Verständnisfrage Sichere und unsichere Signale

itsdarkdownhere

itsdarkdownhere

Level-2
Beiträge
108
Reaktionspunkte
19
Zuviel Werbung?
-> Hier kostenlos registrieren
Guten Abend Zusammen,

ich befasse mich momentan mit dem Thema der funktionalen Sicherheit nach EN ISO 13849 und habe ein paar Fragen, da mir manches noch unklar ist.
Grundsätzlich ist es ja so, dass man eine Risikobeurteilung erstellt und die Gefährdungen bspw. mittels Risikograph einordnet.
Anhand des daraus erforderlichen Performance-Levels, bspw. PLd wird die Systemarchitektur der Steuerung aufgebaut (Kategorie B, 1,2,3,4), sofern man das Risiko nicht durch inhärent sichere Konstruktion minimieren kann.

Man betrachtet dann die Basiskomponenten Sensor - Logik - Aktor und verifiziert dafür den Performance Level anhand vom Hersteller vorgegebenem Plr der Einzelkomponenten oder durch Diagnosedeckungsgrad (DC), MTTF, PFH und der Kategorie der Sicherheitsarchitektur.

Hat man als System oder Teilsicherheitsfunktion bspw. ein Lichtgitter mit Pld, ein PNOZ Multi mit Ple und ein Ventil mit Stellungsabfrage als Rückmeldekontakt und Pld ergibt sich aus der Tabelle der Norm für das gesamte Teilsystem Pld.

Nun habe ich gelernt, dass gefährliche Bewegungen nur über sichere Signale geschaltet werden dürfen. Ich habe aber nun an mehreren hydraulischen Pressen folgende Architektur gesehen: Not-Halt und Lichtgitter werden von einem PNOZmulti Classic zweikanalig ausgewertet. Das PNOZmulti erhält von der SPS ein Startsignal für die Abwärtsbewegung des Stößels, prüft die Bedingungen, ob der Pressenraum sicher ist (Not-Halt und Lichtgitter) und gibt anschließend einen digitalen Ausgang an die Standard-SPS zurück, in welcher dann das Ventil für die Abwärtsbewegung geschaltet wird.

Die Not-Halt und die Lichtgitter werden ja sinnvollerweise im PNOZmulti überwacht, aber müsste das PNOZmulti nicht auch das Ventil für die Abwärtsbewegung ansteuern? Die Standard-SPS gilt ja als nicht sicher und dürfte daher doch keine gefahrbringenden Bewegungen auslösen können?

Ich hoffe ihr versteht meine Bedenken und könnt mich hierzu vielleicht aufklären.
Mir geht es grundsätzlich um das Verständnis, wie Systemarchitekturen aus Standard SPS und Sicherheits-SPS kombiniert werden dürfen.

Vielen Dank
 
Also, zunächst mal schön, dass du dich anscheinend ja durchaus schon etwas eingelesen hast. Ich gehe mal auf das ein oder andere ein. Ich gebe dir die Referenzen am Ende, gerne mal nachlesen.

Allgemein: ISO 13849-1:2023 = DIN EN ISO 13849-1:2023-12, das meiste findet sich auch in ISO 13849-1:2015 (DIN EN ISO 13849-1:2016-06) wieder

itsdarkdownhere schrieb:
Anhand des daraus erforderlichen Performance-Levels, bspw. PLd wird die Systemarchitektur der Steuerung aufgebaut (Kategorie B, 1,2,3,4), sofern man das Risiko nicht durch inhärent sichere Konstruktion minimieren kann.
Zum Vergrößern anklicken....
Jain. Ich will nur eine Klarstellung treffen: Man hat versucht, in ISO 13849-1:2023 klarer heraus zu stellen, dass eine Kategorie (bestenfalls) einen indirekten Zusammenhang zu einer Sicherheitsfunktion hat. Statements wie "Sicherheitsfunktion in Kategorie 4" sind eigentlich Quatsch.
Richtig ist aber zumindest, dass man mit einem individuellen Teilsystem (=Subsystem) in einer Kategorie 1 nicht versuchen braucht, eine Sicherheitsfunktion mit PLr=d umzusetzen.

