Drucktaster im Tippbetrieb (ISO 13849)

[Basti_1610]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo zusammen,

jetzt haben wir ein langes Pfingstwochenende und mir gehen einige Fragen nicht aus dem Kopf.
Vielleicht könntet Ihr mir weiterhelfen?

Als Neuling für Risikobeurteilungen möchte gerne über die zwei Schließer eines Drucktasters (Rafi Rama 22) zweikanalig auf die Sicherheits-SPS gehen um einen sicheren Fahrbefehl in PL_d zu generieren.
Wenn ich die Konstellation in SISTEMA eintrage, wird ein PL_d erreicht.

Nun verwirrt mich der IFA Report zu der DIN EN ISO 13849 auf Seite 263 bei "D.2.5.6 Drucktaster". Dort heisst es:

"Für höhere Risiken (PL c oder d) sind Befehlsgeräte nur nach DIN EN 60947-5-1 nicht ausreichend, da diese wegen des möglichen Öffnungsversagens nur Kategorie B entsprechen. Hier können alternativ „sichere“ Drucktaster, beispielsweise zwei- stufige Zustimmungstaster nach GS-ET-22, verwendet werden."

Habe ich etwas übersehen? Wäre der verwendete Drucktaster überhaupt hiervon betroffen?
Der B10 Wert liegt bei 650.000 Zyklen.
An jeder Bedienstete ist ein NOT-Halt angebracht welcher die gefahrbringende Bewegung zusätzlich stoppen könnte.

Vielen Dank für Eure Zeit.

 

[Tommi]

Moin Basti und willkommen im Forum,

tja, laut Norm kann man mit Katagorie B und Zweikanaligkeit PLd erreichen.
Die Ausführungen des IFA kannte ich bis eben auch noch nicht.
Ist es denn eine Start-Funktion oder eine Zustimmfunktion.
Zustimmfunktion heisst Verfahren bei geöffneter Schutztür z.B. mit reduzierter Geschwindigkeit.
Dann benötigst Du sogar einen dreistufigen Zustimmschalter.
Start heisst vom Bedienpult aus-, aus einem sicheren Bereich. Dann brauchst Du noch nicht mal
Redundanz.

 

[Basti_1610]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo Tommi,
Vielen Dank!

beruhigend zu wissen das auch anderen nicht alle Ausführungen des IFA bekannt sind.

Es wäre eine Zustimmfunktion.
Da an dieser Bedienstation kein weiterer Platz ist, möchte die Konstruktion einen separaten Zustimmtaster einsparen.
Man wäre an der Bedienstation im Arbeitsbereich vor gefahbringenden Bewegungen sicher, da sich diese fest an der Maschine (Ortsgebunden) befindet. Es geht hierbei nicht um eine tragbare bzw. mobile Bedienstation.
In der Sicherheits-SPS würde ich eine steigende Flanke berücksichtigen um den Fahrbefehl frei zu geben. Zusätzlich könnte man noch eine Zeitüberwachung verwenden um dem Fahrbefehl wieder zwangsläufig zu löschen.

 

[Tommi]

Deine Risikobeurteilung hört sich plausibel an. Der Tastendruck muss den Bediener aber
schon an den Ort binden, wenn ich das richtig verstanden habe, also der Taster muss
während der Bewegung gedrückt gehalten werden.

 

[Elektriko]

Hallo Basti, hast Du diese Norm schon gelesen?:

DIN EN ISO 13851:2019-11
Sicherheit von Maschinen - Zweihandschaltungen

Gruß

 

[DeltaMikeAir]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo Basti, hast Du diese Norm schon gelesen?:

DIN EN ISO 13851:2019-11
Sicherheit von Maschinen - Zweihandschaltungen

Er möchte ja keine Zweihandschaltung:

Es wäre eine Zustimmfunktion.
Da an dieser Bedienstation kein weiterer Platz ist, möchte die Konstruktion einen separaten Zustimmtaster einsparen.

sondern einen einfachen, mehrstufigen Zustimmtaster.

 

[Elektriko]

Er möchte ja keine Zweihandschaltung:

Mein Fehler, Danke

 

[Basti_1610]

Vielen Dank für Euer Feedback!

Der IFA Report sagt ja:
"Für höhere Risiken (PL c oder d) sind Befehlsgeräte nur nach DIN EN 60947-5-1 nicht ausreichend...."

