kein MTTFd-Wert für DC-Umrichtereingang

stevenn

Level-3
Beiträge
1.422
Reaktionspunkte
229
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

folgendes Szenario:
Ich will einen Umrichter (DC-Stromrichter) mit PL d abschalten. Nun hat der DC-Stromrichter leider keinen STO-Eingang mit Performance Level.
Meine Idee ist, mit einem Kanal schalte ich ein Schütz, welcher die Spannungsversorgung des Stromrichters wegschaltet und mit dem zweiten Kanal schalte ich den Eingang Reglerfreigabe des Stromrichters weg.
Für das Schütz habe ich Kennwerte, das Problem ist der Eingang des Stromrichters.
Nun meine Frage, wenn der Hersteller mir keine Daten geben kann, darf ich dann die 10 Jahre für den Eingang verwenden, wie in der DIN EN ISO 13849-1 im Kapitel 4.5.2 steht?
Wie seht ihr das?
 
Hallo
Mit dem Schalten der Reglerfreigabe wäre ich vorsichtig.
Anders als bei Asynchronmotoren reicht bei Gleichstrommotoren bereits ein defekter Thyristor zum erzeugen eines Drehfeldes.
Bei unseren alten Stromrichtern wurde eine Elektronik nachinstalliert, die die Versorgungsspannung der Impulsverstärker abschaltet.

Im IFA Report 7/2013 Abschnitt 7 ist die Besonderheit bei DC Antrieben beschrieben.
Eventuell hilft dir das weiter.
Grüße Holger
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Auszug aus der 7/2013:

In Anwendungen, bei denen die Einfehlersicherheit erfüllt sein
muss (Kategorie 3 und Kategorie 4), ist die Impulssperre im
Ankerstromrichter als alleinige Maßnahme nicht ausreichend.
Für diese Kategorien wird ein zusätzlicher Abschaltpfad benötigt,
selbst wenn die Impulssperre zweikanalig bzw. einfehlersicher
ausgeführt ist. Ein solcher zusätzlicher Abschaltpfad
könnte beispielsweise ein zusätzliches Netzschütz im Ankerstromkreis
sein...


genau das würde ich ja machen. Eine Zweikanaligkeit indem ich zum einen das Schütz schalte und die Reglerfreigabe. Wenn das Schütz versagt, habe ich immer noch die Reglerfreigabe und wenn jetzt ein Thyrister hops geht, dann habe ich schon zwei Fehler die passieren müssten, damit es gefährlich wird. Einfehlersicherheit, Kategorie 3 oder? und jetzt benötige ich zum berechnen noch einen MTTFd-Wert für den Reglerfreigabeeingang. Und da war die Frage ob ich 10 Jahren nach der 13849 nehmen darf?
 
Wenn du keine Werte vom Hersteller bekommst, wäre ich sehr vorsichtig.
Ich würde lieber 2 Schütze nehmen. Das ist meist weniger Aufwand als sich stundenlang mit Sicherheitsberechnungen rumzuschlagen.

Gruß
Dieter
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Wenn du keine Werte vom Hersteller bekommst, wäre ich sehr vorsichtig.
Ich würde lieber 2 Schütze nehmen. Das ist meist weniger Aufwand als sich stundenlang mit Sicherheitsberechnungen rumzuschlagen.

Gruß
Dieter

geht aus Platzgründen nicht. war auch mein erster Gedanke
 
Das eine ist der MTTFd den kannst Du mit 10 Jahren annehmen.
Aber wie willst du einen DC hinbekommen?
ich hab doch Rückmeldungen (über Bus) vom Stromrichter, kann ich die nicht verwenden?
"Fehlererkennung über den Prozess(S.79 DIN EN ISO 13849)" und dann würde ich nur 60% annehmen. für das Schütz 90%. das würde für Kat 3 und PL d reichen.
 
ich hab doch Rückmeldungen (über Bus) vom Stromrichter, kann ich die nicht verwenden?
"Fehlererkennung über den Prozess(S.79 DIN EN ISO 13849)" und dann würde ich nur 60% annehmen. für das Schütz 90%. das würde für Kat 3 und PL d reichen.

Also ich wär hier sehr vorsichtig:
Der Hersteller deklariert die Reglersperre nicht als Sicherheitsfunktion.
Die Signale über den Bus sind genausowenig sicher.
Erkennst du wirklich über den Prozess ob der Motor läuft?
Also nicht ob die Reglersperre aktiv ist, sondern wirklich ob der Motor läuft?

