Performance Level d erreicht?

[deweNAT]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo liebe Gemeinde,

ich habe folgendes "Problem":

Ich lese einen 2-kanaligen Not-Halt-Taster über ein fehlersicheres Weidmueller I/O Modul in einer Siemens F-CPU 1513 ein.

Hiermit soll zum einen ein FU über STO (EN1/EN2) gestoppt werden, zum anderen ein Direktantrieb über zwei Schütze in Reihe abgeschaltet werden.

Ein einziger DQ-Kanal wird am FU STO auf beide Eingänge EN1 und EN2 verdrahtet (Brücke zwischen EN1 und EN2).
Im zweiten Fall wird ein einziger DQ-Kanal jeweils auf A1 der Schütze verdrahtet (Brücke zwischen A1 und A1). Außerdem werden die Spiegelkontakte der Schütze wieder fehlersicher rückgelesen.

O.g. Komponenten befinden sich alle im gleichen Schaltschrank. Ist dies so zulässig?

Im Jahr 2012 wurde diese Konstruktion so vom TÜV (in Bezug auf funktionale Sicherheit) abgenommen.

Letztlich habe ich keine Literatur o.ä. finden können, die o.g. Fall beschreibt...

Ich habe zarte Bedenken, da ich ja offensichtlich keinen zweiten DQ-Kanal hardwired nutze.

Hintergrund ist, dass wir als Firma das Thema Funktionale Sicherheit wieder up to date holen wollen. Die Sistema Berechnung etc. nehmen wir hier selbst in die Hand.

Über Rückmeldungen wäre ich sehr dankbar!

 

[DerTechpriester]

Im Jahr 2012 wurde diese Konstruktion so vom TÜV (in Bezug auf funktionale Sicherheit) abgenommen.

Wenn es der TÜV so abgenommen hat, würde ich sagen, ja. Die Frage ist, was passiert, wenn die Rückführung einen Fehler meldet?

 

[deweNAT]

Zuviel Werbung?
-> Hier kostenlos registrieren

Wenn es der TÜV so abgenommen hat, würde ich sagen, ja. Die Frage ist, was passiert, wenn die Rückführung einen Fehler meldet?

Wenn die Rückführung Fehler meldet, fällt der Ausgang ja ab bzw. kann nicht einschalten.

Laut techn. Bericht des TÜV von damals (der Bericht gilt ja im Zweifel vor Gericht) wurde hier alles nach Kategorie 3 ausgelegt. Da ich aber nur einen Ausgangskanal nutze, ist das für mich offensichtlich NICHT Kategorie 3?! Bin mit den Aktoren dann wieder 2-kanalig - daher sehe ich das Nadelöhr hier beim Ausgang des I/O-Moduls.

Oder "denke" ich hier falsch?

Bin in der Thematik Funktionale Sicherheit noch ein Grünschnabel, daher die Nachfrage.

 

[Larry Laffer]

Ich kann deine Befürchtungen nachvollziehen und tendiere dazu, das ähnlich wie du zu sehen. Nun weiß ich aber natürlich nicht worum es sich hier genau dreht - aber ... deine Abnahme ist dann ja wohl 13 Jahre alt und Sicherheitstechnik hat keinen Bestandsschutz und muss vom Betreiber regelmäßig hinterfragt werden und ggf. neu bewertet werden.

 

[Blockmove]

Ich seh da kein Problem.
Innerhalb eines Schaltschranks und mit Auswertung der Rückführung (sicherer FB "FDBACK") reicht das für PLd.

 

[deweNAT]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ich kann deine Befürchtungen nachvollziehen und tendiere dazu, das ähnlich wie du zu sehen. Nun weiß ich aber natürlich nicht worum es sich hier genau dreht - aber ... deine Abnahme ist dann ja wohl 13 Jahre alt und Sicherheitstechnik hat keinen Bestandsschutz und muss vom Betreiber regelmäßig hinterfragt werden und ggf. neu bewertet werden.

