EN 13849 / Kat. 3 - Einfehlersicherheit, bei dem der redundante Kanal nur im Fehlerfall benutzt wird

F

formulator

Level-2
Beiträge
73
Reaktionspunkte
5
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

ich möchte mal eine Aussage aus dem IFA Report 02/2017 mit einem Beispiel darlegen und zur Diskussion stellen.

Die Aussage steht im Kapitel 6.2.6 und bezieht sich auf die geforderte Struktur für Kategorie 3:

„Die Forderung nach Einfehlersicherheit bedeutet nicht zwangsweise eine Realisierung als zweikanaliges System, da z. B. auch einkanalige Teile ohne gefahrbringendes Ausfallpotenzial (fehlersicheres Design) sicher gegen Einzelfehler sein können. Dasselbe gilt für Systeme mit hochwertiger Überwachung, die durch einen eigenen Abschaltpfad eine Fehlerreaktion so schnell einleiten, dass ein gefährlicher Zustand vermieden wird“.

Beispiel:
1686721632054.png
Sicherheitsfunktion:
Sicherheitsbezogene Stoppfunktion, eingeleitet durch eine Schutzeinrichtung.

Funktionsbeschreibung:
  • Die Zugangstüre zum Gefahrenbereich wird durch den Sicherheitsschalter S1 überwacht. Der Schalter erfüllt die Anforderungen von PL e und Cat. 4, wenn die Sicherheitsausgänge 2-kanalig weiterverarbeitet werden.
  • Diese 2-kanalige Weiterverarbeitung erfolgt im PNOZmulti mB0.
  • Die hydraulische Abschaltung ist 2-kanalig aufgebaut: Über 2 sichere Ausgänge des PNOZmulti mB0 werden die beiden Schütze K1 und K2 direkt angesteuert. Diese beiden Schütze wiederum trennen die Spannungsversorgung der beiden Wegeventile V1 und V2. V1 und V2 schalten den Volumenstrom für den angeschlossenen Prüfling. Im spannungslosen Zustand sperren beide Ventile den Volumenstrom zum Prüfling redundant ab.
  • Als Maßnahmen zur Fehlererkennung werden von beiden Schützen K1 und K2 die Spielgelkontakte an zwei Eingängen des PNOZmulti mB0 eingelesen und verarbeitet. Das Ventil V2 besitzt eine direkte Stellungsüberwachung des Steuerschiebers, welche ebenso an einem Eingang des PNOZmulti mB0 eingelesen wird. Dieses Signal der Stellungsüberwachung wird mit dem ebenfalls an einem Eingang des PNOZmulti mB0 eingelesenen Spannungssignals der Spule von V2 verglichen und verarbeitet. So wird nicht nur die Stellung des Ventils überwacht, sondern gleichzeitig auch die Funktion der Stellungsüberwachung.
Nun zum Grund für diese ausführliche Beschreibung:
Das Ventil V1 soll nur im Fehlerfall von K2 / V2 abgeschaltet werden, d. h. wenn durch die Stellungsüberwachungen von K2 und / oder V2 ein Nicht-Schalten erkannt wird.
Der Abschaltpfad von K2 / V2 besitzt eine hochwertige Überwachung. Im Fehlerfall kann über den redundanten Abschaltpfad mit K1 / V1 die Gefährdung abgeschaltet werden, bevor das Prüfpersonal einer Gefährdung ausgesetzt ist.
Der Grund für diese Maßnahme ist, dass das Ventil V1 direkt am Hydraulik-Versorgungssystem angeschlossen ist, das viele Maschinen versorgt. Ein Abschalten des Ventiles führt zu einem Druckschlag auf das gesamte Versorgungssystem. Dieser Druckschlag ist nicht nur für die beteiligten Komponenten negativ, sondern beeinflusst auch alle weiteren angeschlossenen Maschinen. Deshalb soll nicht bei jedem Öffnen der Zugangstüre zum Prüfraum dieses Ventil geschalten werden, sondern nur im Notfall.

So und nun hoffe ich, dass ich eure Meinung bzw. Bewertung dieser Lösung erfahre, ob damit die Forderung nach PLr d erfüllt werden kann mit besonderem Blick auf den zu Beginn aufgeführten Satz aus dem IFA Report 02/2017.