Siehe: ISO 13849-1:2023, 3.1.4 (Definition Kategorie), 3.1.27 (Definition Sicherheitsfunktion), 3.1.45 (Definition Teilsystem, faktisch gleich mit Subsystem), 4.6 (Beschreibung Ausführung SiFu mit Teilsystemen), Anhang H (Kombination von Teilsystemen)
Gerade Anhang H wird manchem erklären, dass man sehr wohl verschiedene Kategorien innerhalb einer SiFu mischen kann.
itsdarkdownhere schrieb:
Hat man als System oder Teilsicherheitsfunktion bspw. ein Lichtgitter mit Pld, ein PNOZ Multi mit Ple und ein Ventil mit Stellungsabfrage als Rückmeldekontakt und Pld ergibt sich aus der Tabelle der Norm für das gesamte Teilsystem Pld.
Zum Vergrößern anklicken....
Jain. 😅
Du beziehst dich hier auf ISO 13849-1:2023, Tabelle 9 (Tabelle 11 in der 2015er-Ausgabe). Im Text zu 6.2.3, der dieser Tabelle voransteht, ist aber zu lesen (Zitat sinngemäß gleich in der 2015er-Ausgabe):
"Wenn die PFH-Werte aller einzelnen SBi nicht bekannt sind, dann darf alternativ zu 6.2.2 der PL des SRP/CS, das die Sicherheitsfunktion ausführt, nach 6.1 definiert oder mithilfe von Tabelle 9 wie folgt berechnet werden:"
Für zumindest zwei deiner Bauteile wirst du aber PFH(D)-Werte vom Hersteller bekommen, behaupte ich - Lichtvorhang und PNOZ multi. Du könntest zwar auch die PL-Einstufungen nutzen, das macht aber in der Praxis recht wenig Sinn. Nach der Tabelle könnte sonst eine Zusammenschaltung von mehr als 4 Teilsystemen nie zum PLe führen. Bei komplexeren Maschinen hat man aber unter Umständen Dutzende von Teilsystemen zu betrachten (auch wenn es grundsätzlich erstrebenswert ist, möglichst wenige zu haben).
Es ist in aller Regel zu bevorzugen, die Berechnungsvariante im Abschnitt davor zu nutzen. Dabei werden die PFH(D)-Werte aufaddiert, zudem wird nach systematischen Beschränkungen geschaut (ein PFH(D), der gut genug für PLe ist, kann dennoch systematisch auf PLd beschränkt sein).

Siehe: ISO 13849-1:2023, 6.2.3 (ISO 13849-1:2015, 6.3)
itsdarkdownhere schrieb:
Nun habe ich gelernt, dass gefährliche Bewegungen nur über sichere Signale geschaltet werden dürfen. Ich habe aber nun an mehreren hydraulischen Pressen folgende Architektur gesehen: Not-Halt und Lichtgitter werden von einem PNOZmulti Classic zweikanalig ausgewertet. Das PNOZmulti erhält von der SPS ein Startsignal für die Abwärtsbewegung des Stößels, prüft die Bedingungen, ob der Pressenraum sicher ist (Not-Halt und Lichtgitter) und gibt anschließend einen digitalen Ausgang an die Standard-SPS zurück, in welcher dann das Ventil für die Abwärtsbewegung geschaltet wird.

Die Not-Halt und die Lichtgitter werden ja sinnvollerweise im PNOZmulti überwacht, aber müsste das PNOZmulti nicht auch das Ventil für die Abwärtsbewegung ansteuern? Die Standard-SPS gilt ja als nicht sicher und dürfte daher doch keine gefahrbringenden Bewegungen auslösen können?
Zum Vergrößern anklicken....

