
 
Grundsätzlich wurde das relevante schon gesagt: Für den im OP genannten Signalweg sieht's schwer aus.
Wenn wir aber die Abschaltung der Versorgungsspannungen von Ventilinseln hernehmen, gestaltet sich das etwas anders.

Beispiel 1: MVK-MPNIO DIO16 IRT 7/8" 5pin
Handbuch 55530_hdb_de_17, Abschnitt 2.2.1 - "Vorhersehbarer Fehlgebrauch" (S.13)
Das Gerät nicht als sicherheitsgerichtetes Gerät einsetzen. Es entspricht nicht den einschlägigen Normen. Sicherheitsfunktionen der Anlage sind nicht gewährleistet!
Sieht schlecht aus somit. Daran ändert auch die Bereitstellung eines MTTF-Zertifikats nichts, mit dem man hier vielleicht auf eine falsche Fährte geführt wird.


Beispiel 2: SIMATIC ET 200ecoPN DIQ 16x24VDC/0.5A/2A M12-L 8xM12
Gerätehandbuch, S.75:
1669058292358.png

Weiter im Systemhandbuch, S. 86.
Nachfolgender Aufbau beschreibt, wie Sie ET 200eco PN M12-L Standardmodule fehlersicher abschalten. Durch den dargestellten Aufbau (z. B. mit dem Sicherheitsabschaltgerät 3SK1) werden alle Digitalausgänge, die an der Versorgung 2L+ und 2M (24 V Switched) der ET 200eco PN M12-L Standardbaugruppen angeschlossen sind, in den sicheren AUS-Zustand geschaltet. Dabei wird die Sicherheitsklasse SIL2/Kategorie 3/PL d erreicht.
Da gibt's noch weitere Einschränkungen/Bedingungen, prinzipiell ist das aber mit dem richtigen Gerät durchaus machbar, sofern mir der Hersteller die entsprechende Eignung bestätigt (bestimmungsgemäßer Gebrauch!). Und bitte nicht per Email, sondern dann drauf drängen, dass das in eine Betriebsanleitung gehört. Hin und wieder findet man hier auch den Begriff der "Rückwirkungsfreiheit" (kommt hier vor allem auch aus ISO 26262).



Am Ende sollte klar sein, dass es hierauf (leider mal wieder) keine definitive Antwort gibt.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Grundsätzlich wurde das relevante schon gesagt: Für den im OP genannten Signalweg sieht's schwer aus.
Wenn wir aber die Abschaltung der Versorgungsspannungen von Ventilinseln hernehmen, gestaltet sich das etwas anders.

Beispiel 1: MVK-MPNIO DIO16 IRT 7/8" 5pin
Handbuch 55530_hdb_de_17, Abschnitt 2.2.1 - "Vorhersehbarer Fehlgebrauch" (S.13)

Sieht schlecht aus somit. Daran ändert auch die Bereitstellung eines MTTF-Zertifikats nichts, mit dem man hier vielleicht auf eine falsche Fährte geführt wird.


Beispiel 2: SIMATIC ET 200ecoPN DIQ 16x24VDC/0.5A/2A M12-L 8xM12
Gerätehandbuch, S.75:
Anhang anzeigen 65070

Weiter im Systemhandbuch, S. 86.

Da gibt's noch weitere Einschränkungen/Bedingungen, prinzipiell ist das aber mit dem richtigen Gerät durchaus machbar, sofern mir der Hersteller die entsprechende Eignung bestätigt (bestimmungsgemäßer Gebrauch!). Und bitte nicht per Email, sondern dann drauf drängen, dass das in eine Betriebsanleitung gehört. Hin und wieder findet man hier auch den Begriff der "Rückwirkungsfreiheit" (kommt hier vor allem auch aus ISO 26262).



Am Ende sollte klar sein, dass es hierauf (leider mal wieder) keine definitive Antwort gibt.
Ja da bin ich voll mit dabei: das schlägt doch systematisch die Sistema-Kenner auf Kante!

An die Sistema-Kenner: Augenmerk auf das Kleingedruckte. Die Vorgegebenen Daten stützen sich manchmal auf Annahmen.
 