Vielen Dank im Voraus für eure Beiträge.

Grüße
Manfred
 
Hallo Manfred,

du hast erst mal Recht. Die Kategorien sagen ja in erster Linie was über die Fehlersischerheit aus und nicht über die Struktur, obwohl sich diese daraus ergibt und bei Kat 3 eigentlich immer 2 kanalig ausgeführt wird. Das liegt einfach in der Natur der Sache. Die meisten Teile sind eben nicht einfehlersicher und so ist man schnell beim 2. Kanal. So in der Art soll der Absatz das dem Leser verständlich machen denke ich.
Wenn ich dich richtig verstanden habe, dann ist deine aktuelle Struktur eine 2- kanalige, du möchtest aber nicht jedes Mal beide Kanäle schalten, um die Technik nicht überzustrapazieren, sondern nur einen und den anderen nur im Fehlerfall des einen?!
Wenn dem so ist, dann musst du deine Schaltung wohl anpassen. Deine aktuelle Lösung mit den fertigen Subsystemen (PNOZ Modul) ist normalerweise tatsächlich die einfachste Variante, da du beide Kanäle gleichwertig überwachst und abschaltest. Es wird also durchgängig Kat III umgesetz (2-kanalig)
Bei diesem Aufbau mit Modul, wird in der Logik aber nicht ausgewertet und dann erst entschieden welcher Kanal schaltet, so wie das bei 1-kanaliger Struktur mit abschaltendem Testkanal wäre sondern es werden immer beide Kanäle geschaltet und gegenseitig überwacht.
Der Unterschied bei Kat- 2 oder 3 ist ja, dass bei 2 jedes Bauteil für sich überwacht wird, während bei 3 nur die Funktion an sich überwacht wird und somit einen Fehler mitbekommt und anzeigt, dennoch immer beide Kanäle schalten.
Du bewertest dein Gesamtsystem mit Kat III. passt.
Ich denke du musst aber für deine Anforderungen die Struktur anpassen.
Du würdest wohl eher auf Kat II gehen und die einzelnen Bauteile überwachen und der Testkanal schaltet dann im Fehlerfall des 1. ab.
So lässt sich das im Sistema auch prima abbilden.
Ob es jetzt eine zulässige Variante gibt, die beiden Kanäle in deiner aktuellen Struktur noch voneinander abhängig zu machen, kann ich auf die Schnelle nicht sagen. Die typischen Module wie PNOZ geben dir meines Wissens nach aber diese Möglichkeit nicht sondern schalten immer redundant.
So nach meinem Kenntnisstand heute, würde ich wohl als erstes an einer F-CPU denken, mit der ich dieses Vorhaben über sichere Logik umsetzen kann.

Also mein Fazit: Du musst von 2-kanalig auf 1-kanalig mit Test gehen und darauf achten, dass das Abschalten immer erfolgt, wenn der 1. Kanal ausfällt.
Du musst PLd erreichen? Kannst du! Mit Kat II ohne weiteres machbar!

VG Alex
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo,
wenn ich es richtig verstanden habe, der "Input" für die Ausschaltung von Ventil 1 wäre die Überwachung von K2/V2. Ich sehe es nicht richtig. Eigentlich S1 muss beide Ventile Ausschalten
Gruß
PS: trotzdem, etwas es ist mir nicht klar, erst hast Du geschrieben: "Im spannungslosen Zustand sperren beide Ventile den Volumenstrom zum Prüfling redundant ab"
und dann:
" Der Grund für diese Maßnahme ist, dass das Ventil V1 direkt am Hydraulik-Versorgungssystem angeschlossen ist, das viele Maschinen versorgt"....

V2 nicht? Wo ist V2 angeschlossen? sind nicht in Reihe?
 
