Sicherheitsbewertung Auslassen von Elementen

B

bl2310

Level-1
Beiträge
3
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo an die Expertenrunde,

bei der Bewertung von Sicherheitsfunktionen haben unsere Kollegen bestimmte Aktoren (Hydraulikventile) mit der Argumentation weggelassen : es werden die elektrische Versorgung der Steuerung per Relais und redundant das hydraulische Vorsteuerventil abgeschaltet. Somit sind die nachfolgenden Ventile nicht relevant für die Sicherheitsbewertung.
Ich bin da eher anderer Meinung. Meine Vorgehensweise bis jezt: Ein Zylinder führt eine gefahrbringende Bewegung aus -> alles was davor steht und in die Ansteuerung dieses Zylinders involviert, gehört in die Sicherheitsbewertung nach EN 13849.
Nun würde ich gern eure Meinung dazu hören.
 
Also ich habe keine andere Meinung: Sensor, Logik, Aktorik - gehört alles in die Bewertung mit rein. Übrigens auch die Leitungen.

Als Tipp kannst du für die Ventile aus der VDI-VDE-2180 oder aus der ISO 13849-2 Ersatzwerte rauslesen; für bewährte Ventile, die bestimmungsgemäß mit sauberem Medium und entsprechender Instandhaltung verwendet werden.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Sehe ich zunächst genauso. Das Argument wäre in etwa wie: "Ich brauch das Motorschütz nicht überwachen, weil ich ja die Spannungsversorgung für die SPS wegnehme und dessen I/Os".
Fakt ist, je nach Struktur/Kategorie muss ich sehr wohl das Ventil oder ein Schütz und dessen Stellung überwachen. Genau wie das Schütz kann auch ein Ventil in unsicherer Stellung hängen bleiben. Bringt dann herzlich wenig, wenn ich alles was davor ist abschalte.
Eine 100%ige Aussage können wir aber nur treffen, wenn wir 1. Die gesamte Schaltung sehen
2. Die genaue Definition der Sicherheitsfunktion und
3. Die Bewertung und die geplante KAT Struktur.
 
SPSAlex83 schrieb:
Sehe ich zunächst genauso. Das Argument wäre in etwa wie: "Ich brauch das Motorschütz nicht überwachen, weil ich ja die Spannungsversorgung für die SPS wegnehme und dessen I/Os".
Fakt ist, je nach Struktur/Kategorie muss ich sehr wohl das Ventil oder ein Schütz und dessen Stellung überwachen. Genau wie das Schütz kann auch ein Ventil in unsicherer Stellung hängen bleiben. Bringt dann herzlich wenig, wenn ich alles was davor ist abschalte.
Eine 100%ige Aussage können wir aber nur treffen, wenn wir 1. Die gesamte Schaltung sehen
2. Die genaue Definition der Sicherheitsfunktion und
3. Die Bewertung und die geplante KAT Struktur.
Zum Vergrößern anklicken....
Es handelt sich um Not-Halt-Abschaltung (PL d) mehrerer Funktionen, die alle 2-kanalig aufgebaut sind und so aussehen:

Not-Halt-Taster Kanal 1 -> Relais -> (Ventil)
Not-Halt-Taster Kanal 2 -> Relais -> Hydraulisches Vorsteuerventil
Der 1. Kanal schaltet die elektrische Energie ab, so dass die Ventile nicht mehr angesteuert werden können. Der 2. Kanal nimmt quasi den Ventilen das Öl weg.
Wie in meinem Eingangspost schon beschrieben, lassen die Kollegen die Ventile, die direkt vor den Zylindern stehen, aus der Berechnung heraus, weil die eh nichts können, wenn elektrisch und hydraulisch alles weg ist.
Das ist quasi unser 1.Projekt mit Sicherheitsbewertung und momentan lese ich gerade die Norm nochmals durch , um die Kollegen vom Gegenteil zu überzeugen. Ich wäre sehr dankbar für eure hilfreiche Argumentation.
 
Ohne jetzt irgendwelche Details zu kennen klingt das gangbar.