Deine Schlussfolgerung ist schon grundsätzlich richtig. Ob die Ausführung nun tatsächlich falsch ist, wäre von ein paar Sachen abhängig.
  1. Bei Pressen gibt es eine harmonisierte C-Normenreihe: ISO 16092. Wenn wir über neue Pressen reden, wäre die auch sehr relevant. Für hydraulische Pressen speziell haben wir ISO 16092-3:2018 (=DIN EN ISO 16092-3:2019-08).
  2. Ob die Pressen unter die C-Normenreihe fallen, ist nicht unbedingt gesagt. Schmiedetechnik fällt zum Beispiel klassisch raus (dennoch würde ich mich daran orientieren natürlich).
  3. Dort wird sehr genau beschrieben, welche PLr sich für welche Sicherheitsfunktion und sogar abhängig von der Betriebsart denn vorgestellt wird.
  4. Für Bewegungen des Stößels, aber auch der Ziehkissen ist schnell mal ein PLe gefordert, mit Teilsystemen individueller Kategorie 4.
  5. In Tabelle 2 der Norm werden teils andere PL beschrieben, wenn ich ausschließlich manuelle Zu- und Abfuhr habe (die, die's haben, wissen das in der Regel).
  6. Wenn deine Standardsteuerung nun nach der Sicherheitssteuerung hängt, macht diese natürlich alles kaputt. Zumindest wenn man es nicht irgendwie schafft, die Rückwirkungsfreiheit zu begründen (würde ich bei einer üblichen Steuerung mal ausschließen).
  7. Vielleicht hat der Maschinenbauer aber auch nach der Standardsteuerung die Sicherheit nochmal eingeschleift, dann könnte das wieder irrelevant sein.
  8. Komisch wirkt unabhängig davon, dass nur ein Ventil vorhanden ist. Es gibt Lösungen - etwa mit Zwillingsventilen oder Druckwaagen, die ein PLe/Kat4 mit einem physischen Ventil hinbekommen, aber prinzipiell sind das sicherheitstechnisch gesehen dennoch zwei Ventile. Gibt auch welche mit interner Überwachung, die müssten dann nicht steuerungsseitig überwacht werden.
Siehe: ISO 16092-3:2018, 5.4.7 (PLr, insbesondere mit den beiden Tabellen), Tabelle 1, Zeile 11 (z.B., Stößelbewegung, Ziehkissen), IFA Report 2/2017, S. 48/235f. (Rückwirkungsfreiheit von Standardbauteilen)
Allgemein vielleicht noch als Hinweis: Für Pressen im Speziellen gibt es viele gute Literatur unserer BGs (klar, Normen haben einen anderen Stellenwert). Z.B. aber:
DGUV-Information 209-030 "Pressenprüfung" - Gilt formell eher für "klassische" Pressen, die auch unter die C-Normenreihe fallen
Checkliste FBHM-110 "Handbeschickte Pressen der Metall-Kaltbearbeitung" - Wieder eher C-Norm. Betrachtet auch Gesenkbiegepressen (EN 12622)
Fachbereich Aktuell FBHM-089 "Schmiedepressen/Schmiedehämmer" - Das ist nun was speziell für Warmumformung/Schmieden.

Das letzte Dokument ist ein gutes Beispiel für "Auch die BG liegt nicht immer richtig"...
"Ehemalige arbeitsmittelspezifische Unfallverhütungsvorschriften enthielten die Aussage, dass Verletzungen bei Warmumformungsarbeiten nicht zu erwarten sind. Das stimmt aus heutiger Sicht nicht."
Interessant ist vor dem Hintergrund auch der Aufbau des Dokuments allgemein und die Inhalte der Tabelle 2...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Was du an der Presse beschreibst ist im Prinzip eine nicht sichere Verfahrfreigabe.
Schau dir mal die Presse genauer an. Üblicherweise gibt es da Hauptventile, Pressensicherheitsblöcke oder Ähnliches.
Es kann z.B. sein, dass in der Abwärtsbewegung 2 Sperrblöcke sitzen, dann braucht das Wegeventil nicht sicher sein.
 
Vielen Dank schonmal für die vielen Informationen.
Ich weiß nun, dass ich nichts weiß 😅

Blockmove schrieb:
Es kann z.B. sein, dass in der Abwärtsbewegung 2 Sperrblöcke sitzen, dann braucht das Wegeventil nicht sicher sein.
Zum Vergrößern anklicken....
Also unsere hydraulischen Pressen haben alle einen Sicherheitsblock und nochmal Ventile bei denen die Stellung überwacht wird. Ich bin in diesem Thema aber noch nicht so weit eingelesen.

Gibt es generell eine Richtlinie, wie sichere und nicht-sichere Signale zu trennen sind?
Also Sicherheitsschaltgeräte werden natürlich in einer Sicherheitssteuerung oder klassisch mit Sicherheitsrelais ausgewertet. Der anzusteuernde Aktor muss dann aber ebenfalls über das Sicherheitsprogramm angesteuert werden, also Ventil, Schütz etc.?

