TIA Erstellung Sicherheitsprogramm

franzone

Level-1
Beiträge
13
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo,

ich schreibe das erste Mal ein Sicherheitsprogramm und bin zur Zeit leider Einzelkämpfer, daher die Frage an euch.

Ich habe zwar schon das Handbuch zu distributed safety überflogen, aber keine Antwort zu folgender Frage gefunden:

Wie gehe ich vor, wenn ich einen Antrieb sicherheitsgerichtet abschalten möchte?

Wenn ich das richtig verstanden habe, könnte ich einen einfachen Motorbaustein verwenden und die sicherheitsgerichteten Ein- und Ausgänge verschalten. Wenn ich jetzt aber den gleichen Antrieb aus technologischen Gründen mit nicht sicherheitsgerichteten Signalen abschalten möchte, mache ich was? Rufe den gleichen Motorbaustein im normalen Programm auf und verschalte sicherheitsgerichtete und nicht sicherheitsgerichtete Signale? Was passiert wenn sich aus irgendeinem Grunde die Befehle widersprechen, z.B. dadurch, dass ich vergessen habe eine Abschaltbedingung aus dem sicherheitsprogramm im normalen Prpgramm "nachzuziehen", sprich ist das Sicherheitsprogramm "mächtiger" und setzt den Ausgang trotzdem auf False?

Würde mich über eine kurze Erklärung, vielen Dank schon mal.

Achso hier die Rahmenbedingungen:

TIA V14 update 2
Step 7 Safety V14
S7 315 F CPU
SCL ist als Programmiersprache nicht zugelassen


Grüße Franz
 
Die Safety Funktionen des Antriebs sind fast alle überwachender Natur (zumindest beim SINAMICS).
D.h. Du musst im Standardprogramm die normale Reaktion programmieren und kannst das mit Hilfe der Safetyfunktionen überwachen, dass es klappt.
Bei der sicheren Geschwindigkeit (SLS. Safe Limited Speed)) überwacht der Umrichter, dass die Drehzahl nicht den definierten Wert überschreitet, wenn die Funktion aktiviert ist. Deshalb senkt er die Drehzahl aber nicht von alleine ab.
Wird eine Verletzung der Sicherheit erkannt (z.B. die Drehzahl liegt über der parametrierten SLS Grenze) schaltet sich der Umrichter ab.

Die einzige Funktion die nicht überwachend ist, ist STO (Safe Torque Off) das sperrt sofort die Ausgangsimpulse, und wirkt wie ein Schütz vorm Motor.
Alle anderen Safety Funktionen enden am Ende im STO, wenn Sie auslösen, evtl. wird vorher noch kontrolliert heruntergefahren.
Z.B. wenn SLS verletzt wird, wird ein SS 1 oder SS2 (Safe Stopp) ausgelöst. Wenn der Antrieb nicht in der parametrierten Zeit den Stillstand erreicht wird STO ausgelöst.
Wobei ich mir jetzt nicht ganz sicher bin, dass SLS einen SS1 oder SS2 auslöst oder doch gleich STO)

Wegen Safety ist das Ganze so realisiert, dass mit log1 die Safety Funktion inaktiv ist und mit log 0 die Funktion aktiviert wird (-> Drahtbruch führt nicht zum Verlust der Sicherheit).
Du kannst die Safety Signale über PROFIBUS oder PROFINET (PROFIsafe, beim SINAMICS einfach zusätzlich ein Tel 30 oder Tel 900 hinzufügen) oder per Klemmleiste zum Umrichter übertragen.
Wenn die die Klemmleiste nimmst, solltest Du ggf. die Hell- /Dunkeltest der SPS abstellen, sonst geht der Antrieb in Einschaltsperre, wenn er gerade in diesem Moment die Eingänge liest.

