Sorry, wollte dich nicht verwirren. EDM (= External Device monitoring, RFK ist auch eine Art EDM) und HFT (= hardware fehler toleranz) Abk. kommen aus andere Normen (IEC62061 bzw. IEC61508). Da ich mich mit Sicherheitskomponenten beschäftige, schwirren die auch in meinen Kopf rum.
Aber mit CCF solltest Du was anfangen können
CCF = Common Cause Fehler siehe anhang F der Iso13849-1; bezeichnen Fehler gemeinsamer Ursache die auf beide Kanäle wirken und gleichzeitig beide Kanäle zum Ausfall bringen können. Bsp: Zwei in Reihe geschaltete Schließer schalten eine spannung weg. Alles schön zweikanalig redundant und und per RFK überwacht angesteuert. Jetzt tritt irgendwo im Abschaltkreis ein saftiger Kurzschluss auf, der Strom fließt durch beide Schließer, die Kontakte verschweißen beide.. wird als 1 Fehler betrachtet.
Also ne Schulung würde ich Dir auch sehr an Herz legen, gerade für den Einstieg immens wichtig. Sonst werden dir nur Begriffe, Abk, Normen usw. um die Ohren gehauen, so das man nix versteht (ging mir genauso, aber ich kann ja immer die Jungs und Mädels von TÜV/ BGIA fragen, die wir quasi ständig im Haus haben)
Zu Kategorien. Ich vermutete die Kat3, da alles 2kanalig aufgebaut wurde. Die verwendeten Kategorien und Performance Level müssen laut ISO den Anwender angegeben werden. Was steht in der offiziellen Doku?
Ob deine Anlage Kat3 erfüllt, kann ich natürlich nicht beurteilen. Aber Kat3 ist nicht gleich Kat3 ;-)
Nach ISO13849-1 können Sicherheitsfunktionen (kürze ich ab jetzt mit SF ab) der Kat3 unsicherer als SF der Kat1 sein. Kat3 Anlagen können Pl-a bis Pl-e besitzen!
Schaue dir in der 13849 unter 6.2.6 die anforderungen für kat3 an :
- Anforderungen nach Kat B und Anwendung bewährter Sicherheitsprinzipien
- 1 Fehler darf nicht zum Verlust der SF führen => deshalb die Empfehlung einer zweikanaligen Struktur
- DCavg mindestens 60% oder besser
- MTTFd jedes Kanals muss niedrig bis hoch sein
- CCF Maßnahmen
=> aber Mehrfachfehler können zum Verlust der SF führen!
Durch den DC und MTTFd Werte wird ein PL bzw. PFH-Wert erreicht. Bei Kat3 ist DCavg=60% Pflicht. Du erreichst damit bei ca 4J MTTFd/Kanal schon PL-b, mit 11J Pl-c und mit 24J Pl-d. Kannst Du schön in der Tabelle K1 in der 13849 sehen.
Zurück zu Deiner Anlage. DCavg=60% (und CCF) muss bei kat3 erfüllt sein, egal ob Pl-a oder Pl-c. Ohne Überwachung der Schütze wird das schwierig. Wahrscheinlich ist die Aussage falsch,dass die Rückführung nicht sicherheitsrelevant ist. Die SPS bekommt ein Signal über den RFK und wertet es aus. Auch wenn es nicht über Zwangsführung realisiert wurde, ist das eine Aufdeckungsmaßnahme. Dafür wurde wahrscheinlich ein DC= 60% angenommen.
Es kann auch sein, dass der DC schön gerechnet wurde. Wenn du in deiner Anlage Teilelemente mit niedrigen MTTFd hast und diese gut überwachst (z.b. 99% ), kannst Du dir an anderen Teilelementen mit höheren MTTFd dann einen kleineren DC als 60% leisten. Der DCavg kommt dann trotzdem über 60%. Kann gut sein, dass dies beim Normenschreiber nicht beabsichtigt wurde und die Iso verschärft wird. Dazu war hier im Forum auch ein schönes Bsp mit zwei Ventilen, eins hoch und das andere überhaupt nicht überwacht..
Zum Zustimmtaster, da habe ich Deine Schaltung wohl nicht verstanden, aber was Pneumatik und Hydraulik betrifft, bin ich eh 'ne Niete. Ventile gibt es in meiner Welt nur am Fahrrad
Ich habe es so verstanden, das die beiden Schütze eine Spannung auf die Ventile (werden die nicht überwacht?) schalten und damit wird die gefährliche Bewegung aktiviert. Wenn beide Schütze angezogen sind => Gefahr, Maschine ist eingeschaltet... Türschalter usw. stoppen die Maschine = 1.SF . Der Zustimmschalter startet die Maschine (bzw. überbrückt bei dir den Türschalter, oder?). In dem Fall überwacht ein Mensch den Anlage, so dass niemand im Gefahrenbereich ist. Dabei ist die SF, dass nur das Drücken des Zustimmschalters und kein Fehler die Schütze einschaltet. Was passiert, wenn Du in der Anlage bist und da rumfummelst und in dem Moment tritt ein Fehler im Zustimmschalter auf und die Schütze schalten ein? Deshalb ist Zustimmschalter = überwachter Anlauf = 2.SF der Anlage. Diese SF muss auch entsprechend der Gefahrenanalyse ausgelegt sein.
Die Schütze sind Teilelemente der 1.SF und der 2.SF und müssen so oder so dem geforderten PLr entsprechend überwacht werden.
Hoffe ich, verwirre ich dich nicht noch mehr