Wir sind hier nicht der Betreiber, sondern lediglich Hersteller eines Teiles der Anlage/Maschine. Aber eben aus dem Grund, dass das schon so lange zurückliegt, soll das alles mal wieder auf den Prüfstand.

Ich seh da kein Problem.
Innerhalb eines Schaltschranks und mit Auswertung der Rückführung (sicherer FB "FDBACK") reicht das für PLd.

Wir befinden uns mit den entsprechenden Komponenten gänzlich in einem Schaltschrank.
In etwa diese Aussage habe ich so auch schon bekommen zu der Thematik (explizit auch "innerhalb eines Schaltschrankes") - allerdings muss ich dies im Zweifel eben auch nachweisen können und hier liegt eben genau das Problem, dass ich für meine Begriffe keine Architektur Kategorie 3 in dem Fall habe und leider auch nichts schwarz auf weiß habe, womit ich das PLd argumentieren kann.

 

[Fluffi]

Ich habe zarte Bedenken, da ich ja offensichtlich keinen zweiten DQ-Kanal hardwired nutze.

Wenn der F-DQ Ausgang P- und M-schaltend ist, und auch die Verdrahtung dementsprechend realisiert ist, dann gilt das meines Wissens als 2-kanalig. Rückführung beider Schütze ist zwingend notwendig. Vom FU aus würde ich bei PLd auch noch eine Rückführung integrieren.
Es gibt in Netz ja auch genügend Beispiele der Hersteller von F-HW. Dass 2 F-DQ Ausgänge für die selbe 2-fache Ansteuerung verwendet werden findet man da selten. Wie gesagt muss es aber wie oben beschrieben realisiert sein. Und bei PLd sollte Querschlusserkennung, Hell/Dunkeltest aktiv ein, was auch nur geht wenn die Masse auf einen seperat ausgewerteten F-DQ-M Port geht. Wenn M nur auf die Anlagen 24V-Masse geht ist es für mich zumindest sehr fraglich ob das noch als PLd durchgeht. Alleine dass dann schon der Diagnosedeckungsgrad nicht hoch sein kann durch die fehlende Querschlusserkennung ist es eigentlich nicht möglich.

 

[BFlat]

Ein Tipp, den ich vor vielen Jahren auf einer Schulung erhalten habe:
Verfasse irgend einen Schrieb zur Thematik. Mit Datum!! Schicke diesen Schrieb an den Betreiber der Anlage und lege ihn selbst ab.
Sollte es einmal zu einem Verfahren (z.B. anlässlich eines Unfalls) kommen, so kannst Du nachweisen, dass Du Dich seiner Zeit mit der Thematik auseinandergesetzt hast.
Dir kann keine Fahrlässigkeit vorgeworfen werden

 

[Blockmove]

Zuviel Werbung?
-> Hier kostenlos registrieren

Wenn M nur auf die Anlagen 24V-Masse geht ist es für mich zumindest sehr fraglich ob das noch als PLd durchgeht. Alleine dass dann schon der Diagnosedeckungsgrad nicht hoch sein kann durch die fehlende Querschlusserkennung ist es eigentlich nicht möglich.

Mein Kenntnissstand ist, dass man dafür im gleichen Schaltschrank nen Fehlerausschluß machen darf.
Bei F-DQ mit Hell-/Dunkeltest sowieso.

 

[Hesse]

Mein Kenntnissstand ist, dass man dafür im gleichen Schaltschrank nen Fehlerausschluß machen darf."

Das kenn ich auch so.
Ich frag mich nur immer warum macht man es nicht einfach "Richtig bzw. Sicher" der aufwand ist doch nicht so wesentlich höher.
Es erspart doch einiges an diskusion im Nachgang.

Wenn mann es jetzt einfach ändert bzw. verbessert ist die TÜV Abnahme von damals ... hinfällig

Edit/Ergänzung:
Wenn ich das richtige Schaltbild zu dem FU geladen hatte dann bietet der gar nicht an, das
die STO Eingänge mit einer extra Masse (–M ), also Querschusssicher zu beschalten .

