-> Hier kostenlos registrieren
Was passiert wenn V1 wegen eines Defekts hängt? Das merkst du dann erst wenn es auf das Ventil ankommt, also wenn V2 schon versagt hat?
EN 13849 / Kat. 3 - Einfehlersicherheit, bei dem der redundante Kanal nur im Fehlerfall benutzt wird
- Ersteller formulator
- Erstellt am
-> Hier kostenlos registrieren
Hast Du daran gedacht, ob der Speicher eventuell auch "Schaden" anrichten könnte?
Er ist zwar nicht gross wird aber auf 190bar aufgeladen, das könnte ein Problem sein.
Das Ventil zum Ablassen in die Tankleitung wird mit V2 mitgeschalten ist aber nicht überwacht?
Den Ablassvorgang des Speichers würdest Du direkt durch ein defektes V2 schicken solange bis auch V1 Richtung Tank öffnet.
Ich würde mit einem zweiten redundanten Sicherheitsventil direkt in Reihe an V2 besser schlafen
Er ist zwar nicht gross wird aber auf 190bar aufgeladen, das könnte ein Problem sein.
Das Ventil zum Ablassen in die Tankleitung wird mit V2 mitgeschalten ist aber nicht überwacht?
Den Ablassvorgang des Speichers würdest Du direkt durch ein defektes V2 schicken solange bis auch V1 Richtung Tank öffnet.
Ich würde mit einem zweiten redundanten Sicherheitsventil direkt in Reihe an V2 besser schlafen
- Beiträge
- 11.647
- Reaktionspunkte
- 3.892
-> Hier kostenlos registrieren
Wird auch bei uns so gehandhabt.Ich würde mit einem zweiten redundanten Sicherheitsventil direkt in Reihe an V2 besser schlafen
Bei der Lösung gibt‘s auch dann keine Probleme mit PL und Sistema.
Stimmt, der Akku puffert zwar deinen Peak (der ja nur störend ist) aber stellt gewisser Weise selbst eine Gefahr dar als Energiespeicher...
Wäre ja wie Strom trennen und nen 10Farad Kondensator in der Leitung haben..
V1 würde ich trotz Backup was nicht schaltet immer mit überwachen. Zumindest, dass man ein Hängen von K1 V1 im Prozess mitbekommt.
In wie weit man über ein fertiges Modul zB. auch Flanken auswerten kann weiß ich nicht.
Wäre ja wie Strom trennen und nen 10Farad Kondensator in der Leitung haben..
V1 würde ich trotz Backup was nicht schaltet immer mit überwachen. Zumindest, dass man ein Hängen von K1 V1 im Prozess mitbekommt.
In wie weit man über ein fertiges Modul zB. auch Flanken auswerten kann weiß ich nicht.
OP
formulator
Level-2
- Beiträge
- 71
- Reaktionspunkte
- 4
Im Normalfall, d. h. es liegen keine Funktionsfehler vor, deaktiviere ich ja nur V2 beim Öffnen der Schutzeinrichtung. Der Versorgungsdruck liegt dann ja bis Eingang V2 an.
Im Fehlerfall, und zwar in jedem, wird der Speicher auch "quasi" mit einer 2-kanaligkeit entlastet: Zum einen über der Sicherheits- und Absperrblock und zum anderen über V1. Somit ist die Gefährdung durch den Druckspeicher auch eliminiert. Zum anderen wird hier auch ein niedrigerer Performancelevel herauskommen, da der Öl Inhalt eines 10l Speicher sehr begrenzt ist.
OP
formulator
Level-2
- Beiträge
- 71
- Reaktionspunkte
- 4
-> Hier kostenlos registrieren
Stimmt, aber ist dieses Risiko nicht Teil der Kategorie 3 Beschreibung: "Ein einzelner Fehler in einem der Teile darf nicht zum Verlust der Sicherheitsfunktion führen. Wenn immer in angemessener Weise durchführbar, muss ein einzelner Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt werden."
Wenn das V2 durch einen Fehler ausfällt, dann sollte ja V1 für die sichere Abschaltung ausreichend sein. Nur wenn V1 unerkannt auch fehlerhaft würde dies zu einem Verlust der Sicherheitsfunktion führen. Nochmals die Frage: Ist dieses Verhalten nicht akzeptabel für Kategorie 3?
Wenn ich V1 auch noch mit einer Stellungsüberwachung ausstatte, dann würde ich ja wirklich alle Fehler erkennen und wäre eigentlich schon bei Kategorie 4. Oder sehe ich das falsch?
