DC mit Standardbauteilen

safety_PL

Active member
Beiträge
32
Punkte Reaktionen
6
Zuviel Werbung?
->Hier kostenlos registrieren
Hallo zusammen,

ich hatte gerade eine Diskussion bezgl. einer Überwachung mit Standardbauteilen im Kategorie 3 System. Es gibt ein Ventil, welches von zwei Standardbauteilen überwacht werden soll um mit Kreuzvergleich/Plausibilisierung der Signale auf den DC 90% zu kommen.

Das erste Signal soll von einer CAN-Bus Ansteuerung kommen, die Rückgelesen wird und so Informationen über die Position des Ventils liefert. Hier gibt es keine Zertifizierung des Bauteils und es wird auch kein CAN Safe Protokoll verwendet.
Das zweite Signal soll von einem Standard-Drucksensor mit anaolgem Ausgang kommen, ebenfalls ohne Zertifizierung und die beiden Signale werden über die PLC miteinander verglichen und auf Plausibilität geprüft.

Soweit so gut. In der ISO 13849-2 gibt es ja auch ein Beispiel im Anhang E bei dem Sensoren für den DC verwendet werden ohne das die Sicherheitsprinzipien etc. eingehalten werden.
Wir sind uns jetzt aber etwas uneinig was die Software im CAN betrifft. Die Sensoren im Beispiel haben alle kein digitales Signal sondern sind analog bzw. haben einen festen Schaltpunkt.
Wie ist es denn jetzt aber wenn wir digitale Signale haben, müssen wir uns hier die Bestätigung einholen das die Software der CAN-Ansteuerung konform nach ISO 13849 programmiert wurde oder nicht? Oder ist es für eine DC-Überwachung egal wie die Software aussieht, solange es Angaben zu Fehlerzuständen/-reaktionen gibt?

Ich würde mich über Erfahrungsberichte oder konkrete Hinweise freuen wie wir hier vorgehen sollten.
 

SafetyRookie

Member
Beiträge
16
Punkte Reaktionen
1
Hallo Safety_pl,

nach ISO 13849-1:2015; 3.1.1 sicherheitsbezogenes Teil einer Steuerung Anmerkung 2: "Werden Überwachungssysteme zur Diagnose verwendet, werden sie wie SRP/CS behandelt."
Deshalb solltest du schon Druck- und Positionsschalter verwenden die Sicherheitsprinzipien der ISO 13849-2 erfüllen. Bei SMC oder Aventics sind die Diagnosebauteile nach grundlegenden Sicherheitsprinzipien validiert. Die Qualität der Teilnehmer ist hier wichtig, damit keine Informationen verloren gehen wenn ein einfaches Bauteil genommen wird.

CAN Bus ist meiner Meinung nach für so eine Sicherheitsanwendung nicht empfehlenswert, weil es nicht deterministisch ist also nicht geeignet für dynamische Überwachung wie in deinem Fall.
Telegramme kommen nicht in gleichen Zeitabständen an dem Master. Die Reaktionszeit erhöht sich und das kann dazu führen das ein Ventil in der Zeit schaltet und eventuell es zu einer gefahrbringenden Situation kommt.

Es empfiehlt sich auch die Bewertung der Diagnose in F-Teil der Programmierung durchführen zu lassen. Die Ergebenisse der Überwachung können somit nicht durch Standardsignale überschrieben werden.

Ich hoffe das war hilfreich.

Viele Grüße
 
Zuletzt bearbeitet:

Safety

Well-known member
Beiträge
2.006
Punkte Reaktionen
819
Zuviel Werbung?
->Hier kostenlos registrieren
Hallo, die Anmerkung in der Begriffsbestimmung 3.1.1. der DIN EN ISO 13849-1 ist für viele schwer zu verstehen bzw. gibt die Norm auch dazu nichts weiter an.
Zur Erklärung sehe Dir den IFA Report an:
https://www.dguv.de/ifa/publikationen/reports-download/reports-2017/ifa-report-2-2017/index.jsp
Abschnitt 6.2.14
Es werden die Basis-Anforderungen an Kategorie B gefordert man kann davon aber auch abweichen.
 