Zuletzt bearbeitet:
Hallo Alex,

vielen Dank für deine schnelle und ausführliche Antwort.
Wenn ich dich richtig verstanden habe, dann ist deine aktuelle Struktur eine 2- kanalige, du möchtest aber nicht jedes Mal beide Kanäle schalten, um die Technik nicht überzustrapazieren, sondern nur einen und den anderen nur im Fehlerfall des einen?!
Zum Vergrößern anklicken....
Ja, genauso ist der Plan.
Wenn dem so ist, dann musst du deine Schaltung wohl anpassen. Deine aktuelle Lösung mit den fertigen Subsystemen (PNOZ Modul) ist normalerweise tatsächlich die einfachste Variante, da du beide Kanäle gleichwertig überwachst und abschaltest. Es wird also durchgängig Kat III umgesetz (2-kanalig)
Bei diesem Aufbau mit Modul, wird in der Logik aber nicht ausgewertet und dann erst entschieden welcher Kanal schaltet, so wie das bei 1-kanaliger Struktur mit abschaltendem Testkanal wäre sondern es werden immer beide Kanäle geschaltet und gegenseitig überwacht.
Zum Vergrößern anklicken....
Ich bin nicht sicher, ob ich dich richtig verstanden habe. Aber ich kann sehr wohl im PNOZmulti die "Programmierung" so gestalten, dass der 2. Kanal nur im Fehlerfall abgeschaltet wird.
Du würdest wohl eher auf Kat II gehen und die einzelnen Bauteile überwachen und der Testkanal schaltet dann im Fehlerfall des 1. ab.
Zum Vergrößern anklicken....
Ich sehe bei Kat. 2 nur ein Problem: Wie soll die Anforderung nach Testung / Testrate bei Hydraulikventilen umgesetzt werden? Die Basisforderung von Testrate >100 mehr als die mittlere Anforderungsrate der Sicherheitsfunktion, kann niemals umgesetzt werden.
Wie würdest du das machen?

Grüße
Manfred
 
Hallo Elektriko,

Hallo,
wenn ich es richtig verstanden habe, der "Input" für die Ausschaltung von Ventil 1 wäre die Überwachung von K2/V2. Ich sehe es nicht richtig. Eigentlich S1 muss beide Ventile Ausschalten
Gruß
PS: trotzdem, etwas es ist mir nicht klar, erst hast Du geschrieben: "Im spannungslosen Zustand sperren beide Ventile den Volumenstrom zum Prüfling redundant ab"
und dann:
" Der Grund für diese Maßnahme ist, dass das Ventil V1 direkt am Hydraulik-Versorgungssystem angeschlossen ist, das viele Maschinen versorgt"....

V2 nicht? Wo ist V2 angeschlossen? sind nicht in Reihe?
Zum Vergrößern anklicken....
Beide Ventile sind in Reihe geschaltet. Es soll aber im Normalfall nur das 2. Ventil (hier V2) beim Öffnen der Schutzeinrichtung abgeschaltet werden. Dieses sperrt dann den Volumenstrom zum Prüfling sicher ab. Nur im Fehlerfall von V2 wird auch das erste Ventil (V1) von der Spannungsversorgung getrennt, und trennt so die Hydraulikversorgung zum Prüfling.

1. bzw. 2. Ventil soll die Reihenfolge der Ventile vom Anschlusspunkt an die Hydraulikversorgung her gesehen bezeichnen.

Grüße
Manfred
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Manfred,
wie schon geschrieben, meine Meinung nach S1 muss beide Ventile Ausschalten.
Was würde passieren, wenn K2/V2 versagen? (inkl. Überwachung)
Gruß
 
formulator schrieb:
Ich bin nicht sicher, ob ich dich richtig verstanden habe. Aber ich kann sehr wohl im PNOZmulti die "Programmierung" so gestalten, dass der 2. Kanal nur im Fehlerfall abgeschaltet wird.
Zum Vergrößern anklicken....
Wenn du ein Modul hast oder bekommst, was man so programmieren kann, perfekt!
Mir fehlt da die Erfahrung, da ich solche fertigen Modul so noch nicht programmiert habe. Ich verwende da meist die Standardfunktionen.

formulator schrieb:
Ich sehe bei Kat. 2 nur ein Problem: Wie soll die Anforderung nach Testung / Testrate bei Hydraulikventilen umgesetzt werden? Die Basisforderung von Testrate >100 mehr als die mittlere Anforderungsrate der Sicherheitsfunktion, kann niemals umgesetzt werden.
Wie würdest du das machen?
Zum Vergrößern anklicken....
Ja das kann in der Tat ein Problem sein. Allerdings testet doch der Testkanal sich nicht selbst. Wenn ich richtig liege, dann ist das V1, was du nur im Fehlerfall schalten willst ja im Testkanal. Den Testkanal selbst brauchst du ja nicht testen sondern nur deinen Funktionskanal mit V2 und Co.
Es ist ja zulässig, dass der Testkanal ausfallen kann und es ist ja auch zugestanden, dass der Testkanal nicht zuverlässiger ist als der Funktionskanal.
Da deine Türe regelmäßig geöffnet wird und du das Schalten deiner anderen Komponenten testest, also deren Zustandsänderung mitbekommst, wäre deine Testrate denke ich erfüllt.