Dieses "nur" verstehe ich für den Fall, dass der Fahrbefehl direkt auf einen Antrieb geht.
Im vorliegenden Fall geht der Fahrbefehl jedoch erst in die Sicherheits-SPS.
Ich würde gerne den Taster mit PL d in SISTEMA belassen, da es sich ja nicht nur um den Taster handelt sondern:

das Befehlsgerät ist Ortsgebunden und nicht im Gefahrenbereich,
die Fahrbewegung endet beim Loslassen (min. Betätigungskraft sind 5N) oder
durch Zwangslöschung nach einer bestimmten Zeit oder Strecke.
Kontrolle der steigenden Flanke für den Fahrbefehl in der Sicherheits-SPS,

Rede ich mir das ganze jetzt passend oder wäre das für Euch auch so nachvollziehbar?

 

[Elektriko]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ich sehe es richtig ( plus: Gefahrenbereich muss sichtbar sein)

 

[Basti_1610]

Ich sehe es richtig ( plus: Gefahrbereich muss sichtbar sein)

ist gegeben, der Gefahrenbereich ist sichtbar.

 

[Blockmove]

das Befehlsgerät ist Ortsgebunden und nicht im Gefahrenbereich,
die Fahrbewegung endet beim Loslassen (min. Betätigungskraft sind 5N) oder
durch Zwangslöschung nach einer bestimmten Zeit oder Strecke.
Kontrolle der steigenden Flanke für den Fahrbefehl in der Sicherheits-SPS,

Rede ich mir das ganze jetzt passend oder wäre das für Euch auch so nachvollziehbar?

Was ich mal bei einer Maschine vor zig Jahren in der Hinsicht gesehen habe, war folgender Ablauf:

1. Taster drücken (max. 0,x s)
2. Taster loslasen (innerhalb 0,x s)
3. Taster erneut drücken (innerhalb 0,x s)
4. Bewegung startet

Also ähnlich wie Automatik-Start mit Anlaufwanrung.

War mit einem normalen Taster und einer 2-farbigen Anzeige umgesetzt.
Hat man sich nicht an den Ablauf gehalten, war die Bewegung für 30s gesperrt.

So ist auf der Taster auf jeden Fall komplett vor Auslösen der Bewegung überwacht.
Wie man sowas allerdings in die Sistemabringt ... keine Anhnung

 

[SPSAlex83]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo zusammen,

jetzt haben wir ein langes Pfingstwochenende und mir gehen einige Fragen nicht aus dem Kopf.
Vielleicht könntet Ihr mir weiterhelfen?

Als Neuling für Risikobeurteilungen möchte gerne über die zwei Schließer eines Drucktasters (Rafi Rama 22) zweikanalig auf die Sicherheits-SPS gehen um einen sicheren Fahrbefehl in PL_d zu generieren.
Wenn ich die Konstellation in SISTEMA eintrage, wird ein PL_d erreicht.

Nun verwirrt mich der IFA Report zu der DIN EN ISO 13849 auf Seite 263 bei "D.2.5.6 Drucktaster". Dort heisst es:

"Für höhere Risiken (PL c oder d) sind Befehlsgeräte nur nach DIN EN 60947-5-1 nicht ausreichend, da diese wegen des möglichen Öffnungsversagens nur Kategorie B entsprechen. Hier können alternativ „sichere“ Drucktaster, beispielsweise zwei- stufige Zustimmungstaster nach GS-ET-22, verwendet werden."

Habe ich etwas übersehen? Wäre der verwendete Drucktaster überhaupt hiervon betroffen?
Der B10 Wert liegt bei 650.000 Zyklen.
An jeder Bedienstete ist ein NOT-Halt angebracht welcher die gefahrbringende Bewegung zusätzlich stoppen könnte.

Vielen Dank für Eure Zeit.