OP
S

safety_PL

Active member
Beiträge
32
Punkte Reaktionen
6
Danke für die Hinweise,

mit den Texten ist die Anmerkung dann auch etwas klarer. Dann verstehe ich aber umso mehr nicht warum in dem Beispiel E der Norm die Grundlegenden Sicherheitsprinzipien nicht eingehalten werden müssen. :confused:

09-03-_2020_07-52-18.jpg

Das beißt sich doch mit der vorigen Aussage der Norm, oder nicht?
 

s_kraut

Well-known member
Beiträge
695
Punkte Reaktionen
211
Ist jetzt schon eine Zeit her, aber ich war auch auf der Suche nach diesem Phantom Güte der Diagnoseeinrichtung.
@Safety fordert Kat b, bin ich dabei. Wenn was sicher sein soll, dann sollte man die grundlegenden Sicherheitsprinzipien einhalten.

Mein Leserbrief im Frühjahr an eine Fachzeitschrift mit der Kernfrage:

[...]Der Diagnosekanal muss dabei nicht in der gleichen Güte (SIL) ausgeführt sein, wie die eigentliche Sicherheitsfunktion. Leider habe ich über die Anforderungen an die Diagnosefunktionen bisher in den Normen recht wenig gefunden. Gibt es denn überhaupt formelle Anforderungen an deren Ausführung?[...]
wurde noch nicht veröffentlicht aber immerhin per Mail beantwortet:

Antwort Mail 1 ging kurz auf auf DIN EN 60204-1 und dann ausführlich über zwei Seiten und DIN EN 60947-5-1 (VDE 0660-200):2018-03, Anhang L ein. Fazit: Spiegelkontakte/Zwangsgeführte Kontakte/Hilfsschaltblöcke gehen als Diagnoseeinrichtung.

Kennen wir ja alle aus den Schaltungsbeispielen aus den Sicherheitshandbüchern...Öffnerkontakt beider Hauptschütze in Reihe geschaltet bilden den Diagnosekanal, es wird verriegelt dass wieder eingeschaltet werden kann, wenn einer der beiden Schütze kleben geblieben ist.

Hab dann nochmal nachgehakt dass die Rückmeldung von Schützen nur einen Teil aller Diagnoseeinrichtungen ausmacht und dass auch Feldgeräte, z.B. Kugelhähne Rückmeldekontakte haben können. Teils Namur, teils mechanische Wechslerkontakte, teils PNP....teils gar nichts. Indirekte Rückführung über Druckschalter/Durchflussmelder kann man auch aufbauen..

Antwort Mail 2 meinte dass auch nach Recherche keine näheren normativen Vorgaben zu finden seien und dass das die anwendungsspezifische Risikobewertung ergeben müsse.

Hier noch ein Link mit einer Untersuchung mit dem Thema "Durchführung einer Studie und Erstellung einer Methode zum Nachweis des "Safety Integrity Level (SIL)"; mitunter Ziel: Felddaten gewinnen.
 

s_kraut

Well-known member
Beiträge
695
Punkte Reaktionen
211
Zuviel Werbung?
->Hier kostenlos registrieren
Hallo, die Anmerkung in der Begriffsbestimmung 3.1.1. der DIN EN ISO 13849-1 ist für viele schwer zu verstehen bzw. gibt die Norm auch dazu nichts weiter an.
Zur Erklärung sehe Dir den IFA Report an:
https://www.dguv.de/ifa/publikationen/reports-download/reports-2017/ifa-report-2-2017/index.jsp
Abschnitt 6.2.14
Es werden die Basis-Anforderungen an Kategorie B gefordert man kann davon aber auch abweichen.
Bin mit dem Report noch nicht durch, aber
Systeme <= Kat 1 brauchen per Form keinen DC.
Systeme in Kat2 fordern, dass der MTTFd für die Diagnoseeinrichtung nicht schlechter als MTTFd/2 von der SF sein soll.
Für Kat >3 gibt es wieder keine explizite Forderung, aber der IFA-Report schlägt vor, dass man die Kat 2-Forderung als Richtschnur hernehmen kann.
 

