Sonstiges Not Aus Quittierung über HMI erlaubt?

M

mwissen

Level-1
Beiträge
111
Reaktionspunkte
2
Zuviel Werbung?
-> Hier kostenlos registrieren
Wir beschäftigen uns gerade mit der Frage, ob die Quittierung eines Notaus Schalters übers HMI erlaubt ist bzw. in welcher Vorschrift dies geregelt wird.

Es ist klar, dass die NotAus Abschaltung hardwaremäßig erfolgen muss (spezielle System ausgenommen). Aber darf die SPS oder das HMI nach der hardwaremäßigen Entriegelung das Quittiersignal geben, um die Anlage wieder zum Anlaufen zu bringen?

Vielen Dank für mögliche Antworten.
 
Ich bin der Meinung das JA.
Ich habe auch nirgends was gefunden wo drin steht das es ein Hardware Taster sein muss. Es mus halt was sein, was aktiv betätigt wird.
Das ist meiner Meinung nach ein Knopf am Panel oder ein Softbutton. Ich habe bei einigen Maschinen die ohne expliziten Reset Taster ausgeliefert wurden einen Softbutton eingebaut.
Der Restartet nach den gegangenen safety-Ereignissen meine Sicherheitsbausteine.
Es kommt halt immer auch auf den Kunden an, bzw. in welche Länder man das dann sendet. In bestimmten Ländern ist es vielleicht so geregelt, dass es ein Resettaster haben muss, Brasilien bspw.
Da müssen wir dann immer unbedingt ein extra NotAus mit Sicherheitsbaustein und ResetTaster liefern obwohl die Maschine schon mit elobau Sensoren und Sicherheitsauswertungen bestückt ist.

Generell würde ich also sagen, dass es auch immer auf das Lierfer-Land ankommt.
 
es gab von Siemens mal so eine Quittierfunktion für HMI. Innerhalb einer gewissen Zeit mussten 2 verschiedene Button gedrückt werden. Der erste schreib eine 6 in eine Variable der andere eine 9 (oder so ähnlich). Dann wurde erst eine Quittierung ausgelöst. Keine Ahnung ob es den noch gibt
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Lipperlandstern schrieb:
es gab von Siemens mal so eine Quittierfunktion für HMI. Innerhalb einer gewissen Zeit mussten 2 verschiedene Button gedrückt werden. Der erste schreib eine 6 in eine Variable der andere eine 9 (oder so ähnlich). Dann wurde erst eine Quittierung ausgelöst. Keine Ahnung ob es den noch gibt
Zum Vergrößern anklicken....

Das gibt es noch, allerdings wurde es eigentlich genutzt um zb F-Peripherie wieder einzugliedern.
Um ehrlich zu sein, um damit einen Not-Halt zu quittieren hätte ich ein schlechtes Gefühl.
 
Es gibt den "ACK_OP". der ist zertifiziert, und somit zulässig. Heute im TIA ist es 6 und eine beliebige Zahl. 6 und 9 war es, weil es 0110 und 1001 war, somit alle bits wechseln mussten.
 
Not-Aus Rückstellen per Software verstösst gegen einige Grundsätze.
Bricht man das ganze Sicherheitsgedöns mal auf ein paar ganz einfache Grundsäzte runter dann:

1. Rückstellen nur aus Positionen in der der Gefahrenbereich einsehbar ist. (HMI Schalter können defintiv auch über Fernwarung betätigt werden)
(Dies gilt immer, da eine Fernwartung nachgerüstet werden kann und man nicht erwarten kann, dass diejenigen die das tun, entsprechend Sicherheitstechnisch bewandert sind)

2. Sicherheitsfunktionen dürfen nich versehentlich bzw. druch Fehlfunktion von Software aufgehoben werden.

(D.h. handelt es sich um eine entsprechend zugelassene Steuerung und Software, dann dürfte man das unter Umständen evtl tun).
Es muss dann aber sichergestellt sein, dass an dem Ort, an dem die Sicherheitsfunktion aufgehoben werden kann, der Schutzbereich einsehbar ist.

Das dürften aber nur fest installierte Hardwareschalter leisten!
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Maagic7 schrieb:
Das dürften aber nur fest installierte Hardwareschalter leisten!
Zum Vergrößern anklicken....

