Bedienfeld in Schutzzone

F

Fehlerbehandlung

Level-2
Beiträge
15
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Genossen.

ich möchte eine sicherheitstechnische Fragestellung mit euch teilen, die mich aktuell beschäftigt und bei der ich eure fachliche Einschätzung sehr schätzen würde.

Es handelt sich um eine automatisierte Prüf-Anlage, die vollständig in einem Überseecontainer untergebracht ist. Der Innenraum des Containers ist als Schutzzone zu klassifizieren, da an mehreren Stellen durch bewegte Maschinenteile potenzielle Quetsch- und Scherstellen bestehen. Der Einsatz von Schutzzäunen oder festen Abdeckungen zur Absicherung dieser Gefahrenstellen ist im Containerinnenraum entweder technisch nicht möglich oder wird vom Kunden ausdrücklich nicht gewünscht.

In unserer Steuerungssystematik ist es so vorgesehen, dass beim Unterbrechen des Schutzkreises sowohl die Versorgungsmedien als auch die aktive Betriebsart (z. B. Automatik) sofort abgeschaltet werden. Dies wäre also automatisch der Fall, wenn die Tür geöffnet wird. Eine erneute Aktivierung der Medien ist erst nach einer Quittierung möglich.

Daraus ergibt sich jedoch ein zentrales Problem:
Wenn der Bediener im Inneren des Containers die Medien einschaltet und den Automatikbetrieb startet, muss er zur anschließend den Container verlassen. 1.: Die Anlage läuft in der Automatik, obwohl sich noch eine Person im Schutzbereich befindet und 2.: Durch das Öffnen der Tür beim Verlassen wird der Schutzkreis unterbrochen – wodurch Medien und Betriebsart sofort wieder deaktiviert werden. Ein Automatikbetrieb ist damit faktisch nicht möglich.

Seitens des Kunden wurde vorgeschlagen, ein zusätzliches externes Bedienpanel neben der Zugangstür anzubringen, über das der Automatikbetrieb gestartet werden kann. Dies halte ich aus sicherheitstechnischer Sicht für kritisch, da damit das Risiko besteht, dass die Anlage von außen unbeabsichtigt oder unberechtigt gestartet wird, während sich noch eine Person im Schutzbereich befindet.

Um dieses Risiko zu minimieren, wurde diskutiert, dass der Start von außen nur dann zulässig sein soll, wenn zuvor ein bestimmter Taster im Inneren betätigt wurde – und zwar innerhalb eines definierten Zeitfensters. Damit verbunden ist die Anforderung, dass die Türüberwachung in dieser Zeitspanne sicherheitsgerichtet überbrückt wird, sodass der Bediener den Container verlassen kann, ohne den Schutzkreis auszulösen.

Diese Lösung wirft jedoch mehrere sicherheitstechnische Fragen auf:
  • Ist eine derart komplexe Logik mit zeitlich begrenzter Türüberbrückung normkonform und mit klassischen Sicherheitsrelais realisierbar (eine F-CPU ist nicht vorgesehen)?
  • Wie lässt sich sicherstellen, dass der innere Taster nicht zur dauerhaften Überbrückung missbraucht werden kann?
  • Was passiert, wenn der äußere Startbefehl ausbleibt – wird dann automatisch in einen sicheren Zustand zurückgekehrt?
Ich würde gerne von euch wissen, ob eine solche Sicherheitsfunktion grundsätzlich zulässig und technisch umsetzbar ist – speziell unter Verwendung von Sicherheitsrelais ohne F-CPU. Seht ihr möglicherweise konforme Alternative, die weniger risikobehaftet sind?

Viele Grüße
Fehlerbehandlung
 
Vielleicht bin ich gerade zu doof und übersehe was. Gerade aber nicht allzu viel Zeit um eine meiner ellenlangen Erklärungen zu schreiben, daher: Schonmal über ein Schlüsseltransfersystem nachgedacht? Schlüssel muss außen abgezogen werden, Anlage steht still, solange jemand drinnen ist (der Schlüssel ist mitzunehmen). Schlüssel muss außen wieder gesteckt werden, bevor (von außen) Automatik gestartet wird.

Normenreferenzen: ISO 14119:2024, Anhang K (Verriegelungseinrichtungen). Die neue Ausgabe hat hier einiges hinzu gepackt. Alternativ EN 528 (Hochregallager), vieles ist von dort getrieben an dieser Stelle.
Gerne auch die DGUV-Info im Anhang. Im Zweifel aber bitte die Norm lesen ;)

EDIT meint: ISO 13849-1:2023 beschreibt in 5.2.2.3 in informativer Art und Weise (BEISPIEL-Absatz) die Verfahrensweise mit dem Taster innen. Aber natürlich OHNE, dass in der Zwischenzeit die Sicherheitsfunktion "vorab" schonmal scharf geschalten wird.
 