Elektriko

Well-known member
Beiträge
358
Punkte Reaktionen
18
Hallo,
ich habe es noch nicht klar.... Müssen Überwachungssysteme zur Diagnose (Schütze Rückführkreis, Ventil Stellabfrage Sensoren) an F-SPS angechlossen werden, oder reicht mit Standards-SPS.
Dokumentation wäre es auch hilfreich.
Danke und Grüße
 

Elektriko

Well-known member
Beiträge
358
Punkte Reaktionen
18
Zuviel Werbung?
->Hier kostenlos registrieren
🤣Danke Dir.

Ja, gibt es auch ein Dokument von Siemens mit Schützen und den Rückführkreis an einer Standard SPS angeschlossen, aber in welcher Norm steht, dass die Überwachung bzw. Rückführkreis können an Standards-SPS angeschlossen werden, und trotzdem ein PLd/e bekommen? Ich habe es nicht gefunden

Viele Grüße
 

s_kraut

Well-known member
Beiträge
695
Punkte Reaktionen
211
Kann ich dir grad leider auch nicht sagen, aber ist eine leidige Diskussion.

Wahrscheinlich kann man mit FSPS ein deutlich höheren DC erreichen weil sie verschiedene Kabelfehler erkennen kann.

Mein Dafürhalten: es ist eine Diagnosefunktion und keine Sicherheitsfunktion.
 

Elektriko

Well-known member
Beiträge
358
Punkte Reaktionen
18
Normalerweise verkabeln wir diese Signalen trotzdem an F-SPS, aber manche Kunden möchten sie an Standard SPS verkabeln, weil sie trotzdem gleich PL erreichen.
In Sistema den DC-Wert ist gleich weil man kein Unterschied zwischen F-SPS oder Standard SPS macht (ich spreche nur über den DC), aber ja, muss wie du sagst sein, der DC muss sowieso höher sein.
Gruß
 
Zuletzt bearbeitet:

MasterOhh

Well-known member
Beiträge
1.582
Punkte Reaktionen
397
Zuviel Werbung?
->Hier kostenlos registrieren
Laut dem TwinSAFE Applikationshandbuch kann mit EDM Signalen auf Standard-SPS Eingängen ein DC von 99% erreicht werden, wenn alle Schaltflanken überwacht werden und die Testhäufigkeit höher als die Anforderungsrate ist. Wobei ich da auch immer das Gefühl habe, dass sich die Experten gerne mal die Werte einfach so aus den Hut ziehen. Es gibt in dem Beispiel natürlich keine Erläuterung warum eine Testrate von 10x Anforderungsrate aus einem DC 90% einen DC 99% macht.

Ich bin (Kraft meiner Wassersuppe) der Meinung, das die Wahrscheinlichkeit, dass ein elektrisch defekter Testeingang zufällig die richtige Signalfolge im zulässigen Zeitfenster liefert, und damit einen defekten Aktor maskiert, doch sehr sehr gering ist.
 

s_kraut

Well-known member
Beiträge
695
Punkte Reaktionen
211
Laut dem TwinSAFE Applikationshandbuch kann mit EDM Signalen auf Standard-SPS Eingängen ein DC von 99% erreicht werden, wenn alle Schaltflanken überwacht werden und die Testhäufigkeit höher als die Anforderungsrate ist. Wobei ich da auch immer das Gefühl habe, dass sich die Experten gerne mal die Werte einfach so aus den Hut ziehen. Es gibt in dem Beispiel natürlich keine Erläuterung warum eine Testrate von 10x Anforderungsrate aus einem DC 90% einen DC 99% macht.