In wieweit jetzt dein fertiges Modul das genauso umsetzt, kann ich dir nicht sagen aber wenn du es schon nach Kat II so einrichten/programmieren kannst, könnte das so gehen
 
Es ist im übrigen für alle einfacher, wenn vielleicht eine kleine Skizze mit deiner Hydraulik (Plan) bereit stehen würde und eine E-Plan Skizze mit den beteiligten Sicherheitskomponenten. Dann wären, was deine Schaltung angeht, alle auf einem Nenner. Also wo sitzt welcher Schalter und welches Ventil.
Jeder hat da eine andere Vorstellungskraft
 
Vielen Dank!
Nun sieht man auch klarer.
Wenn ich als nicht Hydrauliker die Schaltung richtig deute, dann schaut das so aus:
Ein Druckstoß bei Schließen von V2 und offenem V1 würde vom Akku (wenn ich das richtig sehe, ist da einer verbaut) abgepuffert werden, oder? Man könnte noch das Zirkulationsventil entlasten. Sofern dir das nicht den Pumpendruck in den Keller fährt und deine anderen Verbraucher blöd darstehen. Das Zirkulationsventil wäre aber noch ein schönes Backup, sofern durch zu hohen Druckabfall nicht andere Gefahren lauern (dann wäre deine Hydraulik aber sicher redundant aufgebaut)
Schließen von V1 führt unweigerlich zum ungewollten Peak. V2 puffert mit Akku.
Die Reihenschaltung macht in meinen Augen Sinn. Deine Anforderungen sind gerechtfertigt und lassen sich nachvollziehbar erklären.

Also Struktur Hydraulik würde ich sagen OK!
Jetzt muss deine Logik nur die Struktur nachbilden
 
Einen E-Plan kann ich jetzt nicht liefern, habe jedoch schnell einen Funktionsplan erstellt, der eigentlich auch die elektrische Situation wiederspiegelt:
1686729767784.png
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Das reicht doch, perfekt. Verständnisfrage: Müsste an V1 nicht auch ein Schließer dran? Beide sicheren Signale sind 1 und wenn abgeschaltet, dann wird nichts mehr geschaltet? (Ruhestromprinzip) Wenn ich das richtig sehe, dann würde im Energielosen Zustand des Pnoz V1 durch seinen Öffnerkontakt immer noch schalten(können). Du müsstest aktiv über 01 und K1 das V1 mit dem Öffner energielos machen. Finde ich eher ungünstig, sofern ich nicht auf dem Schlauch stehe
 
Elektriko schrieb:
Hallo Manfred,
wie schon geschrieben, meine Meinung nach S1 muss beide Ventile Ausschalten.
Was würde passieren, wenn K2/V2 versagen? (inkl. Überwachung)
Gruß
Zum Vergrößern anklicken....
Wenn K2 und V2 und die Überwachung von K2 und die Stellungsüberwachung von V2 ausfallen, ja dann kann die Gefahr nicht mehr abgewendet werden.
Aber muss eine solche Fehlerakkumulation überhaupt berücksichtigt werden, wenn diese nicht auf Folgefehlern beruht? Und ein Folgefehler bei solch unterschiedlichen Komponenten kann wohl ausgeschlossen werden, denn da sitzt ja immer noch das PNOZmulti mB0, welches z. B. im Falle eines Ausfalls der Spannungsversorgung alle Ausgänge abschalten würde.
 