Vielleicht wär ein Stillstandswächter eine Option?

Gruß
Dieter
 
Zuviel Werbung?
-> Hier kostenlos registrieren
erstmal danke, das ihr euch an der Diskussion beteiligt.
Also ich wär hier sehr vorsichtig:
Der Hersteller deklariert die Reglersperre nicht als Sicherheitsfunktion.
Die Signale über den Bus sind genausowenig sicher.
Erkennst du wirklich über den Prozess ob der Motor läuft?
Also nicht ob die Reglersperre aktiv ist, sondern wirklich ob der Motor läuft?

Vielleicht wär ein Stillstandswächter eine Option?

Gruß
Dieter

ich will ja vorsichtig sein, deswegen "sichere" ich mich bei euch ja ab ;-)
"Der Hersteller deklariert die Reglersperre nicht als Sicherheitsfunktion." natürlich nicht, aber das macht ja kein Hersteller von "nicht-Sicherheitsbauteilen" (Umrichter STO lassen mir mal außen vor). so ein Hersteller gibt ja höchstens nur einen MTTFd-Wert an und die 13849 erlaubt mir eben dann die Verwendung von 10 Jahren, wenn ich keinen Wert habe.
"Die Signale über den Bus sind genausowenig sicher." deswegen habe ich ja zwei Kanäle.
"Erkennst du wirklich über den Prozess ob der Motor läuft?
Also nicht ob die Reglersperre aktiv ist, sondern wirklich ob der Motor läuft?
" ich habe ja auch einen Drehgeber mit dem ich die Drehzahl/das der Motor läuft erkenne.
 
was ist denn ein sicherer zweiter Kanal? Die Sicherheit, die ich benötige schaffe ich doch nur über zwei Kanäle. zwei schlechte/nicht so gute Einzelkanäle fasse ich zusammen und schaffe so Kategorie 3.
Wenn ein einzelner Kanal schon "sicher" wäre, bräuchte ich keinen zweiten. es geht doch um den "Grad" der Sicherheit. die zwei einzelnen sind nicht so gut, aber zusammen erreiche ich Kat 3.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Mal so gesagt: Die Sicherheit deiner Impulssperre besteht letztlich nur aus Annahmen und Vermutungen.
  • Der MTTFd ist nur ein Pauschalwert und nicht vom Hersteller des Umrichters bestätigt.
  • Die Überwachung der Impulssperre erfolgt über Bus und normale SPS
  • Die Stillstandsüberwachung erfolgt über nicht sicheren I-Geber und normale SPS oder Umrichter.

Persönlich wäre mir das für PLd zu heiß.
Letzlich ist das eine Schaltung irgendwo zwischen Kategorie 2 und 3.
Man kann mit Kategorie 2 zwar PLd erreichen, aber nur knapp.

Gruß
Dieter
 
"Der MTTFd ist nur ein Pauschalwert und nicht vom Hersteller des Umrichters bestätigt." Aber die Norm erlaubt diese Vorgehensweise doch. Nicht alle Hersteller wissen, was ich von denen will, wenn ich MTTFd sage.
"Die Überwachung der Impulssperre erfolgt über Bus und normale SPS" ja, du darfst aber den zweiten Abschaltweg und dessen Überwachung nicht vergessen. wenn der Bus einen Fehler machen sollte, habe ich den zweiten Kanal (das Netzschütz) welches auch gleichzeitig einen Fehler haben müsste damit was passiert.
"Die Stillstandsüberwachung erfolgt über nicht sicheren I-Geber und normale SPS oder Umrichter." ich will ja abschalten. z.B. bei Not-Halt. -> Bus meldet, das Stromrichter aus ist; Drehgeber sagt irgendwann, das die Drehzahl abnimmt/Stillstand da ist; und das Netzschütz meldet das es abgeschalten hat.
Ich habe definitiv zwei Abschaltkanäle (Netzschütz und Reglerfreigabe) und somit nicht Kat 2. wie kommst du darauf?
das was Safety bemängelt hat, war ja, wie ich den Diagnosedeckungsgrad realisieren will und darauf habe ich meine Überwachungen für die Reglerfreigabe genannt. Für das Schütz (Rückmeldung) ist der DC ja klar.