Ich bin (Kraft meiner Wassersuppe) der Meinung, das die Wahrscheinlichkeit, dass ein elektrisch defekter Testeingang zufällig die richtige Signalfolge im zulässigen Zeitfenster liefert, und damit einen defekten Aktor maskiert, doch sehr sehr gering ist.
Ja gib ich dir Recht und da bist du nicht der Einzige.

Und andersrum gesagt: wenn 10 mal mehr Fehler erkannt werden, dann wird aus DC90 ein DC99. Reine Stochastik.

Abgesehen davon, sind wir jetzt schon recht nah bei den Lotto-Spielern.
Besser gescheit die Anforderung kennen und dazu passend ordentlich auslegen. Das ist schon mal die halbe Miete.
Alles besser als Wahrscheinlichkeiten wetten und hoffen!
 

Heinileini

Well-known member
Beiträge
5.191
Punkte Reaktionen
1.119
Wobei ich da auch immer das Gefühl habe, dass sich die Experten gerne mal die Werte einfach so aus den Hut ziehen.
Das wäre unseriös. Besser, man zieht eine Formel unbekannter Herkunft aus dem Hut und kann damit präzise den Unterschied berechnen.
Es gibt in dem Beispiel natürlich keine Erläuterung warum eine Testrate von 10x Anforderungsrate aus einem DC 90% einen DC 99% macht.
Der Divisor 10 bzw. der Faktor 1/10 springt einem hier ja förmlich ins Auge, so dass sich eigentlich niemand trauen dürfte, daran zu zweifeln!

90 = 10² - (√(1²) * √(10²)) / 1 und
99 = 10² - (√(1²) * √(10²)) / 10.
Oder hat da doch jemand rumgestochat ... ganz hastik? ;)
 

PeterK1981

Active member
Beiträge
39
Punkte Reaktionen
8
🤣Danke Dir.

Ja, gibt es auch ein Dokument von Siemens mit Schützen und den Rückführkreis an einer Standard SPS angeschlossen, aber in welcher Norm steht, dass die Überwachung bzw. Rückführkreis können an Standards-SPS angeschlossen werden, und trotzdem ein PLd/e bekommen? Ich habe es nicht gefunden

Viele Grüße
Es scheint tatsächlich in der Norm nicht so 100 Prozent festgelegt zu sein, bzw. es gibt hier einen Interpretationsspielraum.
Die allermeisten Kollegen gehen davon aus, dass der Rückführkreis auf eine Standard-SPS geführt werden kann. Im Bereich von UL (auch die wenden die ISO 13849-1 an) geht man davon aus, dass dies nicht zulässig ist.
Hat man also vor, für seine Anlage ein UL Listing zu bekommen, sollte die Rückführung auf eine sichere SPS gelegt werden.
 

marscho

Well-known member
Beiträge
53
Punkte Reaktionen
19
Zuviel Werbung?
->Hier kostenlos registrieren
Hat man also vor, für seine Anlage ein UL Listing zu bekommen, sollte die Rückführung auf eine sichere SPS gelegt werden.
Und genau sowas ist der Grund, warum ich in der Regel empfehle, Rückführkreise auf sichere Eingänge zu legen (ich rede jetzt mal von Einzelstückfertigung, bei kompletten Serienfertigungen mag der Anreiz hier größer sein). Was bringt mir die Einsparung, die ich an sicheren Eingängen habe, wenn bei jeder dritten Anlage die Programmierer beim Kunden sitzen und dann rumdiskutiert wird?

Nebenbei bemerkt, auch wenns albern klingt: Meiner Erfahrung nach machen viele Programmierer mit sicherheitsrelevanten Signalen auf Standard-Eingängen alles mögliche, aber oft nicht das, was sie sollen.