Die Safety Funktionen sind gegenüber den Standardfunktionen dominant. Solange z.B. STO aktiv ist, kannst Du mit dem Umrichter kein Moment im Motor aufbauen. (Die Last
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Moin Moin und wünsche frohe Ostern gehabt zu haben. Wow, Danke Miami für die ausführliche Antwort. Leider waren meine Angaben offenbar etwas zu unspezifisch, daher hier etwas genauer, sorry. Es ist alles viel einfacher aufgebau ... kein FU, kein geregelter Antrieb. Sicherheitstechnisch abzuschalten sind ein (Federkraft rückstellendes) Ventil, eine Spannungsquelle und eine Blende. Die Gefahrenquelle ist ein Laser, dessen (nicht sichtbares) Licht im Gefahrenfall sicher abgeschaltet bzw. abgeschirmt werden muss. Ich habe hier: Motorbaustein im Forum einen einfachen Motorbaustein mit Laufzeitüberwachung, welchen ich dafür verwendenn möchte, gefunden.Nun gibt es für den Baustein auch eine Funktion, welche einen Motorschutz berücksichtigt. Diesen Eingang wollte ich für die Abschaltung benutzen. Also Not-Aus, Verriegelungen usw. Wenn ich dich richtig verstanden habe, kann ich den Baustein für den Eintrichtungsantrieb im Standardprogramm aufrufen und die Laufzeitüberwachung projektieren. Grundsätzlich gilt das wohl auch für die Sicherheitsfunktionen wie Not-Aus und Verriegelungen, nur das ich für die sicherheitsgerichteten Abschaltungen den Ausgang im Sicherheitsprogramm nochmal bzw. auch zuzücksetzen muss?
Also z.B.
im Standardprogramm (jetzt mal nur schematisch dargestellt und angenommen, daß "Not-Aus" mit 1 gut ist)
U "Start"
UN "Not-Aus" (sicherheitsgerichtete Eingänge, redundant + nicht sicherheitsgerichtete Eingänge z.B. Not-Aus Sigal von externer SPS via Profibus)
UN "Verriegelung" (sicherheitsgerichtete Eingänge, redundant + nicht sicherheitsgerichtete Eingänge z.B. technologische Voraussetzungen )
= A 1.0
und im Sicherheitsprogramm
UN "Not-Aus" (sicherheitsgerichtete Eingänge, redundant)
UN "Verriegelung" (sicherheitsgerichtete Eingänge, redundant)
= A 1.0

Wenn nun eine Verriegelungsbedingung ausgelöst wurde und ich z.B. im Standardprogramm einen falschen Eingang benutzt habe (Tippfehler o.ä.), schaltet mir dann das Sicherheitsprogramm den Ausgang A1.0 auf jeden fall sicher auf "0"?

Gruß Franz
 
So weit ich das normale Safety kenne, verwendest man da eigene Ein- und Ausgänge. Deinem Motor würde man mit zwei Schützen (in Reihe, angesteuert von zwei F-DOs) abschalten, wenn die Sicherheitsfunktion auslöst.
Standard und Safety Programm laufen getrennt und teilen sich nur wenige notwendige Eingänge oder auch interne Signale.
In deinem Fall könnte es also so sein, dass die Schütze abfallen, wenn die Blende nicht innerhalb einer definierten Zeit zu ist.
Oder eine Schutztür ist über eine F-DO so lange verriegelt, bis sicher erkannt wurde, dass der Laser aus ist (wie immer Du das feststellst).

Wichtig ist, dass Du eine Sicherheitsanalyse machst (was kann passieren, was sind die Folgen) und dann daraus deine Maßnahmen ableitest.
Die brauchst Du eh für die Abnahme (egal ob du die selber machst oder jemand anderes)

Schau dir auch mal folgendes an: https://support.industry.siemens.com/cs/ww/de/view/109481791
 
Ich habe jetzt in V14 auch die Siemens Bausteine gefunden und verwendet. Insbesondere die Diskrepanzüberwachung und den EStop. Ein Abnahme durch TÜV o.ä. ist hier nicht geplant und eine formale Gefahrenanalyse und SIL Berechnung liegt auch nicht vor ... mir jedenfalls nicht. Ich habe darauf hingewiesen, das das u.U. notwendig sein könnte, aber ich bin hier halt nur der Knecht ... :D Ich schalte im Sicherheitsprogramm die entsprechenden Ausgänge gemäß Vorgabe und ziehe das im Standardprogramm nach. Den Motorbaustein verwende ich im Sicherheitsprogramm nicht. Aus meiner Sicht ist das Thema damit hier erst mal erledigt und die Frage beantwortet. Danke!!
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Achtung VORSICHT ! ! !