Moin Basti,

ja das Thema mit den Schließerkontakten ist speziell und kann einiges an Zeit kosten. Das verwirrende ist, dass es so viele Anlagen gibt, bei denen gefährliche Aktionen nur mit Drucktaster realisiert sind. Das liegt aber schlicht daran, dass viele Masch. Bauer einfach keine Ahnung haben was das Thema Sicherheit angeht. Also ich orientiere mich nicht mehr unbedingt daran, was andere mit ihren Maschinen machen.
Nun aber zum Thema:

Ein PLr von d ist schon mal ne Hausnummer. PLd kann man schon mal nicht allein mit bewährten Bauteilen erreichen. Das geht nur bis maximal PLc.
Eine einkanalige Struktur rein mit bewährten Bauteilen ist also raus. Und selbst wenn du nur PLc erreichen müsstest, ein Schließer-Kontakt ist eben nie ein bewährtes Bauteil. Warum? Nun das liegt in der Natur der Sache bzw. in der Physik der Sache. Ein Öffner Kontakt (i.d.R. Zwangsöffnend) wird mit der menschlichen Kraft auf jeden Fall geöffnet. (Hier legt die Norm fest, wie diese Kontakte zu realisieren sind. Also Aufbau und Kraftaufwand zum Öffnen etc. EN60947-5-1). Der sichere Zustand ist die unterbrochene Energiezufuhr und diesen Zustand bekommt man beim Öffner immer hin. Der Schließer ist komplett anders aufgebaut. Der sichere Zustand ist eben auch wieder der geöffnete Kontakt, allerdings wird diese Öffnung des Kontakts mit einer Feder hergestellt, auf die man sich verlassen muss. Verklebt der Kontakt, dann reicht die Federkraft ev. nicht mehr aus und das Ding bleibt hängen.
Etwas verwirrend sind die Aussagen zu Drucktastern im IFA Report schon. Auch in den Anhängen der Norm könnte man versucht sein zu glauben, man kann einen Fehlerausschluss für das "nicht-Öffnen" von Kontakten zulassen. Es steht nämlich nicht explizit dabei, dass es sich dabei immer um Öffner handelt. Wer die 60947-5-1 kenn, der stellt fest, dass in der ges. Norm praktisch immer nur die Öffnerkontakte behandelt werden. Anhang K, auf den in der Norm oder im IFA Report immer gerne verwiesen wird, behandelt ebenfalls nur die Anforderungen an Öffnerkontakte. Wenn man eine Weile darüber nachdenkt, ist das auch nachvollziehbar. Beim Öffner kann ich den sicheren Zustand immer herstellen, beim Schließer muss ich mich auf eine Feder verlassen um den sicheren Zustand zu erreichen und das reicht den Normern eben nicht. Die Diskussion zum Thema bewährte Federn und so spare ich mir an der Stelle mal.
Leider braucht man nun aber den Schließer, wenn man eine Aktion ausführen will. Da du PLd erreichen musst, bleiben dir nur 2 Möglichkeiten
1. 2 Kanalig, wobei ein Kanal ein Testkanal ist (der bei PLd auf jeden Fall auch abschalten muss)
2. 2 Kanalig, wobei jeder Kanal für sich entsprechend freischaltet und einzelne Fehler erkannt werden.
Ich persönlich gehe wie folgt an das Thema:
Ich frage mich, ob eine Ortsbindung der Hände des Bedieners im Prozess möglich ist. Falls der Bediener nicht unbedingt eine Hand für etwas anderes braucht, verwende ich immer eine 2-hand Bedienung. Hier liegt der Vorteil daran, dass die Hände gar nicht erst in die Nähe einer Gefahr kommen und 2. Dass mir die F-CPU oder ein passendes Modul bereits alle Werkzeuge an die Hand gibt, diese Schaltung korrekt umzusetzen.
Ist aber der Einhand Betrieb notwendig, so würde ich ebenfalls einen Taster mit 2 Kontakten verwenden, dann aber mit einem Öffner und weiterer indirekter Überwachung, um einen Fehler mitzubekommen. Beachte: Die Ansteuerung selbst (zB. Sollwert) für die Gefahrbringende Bewegung und die Überwachung dürften nicht aus einer normalen CPU kommen. Wenn du die F-CPU nimmst, dann sind diese beiden Aufgaben sauber getrennt.
Ich denke du kannst auf bei PLd deine Anforderungen erreichen, wenn
1. Der Bediener den eigentlichen Gefahrenbereich im Prozess und anderen Betriebsarten (Wartung etc.) nie erreichen muss.
2. Du die Sicherheitsfunktion Tippbetrieb (Also nur Fahren wenn gewollt und mit Rückstellung beim Loslassen) umsetzt
3. Keine 2. Bedienstelle
4. Vollen Einblick in die Gefahrenstelle.