Ähnliches empfehle ich im Übrigen bei Quittiereinrichtungen, aus sehr ähnlichen Gründen.
 

Profilator

Well-known member
Beiträge
110
Punkte Reaktionen
13
Zum Thema Rückführung (in Kat 3 Systemen) auf Standard-SPS

Dazu habe ich auf einem Seminar, das von einem Mitarbeiter des IFA durchgeführt wurde, folgende Antwort erhalten:
Ja, das ist erlaubt.
Begründung: Kat 3 muß einfehlersicher sein, d.h. EIN Fehler darf nicht zum Ausfall der SIFU führen.
Szenario 1: Ein Rückführkreis versagt, dies wird nicht erkannt. Beide Abschaltpfade arbeiten weiter fehlerfrei.
Szenario 2: Ein Rückführkreis versagt, dies wird nicht erkannt. Plus ein Abschaltpfad versagt (der mit dem defekten Rückführkreis zusammenwirkende), Abschaltpfad 2 arbeiten weiter fehlerfrei.
Fazit: ein Fehler bei 1) und 2 Fehler bei 2) führen nicht zum Ausfall der SIFU.

Und er sagte auch, das sie beim Prüfen von SIFUS der Kat3 einen Fehler simulieren/herbeiführen. Wenn die SIFU dann noch abschaltet ist das ok. Es wird dann nicht noch zusätzlich ein zweiter Fehler erzeugt. Denn, siehe oben, die SIFU muß einem Fehler Standhalten, nicht mehreren.

MfG
 

s_kraut

Well-known member
Beiträge
695
Punkte Reaktionen
211
Zum Thema Rückführung (in Kat 3 Systemen) auf Standard-SPS

Dazu habe ich auf einem Seminar, das von einem Mitarbeiter des IFA durchgeführt wurde, folgende Antwort erhalten:
Ja, das ist erlaubt.
Begründung: Kat 3 muß einfehlersicher sein, d.h. EIN Fehler darf nicht zum Ausfall der SIFU führen.
Szenario 1: Ein Rückführkreis versagt, dies wird nicht erkannt. Beide Abschaltpfade arbeiten weiter fehlerfrei.
Szenario 2: Ein Rückführkreis versagt, dies wird nicht erkannt. Plus ein Abschaltpfad versagt (der mit dem defekten Rückführkreis zusammenwirkende), Abschaltpfad 2 arbeiten weiter fehlerfrei.
Fazit: ein Fehler bei 1) und 2 Fehler bei 2) führen nicht zum Ausfall der SIFU.

Und er sagte auch, das sie beim Prüfen von SIFUS der Kat3 einen Fehler simulieren/herbeiführen. Wenn die SIFU dann noch abschaltet ist das ok. Es wird dann nicht noch zusätzlich ein zweiter Fehler erzeugt. Denn, siehe oben, die SIFU muß einem Fehler Standhalten, nicht mehreren.

MfG
Ja, es wird oft propagiert dass zum Testen Fehler herbeigeführt werden sollen.

Mein Dagegenhalten: Die Schaltung und die Bauteile werden dadurch nicht besser wenn man sie fehlerhaft beschaltet.
Im dümmsten Fall bleibt eine Fehlbeschaltung bestehen.
Die Sicherheitsschaltgeräte durchlaufen zwangsläufig eine Fertigungsendprüfung und funktionieren genau so sie beschrieben.
Davon darf man ausgehen. Darum mein Dafürhalten: So einbauen wie im Handbuch beschrieben, Verdrahtung bis zum Sensor prüfen, alle Sensoren auslösen, Quittierfunktion prüfen, Verhalten bei Spannungswiederkehr prüfen um Gut- und Schlechtzustand.

Und dann geht das Ding. Jährlich wiederkehrend die Verschleissteile prüfen.

Durch Ab- An- Um-Verdrahtung werden die Kontaktelemente nicht besser!
 
Oben