Performance Level c Kategorie 2

T

ThomasM

Level-2
Beiträge
115
Reaktionspunkte
9
Zuviel Werbung?
-> Hier kostenlos registrieren
Servus zusammen,

ich mache mir gerade Gedanken, wie sich ein PLc mit Kategorie 2 erfüllen lässt und habe folgenden Gedankengang.

Aufbau:
- Nicht sicheres Analogsignal (1-kanalig)
- Nicht sichere Analogeingangskarte
- F-CPU
- Normaler Digitalausgang
- Fehlersicherer Digitalausgang

Beschreibung:
Das Analogsignal wird im Standardprogramm der CPU verarbeitet und sollte ein gewisser Wert überschritten werden, so wird über den DQ die Bewegung abgeschaltet. Zusätzlich wird das Analogsignal im F-Programm der CPU überprüft, das heißt eine Plausibilitätsprüfung (Wert z.b. zwischen 3,5 und 20,5 mA), eine Prüfung ob der Wert "eingefroren" ist und eine Überprüfung ob der Wert sich entsprechend der Erwartung des Prozesses ändert. Sollte bei dieser Überprüfung ein Fehler festgestellt werden, wird über den F-DQ die Bewegung abgeschaltet.

Bevor jetzt die Diskussion los geht warum eine F-CPU und dann so eine Krücke außen rum. Es handelt sich hier um eine handbediente Anlage, bei welcher die Abschaltungen keine sicherheitstechnische Relevanz haben und nur als Bedienerhilfe eingesetzt sind. Dies wird normalerweise auch alles ohne F-CPU realisiert. Es kann aber theoretisch vorkommen, dass diese Abschaltungen aus Gründen die ich jetzt nicht erörtern will in PLc Kat 2 ausgeführt werden müssen. Da der Standard ohne F-CPU bereits existiert, bin ich am überlegen ob sich das Ganze durch tausch der CPU und einer F-DQ Karte eben auf den geforderten PLc Kat 2 anheben lässt.

Ich habe die enschlägigen Normen alle gelesen und bin der Meinung, dass dies so möglich sein müsste. Was haltet ihr von dieser Idee? Wenn ich völlig an den Normen vorbei interpretiere dürft ihr mich auch sehr gerne korrigieren.

Ich hoffe auf einen regen Gedankenaustausch.

Gruß
Thomas
 
ThomasM schrieb:
Ich habe die enschlägigen Normen alle gelesen und bin der Meinung, dass dies so möglich sein müsste. Was haltet ihr von dieser Idee? Wenn ich völlig an den Normen vorbei interpretiere dürft ihr mich auch sehr gerne korrigieren.
Zum Vergrößern anklicken....
Hast du dir denn mal Gedanken dazu gemacht, wie das Blockdiagramm hier aussehen würde? Selbst, wenn mans nicht aufzeichnet, sollte man hier etwas bemerken.

Zunächst einmal zur Begriffsdefinition der Kategorie.
(DIN EN) ISO 13849-1:2023, 3.1.4
"Einstufung des Teilsystems (3.1.45) bezüglich seines Widerstands gegen Fehler (3.1.8) und des nachfolgenden Verhaltens bei einem Fehler, das erreicht wird durch die Struktur der Anordnung der Teile, der Fehlererkennung und/oder ihrer Zuverlässigkeit"
Anmerkung: Wurde in der 2023er-Ausgabe etwas verfeinert/klargestellt.

Ich will mir das "Teilsystem" nochmal rauspicken - (DIN EN) ISO 13849-1:2023, 3.1.45
"Einheit, die aus der Zerlegung eines sicherheitsbezogenen Teils einer Steuerung (SRP/CS) auf erster Ebene resultiert und deren gefahrbringender Ausfall (3.1.12) zu einem gefahrbringenden Ausfall einer Sicherheitsfunktion (3.1.27) führt"
Anmerkung: Kann man äquivalent zum "Subsystem" sehen.

Schlussfolgerung aus beiden oberen Begriffsdefinitionen: Jede Komponente, deren gefahrbringender Ausfall zu einem gefahrbringenden Ausfall der Sicherheitsfunktion führt, muss ihr eigenes Teilsystem bekommen. Das würde heißen, das vermutlich alle unter "Aufbau" aufgeführten Komponenten ein einzelnes Teilsystem wären (wenn die Eingangskarte gefahrbringend ausfällt, was will die CPU noch machen?).