Neben der 2-Hand Schaltung gibt es oft die Verwendung von 3-stufigen Schaltelementen. Hier ist am Ende aber auch nur der Schließer zum Fahren und beim Durchdrücken ein Öffner Kontakt drin. (zB. Fußschalter). In meinen Augen ist in deiner Anwendung der normale Taster in Umsetzung von Kat. 2 oder 3 durchaus machbar. Einen Not-Halt solltest du in der Nähe haben. (ggf. noch prüfen, ob es spezielle Anforderungen einer Klasse C Norm gibt)

 

[SPSAlex83]

tja, laut Norm kann man mit Katagorie B und Zweikanaligkeit PLd erreichen.

Das ist sicher ungünstig ausgedrückt von dir, oder?
Kategorie B (die niedrigste Struktur) behandelt lediglich die grundlegenden Sicherheitsprinzipien. Hier kann man max. PLb erreichen
Zwei-Kanaligkeit erreicht man erst ab Kat. 2, wobei es sich hier um einen reinen Testkanal handelt, der nicht unbedingt selbst abschalten muss.

 

[SPSAlex83]

"Für höhere Risiken (PL c oder d) sind Befehlsgeräte nur nach DIN EN 60947-5-1 nicht ausreichend, da diese wegen des möglichen Öffnungsversagens nur Kategorie B entsprechen. Hier können alternativ „sichere“ Drucktaster, beispielsweise zwei- stufige Zustimmungstaster nach GS-ET-22, verwendet werden."

Um nochmal hierauf genauer einzugehen. Die beiden Seiten im IFA Report sind auch in meinen Augen absolut verwirrend!
Erst Regel, dann Ausnahme, dann wieder Regel, wieder eine Ausnahme usw usw. Am Ende ist man maximal verwirrt und keinen Schritt weiter.

Am Ende ist es so:
Bei fast jeder Schaltung braucht man gewisse Anforderungen, wie zB. den Schutz vor Kurzschluss der Kontakte, um ein automatisches Anlaufen zu verhindern. Diesen Schutz erfüllt der Drucktaster mit der 60947-5-1. Der Schalter entspricht dann zwar den Anforderungen an Kat B.
Bringt aber im Grunde nichts, denn der Schließer ist eben nie bewährt und es müssen immer zusätzliche Maßnahmen ergriffen werden. Deswegen sagt der Report, dass die 60947-5-1 alleine nicht ausreicht. Das Öffnungsversagen bleibt leider bestehen.
Nun gibt es verschiedene Möglichkeiten, je nach Anwendung:
Entweder 2-Hand Bedienung oder 3-stufiger Zustimmtaster oder normaler Taster (mit Schließer) aber dann zusätzlich ein Not-Halt in unmittelbarer Nähe.
Das ist der Grund, warum fast überall (wo die Maschinenbauer wissen was sie tun) ein 2. Öffnerkontakt neben dem Schließer vorhanden ist, damit diese sich gegenseitig überwachen können.

Eine gefährliche Sache ist, wenn man einen Schließer verwenden will und diesen als bewährt annimmt, nur weil auf einem Schließer-Kontakt draufsteht : IEC60947-5-1.

 

[Basti_1610]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo Alex,

Vielen Dank für Deine sehr ausführliche Stellungnahme.
Das hilft mir sehr weiter.
Ich denke es wird noch einmal ein Meeting mit der Konstruktion geben bei dem ich das ganze erläutern werde.

Dankeschön!

 

[marcusscholle]

Entweder 2-Hand Bedienung oder 3-stufiger Zustimmtaster oder normaler Taster (mit Schließer) aber dann zusätzlich ein Not-Halt in unmittelbarer Nähe.
Das ist der Grund, warum fast überall (wo die Maschinenbauer wissen was sie tun) ein 2. Öffnerkontakt neben dem Schließer vorhanden ist, damit diese sich gegenseitig überwachen können.

Kann ich so nur unterstützen.

Als Ergänzung für SISTEMA: Bei Verwendung einer Zweihandbedienung bitte daran denken, dass die Sicherheitsfunktion bereits dann versagt, wenn ein Taster versagt (dann ist es ja keine Zweihand mehr). Somit kommen hier bei einer Kategorie 3 oder 4 jeweils ein Schaltelement jedes Tasters in einen Kanal.

