# DC mit Standardbauteilen



## safety_PL (4 März 2020)

Hallo zusammen,

ich hatte gerade eine Diskussion bezgl. einer Überwachung mit Standardbauteilen im Kategorie 3 System. Es gibt ein Ventil, welches von zwei Standardbauteilen überwacht werden soll um mit Kreuzvergleich/Plausibilisierung der Signale auf den DC 90% zu kommen. 

Das erste Signal soll von einer CAN-Bus Ansteuerung kommen, die Rückgelesen wird und so Informationen über die Position des Ventils liefert. Hier gibt es keine Zertifizierung des Bauteils und es wird auch kein CAN Safe Protokoll verwendet.
Das zweite Signal soll von einem Standard-Drucksensor mit anaolgem Ausgang kommen, ebenfalls ohne Zertifizierung und die beiden Signale werden über die PLC miteinander verglichen und auf Plausibilität geprüft.

Soweit so gut. In der ISO 13849-2 gibt es ja auch ein Beispiel im Anhang E bei dem Sensoren für den DC verwendet werden ohne das die Sicherheitsprinzipien etc. eingehalten werden. 
Wir sind uns jetzt aber etwas uneinig was die Software im CAN betrifft. Die Sensoren im Beispiel haben alle kein digitales Signal sondern sind analog bzw. haben einen festen Schaltpunkt. 
Wie ist es denn jetzt aber wenn wir digitale Signale haben, müssen wir uns hier die Bestätigung einholen das die Software der CAN-Ansteuerung konform nach ISO 13849 programmiert wurde oder nicht? Oder ist es für eine DC-Überwachung egal wie die Software aussieht, solange es Angaben zu Fehlerzuständen/-reaktionen gibt?

Ich würde mich über Erfahrungsberichte oder konkrete Hinweise freuen wie wir hier vorgehen sollten.


----------



## SafetyRookie (6 März 2020)

Hallo Safety_pl,

nach ISO 13849-1:2015; 3.1.1 sicherheitsbezogenes Teil einer Steuerung  Anmerkung 2: "Werden Überwachungssysteme zur Diagnose verwendet, werden  sie wie SRP/CS behandelt."  
Deshalb solltest du schon Druck- und Positionsschalter verwenden die  Sicherheitsprinzipien der ISO 13849-2 erfüllen. Bei SMC oder Aventics  sind die Diagnosebauteile nach grundlegenden Sicherheitsprinzipien  validiert. Die Qualität der Teilnehmer ist hier wichtig, damit keine  Informationen verloren gehen wenn ein einfaches Bauteil genommen wird.

CAN Bus ist meiner Meinung nach für so eine Sicherheitsanwendung nicht  empfehlenswert, weil es nicht deterministisch ist also nicht geeignet  für dynamische Überwachung wie in deinem Fall.
Telegramme kommen nicht in gleichen Zeitabständen an dem Master. Die  Reaktionszeit erhöht sich und das kann dazu führen das ein Ventil in der  Zeit schaltet und eventuell es zu einer gefahrbringenden Situation  kommt.

Es empfiehlt sich auch die Bewertung der Diagnose in F-Teil der  Programmierung durchführen zu lassen. Die Ergebenisse der Überwachung  können somit nicht durch Standardsignale überschrieben werden.

Ich hoffe das war hilfreich.

Viele Grüße


----------



## Safety (7 März 2020)

Hallo, die Anmerkung in der Begriffsbestimmung 3.1.1. der DIN EN ISO 13849-1 ist für viele schwer zu verstehen bzw. gibt die Norm auch dazu nichts weiter an.
Zur Erklärung sehe Dir den IFA Report an:
https://www.dguv.de/ifa/publikationen/reports-download/reports-2017/ifa-report-2-2017/index.jsp
Abschnitt 6.2.14
Es werden die Basis-Anforderungen an Kategorie B gefordert man kann davon aber auch abweichen.


----------



## safety_PL (9 März 2020)

Danke für die Hinweise,

mit den Texten ist die Anmerkung dann auch etwas klarer. Dann verstehe ich aber umso mehr nicht warum in dem Beispiel E der Norm die Grundlegenden Sicherheitsprinzipien nicht eingehalten werden müssen.  




Das beißt sich doch mit der vorigen Aussage der Norm, oder nicht?


----------



## s_kraut (13 Juli 2021)

Ist jetzt schon eine Zeit her, aber ich war auch auf der Suche nach diesem Phantom Güte der Diagnoseeinrichtung.
@Safety fordert Kat b, bin ich dabei. Wenn was sicher sein soll, dann sollte man die grundlegenden Sicherheitsprinzipien einhalten.