Ende der 90er bzw. Anfang der 2000er gab es bestrebungen einiger SPS-hersteller ohne spezielle teuere
Sicherheitsausgänge den Level 2 (SIL 1) zu erreichen (Damals galt noch die EN954). Speziell in der Mobilhydraulik
(Fahrzeuge und Baumaschinen) sollte dies Umgesetzt werden (Damals neuer Boommarkt für Spezial-SPS-Systeme).
Firmen wie IFM, Wittmann und InterControl setzten darauf und so wurde dies eine Zeit lang für Gültig erklärt.

Nach einigen kleineren Problemfällen gingen die Firmen dazu über doch Sichere Ausgänge mit
Zertifikat zu verwenden.
Spätestens die Reform 2013 bringt hier mehr Klarheit.
Nun ist zwar grundsätlich möglich bei Sil 1 einkanalige Ausgänge ohne Rückführung zu verwenden, jedoch muß
sichergestellt sein das eine versehentliche Doppelverwendung nicht stattfinden kann. Dies führt eigentilich dazu,
das man zumindest von der Softwarseite angesteuerte Sicherheitsaugänge verwenden sollte da eine Absicherung
dieses Problems eigentlich bei normalen Ausgängen nicht möglich ist.
Da die meisten Siemens-Systeme mit einem SAFETY-Zyklus von 100mS arbeiten wird sich der falsche Ausgang
sogar in den Vordergrund spielen. Es besteht also Gefahr für den Bediener.
Das Wort Lebensgefahr habe ich bewusst vermieden, da wir in einem solchen Fall devinitiv nicht mehr in SIL 1 sind!

Gruß

A.
 
Um welche Art Ventilinsel geht es hier eigentlich? Ist das eine, die diskret verdrahtet wird(da deuten die Beiträge mit dem Murr Zeugs drauf hin), also jedes separate Ventil über einen diskreten Digitalen Ausgang? Der Threadüberschrift nach eine PNIO, also würde ich vermuten eine Businsel?
Wir setzen in so einer Anwendung statt der diskreten Insel eine busfähige Insel mit getrennter Spannungsversorgung für Logik und Ventile ein (so wie es Blockmove bereits geschrieben hat). Wenn die Versorgung der Ventile abgeschaltet ist (z.B. durch einen Sicherheitrelaiskontakt), dann kann die SPS über den Bus ansteuern was sie will. Ventile die Öffnen sollen (z.B. Membranventile) gibt es auch als "Öffner", also ohne Ansteuerung bzw. Druck per Feder geöffnet. Da muss dann die Ansteuerung invertiert programmiert werden. Aber: eine Manipulationsmöglichkeit besteht auch hier durch Handbetätigung der Ventile (egal wie elektrisch abgeschaltet), da würde nur ein pneumatisches Sicherheitsventil helfen ("Pressenventil") wie z.B. https://www.rosseuropa.com/produkte/pressenventile
Das ist allerdings auch alles andere als günstig.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Um welche Art Ventilinsel geht es hier eigentlich? Ist das eine, die diskret verdrahtet wird(da deuten die Beiträge mit dem Murr Zeugs drauf hin), also jedes separate Ventil über einen diskreten Digitalen Ausgang? Der Threadüberschrift nach eine PNIO, also würde ich vermuten eine Businsel?
Es geht um eine Businsel.
Hab gestern mal mit dem Hersteller telefoniert. Über Bus ist garnix safe. Selbst durch Abschaltung der Versorgungsspannung wäre nix safe, weil die Ventilinsel intern nicht galvanisch getrennt ist. Selbst Abschaltung der Druckluft wäre auch nicht safe, da die verbauten Ventilscheiben nicht sicher entlüften.
Programmiert wird das ganze jetzt erstmal im normalen SPS-Teil.
Der Anlagenbauer prüft jetzt in Zusammenarbeit mit Betreiber und TÜV nochmal, ob das so passt oder ob doch ein PL oder SIL notwendig wird. Dann würden die Ventilinseln umgebaut bzw. ausgetauscht.
Hab gestern mal ausprobiert, was passiert, wenn ein normaler DO im OB1 eingeschaltet und im F-OB ausgeschaltet wird: es ist undefiniert und klackert hinundher! Die Zuordnung der DOs als Teilprozessabbild für den F-OB beseitigt das Problem aber.

Danke allen!
 