Ich sehe das auch so. Manchmal neigt man dazu (und die Denke ist eigentlich gut im Sinne der Sicherheit) jeden Möglichen Fehler zu hinterfragen.
"Was ist eigentlich wenn..:" Die Frage ob du auf all das reagieren musst ist ja Sache des PLs.
Wenn du mit ein wenig Aufwand alles Testen kannst und jeden Fehler mitbekommst, dadurch automatisch in Kat 4 fällst, ja dann seh ich da kein Problem.
Ist am Ende doch nur ne wirtschaftliche Frage. Wenn PLe Kat 4 nichts kostet, dann setz ich das um, auch wenn ich nur PLb brauche.
Du siehst das aber richtig. Du hast ein PLd. Das erreichst du mit Kat 3 und da sind Ausfälle zugelassen.
Du kannst bei hohem DC sogar PLe erreichen.
Ich persönlich tendiere, wenn wirtschaftlich vertretbar, eher zu mehr Sicherheit als am Limit zu leben und in Erklärungsnöte zu kommen.
Diskussionspotential besteht immer bei so schwammigen Aussagen wie "wenn in angemessener Weise durchführbare Fehlererkennung..." Tja was heißt das jetzt? Entscheidet das am Ende der Richter?
Meine Meinung ist, dass die Stellungsüberwachung eine wirtschaftlich tragbare und einfach durchführbare Option ist und durchaus in Erwägung gezogen werden kann.
Daher würde ich, sofern möglich im Prozess auch V1/K1 funktionell überwachen. Ist ja auch eine zulässige Option, Fehler über den Prozess mitzubekommen.
Auch das Verwenden eines 2. V2 wäre denkbar aber nur, wenn beide überwacht werden, sonst hast du ja eine "dumme" Redundanz.
Dann verschiebt sich die 2-kanaligkeit wieder nach V2/ V2.2
"Was ist eigentlich wenn..:" Die Frage ob du auf all das reagieren musst ist ja Sache des PLs.
Wenn du mit ein wenig Aufwand alles Testen kannst und jeden Fehler mitbekommst, dadurch automatisch in Kat 4 fällst, ja dann seh ich da kein Problem.
Ist am Ende doch nur ne wirtschaftliche Frage. Wenn PLe Kat 4 nichts kostet, dann setz ich das um, auch wenn ich nur PLb brauche.
Du siehst das aber richtig. Du hast ein PLd. Das erreichst du mit Kat 3 und da sind Ausfälle zugelassen.
Du kannst bei hohem DC sogar PLe erreichen.
Ich persönlich tendiere, wenn wirtschaftlich vertretbar, eher zu mehr Sicherheit als am Limit zu leben und in Erklärungsnöte zu kommen.
Diskussionspotential besteht immer bei so schwammigen Aussagen wie "wenn in angemessener Weise durchführbare Fehlererkennung..." Tja was heißt das jetzt? Entscheidet das am Ende der Richter?
Meine Meinung ist, dass die Stellungsüberwachung eine wirtschaftlich tragbare und einfach durchführbare Option ist und durchaus in Erwägung gezogen werden kann.
Daher würde ich, sofern möglich im Prozess auch V1/K1 funktionell überwachen. Ist ja auch eine zulässige Option, Fehler über den Prozess mitzubekommen.
Auch das Verwenden eines 2. V2 wäre denkbar aber nur, wenn beide überwacht werden, sonst hast du ja eine "dumme" Redundanz.
Dann verschiebt sich die 2-kanaligkeit wieder nach V2/ V2.2
OP
formulator
Level-2
- Beiträge
- 71
- Reaktionspunkte
- 4
Deine Antwort spiegelt genau meine Meinung wieder. Wenn möglich und vertretbar lieber auf Nummer sicher gehen.
Aber wozu gibt es denn die unterschiedlichen Performance Level und Kategorien überhaupt? Es ist ja jedes Mal eine Abwägung zwischen Sicherheit auf der einen Seite und Wirtschaftlichkeit auf der der anderen. Schon die Bestimmung eines PLr ist ja nicht scharf bestimmbar, so dass es nur schwarz oder weiß gibt. Es findet auch hier ein Abwägen statt. Und dieses Abwägen findet seine Fortsetzung in der Wahl der Mittel bei der Umsetzung des PLr in Kategorien und Komponenten. und zum Schluß muss das ganze noch in Sistema darstellbar sein.
Was ich damit sagen will ist, dass der gesamte Prozess zum Erreichen eines gewissen Sicherheitsniveaus aus Entscheidungen besteht, die eigentlich immer auch genau anders getroffen und begründet werden können. Am Ende steht eine erreichte Sicherheit, die aufgrund dieser Unsicherheiten und dem Abwägen mit dem gesunden Menschenverstand, die oft auf der "sehr" sicheren Seite endet.
