Sistemaneuling: Darstellung einer Rückführkreisüberwachung in Sistema.

Twin

Level-1
Beiträge
10
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo liebe Forenmitglieder,

ich war bisher nur stiller Mitleser und immer davon beeindruck wie großzügig hier Wissen geteilt und Unterstützung geboten wird.
Ich hoffe Ihr könnt mir bei meinen Anliegen helfen, wäre euch dafür unendlich dankbar.

Ich muss mich das erste Mal selbst mit "Sistema" auseinandersetzen und bin jetzt auf ein Problem gestoßen, welches mir etwas Kopfzerbrechen bereitet:

Wie wird den eine Rückführkreisüberwachung in Sistema abgebildet?
In den IFA-Beispielprojekten konnte ich kein vergleichbares Projekt finden, welches dies beinhaltet oder Ich verstehe die Beispiele einfach nicht.
Muss eine Rückführkreisüberwachung überhaupt abgebildet werden?
In den IFA-Beispielen wird da anscheinend drauf verzichtet.

Meine definierte Sicherheitsfunktion "SF1: Schutzstopp Roboter durch Zellen-Wartungstüre" muss ein Pl d erreichen und ich habe das System nach Kategorie 3 aufgebaut.

Folgende Struktur habe ich in Sistema bisher realisiert:
Erfassen(SB) -> Auswerten FDI(SB) -> Auswerten FCPU(SB) -> Auswerten FDO(SB) -> Reagieren Signalumsetzer mittels Koppelrelais (SB) -> Reagieren Roboter (SB)

Anbei zwei Bilder, die die Verschaltung und die bisherige Darstellung der Sicherheitsfunktion in Sistema wiedergeben.

SistemaStoppSS2Roboter.jpgStopp SS2 Roboter SchaltbildV1.jpg


Ich werte die zwangsgeführten Wechselkontakte der Koppelrelais in der FCPU aus (im Bild grün dargestellt) zwecks Rückführkreisüberwachung.
FCPU ist eine S71200F und ich benutze den zertifizierten Baustein FDBACK.

Ich wäre euch echt dankbar wenn Ihr euch das mal anschaut und mir hier eine kleine Hilfestellung geben könntet, nicht falsch verstehen, ich will hier keinen meine Arbeit machen lassen, habe einfach einen großen Knoten im Hirn, den ich nicht gelöst bekomme :sad:.

Vielen Dank
Ben
 
Ich kenne mich mit Sistema jetzt leider gar nicht aus, aber Rückführkreise (EDM) müssen nicht auf sichere Eingänge gelegt werden. Vermutlich findest Du sie deshalb nicht in den Beispielen.

Von irgendwas mit Internetzugang gesendet.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich kenne mich mit Sistema jetzt leider gar nicht aus, aber Rückführkreise (EDM) müssen nicht auf sichere Eingänge gelegt werden. Vermutlich findest Du sie deshalb nicht in den Beispielen.

Von irgendwas mit Internetzugang gesendet.

Das ist mir bekannt.

Siemens empfiehlt bei Ihren Anwendungsfällen die Nutzung von sicheren Eingängen, deshalb und weil ich noch jede Menge sichere Eingänge frei hatte habe ich es so aufgebaut.

Trotzdem vielen Dank für deine Unterstützung :).

In den IFA-Beispielen, finde ich unabhängig davon, ob die Rückmeldung sicher oder nicht sicher ausgewertet wird, keine Darstellung der Rückführkreisüberwachung in Sistema, sogar bei PL e Beispielen nicht.

Deshalb meine Unsicherheit und die grosse Frage:
"Ob die Rückführkreisüberwachung überhaupt in Sistema formuliert werden muss?"

Wenn die Annahme stimmt, dass ein Fehler im Sicherheitskreis der durch die Rückführkreisüberwachung erkannt wird "nur gemeldet (Monitoring)" werden muss, aber nicht zwingend einen sicheren Zustand herstellen muss, dann verstehe ich warum dies in den IFA-Sistemabeispielen nicht dargestellt wird.

Dies macht meines erachtens aber keinen Sinn, da Kategorie 4 Systeme ja stabil gegen die Anhäufung von min zwei Fehlern sein müssen, wenn ich das richtig verstanden habe.