SPSAlex83 schrieb:
Das reicht doch, perfekt. Verständnisfrage: Müsste an V1 nicht auch ein Schließer dran? Beide sicheren Signale sind 1 und wenn abgeschaltet, dann wird nichts mehr geschaltet? (Ruhestromprinzip) Wenn ich das richtig sehe, dann würde im Energielosen Zustand des Pnoz V1 durch seinen Öffnerkontakt immer noch schalten(können). Du müsstest aktiv über 01 und K1 das V1 mit dem Öffner energielos machen. Finde ich eher ungünstig, sofern ich nicht auf dem Schlauch stehe
Zum Vergrößern anklicken....
Das habe ich wohl nicht ausführlich genug beschrieben:
Der Funktionsplan zeigt die Schalterstellung für den Zustand "Zugangstüre offen", wenn kein Fehler vorliegt. Deshalb ist K2 deaktiviert und unterbricht demzufolge die Spannungsversorgung für V2 (deshalb der Schließer).
Da kein Fehler vorliegt, ist K1 weiterhin aktiviert (deshalb der Öffner).
Auch die Spiegelkontakte von K1 und K2 spiegeln diese Tatsache wieder.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
formulator schrieb:
Das habe ich wohl nicht ausführlich genug beschrieben:
Der Funktionsplan zeigt die Schalterstellung für den Zustand "Zugangstüre offen", wenn kein Fehler vorliegt. Deshalb ist K2 deaktiviert und unterbricht demzufolge die Spannungsversorgung für V2 (deshalb der Schließer).
Da kein Fehler vorliegt, ist K1 weiterhin aktiviert (deshalb der Öffner).
Auch die Spiegelkontakte von K1 und K2 spiegeln diese Tatsache wieder.
Zum Vergrößern anklicken....
Ok, verstanden. Dann ist die Schaltung in meinen Augen so durchführbar.
 
SPSAlex83 schrieb:
Ok, verstanden. Dann ist die Schaltung in meinen Augen so durchführbar.
Zum Vergrößern anklicken....
Für mich stellt sich jetzt nur die Frage, in welcher Kategorie ich das umsetze? Dein Vorschlag war ja Kategorie 2 mit dem Hinweis, dass die Testung mit dem Öffnen bzw. schließen der Schutztüre im normalen Prüfbetrieb ausreichend abdeckt wäre. Der Charme bei Kategorie 2 wäre natürlich noch, dass die Anforderungen an die Zuverlässigkeit des Testkanals nicht so hoch sind (es geht um die Frage: Wie kann ich einen Fehler bei V1 entdecken?).

Aber warum kann ich das nicht in Kategorie 3 umsetzen, damit ich mich mit dem Thema Testhäufigkeit nicht auseinandersetzen muss? Gibt es wirklich die Forderung, dass bei Kategorie 3 beide Kanäle gleichzeitig deaktiviert werden müssen? Oder ist mein Vorschlag aus Post #1 nicht auch möglich? Oder muss ich da noch weitere Punkte beachten?
 
Es gibt ja nicht DIE Kategorie. Dein Ziel ist das Performance Level d.
Wenn du deine Schaltung aus einzelnen Teilen oder Modulen aufbaust, im Sistema heißen die dann Subsyste, dann kannst du diese sinnvoll in verschiedenen Kategorien umsetzen. Wenn dein PNOZ zB. als fertiges Subsystem PLe mit Kat IV angegeben ist, dann ist das halt das eine von mehreren Subsystem in Sistema. Der Rest der Schaltung kann aber mit anderen Kategorien umgesetzt werden. Alle Subsysteme mit ihren Kategorien erreichen dann rechnerisch ihr jeweiliges PL. Am Ende muss das "schlechteste" PL eines einzelnen Subsystems immer noch mind. dein PLr von d erreichen.
Das wird dann zB. nicht möglich, wenn deine Struktur aus 3 Subs bestehen würde und eines davon wäre Kat. b. Damit erreichst du nur PLa oder b und egal was du sonst machst, du kommst nicht auf dein PLd. (nur mal so als Beispiel)

Somit bist du mehr oder weniger schon gezwungen die höheren Kategorien zu fahren bei all deinen Subs.
Das bedeutet für dich, egal in wieviele Subs du deine Gesamtschaltung teilst, kein Sub darf kleiner als Kat 2 sein um am Ende dein PL zu erreichen
(Kannst du mir folgen?)

