Wer trägt die Verantwortung?

V

Volt81

Level-1
Beiträge
9
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

ich habe ein kleines Problem und würde gerne mal eure Meinung dazu hören.

Seit kurzer Zeit übernehme ich neben den normalen Instandhaltungs-Aufgaben auch die Programmierung (kleinere Änderungen) unserer S7.
Letzte Woche wurde ich gebeten eine zusätzliche Verriegelung für unsere Anlage einzuprogramieren.

Damit ihr euch ein besseres Bild machen könnt beschreibe ich hier erstmal den ursprünglichen Zustand:

Beim Produzieren wird ein Bauteil langsam nach vorne geschoben. Ist der Prozess abgeschlossen muss der Antrieb wieder nach hinten bis auf 0 gefahren werden. Bisher war es so, dass verschiedene Anlagenteile eine Bestimmte Position haben müssen, damit diese beim Zurückfahren nicht miteinander kollidieren. Diese ganzen Einstellungen müssen vom Bediener vorgenommen und überwacht werden. Auch der Antrieb zum Zurückfahren musste kurz vor 0 mittels Potentiometer verlangsamt werden.

Um eine zusätzliche Sicherheit zu schaffen habe ich wie oben erwähnt eine Verriegelung einprogrammiert, die den Antrieb kurz vor 0 anhält und erst nach Bestätigung des Bedieners langsam weiterfahren lässt. Das soll den Zweck haben, dass die übrigen Maschinenteile nochmals kontrolliert werden um eine Kollision zu vermeiden.

Am Freitag habe ich das ganze dann programmiert, und auch mehrfach selber ausprobiert. Das Programm hat bis dahin einwandfrei funktioniert. Also habe ich es freigegeben und den Maschinenführern ausdrücklich gesagt sie sollen diese Funktion erst einmal beobachten und sich nicht allein darauf verlassen. (Man weiß ja nie ob sich nicht doch irgendwo ein Fehler eingeschlichen hat.)

Am nächsten Tag ist dann genau das passiert... Die Anlagenteile sind miteinander kollidiert.
Was ist passiert....
Der Bediener der Maschine hat die Anlagenteile nicht an ihre vorgeschriebenen Positionen gefahren und hat den Antrieb dann einfach unbeaufsichtigt zurückfahren lassen, in der Hoffnung das meine am Vortag programmierte Sicherung schon rechtzeitig abschalten wird.
Der Antrieb ist dann zwar langsamer geworden, hat allerdings nicht abgeschlatet.

Nun gibt es Leute die mir das Ganze in die Schuhe schieben möchten. Klar, meine Verriegelung hat nicht so funktioniert wie sie sollte, dafür stehe ich auch gerade.
Ich bin allerdings der Meinung, dass der Maschinenführer seine Aufsichtspflicht verletzt hat. Er hätte die Maschine trotz der Verriegelung nicht verlassen dürfen während die Anlage läuft. Es sollte ja schließlich keine Automatik sein die ohne Personal läuft, sondern lediglich eine zusätzliche "Kontrollmöglichkeit". Abgesehen davon hat er nicht mal die Anlagenteile in die vorgeschriebenen Positionen gefahren.

Was sagt ihr dazu?
Außerdem würde mich mal interessieren ob ich mich für solche Fälle durch eine Unterweisung (trotz Zusatzfunktion muss Maschine beaufsichtigt werden) absichern kann.

Ps: Der Fehler des Programms kam aus der Visualisierung (WINCC). Der Bestätigungs-Taster wurde nicht mehr zurückgesetzt.

Gruß
Volt81
 
Zuerst einmal: Herzlich willkommen hier im SPS-Forum!

