Gut, ich weiß nicht wie ihr die Rollenverteilung geregelt habt.
Wir machen das im Team. Da ist in der Konstrukteur in der Rolle, dass er eine Anlage plant. Er soll dabei auch die entstehenden Gefährdungen maschinenspezifisch ermitteln und mindern. Wenn die Box aufgemacht werden muss zum Wattebällchen angucken dann muss vorher die Maschine in einen Zustand überführt werden, der hinreichend sicher ist und man drin arbeiten darf.
Diesen Zustand stelle ich als Automatisierer aber nicht dadurch her, dass ich den Notaus rein haue, sondern ich fahre die Anlage betriebsmäßig ab über eine normale PLT-Funktion.
Sicherheitsmäßig wird der Stillstand messtechnisch erfasst (nach dem geforderten SIL/PL) und erst wenn das zulässig ist dann wird die Tür entriegelbar. So ähnlich wie daheim bei der Waschmaschine (wobei die löst es über einen Timer, was mich übrigens tierisch aufregt wenn ich noch irgendwo eine Socke finde und das Ding schon läuft - der Hersteller schafft hier Anlass zur Manipulation).
Wenn die Tür geöffnet wird, dann werden die Antriebe hinreichend sicher verriegelt (nach dem geforderten SIL/PL halt über STO oder redundante Schützschaltung).
Das Schließen der Tür löst keinen Wiederanlauf aus, sondern der Bediener klickt sich durch die Dialoge, bestätigt dass alles nach SOP passt und kann dann von mir aus starten.
Den Nothalt habe ich halt für unvorhersehbare Dinge, oder falls bei der IBN was noch nicht so optimal läuft
So Sachen wie Einrichtbetrieb bei geöffneter Tür sind mir bisher zum Glück erspart geblieben, aber wenn es sich weder konstruktiv noch sonstwie technisch lösen lässt und aber notwendig ist dann bleibt nichts anderes übrig als über organisatorische Maßnahmen arbeiten. Das muss man halt sauber dokumentieren und mit dem Betreiber abstimmen - bleibt trotzdem Ist halt die schwächste Sicherheit.
Im Radio kommt grad "There is no safety in numbers" ich brech ab...
LG/fail safe!