Neben dem Verständnisteil, den du ja sicher kennst, kommt die schwierigste Aufgabe: Das sinnvolle Aufteilen der Struktur und die Abbildung der Blöcke im Sistema.
Leider habe ich die Zeit nicht, das mal sinnvoll durchzuspielen. Das kann nämlich mit Betrachtung aller Eventualitäten recht langwierig werden.
Du hast allerdings sicher eine Anwendung, die nicht das 1. Mal im Leben der industriellen Geschichte umgesetzt wird und vielleicht ist dem IFA eine vergleichbare Schaltung zu entlocken oder jemand anderes hat da Erfahrung und kann das fix zu Papier bringen?!
Vielleicht musst du die Logik des Pnozes Gedanklich auch noch mal zerlegen, bevor du die Blöcke wieder optimiert zusammenführst.

formulator schrieb:
Dein Vorschlag war ja Kategorie 2 mit dem Hinweis, dass die Testung mit dem Öffnen bzw. schließen der Schutztüre im normalen Prüfbetrieb ausreichend abdeckt wäre
Zum Vergrößern anklicken....
Also die klassische Standard Kat II sieht vor, dass jedes Bauteil des Funktionskanals getestet werden muss. Es gibt Anforderung an die Testung und dass das Verhältnis Testkanal Zuverlässigkeit und Funktionskanal Zuverlässigkeit angemessen sein sollte.
Mit jedem Anfordern der Schutztüre prüfst du deinen Funktionskanal und sobald ein Fehler kommt, schaltest du ab. Mehr kannst du nicht testen.

Kat. III ergibt sich aus der Anforderung der Fehlerrate. Ein Ausfall in jedem dieser Bauteile darf nicht zum Fehler führen. Wie soll es also 1 kanalig gehen, wenn nicht für alle Bauteile ein Fehlerausschluss gemacht werden kann!?
formulator schrieb:
Der Charme bei Kategorie 2 wäre natürlich noch, dass die Anforderungen an die Zuverlässigkeit des Testkanals nicht so hoch sind
Zum Vergrößern anklicken....
Das wäre bei Verwendung eines PNOZes eh hoch genug!
formulator schrieb:
(es geht um die Frage: Wie kann ich einen Fehler bei V1 entdecken?).
Zum Vergrößern anklicken....
Entweder über Stellungsrückmeldung oder Druckschalter in der Leitung im Vergleich zu deinem Steuersignal.
Aber wie gesagt, da kenne ich nicht die Logik deines einstellbaren Pnoz.
formulator schrieb:
Aber warum kann ich das nicht in Kategorie 3 umsetzen, damit ich mich mit dem Thema Testhäufigkeit nicht auseinandersetzen muss? Gibt es wirklich die Forderung, dass bei Kategorie 3 beide Kanäle gleichzeitig deaktiviert werden müssen? Oder ist mein Vorschlag aus Post #1 nicht auch möglich? Oder muss ich da noch weitere Punkte beachten?
Zum Vergrößern anklicken....
Ich glaube das ist in den Beschreibungen ein bisschen schwammig. Eigentlich ist ja ein 1-kanalig mit abschaltendem 2. Kanal das gleiche wie bei Kat III die 2 Kanäle.
Allerdings rührt das daher, dass bei Kat II nicht zwangsläufig eine Abschaltung notwendig ist. Bis PLc kann die Abschaltung auch weggelassen werden und es reicht, wenn ein Fehler erkannt wird. Ich würde sowas nie umsetzen aber es gibt sicher Anwendungen dafür.
Meine Entscheidung würde damit fallen, ob ich absolut jedes Teil meines Funktionskanals zuverlässig prüfen kann, dann Kat II.
Wenn nicht, dann bleibt nur Kat III mit 2. Kanal
Ich würde nun im Sistema versuchen die Dinge irgendwie abzubilden. Wie gesagt, kann etwas zeitaufwendig werden.