Mein Leserbrief im Frühjahr an eine Fachzeitschrift mit der Kernfrage:

_[...]Der Diagnosekanal muss dabei nicht in der gleichen Güte (SIL) ausgeführt sein, wie die eigentliche Sicherheitsfunktion. Leider habe ich über die Anforderungen an die Diagnosefunktionen bisher in den Normen recht wenig gefunden. Gibt es denn überhaupt formelle Anforderungen an deren Ausführung?[...]_​​wurde noch nicht veröffentlicht aber immerhin per Mail beantwortet:

Antwort Mail 1 ging kurz auf auf DIN EN 60204-1 und dann ausführlich über zwei Seiten und DIN EN 60947-5-1 (VDE 0660-200):2018-03, Anhang L ein. Fazit: Spiegelkontakte/Zwangsgeführte Kontakte/Hilfsschaltblöcke gehen als Diagnoseeinrichtung.

Kennen wir ja alle aus den Schaltungsbeispielen aus den Sicherheitshandbüchern...Öffnerkontakt beider Hauptschütze in Reihe geschaltet bilden den Diagnosekanal, es wird verriegelt dass wieder eingeschaltet werden kann, wenn einer der beiden Schütze kleben geblieben ist.

Hab dann nochmal nachgehakt dass die Rückmeldung von Schützen nur einen Teil aller Diagnoseeinrichtungen ausmacht und dass auch Feldgeräte, z.B. Kugelhähne Rückmeldekontakte haben können. Teils Namur, teils mechanische Wechslerkontakte, teils PNP....teils gar nichts. Indirekte Rückführung über Druckschalter/Durchflussmelder kann man auch aufbauen..

Antwort Mail 2 meinte dass auch nach Recherche keine näheren normativen Vorgaben zu finden seien und dass das die anwendungsspezifische Risikobewertung ergeben müsse.

Hier noch ein Link mit einer Untersuchung mit dem Thema "Durchführung einer Studie und Erstellung einer Methode zum Nachweis des "Safety Integrity Level (SIL)"; mitunter Ziel: Felddaten gewinnen.





						LANUV
					

Informationsangebot des Landesumweltamtes NRW zu Tätigkeiten des Arbeitsbereichs Anlagensicherheit




					www.lanuv.nrw.de


----------



## s_kraut (18 Juli 2021)

Safety schrieb:


> Hallo, die Anmerkung in der Begriffsbestimmung 3.1.1. der DIN EN ISO 13849-1 ist für viele schwer zu verstehen bzw. gibt die Norm auch dazu nichts weiter an.
> Zur Erklärung sehe Dir den IFA Report an:
> https://www.dguv.de/ifa/publikationen/reports-download/reports-2017/ifa-report-2-2017/index.jsp
> Abschnitt 6.2.14
> Es werden die Basis-Anforderungen an Kategorie B gefordert man kann davon aber auch abweichen.


Bin mit dem Report noch nicht durch, aber
Systeme <= Kat 1 brauchen per Form keinen DC.
Systeme in Kat2 fordern, dass der MTTFd für die Diagnoseeinrichtung nicht schlechter als MTTFd/2 von der SF sein soll.
Für Kat >3 gibt es wieder keine explizite Forderung, aber der IFA-Report schlägt vor, dass man die Kat 2-Forderung als Richtschnur hernehmen kann.


----------



## Elektriko (6 Juli 2022)

Hallo,
ich habe es noch nicht klar.... Müssen Überwachungssysteme zur Diagnose (Schütze Rückführkreis, Ventil Stellabfrage Sensoren) an F-SPS angechlossen werden, oder reicht mit Standards-SPS.
Dokumentation wäre es auch hilfreich.
Danke und Grüße


----------



## s_kraut (6 Juli 2022)

Hi
weil Du es bist!





						SIOS
					






					support.industry.siemens.com
				



VG


----------



## Elektriko (6 Juli 2022)

🤣Danke Dir.

Ja, gibt es auch ein Dokument von Siemens mit Schützen und den Rückführkreis an einer Standard SPS angeschlossen, aber in welcher Norm steht, dass die Überwachung bzw. Rückführkreis können an Standards-SPS angeschlossen werden, und trotzdem ein PLd/e bekommen? Ich habe es nicht gefunden 

Viele Grüße


----------



## s_kraut (6 Juli 2022)

Kann ich dir grad leider auch nicht sagen, aber ist eine leidige Diskussion.