Das steht aber nicht in der Maschinenrichtlinie und ist meines Erachtens nicht richtig. Die Quittierung geht auch nicht in die SISTEMA Betrachtung oder in das geforderte PL ein.
Eine zentrale Quittierung am Schaltschrank irgendwo in der Anlage ohne komplette Einsicht habe ich außerdem auch schon x-mal gesehen.
Unser Dienstleister bzgl. Sicherheitstechnik hat mir zu diesem Thema mal gesagt, das die Quittierung völlig egal ist (egal wo und egal ob sicher, nicht sicher oder via Software-Button)
Es darf halt keinen automatischen Wiederanlauf geben bzw kein automatischen Anziehen von irgendwelchen Hauptschützen.
Also quittieren ist unsicher kein Problem, die erneute Einschaltung muss sicher erfolgen.
 
ja das steht nicht expilzit in der Maschienrichtline, aber die BGs und Versicherungen sehen das oft wesentlich enger als die NORM!

Hab deswegen auch schon einige Diskussionen geführt.
Ich bin mir auch sicher, dass es nicht explizit verboten ist.
Explizit erlaubt ist es aber auch nicht.

nicht explizit erlaubt, bedeuted dass man für seine Lösung eine Risikoanlyse erstellen muss.
(Gängige Praxis nach Stand der Technik dürfte HMI-Quittierung auch nicht sein)


Ein Gerichtssachverständiger hat uns bei einer Schulung mal folgendes erklärt, wenn man irgendwelche Zweifel hat
ob das nach der Norm i.o. ist, dann denk dir ein Szenario aus, was passieren könnte ("die Praxis zeigt, dass alles was passieren kann
auch irgendwann mal passiert" . Dann stell dir vor du stehts deswegen als verantwortlicher Anlagenplaner mit vor Gericht.

======================================================================
folgendes Szenario:

Der Servicetechniker des Kunden hat Bereitschaft und wird wegen einer Störung angerufen.
Die Maschinenbediener haben den Not-Halt betätigt. Nach Anleitung des Servicetechnikers
beheben sie Fehler in der Maschine. Der Servicetechniker lässt Not-Aus entriegeln, und
startet die Maschine. Ali, der neu ist hat seine deutschen Kollegen nich verstanden und
krabbelt immer noch in der Maschine rum.
Der Servicetechniker quittiert über HMI-Fernwartung den Not-Halt und startet die Analge.
Ali wird druchgedreht! TOT oder Querschnittsgelähmt
======================================================================

Das geht vor Gericht, da sind wir uns einig.
Ich denke wir sind uns auch einig, dass sowas vielleicht etwas abgemildert irgendwann passieren
wird, wenn es die Möglichkeit der Fernquittierung gibt.
Spätestens dann wird es explizit verboten.

Von den Anwälten wird jetzt jemand gesucht, den man eine Mitschuld anhängen kann.

Der erste Anzatzpunkt, die Schuld möglichst von sich abzwenden ist defintiv
die Quittiermöglichkeit des Not-Halt über Fernwartung.

Ein guter Anwalt wird das mit seinem Sachverständigen mit Sicherheit für
sich ausnutzen.

Da brauchst du nen guten Anwalt und Sachverständigen um da wieder rauszukommen.
Wenn du keine schlüssige Riskonalyse für die HMI-Quittierung hast, bist du schon das Ofper.

Fehlen entsprechnde Warnhinweise in der Bedienungsanleitung und/oder in der Nähe des
Bedienpanels bist du wahrscheinlich ebenfalls dran!

Kannst du das evtl. alles noch vorweisen und dann ist dein
HMI-Quittiertaster nicht blau, hast du wahrscheinlich schon das nächste Problem.
Vielleicht war er ja mal blau, aber einer deiner Servicetechniker, den du bereits schon
wieder entlassen hast, weil er nichts taugt, hat den einfach in der Software grün gemacht,
da seiner Meinung nach Ein-Schalter immr grün sind!

========================================================================
EN 13849-1:2006
5.2.2 Manuelle Rückstellfunktion

Nach der Einleitung eines Stoppbefehls durch eine Schutzeinrichtung muss der Stoppzustand aufrechterhalten bleiben, bis eine manuelle Rückstelleinrichtung betätigt wird und der sichere Zustand für einen Wiederanlauf gegeben ist.

Die manuelle Rückstellfunktion:
- muss durch ein getrenntes, manuell zu bedienendes Gerät in dem SRP/CS bereit gestellt werden,
- darf nur dann erreicht werden, wenn alle Sicherheitsfunktionen und Schutzeinrichtungen funktionsfähig sind,
- darf selbst keine Bewegung oder Gefährdungssituation einleiten,
- muss eine beabsichtigte Handlung sein,
- muss der Steuerung ermöglichen, einen separaten Steuerbefehl anzunehmen,
- darf nur erfolgen durch das Loslassen des Antriebselementes in seine betätigten (Ein)Position.