Am Beispiel meiner Koppelrelais könnte ein solcher Fehler wie folgt aussehen:

Beide Koppelrelais verschweißen
-> Sicherheitssteuerung erkennt über die Rückführkreisüberwachung den Fehler
-> Sicherheitssteuerung passiviert die geschalteten Ausgänge (sicherer Zustand wird versucht herzustellen)
-> Das passivieren der Ausgänge und Abfallen der Spulenspannung an den Koppelrelais führt aber auf Grund der verschweißten Kontakte nicht zum Auslösen der Sicherheitsfunktion am Roboter, d.h. der Roboter geht nicht in den sicheren Zustand, gefahrbringende Bewegungen werden nicht gestoppt. Das System meldet zwar den Fehler in der Rückführkreisüberwachung , ist aber nicht im Stande einen sicheren Zustand herzustellen.

Ich stoppe den Roboter in diesem Fall dann über die Wegnahme des Freigabesignals bzw. leite einen regulären Programmstopp ein.
Nur wie soll man das bitte in Sistema formulieren und ist dies überhaupt notwendig?

Viele Fragezeichen???
Hab ich den falschen Ansatz?
 
Hallo,

der Rückführkreis ist im Blockschaltbild der Kategorie 3 dargestellt,
zwei gestrichelte Linien vom Output- zum Logikteil auf beiden Kanälen.
Das klickst Du unter "Anforderungen an die Kategorie" ab.

Nur, wenn Dein Output selbst Kat. 3 ist, brauchst Du keinen
Rückführkreis.

Weiter wirst Du in Sistema nicht nach Rückführkreisen gefragt.

Wa machst Du mit dem UR-Robby, Kollaboration?
 
Hallo,

der Rückführkreis ist im Blockschaltbild der Kategorie 3 dargestellt,
zwei gestrichelte Linien vom Output- zum Logikteil auf beiden Kanälen.
Das klickst Du unter "Anforderungen an die Kategorie" ab.

Nur, wenn Dein Output selbst Kat. 3 ist, brauchst Du keinen
Rückführkreis.

Weiter wirst Du in Sistema nicht nach Rückführkreisen gefragt.

Wa machst Du mit dem UR-Robby, Kollaboration?

Hallo Tommi,

vielen Dank für die Info :).

Der UR-Robby wird nicht kollaborierend betrieben.
Ich nutze zwar viele der Sicherheitsfunktionen, die für den kollaborierenden Betrieb von UR zur Verfügung gestellt werden, die Risikobeurteilung hat aber ergeben, dass ein kollaborierender Betrieb hier nicht möglich ist, da die Teile die bewegt werden bezüglich Gewicht (1 bis 10kg), benötigter Verfahrgeschwindigkeit und Beschaffenheit der Teile (scharfkantig, spitz...sind Frästeile), dies nicht erlaubt.
Deshalb wird er Robby hinter einer trennenden Schutzeinrichtung (Schutzzauen) mit einer beweglichen trennenden Schutzeinreinrichtung (Wartungstüre ohne Zuhaltung, welche mittels Sicherheitssensor abgefragt wird) betrieben...also klassischer Einsatz wie bei Industrierobotern.

Du schreibst
"Nur, wenn Dein Output selbst Kat. 3 ist, brauchst Du keinen Rückführkreis."

Ist das so zu verstehen, wenn die Sicherheitsfunkton auf Seiten der Robotersteuerung (UR) PL d Kat.3 hat, dass ich das dann nicht brauche?

Hier habe ich wahrscheinlich auch noch ein Problem, da die C-Norm für Industrieroboter fordert, dass das ganze System min. Pl d Kat.3 genügen muss.
Dies kann ich leider nicht komplett gewährleisten, da die meisten Sicherheitsfunktione auf Seiten der Robotersteuerung nur in Pl d Kat.2 mit niedrigem PFHd -Wert realisiert sind (bis auf den Not-Halt der hat Pl.d Kat.3).

Bringt mich das in schwierigkeiten?
Wie könnte ich an dieser Stelle in der Risikobeurteilung bzw beim Verweis auf die Norm argumentieren, dass ich dies für ausreichend sicher halte?
Ansonsten erfüllt der komplette Systemaufbau locker Pl d Kat3, größten Teils sogar Pl e Kat 4.