Die Dekomposition einer Sicherheitsfunktion in einzelne Teilsysteme war bis zur 2015er-Ausgabe etwas missverständlich beschrieben. Prinzipiell könnte man sich dort aber auch (DIN EN) ISO 13849-1:2015, 6.3 und den Anhang H anschauen.
Wichtig ist zu verstehen: Eine Sicherheitsfunktion wird in aller Regel aus mehreren in Reihe geschalteten Teilsystemen bestehen, die jede für sich eine eigene "Architektur" (Kategorie, vgl. (DIN EN) ISO 13849-1:2023, 6.1.3.2) besitzen können. Das wurde zusätzlich in (DIN EN) ISO 13849-1:2023, 5.5 noch etwas genauer beschrieben. Somit kann mein Eingang etwa Kategorie 3 haben, meine Logik Kategorie 4, mein Ausgang Kategorie 1. Es ist auch möglich, dass ich Dutzende Teilsysteme zu betrachten habe.

Siehe hierzu dann (DIN EN) ISO 13849-1:2023, 6.2.2 / (DIN EN) ISO 13849-1:2015, 6.3:
"Wenn die PFH-Werte aller Teilsysteme bekannt sind, dann ist die PFH des SRP/CS die Summe aller PFH-Werte der n einzelnen Teilsysteme. Der PL des SRP/CS wird beschränkt durch:
den niedrigsten PL eines einzelnen kombinierten Teilsystems, das die Sicherheitsfunktion ausführt;"

Auf Deutsch: Wenn mein Eingangs-Teilsystem nur PLa erreichen kann, wird das mit dem PLc für die Sicherheitsfunktion nix. Das schwächste Glied in der Kette gewinnt, könnte man sagen. Man könnte versuchen, ein Eingangs-Teilsystem aus zwei Standard-Analogwerterfassungen in einer Kat 3 zu bauen, mit dem sich grundsätzlich mit einem MTTFD von 10 Jahren (keine konkreten Herstellerwerte) und einem entsprechend hohen DC ein PLc für das Teilsystem erreichen lässt. Das ist aber kein Spaß und zudem dürfte der Hersteller die sicherheitsgerichtete Anwendung zumindest nicht kategorisch ausschließen.
Zumindest für ein PLc oder höher müsste es dann wohl schon eine sichere Analogwertverarbeitung sein. Je nachdem was verarbeitet wird, wäre eine Art Wandler (Temperatur z.B ist hier klassisch) mit Relaisausgang, der für ein SIL1 nach IEC 62061 verwendet werden kann, aber vielleicht einfacher.

EDIT: Ich weiß, ich bin hier jetzt gar nicht so wirklich auf die Kat 2 hier eingegangen. Eben weil sich für mich eher die Fragen stellen würde, ob ich mit dem Standardzeug irgendwas größer als PLb erreichen kann.
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
marcusscholle schrieb:
Hast du dir denn mal Gedanken dazu gemacht, wie das Blockdiagramm hier aussehen würde? Selbst, wenn mans nicht aufzeichnet, sollte man hier etwas bemerken.

Zunächst einmal zur Begriffsdefinition der Kategorie.
(DIN EN) ISO 13849-1:2023, 3.1.4
"Einstufung des Teilsystems (3.1.45) bezüglich seines Widerstands gegen Fehler (3.1.8) und des nachfolgenden Verhaltens bei einem Fehler, das erreicht wird durch die Struktur der Anordnung der Teile, der Fehlererkennung und/oder ihrer Zuverlässigkeit"
Anmerkung: Wurde in der 2023er-Ausgabe etwas verfeinert/klargestellt.

Ich will mir das "Teilsystem" nochmal rauspicken - (DIN EN) ISO 13849-1:2023, 3.1.45
"Einheit, die aus der Zerlegung eines sicherheitsbezogenen Teils einer Steuerung (SRP/CS) auf erster Ebene resultiert und deren gefahrbringender Ausfall (3.1.12) zu einem gefahrbringenden Ausfall einer Sicherheitsfunktion (3.1.27) führt"
Anmerkung: Kann man äquivalent zum "Subsystem" sehen.

Schlussfolgerung aus beiden oberen Begriffsdefinitionen: Jede Komponente, deren gefahrbringender Ausfall zu einem gefahrbringenden Ausfall der Sicherheitsfunktion führt, muss ihr eigenes Teilsystem bekommen. Das würde heißen, das vermutlich alle unter "Aufbau" aufgeführten Komponenten ein einzelnes Teilsystem wären (wenn die Eingangskarte gefahrbringend ausfällt, was will die CPU noch machen?).

Die Dekomposition einer Sicherheitsfunktion in einzelne Teilsysteme war bis zur 2015er-Ausgabe etwas missverständlich beschrieben. Prinzipiell könnte man sich dort aber auch (DIN EN) ISO 13849-1:2015, 6.3 und den Anhang H anschauen.
Wichtig ist zu verstehen: Eine Sicherheitsfunktion wird in aller Regel aus mehreren in Reihe geschalteten Teilsystemen bestehen, die jede für sich eine eigene "Architektur" (Kategorie, vgl. (DIN EN) ISO 13849-1:2023, 6.1.3.2) besitzen können. Das wurde zusätzlich in (DIN EN) ISO 13849-1:2023, 5.5 noch etwas genauer beschrieben. Somit kann mein Eingang etwa Kategorie 3 haben, meine Logik Kategorie 4, mein Ausgang Kategorie 1. Es ist auch möglich, dass ich Dutzende Teilsysteme zu betrachten habe.