Rechtlich wird man Dir wahrschinlich nichts anhängen können, wenn es darum geht.
"Moralisch" könnte man Dir anlasten, dass Du eine nicht zusätzlich abgesicherte Funktion durch die Visu kontrollieren lassen hast. Quittierungen, Freigaben etc. gehören als Taster ins Bedienpult, nicht als Schaltfläche auf einen Bildschirm. Für mich klingt das, als wäre die Hauptursache darin zu finden, dass Du den Freigabetaster als Software statt als Hardware ausgeführt hast.
Das wird tendenziell nicht reichen, um Dir die rechtliche Verantwortung dafür zu geben.
Da musst Du jetzt durch, auch solche Erfahrungen muss man sammeln.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hi Volt81,

solche Unterweisungen machen wir in unserer Firma ebenfalls. Diese werden dann von uns (Technik) nach der Einweisung dem Personal schriftlich gegeben und unterschrieben.
Damit ist dann aber nur geregelt wer falsch gehandelt hat. Der Schaden liegt, egal aus welcher Sicht betrachtet, auf Seiten der Firma. (und damit sitzen alle im selben Boot)
Es kommt dann wohl darauf an was die Geschäftsführung daraus macht.
Ist die Änderung abgesegnet gewesen und eine Einweisung hat nachweislich stattgefunden, dann wird man dich wohl nicht lynchen können.
Wie das rechtlich aussieht, das kann dir wohl nur ein Advokat sagen... ;-)
Rechtlich belangt werden kannst du bei Veränderungen der Sicherheit betreffend und bei grober Fahrlässigkeit auf jeden Fall !
Das sehe ich allerdings bei dem von dir beschriebenen Problem als nicht gegeben.

Gruß
Toki
 
Ich sehe das so :
Wenn eine für den Ablauf relevante Funktion nicht sauber funktioniert (oder könnte), egal ob HW-Taster oder Schaltfläche in der Visu, dann solltest du dies auch überwachen. Ganz generell würde ich sowieso immer im Programm überprüfen, ob ein Taster, den ich drücke, auch wieder losgelassen wurde - das gilt auch für Ini's.
Von daher : von mir keine Absolution.
 
Vielen Dank für eure Antworten.

Rechtlich werde ich keine Probleme bekommen. Ich habe auch bereits mit meinen Vorgesetzten darüber gesprochen. Die haben schon verständnis dafür... Es war jetzt wirklich eine Aneinanderreihung von Fehlern (nicht nur von meiner Seite) die dazu geführt haben das dieser "Unfall" passiert ist. Mir ist es nur wichtig solche Fehler in der Zukunft zu vermeiden. von daher bin ich wirklich für jede Antwort dankbar.

Ist es denn wirklich vorgeschrieben einen HW Taster für solche Funktionen zu verwenden?

Was genau meinst du mit überwachen?
Ich habe den entsprechenden Eingang jetzt über eine positive Flanke abgesichert. Das heißt ja, er hat jetzt einen "0"-Zwang.
Reicht das dann aus oder sollte ich das noch anders machen?


Gruß
Volt81
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Volt81 schrieb:
Ist es denn wirklich vorgeschrieben einen HW Taster für solche Funktionen zu verwenden?
Zum Vergrößern anklicken....
Nein, aber erfahrungsgemäß sinnvoll. Visu-Software sehe ich nicht als zuverlässig und würde ich deswegen auch keine Funktion steuern lassen, die mir evtl. die Anlage zu Klump fährt.
Volt81 schrieb:
Was genau meinst du mit überwachen?
Ich habe den entsprechenden Eingang jetzt über eine positive Flanke abgesichert. Das heißt ja, er hat jetzt einen "0"-Zwang.
Reicht das dann aus oder sollte ich das noch anders machen?
Zum Vergrößern anklicken....
Ich denke, er meinte genau das.
 
Nicht so ganz - aber fast.
Ich bin auch einer der Schrittketten-Päpste hier im Forum.
Wenn es bei mir einen Start eines Ablaufs gibt, der über eine Visu-Taste (oder HW-Taste) ausgelößt wird dann frage ich immer am Ende der Kette, bevor ich wieder in den Initialschritt reingehe, ab, ob die Taste wieder losgelassen wurde. Das gilt auch für manche Ventilfunktionen - da kann es auch ein Thema sein, nicht zu fragen, ob der Zylinder in Endlage 2 angekommen ist, sondern auch zusätzlich, ob er Endlage 1 verlassen hat. Das hat sich halt so eingespielt ;)

Darüber hinaus ist die Visu-SW und hier vor Allem WinCCFlexibel nicht immer verlässlich mit dem Wegnehmen irgendwelcher Bits, vor allem bei Schaltflächen. Auch läßt mir das gelegentlich notwendige "temporäre Dateien löschen", weil irgendwelche Zuweisungen auf einmal ganz wo anders landen und nach dem neu generieren ist wieder alles OK, immer wieder einen Schauer über den Rücken laufen.
 