Übergeordnete Schaltungsbaugruppen durchrechnen wenn für die untergeordneten Baugruppen Fehler ausgeschlossen werden können oder aber Fehler nicht relevant sind.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Was bei Hydraulik und Pneumatik auch eine große Rolle spielt ist die Ventilauslegung mit 5/3-Wege oder 5/2-Wege-Impulsventil. Oder ob 5/2-Wege-Ventil, das beim Wegschalten der Spule eine neue Bewegung ausführen würde!
Außerdem ob Schieber- oder Sitzventile verwendet werden.
Zusätzlich noch für spezielle Gefährdungen wie Hubfunktionen die Verwendung von entsperrbaren Rückschlagventilen, was als Sitzventil bewertet werden kann.

Zu beachten ist ebenfalls, wenn vorhanden, ein Druckspeicher als Energiequelle.
 
bl2310 schrieb:
Es handelt sich um Not-Halt-Abschaltung (PL d) mehrerer Funktionen, die alle 2-kanalig aufgebaut sind und so aussehen:

Not-Halt-Taster Kanal 1 -> Relais -> (Ventil)
Not-Halt-Taster Kanal 2 -> Relais -> Hydraulisches Vorsteuerventil
Der 1. Kanal schaltet die elektrische Energie ab, so dass die Ventile nicht mehr angesteuert werden können. Der 2. Kanal nimmt quasi den Ventilen das Öl weg.
Wie in meinem Eingangspost schon beschrieben, lassen die Kollegen die Ventile, die direkt vor den Zylindern stehen, aus der Berechnung heraus, weil die eh nichts können, wenn elektrisch und hydraulisch alles weg ist.
Das ist quasi unser 1.Projekt mit Sicherheitsbewertung und momentan lese ich gerade die Norm nochmals durch , um die Kollegen vom Gegenteil zu überzeugen. Ich wäre sehr dankbar für eure hilfreiche Argumentation.
Zum Vergrößern anklicken....
Nun du kannst dein PLd ja sowohl mit Kat 2 als auch mit Kat 3 realisieren. Wenn ihr bewusst auf Kat 3 mit 2 kanaliger Struktur geht, dann sind folgende Merkmale gegeben:
1. Ein Fehler in einem der Teile darf nicht zum Ausfall der Sicherheitsfunktion führen (check)
2. Wenn immer in angemessener Weise durchführbar, ist der einzelne Fehler zu erkennen

Der 2. Punkt ist entscheidend. Eine Redundanz ist nur dann sinnvoll, wenn man den Ausfall des 1. Kanals auch mitbekommt. Falls keine Überwachung da ist, dann spreche ich von einer "dummen" Redundanz. Es könnte ja sein, dass V1 seit Jahren hängt und man das erst mitbekommt, wenn auch das Zirkulationsventil nicht mehr abschaltet. Beim Zirkulationsventil könnte man im Prozess noch was mitbekommen. Aber das reine Sicherheitsventil bleibt ggf. unentdeckt.
Des Weiteren ist das Erkennen eines Fehlers in jenem Ventil durch Stellungsüberwachung durchaus angemessen durchführbar. Es gibt derartige Ventile mit Stellungsüberwachung! Im Vergleich werden derartige Stellungsüberwachungen auch heute sehr oft angewendet.
Wenn ich derartige Hydraulikschaltungen absichere, dann immer mit Überwachung. In etwa wie bei 2 kanaliger Abschaltung mit Relais oder auch bei 2-hand Bedienung. Ich überwache die Stellung beider schaltender Schütze. Bei Ventilen und Hydraulik ist es das gleiche.
Ansonsten kann ich die Struktur auch 6-kanalig machen. Wenn ich aber nie mitbekomme, wann die ersten 5 Kanäle über die Jahre ausfallen bringt mir das gar nichts!