Viele dankbare Grüße
Ben
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
Hier habe ich wahrscheinlich auch noch ein Problem, da die C-Norm für Industrieroboter fordert, dass das ganze System min. Pl d Kat.3 genügen muss.
Dies kann ich leider nicht komplett gewährleisten, da die meisten Sicherheitsfunktione auf Seiten der Robotersteuerung nur in Pl d Kat.2 mit niedrigem PFHd -Wert realisiert sind (bis auf den Not-Halt der hat Pl.d Kat.3).

Deshalb gibt es bei uns bislang keine UR.
Wir sind auch auf diese Unvereinbarkeit gestossen.

Aber vielleicht kann das jemand hier mal auflösen :)

Gruß
Blockmove
 
Deshalb gibt es bei uns bislang keine UR.
Wir sind auch auf diese Unvereinbarkeit gestossen.

Aber vielleicht kann das jemand hier mal auflösen :)

Gruß
Blockmove


Danke für dein Feedback :).

Wenigstens bin ich nicht der Einzigste dem das augefallen ist, wenn auch etwas zu spät.
Hatte mich bei der Projektierung von PL d fehlleiten lassen ohne genau auf die Kategorie zu achten und jetzt habe ich den Salat :(.

Mir stellt sich hier aber auch die große Frage:

Wie kann ein solches System, wie es Universal Robots vertreibt und vermarktet, überhaupt innerhalb der EU Anwendung finden, wenn es die Forderungen der C-Norm nicht einhalten kann.
Wahrschienlich war genau das der Grund die "e-Serie" auf den Markt zu werfen!

Finde das Marketing und die Versprechung die "Unirversal Robots" hier die letzten Jahre postuliert hat schon sehr fragwürdig!

Ein solches System ist doch nie und nimmer für den kollaborierenden Betrieb geeignet, da hier die Anforderungen ja noch etwas höher liegen!
Oder liege ich da falsch?

...

Viele Grüße
Ben
 
Zuletzt bearbeitet:
Danke für dein Feedback :).

Wenigstens bin ich nicht der Einzigste dem das augefallen ist, wenn auch etwas zu spät.
Hatte mich bei der Projektierung von PL d fehlleiten lassen ohne genau auf die Kategorie zu achten und jetzt habe ich den Salat :(.

Wir haben es glücklicherweise rechtzeitig gesehen.
Hilft aber auch nicht.
Alle paar Tage kommt dafür die Frage, warum wir keine UR einsetzen ... Alle anderen machen es doch.
Bleibt eigentlich nur der Spruch von den Millionen Fliegen und der Schei... ;)
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo,
die Norm zur Integration DIN EN ISO 102018-2 lässt auch ein anderes Leistungsfähigkeit zu, wenn man es in der RB begründen kann.
DIN EN ISO 10218-2:2012
5.2 Sicherheitsbezogene Leistungsfähigkeit des Steuerungssystems (Hardware/Software)
5.2.1 Allgemeines
Sicherheitsbezogene Steuerungssysteme (elektrisch, hydraulisch, pneumatisch und Software) müssen 5.2.2 erfüllen, sofern die Ergebnisse der Risikobeurteilung nicht ergeben, dass ein anderes Leistungskriterium, wie in 5.2.3 beschrieben, geeignet ist. Die sicherheitsbezogene Leistungsfähigkeit des Steuerungssystems des Robotersystems und der mitgelieferten Ausrüstung muss deutlich in der Benutzerinformation angegeben sein.
 
Hallo zusammen,

wenn man bisher einen UR eingesetzt hat, hat man den Normabschnitt angewendet, welchen Dieter (Safety) beschreibt.
Oder man hat es gelassen und andere Hersteller eingesetzt.

Wir haben UR eingesetzt.

Ich kenne UR als sehr innovative Firma, die die Macht und Meinung der Berufsgenossenschaften
in Deutschland unterschätzt hat.
Der Support ist nach meiner Erfahrung nicht besser oder schlechter als der von Kuka.
Manchmal muss man auch hartnäckig sein.

Jetzt haben sie mit der e-Serie nachgelegt, um die Norm zu erfüllen.

Aber ich möchte hier nicht das Thema des Threads kaputtmachen.

Ist das so zu verstehen, wenn die Sicherheitsfunkton auf Seiten der Robotersteuerung (UR) PL d Kat.3 hat, dass ich das dann nicht brauche?