Meine ganz persönliche Meinung zu dem Thema:

Wer hier nach Hardware schreit, den verstehe ich nicht recht. Ein Taster kann auch festhängen, macht für mich als keinen Unterschied zu einer Visu. Der Überwachungsaufwand ist der gleiche.

Was die Anlage angeht: Wenn der Bediener vorher aufpassen musste, und die Verantwortung komplett in seiner Hand lag,
dann kann er nicht davon ausgehen, dass nun alles sicher ist, vor allem nicht wenn er entsprechend eingewiesen wurde.
Ich finde hier liegt der Fehler komplett beim Bediener. Denn dieser ist für die Maschine in diesem Moment verantwortlich.

Klar war das SPS-Programm falsch, aber da dieses nicht die Aufgabe hatte die Anlage ohne Aufsicht zu fahren, und wenn man davon ausgehen muss, das ohne dieses Programm ein noch größerer Schaden entstanden wäre, kann man froh sein, dass diese Teilfunktion gegeben war.

Grüße

Marcel
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Der Fehler ist nach meiner Meinung früher geschehen.

Wenn an einer Maschine oder Anlage Änderungen gemacht werden soll / müssen, mache ich zuerst eine Ist_Bestandsaufnahme.
Wo ist welches Problem und was kann geändert werden, um die Funktionen sichere zu machen.
Dann die Änderung in das Konzept einbauen und auch Fehlbedienungen einplanen und entsprechend abfangen.

So gehe ich vor und habe damit wenig schlechte Erfahrungen gemacht.


bike
 
Den Satz "Bleib aber bitte nochmal in der Nähe des -Aus- Schalters, ich habe da was neues Ausprobiert" habe ich auch schon oft gesagt und die wenigsten Bediener bleiben dann wirklich da stehen. Ich weiss ja nicht was ihr da für Leute habt, aber manchmal sind das halt Ungelernte Leute die wenig technisches Wissen haben und meisten auch chronisch wenig Interesse an ihrer Arbeit haben. (Bei der Bezahlung kann man es ihnen nicht verübeln)
Machmal muss man selber quer durch die Halle sprinten, während der Bediener genüsslich zusieht wie sich die Maschine gerade selbst zerlegt..

Ich denke, dir fehlt es einfach an Erfahrung. Im Laufe der Jahre lernt man, welche Probleme auftreten können und kann kalkuliert diese Sachen beim Programmieren mit ein. Jeder hier aus dem Forum wird schon mal hier und da etwas "Bruch" produziert haben und das Gefühl kennen wenn man soetwas kleinlaut dem Cheff beichten muss. Aber solche Fehler macht man idr. nur einmal.

Das einzige was man dir Vorwerfen könnte, wäre das du keine Absprache mit dem Vorarbeiter getroffen hättest. Auf die Vorarbeiter müssen die Bediener hören.. auf das was die Elektriker erzählen nicht umbedingt. (Wobei es auch Firmen gibt wo der kleine Dienstweg problemlos funktioniert)
 
Bei dieser ganzen Thematik ist zuerst zu unterscheiden zwischen Personenschutz und Prozessschutz! Personenschutz hat die höchste Priorität und ist auch mit den entsprechenden Normern der Maschienenrichtline geregelt (u. a. EN ISO 13849). Wenn jetzt bei Deiner Anwendung der Personenschutz sichergestellt war (Sicherheitskeis und NOT-AUS-Kreis nach Gafahrenanalyse I.O.) , dann kann man den Prozessschutz betrachten.