Anhänge

Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
Fehlerbehandlung schrieb:
Seitens des Kunden wurde vorgeschlagen, ein zusätzliches externes Bedienpanel neben der Zugangstür anzubringen, über das der Automatikbetrieb gestartet werden kann. Dies halte ich aus sicherheitstechnischer Sicht für kritisch, da damit das Risiko besteht, dass die Anlage von außen unbeabsichtigt oder unberechtigt gestartet wird, während sich noch eine Person im Schutzbereich befindet.
Zum Vergrößern anklicken....
Diesen Fall könntest/solltest du durch eine Innenraum-Überwachung abfangen - da gibt es ja unterschiedliche Möglichkeiten (Laser , Trittmatten, ...)
 
Moin,
gibt es nur eine Betriebsart? Wenn ja: Zustimmtaster, der mit rein genommen werden kann und durch Betätigen bei geöffneter Schutztür den Schutzkreis Tür überbrückt.
Ansonsten: Hand-Betriebsart mit verringerter Geschwindigkeit.
Wer soll denn sonst die CE unterschreiben, wenn man mit teilweiser/zeitweiser Überbrückung fahren kann?
 
crosenk schrieb:
Moin,
gibt es nur eine Betriebsart? Wenn ja: Zustimmtaster, der mit rein genommen werden kann und durch Betätigen bei geöffneter Schutztür den Schutzkreis Tür überbrückt.
Zum Vergrößern anklicken....
Nein, es gibt Einrichten und Automatik. Beim Einrichten soll der Aufenthalt im Schutzbereich erlaubt sein bzw. ist aufgrund von kontrollierender begleitender Druckmessung notwendig.
Das Problem aus Risiko- und Logiksicht ist die Automatik.
Larry Laffer schrieb:
Diesen Fall könntest/solltest du durch eine Innenraum-Überwachung abfangen - da gibt es ja unterschiedliche Möglichkeiten (Laser , Trittmatten, ...)
Zum Vergrößern anklicken....
Leider zu teuer.

Der Vorschlag mit einem Schlüsseltransfersystem hat mich auf eine Idee gebracht, die ich gern mal zur Diskussion stellen möchte:
Der Bedienkasten außen beinhaltet einen Taster um den Ablauf zu starten, einen zum stoppen, einen Notaus und des Weiteren einen Schlüsselschalter zur Freigabe der äußeren Bedienelemente (außer Not-Aus). Das Hauptbedienfeld innerhalb der Schutzzone besitzt ebenfalls einen Schlüsselschalter, mit der gleichen Schließnummer.
Wenn der Schlüsselschalter außen aktiv ist, ist das Bedienfeld innen deaktivert. Somit ist auch kein Quitieren des Schutzbereichs oder anderer Fehler möglich, ebenso wie das Einschalten der Medien und damit auch das Starten einer Betriebsart nicht möglich wäre. Und das alles wäre in edem Fall notwendig um die Anlage nach dem Öffnen der Schutztür wieder in Gang zu setzen!
Zum Aktivieren des Haupt-Bedienfeldes innen, muss der Bediener den Schlüssel vom äußeren Schlüsselschalter abziehen und damit den Inneren betätigen. Damit ist das Haupt-Bedienfeld freigegeben, und die äußeren Taster deaktivert! Sollten alle beide Schlüsselschalter aktiviert sein ist gar keine Bedienung möglich!
Das Ausschleußen erfolgt über eine fehlersichere zeitlich limitierte Überbrückung, die durch die positive Flanke eines Tasters am Hauptbedienfeld gestartet wird. Durch die Flankenabfrage wird ausgeschlossen, dass durch dauerhaftes Drücken die Türüberwachung dauerhaft gebrückt werden kann! Da das ganze nicht mit einfachen Sicherheitsrelais realisierbar ist, wird das hier nur mit einer fehlersicheren (Klein-)Steuerung gehen!
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Nur das hier keine Missverständnisse entstehen - ein Schlüssel-Transfersystem ist ein spezielles System, was auch wieder sicher ist. Das kannst du aber nicht mit "normalen" Schlüsselschaltern abbilden. Falls dir das bekannt ist : okay ... leider lese ich deine Ausführung aber so als wenn du das Vorgeschlagene mit herkömmlichen Schlüsselschaltern umsetzen möchtest ...
 
Larry Laffer schrieb:
Nur das hier keine Missverständnisse entstehen - ein Schlüssel-Transfersystem ist ein spezielles System, was auch wieder sicher ist. Das kannst du aber nicht mit "normalen" Schlüsselschaltern abbilden.
Zum Vergrößern anklicken....