Sorry wenn ich da jetzt keine fertige Lösung bieten kann. So sehr es mich reizt das im Sistema durchzuspielen, mir fehlt die Zeit
 
Zuviel Werbung?
-> Hier kostenlos registrieren
SPSAlex83 schrieb:
Es gibt ja nicht DIE Kategorie. Dein Ziel ist das Performance Level d.
Wenn du deine Schaltung aus einzelnen Teilen oder Modulen aufbaust, im Sistema heißen die dann Subsyste, dann kannst du diese sinnvoll in verschiedenen Kategorien umsetzen. Wenn dein PNOZ zB. als fertiges Subsystem PLe mit Kat IV angegeben ist, dann ist das halt das eine von mehreren Subsystem in Sistema. Der Rest der Schaltung kann aber mit anderen Kategorien umgesetzt werden. Alle Subsysteme mit ihren Kategorien erreichen dann rechnerisch ihr jeweiliges PL. Am Ende muss das "schlechteste" PL eines einzelnen Subsystems immer noch mind. dein PLr von d erreichen.
Das wird dann zB. nicht möglich, wenn deine Struktur aus 3 Subs bestehen würde und eines davon wäre Kat. b. Damit erreichst du nur PLa oder b und egal was du sonst machst, du kommst nicht auf dein PLd. (nur mal so als Beispiel)

Somit bist du mehr oder weniger schon gezwungen die höheren Kategorien zu fahren bei all deinen Subs.
Das bedeutet für dich, egal in wieviele Subs du deine Gesamtschaltung teilst, kein Sub darf kleiner als Kat 2 sein um am Ende dein PL zu erreichen
(Kannst du mir folgen?)

Neben dem Verständnisteil, den du ja sicher kennst, kommt die schwierigste Aufgabe: Das sinnvolle Aufteilen der Struktur und die Abbildung der Blöcke im Sistema.
Leider habe ich die Zeit nicht, das mal sinnvoll durchzuspielen. Das kann nämlich mit Betrachtung aller Eventualitäten recht langwierig werden.
Du hast allerdings sicher eine Anwendung, die nicht das 1. Mal im Leben der industriellen Geschichte umgesetzt wird und vielleicht ist dem IFA eine vergleichbare Schaltung zu entlocken oder jemand anderes hat da Erfahrung und kann das fix zu Papier bringen?!
Vielleicht musst du die Logik des Pnozes Gedanklich auch noch mal zerlegen, bevor du die Blöcke wieder optimiert zusammenführst.


Also die klassische Standard Kat II sieht vor, dass jedes Bauteil des Funktionskanals getestet werden muss. Es gibt Anforderung an die Testung und dass das Verhältnis Testkanal Zuverlässigkeit und Funktionskanal Zuverlässigkeit angemessen sein sollte.
Mit jedem Anfordern der Schutztüre prüfst du deinen Funktionskanal und sobald ein Fehler kommt, schaltest du ab. Mehr kannst du nicht testen.

Kat. III ergibt sich aus der Anforderung der Fehlerrate. Ein Ausfall in jedem dieser Bauteile darf nicht zum Fehler führen. Wie soll es also 1 kanalig gehen, wenn nicht für alle Bauteile ein Fehlerausschluss gemacht werden kann!?

Das wäre bei Verwendung eines PNOZes eh hoch genug!

Entweder über Stellungsrückmeldung oder Druckschalter in der Leitung im Vergleich zu deinem Steuersignal.
Aber wie gesagt, da kenne ich nicht die Logik deines einstellbaren Pnoz.

Ich glaube das ist in den Beschreibungen ein bisschen schwammig. Eigentlich ist ja ein 1-kanalig mit abschaltendem 2. Kanal das gleiche wie bei Kat III die 2 Kanäle.
Allerdings rührt das daher, dass bei Kat II nicht zwangsläufig eine Abschaltung notwendig ist. Bis PLc kann die Abschaltung auch weggelassen werden und es reicht, wenn ein Fehler erkannt wird. Ich würde sowas nie umsetzen aber es gibt sicher Anwendungen dafür.
Meine Entscheidung würde damit fallen, ob ich absolut jedes Teil meines Funktionskanals zuverlässig prüfen kann, dann Kat II.
Wenn nicht, dann bleibt nur Kat III mit 2. Kanal
Ich würde nun im Sistema versuchen die Dinge irgendwie abzubilden. Wie gesagt, kann etwas zeitaufwendig werden.

Sorry wenn ich da jetzt keine fertige Lösung bieten kann. So sehr es mich reizt das im Sistema durchzuspielen, mir fehlt die Zeit
Zum Vergrößern anklicken....
Vielen Dank für die ausführliche Darlegung und die Diskussion. Ich werde jetzt mal in Sistema versuchen beide Varianten darzustellen. Danach entscheide ich mich für eine Variante.
Grüße
Manfred
 
Zurück
Oben