==================================================================
Farbe des Quittiertasters

Betreffend Farbgebung des Quittiertasters:
EN 60204-1:2006
10.2 Drucktaster; Abs. 10.2.1 Farben;
Tabelle 2-Farbkodierung für Drucktasterbedienteile und ihre Bedeutung :
- Farbe BLAU, Zwingend
Bei einem Zustand betätigen, der eine zwingende Handlung erfordert, RÜCKSTELLFUNKTION
 
die DGUV, Berufgenossenschaft Holz Metall, hat sich bereits 2015 damit beschäftig.
Dort sind die Anforderungen an die Rückstellfunktion mal aufgearbeitet.
Speziell mit der Quittierung über HMI hat sich aber anscheinend noch niemand beschäftigt.


http://www.dguv.de/medien/fb-holzundmetall/publikationen-dokumente/infoblaetter/infobl_deutsch/067_rueckstellfunktion.pdf


===============================================================
Die manuelle Rückstellfunktion trägt nicht allein zur Risikoreduzierung bei.
Sie ist vielmehr immer im Zusammenhang mit einer Schutzeinrichtung als überwachte Startfunktion
zu sehen, so da ss für die manuelle Rückstellfunktion eine
Bewertung eines PL oder SIL nicht zwingend durchzuführen ist.
Die Anforderung der DIN EN ISO 13849 1 Kap. 5.2.2

„durch die manuelle Rückstellfunktion darf die erforderliche Sicherheit nicht gemindert werden“

kann durch die dynamische Flankenauswertung wie oben beschrieben erfüllt werden.
Die von der Europäischen Kommission verabschiedete Recommendation forUse (RfU (11.053 Rev.03)
bestätigt diesen Sachverhalt.
==================================================================


Ich denke allein der Satz „durch die manuelle Rückstellfunktion darf die erforderliche Sicherheit nicht gemindert werden“
reicht aus! Um eine HMI quittierung, welche über Fernwartung beätigt werden kann als nicht zulässig einzustufen.

Wie gesagt 100% sicher bin ich mir nicht!!!

Ich gehe aber davon aus, dass es nicht mehr recht lange dauern wird, bis dafür eine BG-Richtlinie rauskommt, und das
explizit untersagt wird. Ich gehe auch davon aus, dass dort festgestellt wird, dass das auch noch nie zulässig war!

Ich kann allen nur nochmal empfehlen.
Solange es keine Richtlinie gibt, wie ein HMI-Reset für Not-Halt korrekt ausgeführt werden muss - Finger weg davon!
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich seh es pragmatisch:
Wenn ich F-Peripherie mit dem HMI eingliedern darf, dann darf ich eine Rückstellfunktion damit machen.
Die Forderung nach:
Getrennten Gerät
Manipulationssicherheit
Neg. Flanke
Farbe
lassen sich alle mit dem HMI erfüllen,
Ich geh soweit, dass ich sogar sage, dass ich eine Rückstellfunktion über HMI sicherer gestallten kann als über einen normalen DI.

Gruß
Blockmove
 
@Maagic7
Wo wird denn eine Sicherheit gemindert durch eine nicht sicher ausgeführte Quittierfunktion?
Solange Schutzeinrichtungen nicht geschlossen sind oder alle Notaustaster herausgezogen wurden kann die unsichere Quittierfunktion machen was sie will, die Anlage wird nicht "scharf". Es kann doch erst quittiert werden, wenn die Sicherheit wieder hergestellt ist.
Und bei Deinem konstruierten Unfall ist ja wohl der dran schuld, der die Schutzabdeckungen geschlossen hat und die Sicherheitsschalter bzw. Notaustaster entriegelt hat obwohl noch eine Person in der Maschine steckte (wie konnte der da überhaupt reinkommen, und auch noch ungesehen?). Selbst ein Quittierknopf in einer "sicheren" Schaltung hätte den Unfall da nicht verhindert.

(meine Meinung)

Harald
 
Das ist eines dieser Themen wo ich, je mehr Safety-Leute ich befrage, desto mehr unterschiedliche Antworten ich bekomme.
Meiner Meinung nach sollte hier zuerst aber mal nach Sicherheitsfunktion/Schutzeinrichtung und ergänzender Schutzmaßnahme (Nothalt) unterschieden werden.