Info nebenbei:Kat 2 und PL d mache ich sowieso nicht, das ist mir auch oft zu heiß
 
Zuletzt bearbeitet:
Hallo Steven,

in der von Dir referenzierten Publikation (IFA Report 7/2013) steht sogar am Ende von Abschnitt 5:
Die Aktivierung der Sicherheitsfunktion STO kann beispielsweise über die Reglersperre des Umrichters erfolgen. Durch Wegschalten des Steuersignals an diesem Eingang wird die Erzeugung von Pulsmustern gesperrt. Im Motor kann kein Drehfeld mehr erzeugt werden. Die Signalverarbeitung erfolgt einkanalig unter Beteiligung des Mikroprozessors, damit ist maximal PL b möglich. In den meisten Anwendungen an Maschinen werden jedoch höhere PL benötigt, die einkanalig nicht zu realisieren sind. Es ist also ein zweiter unabhängiger Kanal erforderlich. Hierfür bietet sich z.B. die Verwendung eines Netzschützes an (vgl. Abschnitt 3.1.1.1).

Nimmt man jetzt noch den Abschnitt 8.2 "Bewertung der SRESW einer Standardsteuerung" aus dem neuen IFA Report 2/2016 (basierend auf der neuen 13849-1) hinzu sehe ich Deine Lösung als PLd. Denn meiner Meinung nach sind das zwei Kanäle mit technologischer Diversität und die Fehlererkennung erfolgt im Fall des Schützes durch das Rücklesen und im Fall des Frequenzumrichters durch den Sensor für die Motordrehung. Es muss natürlich noch überprüft werden, dass die Standardkomponenten die für sie gültigen Normen erfüllen und die Programmierung bzw. der Prozess der Programmierung der Abschaltung etc. nach 13849-1 erfolgt.

Diese Interpretation von mir leitet sich rein aus den Publikationen ab. Persönlich sehe ich diese steuerungstechnische Aufweichung kritisch, da hierbei wieder ein Schritt hin zur unsichereren Standardtechnik gemacht wird.


Viele Grüße

Otter
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Persönlich sehe ich diese steuerungstechnische Aufweichung kritisch, da hierbei wieder ein Schritt hin zur unsichereren Standardtechnik gemacht wird.

Ich sehe es ähnlich.
Von der technischen Seite her ist es vollkommen richtig.
Ein defekter SPS-Ausgang, der im Fehlerfall durchschaltet hatte, ist mir z.B. bei einer S7 noch nie vorgekommen.
Und selbst wenn so was passiert, dann erfolgt üblicherweise zuerst die Erkennung durch den Prozess.
Daher ist Hochsetzen des Sicherheitslevels von Standardtechnik technisch schon richtig.

Schwierig ist aber natürlich der Nachweis. Einfach ein paar Sicherheitskennwerte in Sistema eintragen, ist dann natürlich nicht mehr.
Validierung der normalen SPS-Software ist natürlich auch nicht einfach. Wenn man die zertifizierten Bausteine bei einer Sicherheits-SPS verwendet, dann ist es kein Thema.
Bei eigen erstellten Bausteinen sieht es schon anders aus ...

Ich bin mal gespannt, wie der Prozess weiter verläuft.

Gruß
Dieter
 
also ich nehme jetzt mal mit, das es so gehen würde. Mit einem Kanal ein Netzschütz schalten und mit dem anderen Kanal die Reglerfreigabe wegnehmen( oder den Umrichter normal abschalten) und für diesen Eingang einen MTTFd-Wert von 10 Jahren zu nehmen.
mir ist bewusst, das das nicht die beste Lösung ist, aber die Norm erlaubt es.

Schwierig ist aber natürlich der Nachweis. Einfach ein paar Sicherheitskennwerte in Sistema eintragen, ist dann natürlich nicht mehr.
Validierung der normalen SPS-Software ist natürlich auch nicht einfach. Wenn man die zertifizierten Bausteine bei einer Sicherheits-SPS verwendet, dann ist es kein Thema.


für mein Beispiel muss ich ja keine normale SPS validieren. ich schalte mit einem sicheren Ausgang der Sicherheitsteuerung jeweils das Netzschütz und die Reglerfreigabe. Bei der Sicherheitssteuerung verwende ich zerifizierte BAusteine.Praxistest folgt natürlich immer.
 
Zurück
Oben