Wenn nun Diskussionen aufkommen ob machen oder nicht machen, dann stelle ich mir einfach vor, es kommt zu einem Unfall und ich finde mich vor Gericht wieder. Der Richter bzw. blutsaugende Anwalt wird mich dann fragen:
Wie kann eine redundante Schaltung denn ausfallen? Wie konnte es zum Fehler kommen, wenn Sie doch alles 2 kanalig überwacht haben?
Nun, das System hat den Fehler nicht mitbekommen!
Warum nicht? Hätten Sie das nicht überwachen können / müssen? Wäre es nicht mit einfachen Mitteln möglich gewesen?
Naja, doch schon...
Warum haben Sie es dann nicht ?
Nun...die Kosten? Keine Lust? Zu viel Arbeit für nen Freitag? Wird schon alles gut gehen? Merkt eh keiner?

Ich kann mich da nur immer wieder wiederholen. Es gibt keine Schulnote für ein Sicherheitssystem. Es gibt am Ende die Entscheidung eines Richters, ob ich in seinen Augen alles mögliche getan habe um Fehler zu verhindern. Im Falle des Weglassens von simplen Überwachungsmechanismen habe ich dies nicht. Deswegen wäre es für mich klar.

Falls es jetzt eine solche Überwachung nicht gäbe (also ein 4/3 oder 3/2 Wege mit Stellungsüberwachung), dann wäre die Frage nach der Verhältnismäßigkeit gegeben, wenn man so etwas erst selbst entwickeln und bauen müsste.
Aber es ist alles da. Es gibt alles was ich für eine noch sicherere Schaltung brauche. Hand aufs Herz, wieviel mehr Aufwand ist ein Ventil mit Überwachung? Was kostet das am Ende im Vergleich zu meiner Anlage? Ist es nicht dieses winzige Bauteil wert, wenn ich weiß, dass ein Vater Abends zu seinem Neugeborenen zurückkommt anstatt mit Zettel um den großen Zeh auf Edelstahl zu liegen? Nur weil ich vielleicht nicht unbedingt musste??
Wir reden hier von PLd

Vielleicht hilf mein Roman am frühen Morgen :)

Viele Grüße (erst mal Kaffee)
 
es gibt Ventile mit einer Failsafe-Stellung. wenn du denen die Energie wegnimmst, gehen diese in die bestimmte Stellung. wenn das der sichere Zustand ist, sehe ich die Argumentation deiner Kollegen für machbar
 
Zuviel Werbung?
-> Hier kostenlos registrieren
stevenn schrieb:
es gibt Ventile mit einer Failsafe-Stellung. wenn du denen die Energie wegnimmst, gehen diese in die bestimmte Stellung. wenn das der sichere Zustand ist, sehe ich die Argumentation deiner Kollegen für machbar
Zum Vergrößern anklicken....
Wenn das entsprechende Ventile sind, die die Anforderungen erfüllen (bewährte Federn etc.) und ein Fehler sicher ausgeschlossen werden kann dann ja.
 
SPSAlex83 schrieb:
Wenn das entsprechende Ventile sind, die die Anforderungen erfüllen (bewährte Federn etc.) und ein Fehler sicher ausgeschlossen werden kann dann ja.
Zum Vergrößern anklicken....
Hydraulikventil können trotz einer Fali-Safe-Stellung mal hängen bleiben. Ohne Überwachung ist der Vorschlag nicht geeignet einen PLd zu erreichen, da der Ausfall eines Ventiles nicht erfasst werden kann, sondern erst wenn beide ausgefallen sind - wenigstens hab ich das so interpretiert aus der Beschreibung des TE.
Grüße
Manfred
 
Ich sag ja, wenn ein Fehler ausgeschlossen werden kann. Ansonsten bleib ich bei meiner Aussage oben.
Persönlich verwende ich den Fehlerausschluss nie bis selten. Außerdem kostet es ja kaum mehr die Überwachung dran zu machen.
In der Zeit, wie Abteilungen miteinander über das muss oder nicht muss diskutieren, hat man die Kosten bereits wieder raus
 
Zuviel Werbung?
-> Hier kostenlos registrieren
SPSAlex83 schrieb:
In der Zeit, wie Abteilungen miteinander über das muss oder nicht muss diskutieren, hat man die Kosten bereits wieder raus
Zum Vergrößern anklicken....
Wobei es dabei aber auch darauf ankommt, um was für Maschinen/Anlagen es sich handelt.
Einzelmaschine oder geringe Stückzahl => Diskussion lohnt sich häufig nicht
Serienmaschine mit hoher Stückzahl => Hier kann sich eine Diskussion für die Zukunft leicht rentieren.
 