Die meisten Normen die in solchen Fällen zitiert werden betreffen immer Rückstellfunktionen für Sicherheitseinrichtungen, da fällt meiner Meinung nach der Nothalt aber nicht unbedingt darunter. Auch das von Maagic7 konstruierte Beispiel mit dem Kollegen Ali, wie schon PN/DP bemerkt, hat nicht viel mit Nothalt zu tun. Nothalt ist nicht da um Gefahrenaussetzung zu vermeiden/verhindern, insofern sollte ein Rücksetzen den guten Ali nie aktiv in Gefahr bringen können. Wenn doch, dann fehlt es an der Stelle an einer tatsächlichen Schutzeinrichtung oder der Gute hat die organisatorischen Maßnahmen nicht eingehalten, etc...

Insofen bin ich schon der Meinung dass der Nothalt zentral, auch von einem Panel, quittiert werden darf.
Bei Sicherheitsfunktionen bin ich anderer Meinung, dort muss die Gefahrenstelle einsehbar sein und Zentralquittierungen sollte man besser lassen.
Meine Meinung ist aber nicht unbedingt viel wert.

Wie seht ihr das im Bezug auf den Unterschied zwischen Nothalt und Sicherheitsfunktion/Schutzeinrichtung im Bezug auf die Rückstellfunktion?

PS: Der Einwand von Maagic mit dem Fernzugriff auf Panels ist gar nicht uninteressant...
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
Bezüglich des konstruierten Unfalls würde ich @harald zusimmen. Irgendwer muss ja dem Techniker am anderen Ende der Leitung das OK gegeben haben, ohne mündliche Rückversicherung würde der sicher nicht die Maschine wieder in Betrieb nehmen.

Bezüglich der Fernwartung: Kann man einen Hardwarebutton nicht ebenso manipulieren über Fernwartung? Ich hab davon noch keine Ahnung was alles so geht mittels Fernwartung.

Würde es in den Augen der Ablehnenden Bevölkerung einen Unterschied machen ob ich einen Softbutton programmiere oder einen der Displaybuttons benutze?

Edit: Bezüglich der Sicherheitsfunktion würde ich es so Betrachten ob man die Gefahrenstelle einsehen kann oder nicht. Bei kleinen übersichtlichen Anlagen wo ich vom Display aus sehen kann, dass alles OK ist, spricht meiner Meinung nach nichts gegen eine zentrale Wiedereingliederung/Rückstellung. Nur da wo ich es gar nicht einsehen kann, beispielsweise "um die Ecke" würde ich eine dezentrale Quittierung der Sicherheitsfunktion verwenden und am Schluss das NotHalt rücksetzen.
Aber ist das manipulationssicher?
Böses Beispiel: Ein Kollege kann den anderen gar nicht leiden und schließt unbemerkt die Sicherheitsfunktion während der andere eifrig arbeitet und quittiert diese dezentral. Ein anderer Kollege setzt dann diese Maschine wieder zentral in Betrieb.
Ich gebe zu, dass es sehr konstruiert ist, aber eine Manipulation wäre so auch möglich, wenn ich von dem Ort aus wo ich die Maschine wieder in Betrieb nehme die Sicherheitsfunktionen nicht einsehen kann.
 
Zuletzt bearbeitet:
Ich finde den konstruierten Fall auch nicht relevant für meine Arbeit. Um Reparaturen in der Anlage vorzunehmen muss sich auch der Ali an die 5 Sicherheitsregeln halten. Ein Notaus drücken ist kein Freifahrtschein um Service zu machen.
Und geht eine solche Gefahr von der Maschine aus, so sind diese in meinem Fall auch immer eingezäunt und der Schlüssel für den Zutritt ist mit dem Betriebsartenschalter-Schlüssel verlötet. Will also jemand in den Gefahrenbereich muss er den Betriebsartenschalter auf OFF drehen um den Schlüssel abzuziehen und diesen zum öffnen der Sicherheitstür mitnehmen und in seinem Interesse bei sich behalten.
Ich denke jeder hier ist sich bewusst, dass es keine hunderprozentige Sicherheit gibt. Man sollte halt ein logisches Konzept aufweisen, anhand dessen man dem Richter erklärt wie man solche Fälle mit Ali zu verhindern versucht und das überlisten der Sicherheitseinrichtung so schwer wie möglich macht. Aber gegen Vorsatz kann man dann halt auch einfach nicht anprogrammieren.