Zudem zum Zustimmtaster: Die gibt es auch für Panel-Einbau, habe ich in der Vergangenheit auch schon genutzt: Z.B. die werten ZSG von den Kollegen von Euchner: https://www.euchner.de/de-de/produkte/zustimmtaster/einbau-zustimmtaster-zsg-zse-und-zxe/

Vorsicht sollte man allerdings auch hier walten lassen: Ich habe erst letztens wieder ein Zustimmtaster-Datenblatt bekommen, bei dem die Zustimmstellung (Wechsel von Grund- auf Mittelstellung) vom Hersteller auf PLc begrenzt wird und nur die Panikfunktion (Durchdrücken) PLd erreichen kann.

 

[s_kraut]

Aus aktuellem Anlass ein Bild was mir der Kollege aus der Nachbarabteilung hat zukommen lassen.

Begehung.


Drum ist der Tipp vom Blockmove sehr gut, dass man das Zeit- und Schaltverhalten des Tasters überwachen soll.

Wie man das im Sistema oder TST abbildet, auch keine Ahnung - vermutlich über Fehlerausschluss oder Diagnosedeckungsgrad.

 

[marcusscholle]

Zuviel Werbung?
-> Hier kostenlos registrieren

Drum ist der Tipp vom Blockmove sehr gut, dass man das Zeit- und Schaltverhalten des Tasters überwachen soll.

Wie man das im Sistema oder TST abbildet, auch keine Ahnung - vermutlich über Fehlerausschluss oder Diagnosedeckungsgrad.

Im Diagnosedeckungsgrad des Subsystems Zustimmtaster ("Teilsystem" ab kommender 2023er-Edition der 13849-1) würde ich das abbilden.
Ob man hierbei wirklich zeitliches Verhalten betrachten muss, sei mal dahingestellt.

Bei gezeigten Zustimmtaster wundert mich im Übrigen ehrlich gesagt, dass die Manipulation (bei zweikanaliger Abfrage mit 500ms, zumindest wenn zus. 0-Signal nach Fehler erforderlich ist) zuverlässig funktioniert. Die Dinger waren einer der wenigen Einrichtungen, die wir bewusst nicht an der Klemme auf Zweikanaligkeit überwacht hatten. Gab immer Bediener, die hier Diskrepanzfehler hinbekommen haben^^

 

[s_kraut]

Im Diagnosedeckungsgrad des Subsystems Zustimmtaster ("Teilsystem" ab kommender 2023er-Edition der 13849-1) würde ich das abbilden.

Die liegt mir noch nicht vor...bzw. nur als Entwurf.

Ob man hierbei wirklich zeitliches Verhalten betrachten muss, sei mal dahingestellt.

Es ist ein intelligenter Ansatz wie ich finde.

Bei gezeigten Zustimmtaster wundert mich im Übrigen ehrlich gesagt, dass die Manipulation (bei zweikanaliger Abfrage mit 500ms, zumindest wenn zus. 0-Signal nach Fehler erforderlich ist) zuverlässig funktioniert. Die Dinger waren einer der wenigen Einrichtungen, die wir bewusst nicht an der Klemme auf Zweikanaligkeit überwacht hatten. Gab immer Bediener, die hier Diskrepanzfehler hinbekommen haben^^

Wie gesagt nicht meine Abteilung. Man ist da noch in der Untersuchung.

Aber prinzipiell starten manche Sicherheitsschaltgeräte frisch durch wenn man die Manipulation durchführt wenn der Hauptschalter einmal durch 0 geht.

 

[Blockmove]

Das Thema Manipulation ist sowohl bei Zustimmschaltern als auch bei Zweihand ein Thema.
Deshalb ja auch die Idee von @Basti_1610 und mir mit positiven Flanken und zeitlicher Überwachung.
Funktionell ist damit sicherlich PLd kein Problem. Das Einleiten der Bewegung und die Dauer der Bewegung werden überwacht. Dadurch liegt das Sicherheitsniveau deutlich über dem Niveau der einzelnen Taster. Eigentlich ist es möglich alle eventuellen Fehler der Taster durch die Sicherheits-SPS zu erkennen. Das lässt sich ja auch in der Sicherheitsfunktion beschreiben, aber wie bildet man sowas konkret in der Sistema ab damit man auch da auf PLd kommt?