Was passiert beim kollidieren? Entsteht ein Schaden? Hoher Schaden? Je nach dem sollte man geeignete Mittel und Wege finden und die Anlage gegen solche Fehler zu schützen. Taster aus der VISU oder Hardwaretaster, das kann Philosophie sein. Fakt: sicherheitsgerichtete Signale (z. B. NOT-AUS) müssen mit zwangsöffnenden Kontakten gemacht werden. Sowas geht natürlich nicht mit einer VISU!

Eine Andere Frage die man sich stellen sollte, ist ob bei Deinem Prozess es nicht besser wäre alle kollisionsgefährdeten Teile mit entsprechenden Sensoren abzufragen um eine Fehlbedienung des Maschinenführers zu vermeiden!

Und zu guter letzt: Programmfehler passieren! Nur je größer der Schaden sein kann, umso mehr sollte man in die Schutzfunktionen investieren!



Meine Erfahrung: Über 10 Jahre Entwicklung von Sondermaschinen viele mit Portaltechnik und "teuren (>5000€) Werkzeugen". Wenn's knallt wirds teuer!
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich finde eure ganze Diskussion hier sehr müssig.
Nach meiner Meinung ist es ein Programmfehler. Der Bediener der Maschine kann erwarten, dass das Programm korrekt funktioniert - auch dann, wenn es heißt "paß bitte vorsichtshalber ein bißchen auf ...".
Aber ich denke auch, dass der TE hier seine Erfahrungen gemacht hat, seine Fragen beantwortet bekommen hat und vielleicht beim nächsten Mal das Eine oder Andere anders macht. Ist es so nicht bei uns allen gelaufen ?

Gruß
Larry
 
Ich möchte mich noch einmal bei allen bedanken die hier ihre Meinungen und Ehrfahrungen gepostet haben.

In Zukunft werde ich solche Änderungen anders angehen. Neben ausführlichen Gesprächen mit den Vorgesezten und Bedienern werde ich auch offizielle Unterweisungen durchführen.
Und Taster ohne eine zuzätzliche Überwachung wird es bei mir definitiv auch nicht mehr geben...das war mir eine Lehre.

Gruß
Volt81
 
Und wenn du denkst: "Jetzt hab ich aber wirklich alles mögliche abgesichert." Dann finden die Bediener immernoch einen weg in eine unmögliche Position zu fahren, an der nix mehr geht. :D
 
Zuviel Werbung?
-> Hier kostenlos registrieren
flyingsee schrieb:
Und wenn du denkst: "Jetzt hab ich aber wirklich alles mögliche abgesichert." ...
Zum Vergrößern anklicken....
...und grübelst:
es könnte aber noch etwas unbekanntes passieren, DANN passiert es auch!
"beobachte mal wie sich die Anlage fahren lässt" sage ich persönlich nur zu MITarbeitern, nie zu (bald Feierabend-) Bedienern.

Ein Kind lernt schnell das Feuer zu scheuen!
Aber:
Menschen machen eben mal Fehler.
Vorgesetzte und Chefs sind auch nur Menschen!
 
Volt81 schrieb:
Es war jetzt wirklich eine Aneinanderreihung von Fehlern (nicht nur von meiner Seite) die dazu geführt haben das dieser "Unfall" passiert ist.
Zum Vergrößern anklicken....

Red`s dir nicht schöner.
Hast halt nen Fehler gemacht...shit happen
Schwamm drüber und Bier aufmachen. Beim nächsten mal machst du es besser.
 

Similar threads

O
Sonstiges Wie demontiere ich ein SM
Antworten
3
Aufrufe
595
PN/DP
PN/DP
D
Beckhoff - Geschwindigkeitsregelung (CSV) und Drehmomentregelung (CST)
Antworten
10
Aufrufe
2K
D.Schmidt
D
R
TIA Kombination STO/SLS/SOS mit Zutrittstüren
Antworten
4
Aufrufe
701
Rabi
R
A
TIA Positionierung Analog
Antworten
4
Aufrufe
1K
Maagic7
M
nade
Anlagenänderung, Sicherheit für Wartungsöffnung über einer Mühle
Antworten
17
Aufrufe
3K
nade
nade
Zurück
Oben