Aber genug philosophiert.
Eine zusätzliche Stellungsüberwachung und Auswertung auf V1 würde dazu führen, dass jeder Fehler erkannt wird. Und damit sehr sicher ist.
Vielen Dank für eure Beiträge zu meiner Frage
Aber wozu gibt es denn die unterschiedlichen Performance Level und Kategorien überhaupt? Es ist ja jedes Mal eine Abwägung zwischen Sicherheit auf der einen Seite und Wirtschaftlichkeit auf der der anderen. Schon die Bestimmung eines PLr ist ja nicht scharf bestimmbar, so dass es nur schwarz oder weiß gibt. Es findet auch hier ein Abwägen statt. Und dieses Abwägen findet seine Fortsetzung in der Wahl der Mittel bei der Umsetzung des PLr in Kategorien und Komponenten. und zum Schluß muss das ganze noch in Sistema darstellbar sein.
Was ich damit sagen will ist, dass der gesamte Prozess zum Erreichen eines gewissen Sicherheitsniveaus aus Entscheidungen besteht, die eigentlich immer auch genau anders getroffen und begründet werden können. Am Ende steht eine erreichte Sicherheit, die aufgrund dieser Unsicherheiten und dem Abwägen mit dem gesunden Menschenverstand, die oft auf der "sehr" sicheren Seite endet.
Aber genug philosophiert.
Eine zusätzliche Stellungsüberwachung und Auswertung auf V1 würde dazu führen, dass jeder Fehler erkannt wird. Und damit sehr sicher ist.
Vielen Dank für eure Beiträge zu meiner Frage
-> Hier kostenlos registrieren
Absolut richtig. Der gesamte Prozess ist kein Gesetz sondern nur ein genormtes Hilfsmittel. Du hast all die Dinge nach bestem Wissen und Gewissen umgesetzt und Sistema wird ein gutes Ergebnis ausspucken.
Am Ende ist es immer das gleiche: Es gibt zwei Lager
1. Gnadenlose Optimisten
2. Gnadenlose Pessimisten (Optimisten mit Erfahrung)
Das erste Lager fühlt sich sicher, egal wie wenig unternommen wurde. Auch wenn es gar keine Sicherheit gibt. (Das sind die Kollegen die mit Argumenten kommen wie :"Fahrrad fahren ist auch gefährlich"
Das zweite Lager sind die, die sich stets unsicher fühlen, egal wieviel Sicherheit drinsteckt und am liebsten PLz umsetzen würden und selbst dann noch zweifeln ob sie genug getan haben.
Ob und wann man richtig liegt, wird im Zweifel erst vor Gericht entschieden. Ich persönlich möchte da wenig Angriffsfläche bieten (zähle eher zu Lager 2).
Bei der Auslegung solcher Sicherheitsfunktionen schreibe ich meine kompletten Gedankengänge und Umsetzungen auf. Somit lässt sich immer nachvollziehen (Zusätzlich zu Sistema und Co), warum und wieso ich mich für oder gegen gewisse Dinge entschieden habe.
Wenn ich das PLr erreicht habe und sauber erläutern kann, warum die Schaltung so ist wie sie ist, kann ich sehr gut schlafen.
Am Ende ist es immer das gleiche: Es gibt zwei Lager
1. Gnadenlose Optimisten
2. Gnadenlose Pessimisten (Optimisten mit Erfahrung)
Das erste Lager fühlt sich sicher, egal wie wenig unternommen wurde. Auch wenn es gar keine Sicherheit gibt. (Das sind die Kollegen die mit Argumenten kommen wie :"Fahrrad fahren ist auch gefährlich"
Das zweite Lager sind die, die sich stets unsicher fühlen, egal wieviel Sicherheit drinsteckt und am liebsten PLz umsetzen würden und selbst dann noch zweifeln ob sie genug getan haben.
Ob und wann man richtig liegt, wird im Zweifel erst vor Gericht entschieden. Ich persönlich möchte da wenig Angriffsfläche bieten (zähle eher zu Lager 2).
Bei der Auslegung solcher Sicherheitsfunktionen schreibe ich meine kompletten Gedankengänge und Umsetzungen auf. Somit lässt sich immer nachvollziehen (Zusätzlich zu Sistema und Co), warum und wieso ich mich für oder gegen gewisse Dinge entschieden habe.
Wenn ich das PLr erreicht habe und sauber erläutern kann, warum die Schaltung so ist wie sie ist, kann ich sehr gut schlafen.