Wahrscheinlich kann man mit FSPS ein deutlich höheren DC erreichen weil sie verschiedene Kabelfehler erkennen kann.

Mein Dafürhalten: es ist eine Diagnosefunktion und keine Sicherheitsfunktion.


----------



## Elektriko (6 Juli 2022)

Normalerweise verkabeln wir diese Signalen trotzdem an F-SPS, aber manche Kunden möchten sie an Standard SPS verkabeln, weil sie trotzdem gleich PL erreichen.
In Sistema den DC-Wert ist gleich weil man kein Unterschied zwischen F-SPS oder Standard SPS macht (ich spreche nur über den DC), aber ja, muss wie du sagst sein, der DC muss sowieso höher sein.
Gruß


----------



## MasterOhh (6 Juli 2022)

Laut dem TwinSAFE Applikationshandbuch kann mit EDM Signalen auf Standard-SPS Eingängen ein DC von 99% erreicht werden, wenn alle Schaltflanken überwacht werden und die Testhäufigkeit höher als die Anforderungsrate ist. Wobei ich da auch immer das Gefühl habe, dass sich die Experten gerne mal die Werte einfach so aus den Hut ziehen. Es gibt in dem Beispiel natürlich keine Erläuterung warum eine Testrate von 10x Anforderungsrate aus einem DC 90% einen DC 99% macht.  

Ich bin (Kraft meiner Wassersuppe) der Meinung, das die Wahrscheinlichkeit, dass ein elektrisch defekter Testeingang zufällig die richtige Signalfolge im zulässigen Zeitfenster liefert, und damit einen defekten Aktor maskiert, doch sehr sehr gering ist.


----------



## s_kraut (6 Juli 2022)

MasterOhh schrieb:


> Laut dem TwinSAFE Applikationshandbuch kann mit EDM Signalen auf Standard-SPS Eingängen ein DC von 99% erreicht werden, wenn alle Schaltflanken überwacht werden und die Testhäufigkeit höher als die Anforderungsrate ist. Wobei ich da auch immer das Gefühl habe, dass sich die Experten gerne mal die Werte einfach so aus den Hut ziehen. Es gibt in dem Beispiel natürlich keine Erläuterung warum eine Testrate von 10x Anforderungsrate aus einem DC 90% einen DC 99% macht.
> 
> Ich bin (Kraft meiner Wassersuppe) der Meinung, das die Wahrscheinlichkeit, dass ein elektrisch defekter Testeingang zufällig die richtige Signalfolge im zulässigen Zeitfenster liefert, und damit einen defekten Aktor maskiert, doch sehr sehr gering ist.


Ja gib ich dir Recht und da bist du nicht der Einzige.

Und andersrum gesagt: wenn 10 mal mehr Fehler erkannt werden, dann wird aus DC90 ein DC99. Reine Stochastik.

Abgesehen davon, sind wir jetzt schon recht nah bei den Lotto-Spielern.
Besser gescheit die Anforderung kennen und dazu passend ordentlich auslegen. Das ist schon mal die halbe Miete.
Alles besser als Wahrscheinlichkeiten wetten und hoffen!


----------



## Heinileini (7 Juli 2022)

MasterOhh schrieb:


> Wobei ich da auch immer das Gefühl habe, dass sich die Experten gerne mal die Werte einfach so aus den Hut ziehen.


Das wäre unseriös. Besser, man zieht eine Formel unbekannter Herkunft aus dem Hut und kann damit präzise den Unterschied berechnen.


MasterOhh schrieb:


> Es gibt in dem Beispiel natürlich keine Erläuterung warum eine Testrate von 10x Anforderungsrate aus einem DC 90% einen DC 99% macht.


Der Divisor 10 bzw. der Faktor 1/10 springt einem hier ja förmlich ins Auge, so dass sich eigentlich niemand trauen dürfte, daran zu zweifeln!

90 = 10² - (√(1²) * √(10²)) / *1* und 
99 = 10² - (√(1²) * √(10²)) / *10*.  
Oder hat da doch jemand rumgestochat ... ganz hastik?


----------



## MasterOhh (8 Juli 2022)

Argh Mathe! Mein alter Erzfeind!


----------



## s_kraut (8 Juli 2022)

Mathe dein Freund und Helfer! Und das geht um 22 Uhr.