MFreiberger schrieb:
Wobei es dabei aber auch darauf ankommt, um was für Maschinen/Anlagen es sich handelt.
Einzelmaschine oder geringe Stückzahl => Diskussion lohnt sich häufig nicht
Serienmaschine mit hoher Stückzahl => Hier kann sich eine Diskussion für die Zukunft leicht rentieren.
Zum Vergrößern anklicken....
Da bin ich der Meinung, dass Diskussionen meist mit dem finanziellen Aspekt zusammenhängen und dann oft zu Lasten der Sicherheit entschieden wird. Natürlich möchte ich nicht ein teures Bauteil in 100 Maschinen einsetzen, was vielleicht nicht unbedingt notwendig ist. Aber wenn ich 100 Maschinen statt einer ins Feld bringe, dann steigt die Wahrscheinlichkeit eines Unfalls ebenfalls an.
Ich betrachte immer nur diese eine Maschine, egal wie oft ich sie baue.
Gibt es Restrisiken? Wenn ja, kann ich diese relativ einfach in den Griff kriegen? Wenn ja, dann machen!
Anders ist es wenn ich zB ein PLc oder b habe. Natürlich könnte ich dann auch alles 100% machen und auf PLe absichern. Das wäre aber vermutlich unverhältnismäßig und wirtschaftlich zu hinterfragen, insbesondere bei Serienfertigung.
Am Ende bleibt es die Entscheidung der Firma und diese Entscheidung muss am Ende zu erklären sein. Wenn die Konstrukteure der Meinung sind die einfach umzusetzende Überwachung wegzulassen, dann muss sich dieser Konstrukteur auch vor Gericht dafür rechtfertigen.
Ich denke der wirtschaftliche Faktor wäre in diesem Fallbeispiel vor Gericht recht schwer als Argument aufzuführen.

Auch hier wieder nur meine persönliche Meinung. Ich tendiere da eher zu mehr Sicherheit als mit aller Gewalt ein paar Euro zu sparen.
 
Moin SPSAlex83,

dass die "Sicherheit" wichtig ist, steht außer Frage und natürlich müssen Risiken betrachtet werden.
Trotzdem wird das Thema leider auch oft missbraucht, um Technik zu verkaufen, die unnötig ist. Es kommt halt auch mit darauf an, wer die Risikoanalyse macht und wie er das jeweilige Risiko interpretiert.
Ich bin z.B. im Bereich Logistikanlagen tätig. Und, dass Regalbediengeräte, Heber, Verfahrwagen etc. entsprechend abgesichert sein müssen, damit Niemandem versehentlich etwas passiert, ist doch selbstverständlich.
Aber Fördertechnik??? Da kommen dann so Sachen an den Kommissionierplätzen, dass man sich ja an einer vorbeifahrenden Palette quetschen könnte. Deswegen muss der Platz mit einem Lichtgitter abgesichert werden. WTF!
Da machen Hersteller von Sicherheitstechnik die (verantwortlichen) Kunden so nervös, dass sie alles kaufen, was Sicherheit verspricht (oder nur vorgaukelt?), nur, damit sie nicht haftbar gemacht werden können.
Jeder windet sich, wie Aal und schiebt alle Verantwortung von sich. Erinnert mich an "keine Tiere in der Mikrowelle trocknen!".

Wenn man nicht jegliches Risiko für den DAU absichern müsste bzw. der "gesunde Menschenverstand" noch was gelten würde, wäre allen geholfen.

Leider will man ja auch an den Facharbeitern oder angelernten Kräften sparen und da müssen die Maschinen/Anlagen von jedem dusseligen Leiharbeiter, Studenten, Praktikanten bedient werden, ohne, dass ihnen was passieren kann. Was soll das?

Es geht ja auch nicht darum "ein paar Euro zu sparen". Aber man steht halt im Wettbewerb und wenn man >100 Einheiten einer Maschine pro Jahr baut, lohnt sich die Diskussion, ober eine Sicherheitslichtschranke für 500€ nicht eingespart werden könnte.