Des Pudels Kern ist hier eigentlich die Ansteuerung über die normale SPS und das normale Profinet.
Mit fast jedem popeligen Relais und Ventil kann ich PLb erreichen. Mit einer Standard-SPS und einer Businsel eben so gut wie unmöglich.
Ich denke jeder von uns wird unterschreiben, dass eine SPS sicherer ist als ein Relais für 1,80€.
Aber das Relais ist ein bewährtes Bauteil.
Da können die Vertreter der Anlagen- und Maschinenbauer noch so in Gremien betteln, irgendeiner der Sicherheitsmafia legt sich immer quer.
 
@ducati
Dann darfst du auch kein PNOZmulti oder ne F-CPU nehmen. Da hab ich auch schon jede Menge gefährlichen 💩 gesehen
Ja sichertlich. Aber die Hemmschwelle ist schon etwas höher an so nen gelbes Ding dranzugehn...
Da fehlen meiner Meinung auch klare eindeutige Regeln, z.B. dass so nen gelbes Ding nur jemand mit ner Schulung programmieren DARF.
 
Ja sichertlich. Aber die Hemmschwelle ist schon etwas höher an so nen gelbes Ding dranzugehn...
Da fehlen meiner Meinung auch klare eindeutige Regeln, z.B. dass so nen gelbes Ding nur jemand mit ner Schulung programmieren DARF.
Liest man die Hanbücher der Hersteller genau, so findet man überall den Hinweis auf geschultes Personal.
Dummerweise lässt sich aber Niemand darüber aus welchen Level (Welchen Umfang) eine solche Schulung haben muß!
Klar ist jedoch ohne Schulung ist ein absolutes NoGo.
Praktisch alle Hersteller von Sicherheitssteuerungen, egal ob Stand-Alone oder SPS/PC integriert bieten solche
Schulungen an und empfehlen dies auch.
Leider ist die Range von einer 2h Schulung bis zum TÜV-Certified-Safety-Engeneer (meist 5 Tage) sehr groß.

Gruß

A.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Die Bastelbuben bauen jetzt andere Ventilinseln ein und schalten "irgendwie" über F-DO und Magnetventil die Druckluftversorgung der Ventilinseln weg. Welche Bauteile das jetzt sind und ob die SIL 2 erreichen, keine Ahnung.

Jetzt geht das Spiel aber weiter... Es gibt keine vollständige und eindeutige Beschreibung, was das F-Programm konkret machen soll. Die ganzen F-DI und F-DO werden wirr versteckt in der (unvollständigen) Beschreibung des normalen SPS-Programms mit abgehandelt. Das sind halt nen riesen Sack an Powerpoint und Excel Dateien...

Irgendwie seh ich nicht ein, dass ich mir da zusammenreimen soll, wann vielleicht irgendwelche F-DO schalten könnten... Zumal ich in der Verfahrenstechnik und im Sicherheitskonzept nicht involviert bin. Bin eher der Meinung, es gibt garkein Sicherheitskonzept sondern irgendjemand hat einfach mal definiert: "da baun wir mal sicherheitshalber ne F-CPU ein"

Das ist schon echt nervig, zumal mir jetzt mittlerweile auch noch die eigene Firma in den Rücken fällt...

Ich hab gefordert, dass eine vollständige und eindeutige Beschreibung der fehlersicheren Sicherheitsfunktionen in einem separaten Dokument erfolgen muss, welches meine Programmiergrundlage für die F-Software ist.
Unser Vertriebler hat jetzt dem Kunden aber gesagt, dass das gemeinsame Kuddelmuddeldokument schon OK ist 👹.
Und der Chef hat schonmal nen Freiberufler gefragt, welcher mal gleich behauptet, ist doch alles kein Problem, die par UND ODER...

Sind ca. 40 F-DI und 10 F-DO + diverse Profisafe Signale über I-Device und PNPN-Koppler von Fremd-CPUs welche ziemlich aufwendig miteinander verknüpft werden müssten.

Da kriegst schon langsam die Krise...