----------



## PeterK1981 (8 Juli 2022)

Elektriko schrieb:


> 🤣Danke Dir.
> 
> Ja, gibt es auch ein Dokument von Siemens mit Schützen und den Rückführkreis an einer Standard SPS angeschlossen, aber in welcher Norm steht, dass die Überwachung bzw. Rückführkreis können an Standards-SPS angeschlossen werden, und trotzdem ein PLd/e bekommen? Ich habe es nicht gefunden
> 
> Viele Grüße


Es scheint tatsächlich in der Norm nicht so 100 Prozent festgelegt zu sein, bzw. es gibt hier einen Interpretationsspielraum.
Die allermeisten Kollegen gehen davon aus, dass der Rückführkreis auf eine Standard-SPS geführt werden kann. Im Bereich von UL (auch die wenden die ISO 13849-1 an) geht man davon aus, dass dies nicht zulässig ist.
Hat man also vor, für seine Anlage ein UL Listing zu bekommen, sollte die Rückführung auf eine sichere SPS gelegt werden.


----------



## marscho (8 Juli 2022)

PeterK1981 schrieb:


> Hat man also vor, für seine Anlage ein UL Listing zu bekommen, sollte die Rückführung auf eine sichere SPS gelegt werden.


Und genau sowas ist der Grund, warum ich in der Regel *empfehle*, Rückführkreise auf sichere Eingänge zu legen (ich rede jetzt mal von Einzelstückfertigung, bei kompletten Serienfertigungen mag der Anreiz hier größer sein). Was bringt mir die Einsparung, die ich an sicheren Eingängen habe, wenn bei jeder dritten Anlage die Programmierer beim Kunden sitzen und dann rumdiskutiert wird?

Nebenbei bemerkt, auch wenns albern klingt: Meiner Erfahrung nach machen viele Programmierer mit sicherheitsrelevanten Signalen auf Standard-Eingängen alles mögliche, aber oft nicht das, was sie sollen.

Ähnliches *empfehle *ich im Übrigen bei Quittiereinrichtungen, aus sehr ähnlichen Gründen.


----------



## Profilator (24 Juli 2022)

Zum Thema Rückführung (in Kat 3 Systemen) auf Standard-SPS

Dazu habe ich auf einem Seminar, das von einem Mitarbeiter des IFA durchgeführt wurde, folgende Antwort erhalten:
Ja, das ist erlaubt.
Begründung: Kat 3 muß einfehlersicher sein, d.h. EIN Fehler darf nicht zum Ausfall der SIFU führen.
Szenario 1: Ein Rückführkreis versagt, dies wird nicht erkannt. Beide Abschaltpfade arbeiten weiter fehlerfrei.
Szenario 2: Ein Rückführkreis versagt, dies wird nicht erkannt. Plus ein Abschaltpfad versagt (der mit dem defekten Rückführkreis zusammenwirkende), Abschaltpfad 2 arbeiten weiter fehlerfrei.
Fazit: ein Fehler bei 1) und 2 Fehler bei 2) führen nicht zum Ausfall der SIFU. 

Und er sagte auch, das sie beim Prüfen von SIFUS der Kat3 einen Fehler simulieren/herbeiführen. Wenn die SIFU dann noch abschaltet ist das ok. Es wird dann nicht noch zusätzlich ein zweiter Fehler erzeugt. Denn, siehe oben, die SIFU muß einem Fehler Standhalten, nicht mehreren.

MfG


----------



## s_kraut (24 Juli 2022)

Profilator schrieb:


> Zum Thema Rückführung (in Kat 3 Systemen) auf Standard-SPS
> 
> Dazu habe ich auf einem Seminar, das von einem Mitarbeiter des IFA durchgeführt wurde, folgende Antwort erhalten:
> Ja, das ist erlaubt.
> ...


Ja, es wird oft propagiert dass zum Testen Fehler herbeigeführt werden sollen.

Mein Dagegenhalten: Die Schaltung und die Bauteile werden dadurch nicht besser wenn man sie fehlerhaft beschaltet.
Im dümmsten Fall bleibt eine Fehlbeschaltung bestehen.
Die Sicherheitsschaltgeräte durchlaufen zwangsläufig eine Fertigungsendprüfung und funktionieren genau so sie beschrieben.
Davon darf man ausgehen. Darum mein Dafürhalten: So einbauen wie im Handbuch beschrieben, Verdrahtung bis zum Sensor prüfen, alle Sensoren auslösen, Quittierfunktion prüfen, Verhalten bei Spannungswiederkehr prüfen um Gut- und Schlechtzustand.

Und dann geht das Ding. Jährlich wiederkehrend die Verschleissteile prüfen.

Durch Ab- An- Um-Verdrahtung werden die Kontaktelemente nicht besser!


----------