Ja, das stimmt.;)
 
@Safety

Und nun die Frage:
Wie begründe ich das nun als kleiner Konstrukteur in einer Risikobeurteilung konkret wenn es eine C-Norm für Roboter gibt?
Damit setzte ich mich in diesem Fall über die C-Norm hinweg und sage, dass für den Anwendungsfall die C-Norm nicht gilt?

Ich habe diese Argumentation in Zusammenhang mit UR schon gehört, aber noch von niemand eine "rechtssichere" Begründung gesehen.

Gruß
Blockmove
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo, noch ein paar Anmerkungen zum Diagnosedeckungsgrad und Sistema.
Sistema ist nur ein Tool und deckt nicht alle zu dokumentierenden Aspekte der DIN EN ISO 13849-1 und -2 ab. Es werden in der Software Sistema viele Bestätigungen mit einfachen Klicks und unvollständigen Angaben gemacht.
Bei der Beurteilung des DC muss man die Maßnahme bewerten hier kann man den Anhang E der DIN EN ISO 13849-1 verwenden und falls dies nicht zum Ziel führt eine FMEA durchführen.
Die DC-Maßnahmen werden nicht gesondert in Sistema eingetragen nur das Ergebnis (bei Kategorie 2 muss der Testkanal berechnet werden).
Wohl muss man aber dokumentieren wie man diesen DC erreicht hat.
Zu beachten ist das man bestimmte Vorgaben beachten sollte, wie die Anforderungen der Kategorie B, rundlegende Sicherheitsprinzipien und wenn möglich auch bewährte Sicherheitsprinzipien.
Aber es wird auch im BGIA Report folgendes angemerkt:
Wenn gefährliche Ausfälle der Testeinrichtung durch deren zyklische Einbindung in den Prozess erkannt werden, kann von diesen Basisanforderungen abgewichen werden.
Bedenken muss man das bei Kategorie 3 oder 4, dass drei Fehler unerkannt geschehen müssen, um einen gefährlichen Ausfall zu erzeugen.
Fazit: Man muss dokumentieren wie man diese Anforderungen erreicht, das könnte man z.B. in Sistema als Text beim DC. Wir verwenden, um alle Anforderungen, die in Sistema nur unzureichend dokumentiert werden, ein Word Datei mit entsprechenden Tabellen. Da Sistema sehr schnell unübersichtlich wird, insbesondere kann man mit den Ausdrucken nicht arbeiten.
 
Hallo Blockmove, die Norm lässt es zu, also weicht man nicht davon ab!
Ein Beispiel dazu wie man argumentieren kann findet man im DGUV Information 209-074 Abschnitt 4.2.1.3.
Ich fordere hier nicht dazu auf diese Ausnahme anzuwenden, aber man kann es und es wird auch hin und wieder gemacht.
Ich finde auch das UR hier nachziehen sollte, aber da geht es ums Geld und kennst Du einen Fall bei dem eine solche Robotersteuerung versagt hat?
 
Ich finde auch das UR hier nachziehen sollte, aber da geht es ums Geld und kennst Du einen Fall bei dem eine solche Robotersteuerung versagt hat?
Ich kenne auch keinen Fall in dem bei bestimmungegemässen Gebrauch eine Standard-SPS versagt hat. :p
Aber du hast es letztlich auf den Punkt gebracht:
Geld :p
Der Preisunterschied UR zu Kuka gerade bei MRK ist erheblich.
Hinterm Schutzzaun ist etwas besser, da gibt es - für uns zumindest - keinen Anreiz für UR
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo alle zusammen,

vielen, vielen Dank für die Unterstützung und sehr hilfreichen Erläuterungen :).

Wieder etwas gelernt!

Off-Topic:
Ich muss ehrlich gestehen, dass Thema CE, Risikobeurteilung und Funktionale Sicherheit ist ein Thema welches mir sehr schwer fällt und was verdammt aufwendig ist.
Es bleiben immer Unsicherheiten.

Ich würde mir an dieser Stelle wünschen, da es ja um die Sicherheit von Meschnen geht, dass der Zugang zu notwendigen Informationen, handfesten Beispielen und "How to's" hier einfacher, kostenlos und übersichtlicher von den Gremien, der IFA, der DGUV und BG ermöglicht wird.
Wir stellen uns hier doch selber ein Bein.