🙈🤷‍♂️
 
Zuletzt bearbeitet:
Bei größeren Anlagen kann allein schon die Sistema-Berechnung mit allen zugehörigen Unterlagen einen Ordner füllen.
95% sind nur Copy und Paste.
@ducati
Dreh den Spieß rum.
Wenn du nicht ins Safety-Konzept eingebunden bist, dann brauchst du als SPSler eine Abschaltmatrix und einen Validierungsplan.
Die E/As einfach nach Matrix verknüpfen und nach Validierungsplan testen.
Wenn du keine offensichtlichen Fehler dabei entdeckst, dann Checksumme eintragen und unterschreiben.
Anschließend Chef auf den Tisch legen.
 
Dreh den Spieß rum.
Wenn du nicht ins Safety-Konzept eingebunden bist, dann brauchst du als SPSler eine Abschaltmatrix und einen Validierungsplan.
Die E/As einfach nach Matrix verknüpfen und nach Validierungsplan testen.
Ja, diese Abschaltmatrix hab ich ja gefordert aber nicht bekommen. Dafür hab ich einen Wust von Powerpoint und Excellisten.
Es gibt auch eine Excelliste, die sowas ähnliches wie eine Abschaltmatrix ist. Darin sind aber 80% keine fehlersicheren Signale, also von daher im Nicht-F-Teil programmiert. Manche F-DI F-DO sind in dieser Liste zwar enthalten, aber nicht vollständig und nicht eindeutig...
Und wie gesagt mein Chef und Vetriebler ist der Meinung, dass muss doch reichen und wir solln uns nicht so anstellen 🙄
Wenn das so weitergeht, sind die mich als Programmierer auch bald los... Dann solln sies halt mit den Freiberuflern machen, die einfach was zusammenbasteln...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ja, diese Abschaltmatrix hab ich ja gefordert aber nicht bekommen.
Mal ne Frage: Wer hat denn bei euch die Endverantwortung bzw. Unterschreibt die entsprechenden
CE Dokumente (oder im Volksmund wer hat den Hut auf) ?

Letztendlich ist Derjenige endverantwortlich der diese Dokumente unterschreibt!
Diese Verantwortung kann man nicht einfach so mal auf die Programmierer weiterschieben!
Dafür bedarf es entsprechender Prozeduren, Schulungen, Dokumente und last but not least auch
eine Verantwortungsgage (übernahme von zusätzlicher Veranwortung muß auch vergütet werden)!
Haupthaftender im Streitfall bzw. bei vorsätzlicher oder grob fahrlässiger Schlamperei ist der
zuständige Beauftragte (viele vergessen dabei das hier eine persönliche Haftung vorliegt).

Zugegeben wurde mir in den letzen Jahren immer mehr klar, dass für die meisten anscheinend
nicht die Technik das wichtigste ist, sondern im Falle des Falles die Gerichte mit möglichst viel
Papier (Dokumente) zuzumüllen. Dies dürfte an der Tatsache liegen, dass sowohl die Justitz
als auch die Gutachter meist überfordert sind.

Gruß

A.
 
@ducati
Ok ... Abschaltmatrix und Validierungsplan sind schön, aber es geht auch ohne.
Eben mit einem Haufen Excel und Powerpoint ... Und wenn dein Chef meint, dass das reicht, dann hast du als Programmierer die Ar...karte.
Dann musst du dir halt die notwenigen Informationen daraus rausziehen und offene Punkte klären.
Und alles entsprechend dokumentieren.
Aus der Nummer kommst du erstmal nur raus, wenn dir die Qualifikation dafür fehlt.

Diese Verantwortung kann man nicht einfach so mal auf die Programmierer weiterschieben!

Doch kann man. Wenn der Programmierer die notwendige Qualifikation dafür hat, dann geht es das sehr wohl.
Ist bei mir z.B. der Fall.
 
Doch kann man. Wenn der Programmierer die notwendige Qualifikation dafür hat, dann geht es das sehr wohl.
Ist bei mir z.B. der Fall.
Mit einfach so mal meinte ich, das eben genau diese Qualifikation (Schulung) vorliegt
und hoffentlich auch Prozedurdokumente mit den entsperechenden Unterschriften und
klaren Vereinbarungen. Auch das mit der Vergütung war durchaus ernst gemeint.
Sollte irgendwas davon nicht gegeben sein, so kann ich nur sagen "armer Hund"
(soll nicht böse gemeint sein).

Gruß

A.
 
Zurück
Oben