Dieses ganze Thema Sicherheitstechnik mit Risikoanalyse und -beurteilung ist ja eigentlich aufgekommen, weil Hersteller Sicherheiten eingespart haben, wo sie eigentlich nötig gewesen wären (gesunder Menschenverstand). Deswegen hat man angefangen, mit Hilfe von stochastischen Berechnungen, Risiken zu bewerten. Das wird wiederum heruntergebrochen in Performance Level, damit der einfache Konstrukteur, der halt keine Mathevorlesung besucht oder QM gelernt hat, damit arbeiten kann.
Das wird Alles wieder nur genutzt, damit man sagen kann, wenn was passiert ist: Ich habe aber die und die Zahlen eingehalten.
Aber eigentlich ist ja die Intention die, dass man möchte, dass sich ein Hersteller mit den Risiken der eigenen Anlage auseinandersetzt.

Mich nerven dabei eigentlich diese beiden Gruppen:
Gruppe 1: Es darf nichts kosten. Wir müssen unseren Gewinn steigern. Hauptsache es funktioniert und bekommt eine Abnahme. => keine Gedanken zum Risiko bzw. den Gefahren, sondern zum Gewinn.
Gruppe 2: Lieber etwas zuviel Sicherheit, als zu wenig. In der Norm XY ist dies aber Vorgabe. Die SISTEMA-Berechnung egibt, dass wir den geforderten PL nicht erreichen. => keine Gedanken zum Risiko bzw. den Gefahren, sondern zur Abwehr der eigenen Haftbarkeit.

Die Gruppe 1 wollte man erreichen und Maschinen/Anlagen sicherer gestalten. Die Gruppe 2 wollte man nicht erzeugen, aber sie entsteht naturgemäß, wenn man Vorgaben macht. Sie ruhen sich einfach darauf aus.

Ach ... das ist einfach wieder zu viel Text geworden. Und bitte nicht alles auf die Goldwaage legen. Habe vielleicht auch etwas das Thema verfehlt, aber das wollte ich mal loswerden.

VG

MFreiberger
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich gebe dir Recht, Spaß macht das Thema nicht immer und ob am Ende nicht viel zu viel rauskommt ist auch fraglich. Leider ist aber die Haftbarkeit ein großes Thema und eines, was die Existenz eines Unternehmens kosten und Freiheitsstrafen nach sich ziehen kann. In meinen Augen ist das Thema Sicherheit grundsätzlich erst mal richtig. Leider ist nämlich mit dem gesunden Menschenverstand nicht zu rechnen. Man sieht in der Praxis einfach ständig absolut haarsträubende Dinge. Aufgrund der vielen Unfälle sind wir heute da wo wir sind und das ist eigentlich ganz gut so.
Leider sind auch die sog. hochrangigen Ingenieure teilweise so nachlässig und werfen mit so unfassbar dämlichen Aussagen um sich wie : "Fahrrad fahren ist auch gefährlich". "Das Leben ist nun mal gefährlich". Man darf ja auch an der Tanke Benzin holen ohne Schulung usw usw.
Ich komm dann gerne mit dem Argument:
"Wissen Sie was HerrKonstrukteur, Sie allein dürfen das entscheiden und tragen die Verantwortung. Sie sitzen vor Gericht und müssen dem Richter das erzählen. Wenn Sie also sagen, da muss kein Sensor rein, dann ist das doch toll!

Dabei rede ich nicht davon Dinge einzubauen die einfach noch mehr und noch mehr Sicherheit obendrauf packen, sondern von den absoluten Mindeststandards die man haben muss. Auch da wird schon oft genug drüber diskutiert.