Aber wenn ich dieser Annahme nachgehe, dann müssten ja theoretisch immer alle gefahrbringenden Aktoren aus dem Sicherheitsprogramm angesteuert werden?
 
itsdarkdownhere schrieb:
Aber wenn ich dieser Annahme nachgehe, dann müssten ja theoretisch immer alle gefahrbringenden Aktoren aus dem Sicherheitsprogramm angesteuert werden?
Zum Vergrößern anklicken....

Im Groben gesehen ja.
Es gibt aber auch noch die Möglichkeit, dass die Spannungsversorgung von nicht sicheren Ausgabgsbaugruppen der Standard-SPS sicher abgeschaltet wird. Dann erfolgt die Ansteuerung über die Standard-SPS und die Abschaltung der Sapannung über die Sicherheits-SPS.
Sowas gibt's dann auch in Pneumatik mit sicher geschalteter Steuerluft oder auch in der Hydraulik mit Steueröl.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Also könnte man als Beispiel in der Pneumatik folgenden Aufbau nehmen:
Standard SPS steuert 5/2 Wegeventil, welches einen doppeltwirkenden Zylinder steuert.
Safety SPS überwacht den Not-Halt und entlüftet das System über zwei 3/2-Wegeventile im Notfall?

Natürlich nicht bei schwebender Last.
 
Da musst Du mal bei den führenden Safety-Komponentenherstellern googeln.
Pilz, Sick, Siemens, Festo, usw., da wirst Du fündig...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Blockmove schrieb:
Es gibt aber auch noch die Möglichkeit, dass die Spannungsversorgung von nicht sicheren Ausgabgsbaugruppen der Standard-SPS sicher abgeschaltet wird. Dann erfolgt die Ansteuerung über die Standard-SPS und die Abschaltung der Sapannung über die Sicherheits-SPS.
Zum Vergrößern anklicken....

Wie seht Ihr das, wenn man an einer Hydraulik als "Zweikanaligkeit" ein Wegeventil für Druckaufbau / drucklosen Umlauf die Spannung der Ausgangsbaugruppe sicher abschaltet => Hydraulik Drucklos und gleichzeitig die Hydraulikpumpe sicher abschaltet per Doppelschütz (400V) oder STO über FU? Kein Druckspeicher im System vorhanden.

Hab ich jetzt schon ein paar mal gesehen und fand ich eigentlich als gute Lösung.
 
Holzmichl schrieb:
Wie seht Ihr das, wenn man an einer Hydraulik als "Zweikanaligkeit" ein Wegeventil für Druckaufbau / drucklosen Umlauf die Spannung der Ausgangsbaugruppe sicher abschaltet => Hydraulik Drucklos und gleichzeitig die Hydraulikpumpe sicher abschaltet per Doppelschütz (400V) oder STO über FU? Kein Druckspeicher im System vorhanden.

Hab ich jetzt schon ein paar mal gesehen und fand ich eigentlich als gute Lösung.
Zum Vergrößern anklicken....
Hab ich früher auch immer so gemacht.
Bei Standard-Drehschieber- oder Flügelzellenpumpen auch ok.
Heute muss man aber mehr aufpassen. Es gibt Aggregate, da sitzt z.B. ein Rückschlagventil nach der Pumpe.
Bei den letzten Anlagen haben wir immer 2 Hauptventile mit Stellungsüberwachung in die P-Leitung zur Anlage gesetzt.
Damit gibt es keine Überraschungen.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Larry Laffer schrieb:
so habe ich es eigentlich auch immer gemacht ...
Zum Vergrößern anklicken....
Ist halt auch die teuerste Methode.