Siehe hierzu dann (DIN EN) ISO 13849-1:2023, 6.2.2 / (DIN EN) ISO 13849-1:2015, 6.3:
"Wenn die PFH-Werte aller Teilsysteme bekannt sind, dann ist die PFH des SRP/CS die Summe aller PFH-Werte der n einzelnen Teilsysteme. Der PL des SRP/CS wird beschränkt durch:
den niedrigsten PL eines einzelnen kombinierten Teilsystems, das die Sicherheitsfunktion ausführt;"

Auf Deutsch: Wenn mein Eingangs-Teilsystem nur PLa erreichen kann, wird das mit dem PLc für die Sicherheitsfunktion nix. Das schwächste Glied in der Kette gewinnt, könnte man sagen. Man könnte versuchen, ein Eingangs-Teilsystem aus zwei Standard-Analogwerterfassungen in einer Kat 3 zu bauen, mit dem sich grundsätzlich mit einem MTTFD von 10 Jahren (keine konkreten Herstellerwerte) und einem entsprechend hohen DC ein PLc für das Teilsystem erreichen lässt. Das ist aber kein Spaß und zudem dürfte der Hersteller die sicherheitsgerichtete Anwendung zumindest nicht kategorisch ausschließen.
Zumindest für ein PLc oder höher müsste es dann wohl schon eine sichere Analogwertverarbeitung sein. Je nachdem was verarbeitet wird, wäre eine Art Wandler (Temperatur z.B ist hier klassisch) mit Relaisausgang, der für ein SIL1 nach IEC 62061 verwendet werden kann, aber vielleicht einfacher.

EDIT: Ich weiß, ich bin hier jetzt gar nicht so wirklich auf die Kat 2 hier eingegangen. Eben weil sich für mich eher die Fragen stellen würde, ob ich mit dem Standardzeug irgendwas größer als PLb erreichen kann.
Zum Vergrößern anklicken....
Analogwandler mit Schaltkontakt gibt es in PLd/SIL2 für wenig Geld.
Damit kann man beispielsweise ein DO-Ausgangssignal der SPS sperren, oder gar eine ganze Potentialversorgung einer Ausgangskarte.

Ansonsten gebe ich dem Marcus recht, die Kette reißt an der schwächsten Stelle und wenn die nur PLa kann, dann geht halt nicht mehr.
 
ThomasM schrieb:
Aufbau:
- Nicht sicheres Analogsignal (1-kanalig)
- Nicht sichere Analogeingangskarte
- F-CPU
Zum Vergrößern anklicken....
Falls eine physikalische Größe über den AI eingelesen wird, könntest du dir mal Beitrags-ID 109812701 anschauen, evtl. kommst du mit dem dort beschriebenen Grundkonzept weiter.
Das Beispiel ist zwar zweikanalig für Kategorie 3 (ISO 13849), könnte aber auch für einen Kat2 Aufbau eine Orientierungshilfe sein.
Ob das tatsächlich auch für Kat2 geht, müsste man im Detail durchrechnen.

s_kraut schrieb:
Analogwandler mit Schaltkontakt gibt es in PLd/SIL2 für wenig Geld.
Damit kann man beispielsweise ein DO-Ausgangssignal der SPS sperren, oder gar eine ganze Potentialversorgung einer Ausgangskarte.
Zum Vergrößern anklicken....
So würde ich das ebenfalls angehen, speziell im Bezug auf "normalerweisen ohne F-CPU".
=> keep it simple and stupid.
Ich hab für Safety-Analogauswertung ohne F-SPS meistens was von Endress+Hauser (RMA42) oder Pepperl&Fuchs im Einsatz.
Da bei mir selten was unter Kat 3 läuft, sind die allerdings immer mit 2 Kanälen.
Evtl macht es sinn mal mit deren technischem Vertrieb zu schwatzen ob es da auch was "einfacheres" gibt.
 

Similar threads

D
Performance Level d erreicht?
Antworten
19
Aufrufe
3K
Blockmove
B
A
Sicherheitsgerichtetes Abschalten von Standardbaugruppen
Antworten
13
Aufrufe
5K
aPlauner
A
D
Erreichbares PL beim Abschalten eines Motors
2
Antworten
31
Aufrufe
6K
s_kraut
s_kraut
S
zeitweise "Überbrückung" von unbenutzten Sicherheitseinrichtungen
Antworten
9
Aufrufe
618
Holzmichl
H
L
TIA CPU Stop Zykluszeit - ProfiSafe + IRT
Antworten
5
Aufrufe
337
DCDCDC
D
Zurück
Oben