Die Verantwortung, die die Konstrukteure und Entwickler hier tragen ist doch gewaltig und kann harte Konsequenzen bei nicht Einhaltung zur Folge haben, straf- und privatrechtliche.

Bitte nicht falsch verstehen, ich weiß jeder seine Packung zu tragen und dass ist auch gut so.

Nochmals vielen Dank für die Unterstützung!!!
Zum Glück gibt es Menschen wie euch, die auch ohne wirtschaftlichen Nutzen, Ihr wertvolles Wissen mit anderen teilen..."Daumen hoch".

Wünsche euch und natürlich auch allen anderen, in der aktuellen Situation "Corona", privat und beruflich alles Gute und jede Menge Durchaltevermögen.
Bleibt gesund!
 
Zu beachten ist das man bestimmte Vorgaben beachten sollte, wie die Anforderungen der Kategorie B, rundlegende Sicherheitsprinzipien und wenn möglich auch bewährte Sicherheitsprinzipien.
Aber es wird auch im BGIA Report folgendes angemerkt:
Wenn gefährliche Ausfälle der Testeinrichtung durch deren zyklische Einbindung in den Prozess erkannt werden, kann von diesen Basisanforderungen abgewichen werden.
Bedenken muss man das bei Kategorie 3 oder 4, dass drei Fehler unerkannt geschehen müssen, um einen gefährlichen Ausfall zu erzeugen.
Fazit: Man muss dokumentieren wie man diese Anforderungen erreicht, das könnte man z.B. in Sistema als Text beim DC.

Und wie erreiche ich nun diese Anforderungen konkret bei einem UR?
Letztlich kann ich doch nur dokumentieren, dass der Hersteller der Meinung ist, dass sein Roboter sicher sei.
Interessant ist dann auch die Betrachtung für Wartung / Instandhaltung. Stichwort: Sicherer Zustimmschalter.
 
Und wie erreiche ich nun diese Anforderungen konkret bei einem UR?
Letztlich kann ich doch nur dokumentieren, dass der Hersteller der Meinung ist, dass sein Roboter sicher sei.
Interessant ist dann auch die Betrachtung für Wartung / Instandhaltung. Stichwort: Sicherer Zustimmschalter.

Die Frage mit dem Zustimmschalter und der Betriebsartenwahl auf Seiten der Robotersteuerung ist bei mir soeben auch hochgekommen, wortwörtlich ;).

@Tommi
Habt Ihr die C-Norm für Industrieroboter bei euren Anwendungen in der Risikobeurteilung und der Konofrmitätserklärung überhaupt noch aufgeführt?
 
Wir haben einen Betriebsartenwahlschalter und auch einen Zustimmschalter (von Fa. Faude) implementiert und sowohl
in der Risikobeurteilung als auch in der Konformitätserklärung die C-Norm erwähnt.

Danke für die Infos Tommi.

Werde es jetzt auch so machen wie Ihr und die C-Norm weiter aufführen, wobei ich in der Sistema-Berechnung unter dem Punkt Dokumentation bei "Kategorie" immer auf die Abschnitte aus:

DIN EN ISO 10218-2:2012
5.2 Sicherheitsbezogene Leistungsfähigkeit des Steuerungssystems (Hardware/Software)
5.2.1 Allgemeines
5.2.3 Andere Leistungskriterien der Steuerung

verweise, wie von "Safety" empfohlen, danke dafür, und entsprechende Argumente aufführe, weshalb ich es für ausreichend halte ein Kategorie 2 System einzusetzen.
Ich Verweise dann weiter auf die Herstellerinformationen von Universal Robots und berufe mich darauf, dass bisher kein Fall bekannt ist, in dem die Sicherheitsfunktionen der Robotersteuerung versagt hätten (Erfahrungswerte)...mehr kann ich jetzt eh nicht machen.

Vielen Dank nochmal.
 
Hallo,

in der EN 13482, persönliche Assistenzroboter, wird bei solchen Robotern, deren Kraft grösser ist
als die des Menschen, für Haltfunktionen ein PLd gefordert. Kein Wort von Kat.3.
Und so ein Exoskelett für die Hüfte kann einen ggfs. bei Fehlfunktion auch in die "Hexenschussstellung"
zwingen.

Mal sehen, wie die nächste EN 10218 aussieht, ob Kat.3 da noch gefordert ist...:confused:;)
 
Zuletzt bearbeitet:
Zurück
Oben