 

[Gerrit-S]

Bei der Ansteuerung das FU habe ich etwas Bedenken bezüglich dem Level d.
Zwei Eingänge gebrückt, wofür sind dann zwei da?
Und manche FU erreichen laut techn. Daten max. nur Level c!

 

[Fluffi]

Zuviel Werbung?
-> Hier kostenlos registrieren

Wenn mann es jetzt einfach ändert bzw. verbessert ist die TÜV Abnahme von damals ... hinfällig

Wie laufen diese TÜV-Abnahmen eigentlich ab? Um solche Sachen doch absolut korrekt zu bewerten, muss alles ja extrem kleinteilig betrachtet werden und auch das F-Programm + Konfiguration verifiziert werden. Ich bezweifle dass das überhaupt in der Form passiert.

Es gibt ja auch TÜV Leute von Sicherheitslichtschrankenherstellern die abnehmen, dass die BWS sicherheitstechnisch korrekt implementiert wurde, sich auch den Schaltplan usw. anschauen und am Ende einen Wisch unterschreiben dass alles perfekt umgesetzt wurde.
Dass das F-Prog falsch umgesetzt wurde und keine Überwachungen funktionieren fällt aber nicht auf da dieser wichtige Teil gar nicht geprüft wird.

Ich frag mich nur immer warum macht man es nicht einfach "Richtig bzw. Sicher" der aufwand ist doch nicht so wesentlich höher.
Es erspart doch einiges an diskusion im Nachgang.

Sehe ich auch so. Für ein paar Euro mehr einfach alles nach einem hoch angelegten Minimalstandard zu machen, ist am Ende günstiger und bietet weniger Kopfzerbrechen, als sich tagelang zu überlegen wie man um 100€ zu sparen noch haarscharf den PL erreicht.

Wenn ich das richtige Schaltbild zu dem FU geladen hatte dann bietet der gar nicht an, das
die STO Eingänge mit einer extra Masse (–M ), also Querschusssicher zu beschalten .

Im Schaltplan hier hat der FU eine extra Masse am Safety-Port.

Zwei Eingänge gebrückt, wofür sind dann zwei da?
Und manche FU erreichen laut techn. Daten max. nur Level c!

2 Schütze steuert man ja auch für PLd parallel mit einem F-DQ an, welcher solange er P- und M-schaltend ist zwar nur ein Ausgang, aber trotzdem eben 2-kanalig ist. Nur das betrachtet kann schon in Ordnung sein, ich würde aber hier immer die Doku des FU-Herstellers anschauen bei welcher Schaltung welcher PL sein kann. Ich kenne sogar FUs bei denen der Hersteller nur bei einem F-Eingang PLd garantiert.

Mein Kenntnissstand ist, dass man dafür im gleichen Schaltschrank nen Fehlerausschluß machen darf.

Kannst du das genauer erläutern?



Was hier noch gar nicht diskutiert wurde ist die Tatsache, dass ja STO verwendet wird und zudem noch die Versorgung abgeschaltet wird. Selbst wenn eines von beiden, oder gar beide Pfade jetzt nicht 100% PLd konform realisiert wurden, durch beide Abschaltungen liegt ja eine zusätzlicher "2. Kanal" vor.

 

[Hesse]

Im Schaltplan hier hat der FU eine extra Masse am Safety-Port.

in deim Plan oben ok. Da ist genau deine Roteline drüber ...
Sagt das auch der Innenschaltplan von deim FU ? ich hatte da ein Bild da teilt sich die masse vom STO da mit den anderen DI und sonst noch was.
Ich habe aber auch Vermutlich nicht genau den FU Type

 

[deweNAT]

Wie laufen diese TÜV-Abnahmen eigentlich ab? Um solche Sachen doch absolut korrekt zu bewerten, muss alles ja extrem kleinteilig betrachtet werden und auch das F-Programm + Konfiguration verifiziert werden. Ich bezweifle dass das überhaupt in der Form passiert.