Volle Zustimmung. So ein STS ermöglicht schon nette Funktionen, die man rein elektrisch kaum abbilden kann.
Dold hat da ein hochmodulares System:
https://www.dold.com/produkte/sicherheitsschalter-zuhaltung-schluesseltransfer/
Von der rein mechanischen Lösungen für Raubtierkäfige im Zoo (kein Witz) bis hin zu rein elektrischen Lösungen ist da alles möglich.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Larry Laffer schrieb:
Nur das hier keine Missverständnisse entstehen - ein Schlüssel-Transfersystem ist ein spezielles System, was auch wieder sicher ist. Das kannst du aber nicht mit "normalen" Schlüsselschaltern abbilden. Falls dir das bekannt ist : okay ... leider lese ich deine Ausführung aber so als wenn du das Vorgeschlagene mit herkömmlichen Schlüsselschaltern umsetzen möchtest ...
Zum Vergrößern anklicken....
Nein nein, alles gut. :) Sorry wenn das falsch rüber gekommen ist - so war das nicht gemeint. Es liest sich wie ein Schlüsseltransfersystem, aber es soll lediglich dafür sorgen, dass die Anlage von außen nicht aus versehen gestartet werden kann, für den Fall, dass sich eine Person im Container befindet.
 
Fehlerbehandlung schrieb:
Nein nein, alles gut. :) Sorry wenn das falsch rüber gekommen ist - so war das nicht gemeint. Es liest sich wie ein Schlüsseltransfersystem, aber es soll lediglich dafür sorgen, dass die Anlage von außen nicht aus versehen gestartet werden kann, für den Fall, dass sich eine Person im Container befindet.
Zum Vergrößern anklicken....
Also meine unterschwellige Frage hast du im Grunde nicht beantwortet. Aber bitte denke an Folgendes : das Ganze ist keine Software-Spielerei sondern wir sprechen hier von SICHERHEIT für einen Bediener. Das muss man dann schon vernünftig angehen. Ich würde hier auch zu einer F-Steuerung tendieren. Irgendwie habe ich das Gefühl, dass du noch nicht wirklich die unterschwellige Problematik verstanden hast ...
 
Mir fällt da gerade noch etwas Anderes ein / auf :
im Beitrag 1 wird ja geschrieben, dass das Bediengerät im Container ist. Was kann man denn hier bedienen wenn nach Öffnen der Tür die Haupt-Energieträger abgeschaltet sind ? Oder ist es vielleicht so, dass der Bediener, nach Betreten der "Schutzzone" die Tür wieder hinter sich schließt und dadurch dann wieder alles aktiviert wird ? Wie gehst du dann mit den vorgenannten Scher- und Quetsch-Gefahren um ? Was verhindert einen Automatikbetrieb ? Was schützt überhaupt den Bediener vor irgendwelchen ggf. unbeabsichtigten Aktionen der Maschine ?

Irgendwie werde ich meinen Anfangsverdacht nicht los ... schon allein weil ja eine wie auch immer geartete Bereichs-Überwachung zu teuer ist ...
 
Kurze Info: Es wird nun doch auf eine F-CPU hinauslaufen.

Larry Laffer schrieb:
Mir fällt da gerade noch etwas Anderes ein / auf :
im Beitrag 1 wird ja geschrieben, dass das Bediengerät im Container ist. Was kann man denn hier bedienen wenn nach Öffnen der Tür die Haupt-Energieträger abgeschaltet sind ? Oder ist es vielleicht so, dass der Bediener, nach Betreten der "Schutzzone" die Tür wieder hinter sich schließt und dadurch dann wieder alles aktiviert wird ? Wie gehst du dann mit den vorgenannten Scher- und Quetsch-Gefahren um ?
Zum Vergrößern anklicken....
Es handelt sich um den Bedienstand der Maschine mit dem Hauptbedienfeld. Das Hauptbedienfeld umfasst die Taster Medien Ein/Aus, Betriebsartenwahlschalter Einrichten/Automatik, Betriebsart Start/Stop, Quitt, sowie das HMI. Nach dem Öffnen der besagten Tür und dadurch abgeschalteten Medien kann prinzipiell nichts bedient/verfahren werden. Der Bediener muss zunächst einen sicheren Zustand herstellen, den Fehler quittieren, die Medien einschalten und die Betriebsart starten.