Beim Thema Geldmacherei bin ich immer ein bisschen geteilter Meinung. Klar, die Industrie will Geld verdienen. Am liebsten viel. Somit gibt es die tollsten Dinge auf dem Markt und vermutlich wird einem auch oft suggeriert, dass man all das bräuchte, und nur das!
Andererseits bin ich immer froh, wenn ich ein etwas teureres aber genormtes Sicherheitsteil eines Herstellers nehmen kann, auf den ich im Zweifel mit dem Finger zeigen kann. Bsp. 2-Hand Bedienung. Ist doch toll, dass es da fertige Module mit PLx gibt.
MFreiberger schrieb:
Aber eigentlich ist ja die Intention die, dass man möchte, dass sich ein Hersteller mit den Risiken der eigenen Anlage auseinandersetzt.
Zum Vergrößern anklicken....
Genau das ist der Punkt. Ohne dieses Wissen diskutiert man mit Ahnungslosen auf ausweglosem Level. Wenn ein Konstrukteur dieses Norm-System nicht versteht, dann ist in seinen Augen immer alles vollkommen übertrieben. Daran erkennt man den Laien auch ganz schnell.
Den 1. Fehler, den die meisten Ahnungslosen machen, ist immer das Wahrscheinlichkeits-Argument.
"Wie groß ist die Wahrscheinlichkeit, dass das passiert..:?"
"Da ist die Wahrscheinlichkeit vom Blitz getroffen werden ja höher....."
Genau da liegt der Fehler! Die Risikobetrachtung fängt nämlich bei den Folgen eines Unfalls an. Die Eintrittswahrscheinlichkeit spielt hier nur die 2.Geige!

Nun verstricken wir uns aber wieder in der Philosophie und dem Sinn und Zweck. Man müsste die Diskussion bei einem kühlen Glas Bier in entsprechender Sicherheits-Stammtisch Gruppe verlagern.


VG
 
Danke für die hilfreiche Diskussion!
Die Funktionen des Geräts sind bei uns aufgeteilt, ich habe noch keinen vollständigen Einblick in die technischen Konstruktionspläne der anderen Kollegen, auf den Grund würde ich nicht näher eingehen ;), es gibt wie gesagt eine klare Aufgabenverteilung. Für mich gehören ALLE Ventile in die Sicherheitsbewertung, denn wenn man die Ölzufuhr vorne wegnimmt, kann sich der Schieber aus irgend einem Grund doch bewegen, sei es das übrigre Öl in Zylindern, das zurückfließt... Aber ich lasse mich nochmals von den Leuten erklären, die ihre Pläne entwickeln und kennen.
Am Ende habe ich den Verdacht, dass man sich die Papierarbeit ersparen möchte. Anstatt die 30 Sicherheitsfunktionen zu dokumentieren, wirft man alle Elemente in einen Topf, bis auf die Endventile, so dass keine lange Kette entsteht und Abwertung von PL droht.
@SPSAlex83 ich gebe dir volle Zustimmung, was das Thema Gericht angeht. Ich bin immer der Meinung: du investierst ein bisschen in die Konstruktion und Dokumentation/Papierarbeit -ist heutzutage sowieso viel verlangt - damit ersparst du dir viel Ärger, wenn es etwas passiert und vors Gericht kommt. Es macht schon einen großen Unterschied, wenn der Richter/Gutachter feststellt: "Die haben sich Gedanken über das Problem gemacht und versucht dies zu lösen. Über die Bewertung/Umsetzung kann man diskutieren" oder "das Thema taugt nirgends auf/ wird völlig außen vorgelassen".

Grüße
 
ich probiere einen neuen Ansatz (zumindest meine ich, dass er bei dieser Diskussion neu ist ;))
Gehe mal von der Gefahr aus:
du hast eine Gefahr, die möchtest du mit einer Funktion (z.B. keine Bewegung mehr) absichern.
wenn du die Hydraulik raus nimmst ist die Gefahr weg (hydraulische Vorsteuerventil abgeschaltet), und
wenn du die Versorgungsspannung wegschaltest ist die Gefahr weg (Voraussetzung hier gehen die dementsprechenden Bauteile in die richtige Stellung)
So, wenn nun eins von beiden versagt, funktioniert der andere Pfad noch. das heißt z.B., das wegschalten der Versorgungsspannung funktioniert nicht mehr, dann schaltet aber das Vorsteuerventil. wichtig hierbei ist, das beide Abschaltpfade für sich das gewünschte Ergebnis liefern (z.B. Gefahrbringende Bewegung ausreichend verhindert)
nun geht es an die Fehlererkennung.
du müsstest auf irgendeinen Weg erkennen, ob das Vorsteuerventil auch wegschaltet (vielleicht durch den Prozess oder durch Stellungsüberwachung) und
du müsstest auf irgendeinen Weg erkennen, das das Wegschalten der Versorgungsspannung funktioniert.(z.B. Rückmeldekontakte eines Relais oder Schützes)
so würdest du (meiner Meinung nach und natürlich mit den richtig ausgewählten BAuteilen) einen hohen PL erreichen können und die nachfolgenden Ventile sind nicht nötig zu betrachten
 