Es gibt ja auch TÜV Leute von Sicherheitslichtschrankenherstellern die abnehmen, dass die BWS sicherheitstechnisch korrekt implementiert wurde, sich auch den Schaltplan usw. anschauen und am Ende einen Wisch unterschreiben dass alles perfekt umgesetzt wurde.
Dass das F-Prog falsch umgesetzt wurde und keine Überwachungen funktionieren fällt aber nicht auf da dieser wichtige Teil gar nicht geprüft wird.

Ich war im Jahr 2012 noch nicht im Unternehmen - habe aber die komplette Projektdoku vorliegen. Der TÜV hat auch das F-Prog. verifiziert. Außerdem war der TÜV an der Maschine vor Ort anwesend und es wurden alle Sicherheitsfunktionen getestet - das ist dem techn. Bericht des TÜV zu entnehmen.

Sehe ich auch so. Für ein paar Euro mehr einfach alles nach einem hoch angelegten Minimalstandard zu machen, ist am Ende günstiger und bietet weniger Kopfzerbrechen, als sich tagelang zu überlegen wie man um 100€ zu sparen noch haarscharf den PL erreicht.

Wenn es nach mir ginge, würde ich hier auch keine Faxen machen und zweite F-DQs nutzen. Das wiederum würde bedeuten, dass wir die komplette Steuerung sozusagen re-engineeren müssen. Von "oben" ist das natürlich nicht unbedingt das Ziel, sofern es so, wie es jetzt umgesetzt ist, sicherheitstechnisch nach Norm passt...

Im Schaltplan hier hat der FU eine extra Masse am Safety-Port.

Diese Masse wird nicht geschaltet.

2 Schütze steuert man ja auch für PLd parallel mit einem F-DQ an, welcher solange er P- und M-schaltend ist zwar nur ein Ausgang, aber trotzdem eben 2-kanalig ist.

Das eingesetzte Modul ist von Weidmueller (UR20-4DI-4DO-PN-FSPS-V2) und hier sind die Ausgänge parametrierbar (P- ODER N-schaltend...).
Davon abgesehen wurde/wird die Masse der Karte nicht verdrahtet, sondern die allgemeine Anlagenmasse genutzt...


Ich habe den TÜV-Projektleiter von damals tatsächlich nochmal erreichen können - kurz vorm Ruhestand ;-)
Ich rechne damit, dass ich hier kommende Woche Rückmeldung bekomme. Bin mal gespannt - gebe hier dann nochmal Meldung.

 

[deweNAT]

Zuviel Werbung?
-> Hier kostenlos registrieren

in deim Plan oben ok. Da ist genau deine Roteline drüber ...
Sagt das auch der Innenschaltplan von deim FU ? ich hatte da ein Bild da teilt sich die masse vom STO da mit den anderen DI und sonst noch was.
Ich habe aber auch Vermutlich nicht genau den FU Type

Die Masse am STO scheint sich nicht zu splitten innerhalb des FU.

 

[Gerrit-S]

2 Schütze steuert man ja auch für PLd parallel mit einem F-DQ an, welcher solange er P- und M-schaltend ist zwar nur ein Ausgang, aber trotzdem eben 2-kanalig ist. Nur das betrachtet kann schon in Ordnung sein, ich würde aber hier immer die Doku des FU-Herstellers anschauen bei welcher Schaltung welcher PL sein kann. Ich kenne sogar FUs bei denen der Hersteller nur bei einem F-Eingang PLd garantiert.

Ja, das ist z.B. bei Nord auch so.
Dort wird aber darauf hingewiesen, dass dann die Verdrahtung auch der Kategorie 4 entsprechen muss.
Als Dinge wie Querschlusssicherheit, eigene Schirmung etc.
Das gilt auch innerhalb eines Schaltschrankes.