Not-Aus ist global. Das Einrichten der Maschine erfolgt durch den Bediener über fehlersicher ausgewertete Taster im Hauptbedienfeld. Einer für Grundstellung, ein zweiter für Arbeitsstellung. Erst beim Drücken eines Tasters wird das Medium freigegeben. Sobald die Taste losgelassen wird, wird es wieder sicher abgeschaltet! Dadurch das sich das Bedienfeld im Container befindet ist der Bediener im Schutzbereich, jedoch weit genug von den Gefahrenstellen entfernt, sodass er nicht hineingreifen kann - laut Risikobewertung der Gesamtmaschine des Kunden zulässig. Während des Einrichtbetriebs soll die Zugangstür überwacht werden. Wird Sie geöffnet, fliegt der Schutzbereich raus und die Maschine muss neu angestartet werden.
Larry Laffer schrieb:
Was verhindert einen Automatikbetrieb ? Was schützt überhaupt den Bediener vor irgendwelchen ggf. unbeabsichtigten Aktionen der Maschine ?

Irgendwie werde ich meinen Anfangsverdacht nicht los ... schon allein weil ja eine wie auch immer geartete Bereichs-Überwachung zu teuer ist ...
Zum Vergrößern anklicken....
 

Anhänge

  • Safety.JPG
    Safety.JPG
    87,5 KB · Aufrufe: 38
Zuviel Werbung?
-> Hier kostenlos registrieren
Bei einer Safety-Schulung hat es ein Dozent mal schön auf Punkt gebracht:
"Zeiten sind böse und Oder sind ganz böse"
Ich würde hier wahrscheinlich mit einem Zustimmschalter arbeiten. Deine Lösung ist mir irgendwie "suspekt"
 
Zuletzt bearbeitet:
Blockmove schrieb:
Bei einer Safety-Schulung hat es ein Dozent mal schon auf Punkt gebracht:
"Zeiten sind böse und Oder sind ganz böse"
Ich würde hier wahrscheinlich mit einem Zustimmschalter arbeiten. Deine Lösung ist mir irgendwie "suspekt"
Zum Vergrößern anklicken....
Naja cool finde ich das mit der Zeit auch nicht, aber ich weiß nicht wie ich es sonst unter Maßgabe der Verhältnismäßigkeit lösen soll. Das Problem ist ja, dass der Schutzbereich rausfliegt sobald die Tür geöffnet wird - also auch wenn der Bediener raus geht und die Automatik von außen starten möchte.
Wie würde deine Lösung mit dem Zustimmschalter konkret aussehen?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
PN/DP schrieb:
Absichtlich soll da aber gestartet werden können?
Zum Vergrößern anklicken....
Nein, auch absichtlich nicht. Deswegen benötige ich eine Art Verriegelung bzw. Freigabe. Es soll vermieden werden, dass er innen quittiert, der Wahlschalter noch auf Automatik steht, er die Anlage scharf schaltet, dann aber nochmal an die Gefahrenstelle geht und währenddessen jemand von außen die Automatik startet.
 
DeltaMikeAir schrieb:
Alleine wegen dem Satz würde ich mir schon jemand anderen suchen, der den Sicherheitskreis projektiert.

Sorry aber meine Meinung.
Zum Vergrößern anklicken....
In meinem Bereich muss ich leider manchmal den Spagat finden zwischen dem wie es eigentlich am besten wäre und dem was möglich ist bzw. was der Kunde will. Noch schwieriger wirds, wenn der Kunde wie hier das CE für die Gesamtmaschine selbst macht und man selbst somit nur eine Anlagenteil liefert. Da möchte nämlich jeder am Tisch Recht haben.

Wie auch immer - statt eines zweiten nutzlosen Kommentars wäre ein konkreter Lösungsvorschlag an dieser Stelle deutlich hilfreicher. ;)
 
Fehlerbehandlung schrieb:
Es soll vermieden werden, dass er innen quittiert, der Wahlschalter noch auf Automatik steht, er die Anlage scharf schaltet, dann aber nochmal an die Gefahrenstelle geht und währenddessen jemand von außen die Automatik startet.
Zum Vergrößern anklicken....
Ein oder Zwei Sicherheitslichtgitter horizontal 200mm über dem Boden. Wenn 2 dann hintereinander als Nah-Feld und 2ter Bereich.
Oder Safety-Scanner

"Nah-Feld in Ordnung" anstelle des Timers im Safety-Programm.
 

Similar threads

Koch
Motoren absichern Hersteller oder Kunde
Antworten
8
Aufrufe
982
winnman
winnman
D
Erreichbares PL beim Abschalten eines Motors
2
Antworten
31
Aufrufe
6K
s_kraut
s_kraut
T
Performance Level c Kategorie 2
Antworten
12
Aufrufe
1K
s_kraut
s_kraut
A
TIA TIA V19 Schrittkette springt nicht in den nächsten Step.
Antworten
18
Aufrufe
2K
Andre1977
A
S
TIA FUP Zwangswechsel zweier Pumpen und Zeiterfassung.
5 6 7
Antworten
121
Aufrufe
7K
SPS-Sloth
S
Zurück
Oben