@RONIN
Wie seht ihr das im Bezug auf den Unterschied zwischen Nothalt und Sicherheitsfunktion/Schutzeinrichtung im Bezug auf die Rückstellfunktion?
Zum Vergrößern anklicken....
Ist für mich auch ein Unterschied. Schutzeinrichtung wie Türen lasse ich auch vor Ort an der Tür quittieren - die zentrale Quittierung gilt für mich nur für den Notaus. Liegt aber auch daran, dass ich an diesem zentralen Ort ja in der Regel auch wieder neu einschalten muss.
 
Zuletzt bearbeitet:
Hi,

von dem guten Beitrag mal abgesehen wäre es mir aber neu, dass ein Not-aus jemand berechtigt in die Maschine zu gehen, um dort Wartungsarbeiten oder Reparaturen durchführen. Die entsprechende Maschine ist vorher elektrisch freizuschalten und darf auch nur nach Aufhebung der Freischaltung wieder laufen, da kann eigentlich Jemand Not-Aus drücken und quittieren wie er lustig ist, ohne Strom nix Licht.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Mit dem vorher freischalten wäre ich skeptisch. Es kann ja immerhin sein, dass der jenige der gerade in der Anlage zu arbeiten hat bestimmte Sachen zum Laufen bringen muss. Natürlich unter Beachtung der Sicherheitsrichtlinien, also mit Safe limited speed, Position usw.
Wichtig wäre eine eindeutige Verriegelung dieses Servicemodus zu schaffen mittels eines verschließbaren Schalters meinethalben.

Zum Thema Rückstellfunktion sehe ich das so, dass man an großen Anlagen zwar die einzelne Sicherheitsfunktion vor Ort quittieren kann, aber die entgültige Wiedereingliederung sollte dann zentral erfolgen. Das System von Howard mit dem Schlüssel für Maschine und Tür finde ich gut
Bei unseren kleinen Maschinen ist es so gelöst, das der entfernte NotAus (2m entfernt und gut einsehbar) automatisch nach Entriegelung quittiert wird, aber die Wiedereingliederung der Sicherheit zentral nur von der Maschinenfront durchzuführen ist.
 
Ich denke, dass durch Verwendung von falschen Begriffen diese Diskussion hier etwas im Kreis läuft.
Das „Rückstellen“ der NOT-HALT Funktion wird beim NOT-HALT Taster selber gemacht. Wenn er betätigt (gedrückt) wird, bleibt er in betätigter Stellung stehen. Erst durch manuelles Drehen und wieder loslassen kommt er wieder raus und die Kontakte gehen wieder zu. Das ist die „absichtliche Handlung“, „vor Ort“, die noch „keinen Wiederanlauf“ auslöst.

Dieser „Quittiertaster“ von dem hier geschrieben wird, startet in Wirklichkeit das NOT-HALT Schaltgerät, und ist eigentlich das Wiedereinschalten der Anlage. Der Sichere Teil der Schaltung sind die NOT-AUS Tasten und das Schaltgerät samt Kontakterweiterungen. Der Kontakt zum Starten des NA Relais oder auch die Rückführungen werden nicht „sicher“ ausgeführt. Somit sehe ich kein Problem beim Starten per Steuerung und HMI.
 
@smoe

das sehe ich auch so.
Was ist aber mit berührungslosen Sicherheitsschaltern, zB an einer Klappe? Da habe ich ja kein willentliches Betätigen ausser die Klappe zu schließen. Auch hier setze ich quasi den Baustein vom Sicherheitsschalter im Sicherheitsprogramm automatisch zurück und gliedere es mit einem extra Signal (Button) vom HMI wieder ein. Da meine Anlage standalone ist, kann niemand von außerhalb das HMI hacken und das Signal von außerhalb geben.
Nach deiner Aussage ist es für dich von Bedeutung, dass das Feedback wie auch das Reset-Signal meisten nicht sicher ausgeführt werden. Von daher spielt es keine Rolle auf welchem Wege es nicht sicher daher kommt? Und daher ist das Reset auch über HMI zulässig?
 

Similar threads

O
Bei Not-Aus verzögert abschalten
Antworten
5
Aufrufe
3K
Botimperator
Botimperator
R
Hilfskontakt für Not-Aus-Kreis?
2 3
Antworten
56
Aufrufe
20K
robert87
R
T
LOGO Logo!8 - Schalten über Website (LWE) und HMI Droid
Antworten
11
Aufrufe
20K
Huabafranze
H
R
TIA Modulares Not-Aus-System via ET200SP F?
Antworten
0
Aufrufe
1K
Raijin Tycho
R
H
SUVA Wartungsschalter/ Revisionsschalter
Antworten
2
Aufrufe
5K
DeltaMikeAir
DeltaMikeAir
Zurück
Oben