Das Sicherheitsprogramm heißt nicht grundlos so...

Hier gehts um Personenschäden bzw. um deren Vermeidung.
Im Schadensfall stehst DU vor dem Richter und mußt nachweisen das du alles mögliche getan hast. Unwissenheit schützt vor Strafe nicht!

BEVOR du eine sichereheitsgerichtete CPU in Verkehr bringst solltest du dir über dein tun im klaren sein !

Ein, "Das hab ich einfach mal so gemacht" reicht höchstens für eine Verurteilung...
 
Hallo NBerger,

Danke für den Hinweis, was würdest du mir empfehlen zu tun?

Der Laser wird bei Not-Aus bzw. offener Blende im Sicherheitsprogramm mit den Bausteinen EV1oo2DI und ESTOP1 über sicherheitsgerichtete DO stromlos geschaltet. Wir werden diese Funktionalität unter sicheren Bedingungen (spez. Schutzbrillen) testen. Der Auftraggeber hat viele Jahre Erfahrung im Umgang mit Lasern dieser Gefahrenklasse. Ich habe die Gefahrenfälle mit dem AG diskutiert und schriftlich darauf hingewiesen, daß eine entsprechende Gefahrenanalyse und die daraus folgenden Schutzmaßnahmen Betreibersache sind. Ich habe ebenfalls eine externe Abnahme z.B. durch den TÜV angeregt. Ehrlich gesagt weiß ich im Moment nicht, was ich noch tun kann/muss und was du konkret mit "Unwissenheit" meinst. Sofern du einen allgemeinen Hinweis geben wolltest, kann ich nur Danke sagen. Falls du aber einen ganz konkreten Verdacht hast, z.B. daß ich etwas wichtiges nicht beachtet habe, möchte ich dich dringend bitten es zu sagen.

Zu den rechtlichen Aspekten:
Es wäre mir neu, daß ich dem Richter meine Unschuld beweisen muss. Eigentlich ist das doch umgekehrt, oder gibt es hier spezielle Regelungen?
Die sicherheitsgerichtete CPU bringe ja nicht ich als Person, sondern der AG meiner Firma in Verkehr. Bisher bin ich davon ausgegangen, daß in diesem Fall eine Durchgriffshaftung auf mich, wenn überhaupt, nur bei nachgewiesenem Vorsatz (Alkohol, Drogen, geplante Schädigung o.ä.) möglich ist. Ist das falsch? Außerdem gibt es ja noch die Berufshaftpflicht meiner Firma, die Fahrlässigkeit meinerseits, sofern das der Fall sein sollte, abdecken sollte.

Gruß Franz
 
Wie schon beschrieben: Sicherheitsprogramm heißt nicht nur so.
Wegen der Frage du musst deine Unschuld bzw der Staatsanwalt dir deine Schuld beweisen.
Egal was wie geschieht, du musst nachweisen, dass du die fachliche Kompetenz hast solch ein Programm zu erstellen.
Auch musst du nachweisen wie welche Funktionen geprüft wurden.
Das heißt zuerst du musst eine Gefährdungsanalyse machen (lassen)
Dann musst du die Funktionen entwickeln und testen.
Danach musst du eine Abnahme machen was wie getetest wurde und dies genau dokumentieren.

Aber das lernt man in entsprechenden Schulungen und es gibt auch bei dem Lieferanten entsprechende Informationen und Vorlagen.

bike
 
Zurück
Oben