Zuviel Werbung?
-> Hier kostenlos registrieren
stevenn schrieb:
nun geht es an die Fehlererkennung.
du müsstest auf irgendeinen Weg erkennen, ob das Vorsteuerventil auch wegschaltet (vielleicht durch den Prozess oder durch Stellungsüberwachung) und
du müsstest auf irgendeinen Weg erkennen, das das Wegschalten der Versorgungsspannung funktioniert.(z.B. Rückmeldekontakte eines Relais oder Schützes)
so würdest du (meiner Meinung nach und natürlich mit den richtig ausgewählten BAuteilen) einen hohen PL erreichen können und die nachfolgenden Ventile sind nicht nötig zu betrachten
Zum Vergrößern anklicken....
Meiner Meinung nach kann es genauso funktionieren
bl2310 schrieb:
Für mich gehören ALLE Ventile in die Sicherheitsbewertung, denn wenn man die Ölzufuhr vorne wegnimmt, kann sich der Schieber aus irgend einem Grund doch bewegen, sei es das übrigre Öl in Zylindern, das zurückfließt..
Zum Vergrößern anklicken....
Es müssen nicht unbedingt alle Ventile betrachtet werden. Es reicht diejenigen zu wählen, welche ausreichend sind das vorhandene Risiko sicher zu minimieren. Und wenn die Wegnahme der Steuerspannungen des Vorsteuerventils und des Hauptventils ausreichend ist die Ölzufuhr zum Zylinder sicher zu unterbinden reicht das auch (zumindest wenn man eine vernünftige Fehlererkennung installiert).
Was noch zu betrachten wäre, ist dass der hydraulische Pfad zum Rücklauf offen wäre, so dass ein möglicherweise vorhandener Restdruck sicher abgebaut werden kann. Dies kann man jedoch in einer weiteren Sicherheitsfunktion betrachten.

Grüße
Manfred
 
formulator schrieb:
Meiner Meinung nach kann es genauso funktionieren

Es müssen nicht unbedingt alle Ventile betrachtet werden. Es reicht diejenigen zu wählen, welche ausreichend sind das vorhandene Risiko sicher zu minimieren. Und wenn die Wegnahme der Steuerspannungen des Vorsteuerventils und des Hauptventils ausreichend ist die Ölzufuhr zum Zylinder sicher zu unterbinden reicht das auch (zumindest wenn man eine vernünftige Fehlererkennung installiert).
Zum Vergrößern anklicken....
Wir zwei sind uns schon mal einig ;)
formulator schrieb:
Was noch zu betrachten wäre, ist dass der hydraulische Pfad zum Rücklauf offen wäre, so dass ein möglicherweise vorhandener Restdruck sicher abgebaut werden kann. Dies kann man jedoch in einer weiteren Sicherheitsfunktion betrachten.

Grüße
Manfred
Zum Vergrößern anklicken....
genau, kommt z.B. auf das Volumen an, ist oft nicht zu vernachlässigen
 

Similar threads

F
EN 13849 / Kat. 3 - Einfehlersicherheit, bei dem der redundante Kanal nur im Fehlerfall benutzt wird
2
Antworten
28
Aufrufe
20K
SPSAlex83
S
Safety
Beispiel 13849-1 Verpackungsmaschine Teil 1
Antworten
1
Aufrufe
12K
Safety
Safety
P
Einarbeitung Sistema
Antworten
1
Aufrufe
6K
Safety
Safety
Zurück
Oben