 

[deweNAT]

Hallo Zusammen,

nach Rücksprache mit dem TÜV folgendes:
Der TÜV beruft sich in der Angelegenheit auf einen Satz in der ISO 13849 (6.1.3.2.1)



Mit dieser Aussage kann ich leider weiterhin nicht viel anfangen, da ich keinerlei Bezüge oder Beispiele hierzu finde.
Nach meinem Verständnis sagt dieser Satz mir: "solange du eine Einfehlersicherheit hast, ist es okay"...
Durch Monitoring und sicheres Rücklesen der Spiegelkontakte der Schütze (zumindest beim Direktantrieb) dürfte auch ein Fehler im Ausgangskanal aufgedeckt werden?
Da ich in der gesamten Struktur zweikanalig fahre, außer am logischen Ausgang des F-IO-Moduls (welcher ja auch gewisse Sicherheitskennwerte besitzt wie MTTFd, PFHd sowie DC) könnte es ja so passen.

Kann natürlich auch sein, dass ich völlig daneben liege mit der Annahme - Stichwort Annahme ist ja auch so ne Sache in der Sicherheitstechnik...

Schwieriges Unterfangen...

 

[Gerrit-S]

Zuviel Werbung?
-> Hier kostenlos registrieren

Es muss halt sichergestellt sein, dass nicht ein einzelner Fehler die Sicherheit aushebeln kann.
Was passiert z.B. wenn ein anderes 'normales' 24V Signal sich auf den Eingang vom STO verbindet (also ein Querschluss)?
Ist das durch die Ausführung der Verdrahtung ausgeschlossen, oder erkennt der F-Ausgang oder der Umrichter diese Situation und es kommt zu einem Alarm?

 

[deweNAT]

Es muss halt sichergestellt sein, dass nicht ein einzelner Fehler die Sicherheit aushebeln kann.
Was passiert z.B. wenn ein anderes 'normales' 24V Signal sich auf den Eingang vom STO verbindet (also ein Querschluss)?
Ist das durch die Ausführung der Verdrahtung ausgeschlossen, oder erkennt der F-Ausgang oder der Umrichter diese Situation und es kommt zu einem Alarm?

Der F-Ausgang "monitort" ja, außerdem kann ich dem Ausgang Pulse parametrieren, die Masse hinter den Schützen wird jetzt auch auf die zugehörige Masse des F-Ausgangs gelegt. Demnach sollte das Modul einen Querschluss definitiv erkennen. Das STO am FU erkennt einen Querschluss m.M.n. nicht separat, da dessen Eingänge ja gebrückt sind?!

 

[Blockmove]

Mit dieser Aussage kann ich leider weiterhin nicht viel anfangen, da ich keinerlei Bezüge oder Beispiele hierzu finde.
Nach meinem Verständnis sagt dieser Satz mir: "solange du eine Einfehlersicherheit hast, ist es okay"...

Ein ganz schönes Beispiel dafür liefert Siemens selbst mit seinen F-CPUs.
Die F-CPUs haben, im Gegensatz zu vielen Mitbewerbern, nur einen Prozessor. Also keine redundante Hardware. Die Safety-Funktionen werden durch einen Vergleich der Ergebnisse von normaler und inverser Logik sichergestellt. In den Beispielen und den Beschreibungen in den Normen siehst du fast immer 2 oder 3 Prozessoren.

Ein weiteres Beispiel, das näher an deinem Anwendungsfall liegt, sind die Siemens 3RK12111 4RO Ausgangserweiterungen. Ist auch nichts Anderes als deine 2 Schütze mit Rückführkontakten.

Deine Interpredation "solange du eine Einfehlersicherheit hast, ist es okay" stimmt. Du wirst immer wieder auf Dinge in der Sicherheitstechnik stoßen, die Auslegungssache sind. Hat ich auch öfters. Im Zweifelsfall dann, so wie du es gemacht hast, TÜV oder einen sonstigen guten und qualifizierten Sicherheitsdienstleister dazu befragen.