Wenn du ein einfaches Aggregat hast, dann reicht die sichere Abschaltung des Pumpenantriebs auch bis PLe.
Der Druck in der P-Leitung wird durch Rückfluss über die Pumpe abgebaut.
Da hierbei das zeitliche Verhalten von ein paar Faktoren abhängt, nimmt man gerne noch das Ventil für drucklosen Umlauf dazu.
Damit ist ein schneller Druckabbau in der P-Leitung gewährleistet.
Aber so einfache Aggregate sind selten geworden.
Moderne Aggregate haben FU oder Servo und optimierte Pumpen mit geringeren internen Leckagen. Druckabbau darüber soll / kann darüber nicht mehr gemacht werden, da sie nicht mehr rückwärts drehen sollen. Durch STO des Antriebs verhinderst du nur den Wiederanlauf, wirst aber nicht den Druck los. Also wird das Ventil für drucklosen Umlauf / Pumpenanlauf zur "eigentlichen" Sicherheitsfunktion. Inklusive aller Notwendigkeiten (2-kanalig, Stellungsüberwachung, ...). Als alleinige Sicherheitsfunktion reicht es aber nicht, die Pumpe muss trotzdem sicher abgeschaltet erden.
Du hast heute hocheffiziente, energiesparende Hydraulikaggregate, kannst aber die Stromersparnis von 5 Jahren in Sicherheitstechnik stecken.
 
@Blockmove Wenn Du solche Stellungsüberwachten Ventile z.B. als Ventil für Drucklosen Umlauf einsetzt - wie bindest Du den Kontakt in der Safety mit ein? Als normale Rückführkreisüberwachung per FB216 F_FDBACK ?
Was ist dann deine Rückfall-Ebene, wenn FDBACK-Error auftritt?

Oder baut man dann 2 solcher Ventile für drucklosen Umlauf ein?
 
@Holzmichl
2. Kanal kann die Pumpe sein oder ein 2. Ventil.
Hängt aber von der hydraulischen Schaltung ab.
Bei manchen Ventilen für drucklosen Umlauf hängt hinter dem Ventil eine Drossel oder ein Stromregelventil.
Dann musst du aufpassen, dass es die Sicherheitsanforderungen erfüllt.
Bei diesen ganzen Plattenventilen mit Höhenverkettung gibt‘s jede Menge was Ärger machen kann.
 
itsdarkdownhere schrieb:
Verhält sich das dann analog so auch in der Elektrotechnik? Also sicheres Abschalten der Steuerspannung?
Zum Vergrößern anklicken....
Im Prinzip ja.
Noch ein kleiner Tipp: Bei Safety sollte man nicht in Gewerken (Elektrik, Pneumatik, Hydraulik) denken. Immer das Gesamte sehen.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Danke für den Tipp @Blockmove
Ich habe in der Zwischenzeit eine Schulung bei Pilz zum Thema Maschinensicherheit besucht, ich brauche allerdings noch einiges an Übung.

Wenn man sein Teilsystem als Blockschaltbild in Sensor - Logik - Aktor aufteilt und die einzelnen PFH ermittelt, bekommt man für dieses System den Gesamt-PFH und den daraus resultierenden PL. In diese Ermittlung geht ja aber auch die Systemarchitektur bzw. Kategorie ein.

Sind die Systemarchitekturen dann i.d.R. "Best Practices" (Stichwort bewährte Bauteile)? Woher weiß ich dass ich die Architektur so (wie im Beispiel der Pneumatik) konstruieren darf und nicht anders? Oder muss ich dann Trial&Error die Verifizierung durchführen und Architektur anpassen bis es passt?
 
itsdarkdownhere schrieb:
Woher weiß ich dass ich die Architektur so (wie im Beispiel der Pneumatik) konstruieren darf und nicht anders?
Zum Vergrößern anklicken....
Safety geht nur im Team! Kaum einer hat soviel Wissen über Mechanik, Antriebstechnik, Pneumatik und Hydraulik dass er alleine die komplette Maschinensicherheit stemmen kann.
 

Similar threads

C
Keyence-Sicherheitslichtschranke deaktiviert sich von alleine
Antworten
3
Aufrufe
2K
Cogliostro
C
B
Standard SPS-Signal als Input bei Kat.3 ?
Antworten
16
Aufrufe
7K
s_kraut
s_kraut
P
Not-Halt vs. Maschinenstopp
2
Antworten
29
Aufrufe
21K
silverfreaky
S
H
Überwachung "sicheres" Signal
Antworten
9
Aufrufe
5K
Heiko1980
H
F
Verknüpfung von Not-Halt & Schütztür-Überwachung & verzögert öffnende Schutztür-Verriegelung
Antworten
16
Aufrufe
12K
ChristianVogel
ChristianVogel
Zurück
Oben