# PL oder SIL1 über PNIO Ventilinsel ohne Profisafe



## ducati (18 November 2022)

Würde man mit einer "normalen" Ventilinsel über PNIO SIL1 erreichen können?

Also folgender Aufbau:
2 kanaliger Notaustaster-> F-DI-Karte->F-CPU->F-Programm->PNIO-Ventilinsel->Ventil

Also mir gehts um die PNIO-Ventilinsel, welche dann in der SPS keine F-Ausgänge besitzt, Aber trotzdem über die F-Software angesteuert wird.

Danke 🤔


----------



## Tommi (18 November 2022)

SIL 1 ist kompatibel zu PL b oder PLc.

PLb würde meiner Meinung nach gehen.
PLc nicht, da brauchst Du bewährte Bauteile, und die Elektronik
der Ventilinsel ist wahrscheinlich keins...
Die Ventile als solche wahrscheinlich schon.
Hersteller fragen.


----------



## Blockmove (18 November 2022)

Ist ne grenzwertige Sache. Ich würd's nicht machen.
Ich sehe auch so wie Tommi ... Max. PLb mit viel guten Willen.


----------



## ducati (18 November 2022)

Seh ich auch so. Hab da auch Bauchschmerzen. Muss ich mal versuchen, dem Anlagenbauer zu erklären, das die da an der Grenze zu Grobem Unfug agieren...
Hab mal den Hersteller der Ventilinsel angeschrieben.
Aber im F-Programm ists halt schon grenzwertig, dort normale Ausgänge zu verschalten...


----------



## Elektriko (18 November 2022)

Kannst Du die Insel nicht sicher abschalten?


----------



## ducati (18 November 2022)

Elektriko schrieb:


> Kannst Du die Insel nicht sicher abschalten?


Das würde ich so machen, wenn ichs geplant hätte. Bin aber in dem Fall nur Programmierer für ne externe Firma...
Soll halt 150 Signale im F-Teil programmieren, wovon aber nur 10 fehlersicher sind...


----------



## ducati (18 November 2022)

Tommi schrieb:


> SIL 1 ist kompatibel zu PL b oder PLc.
> 
> PLb würde meiner Meinung nach gehen.


würde man dann PLb im F-Teil oder im normalen Teil programmieren?


----------



## s_kraut (18 November 2022)

ducati schrieb:


> würde man dann PLb im F-Teil oder im normalen Teil programmieren?


nenene ... PLb fällt auch schon in den SIL1 rein und da ist nichts grau.
Das ist gelb. Oder bewährte Hardware.

Es gibt regelmäßig wiederkehrend Bestrebungen aus dem Werkzeugmaschinenbau, PLb und c auch mit Standard-SPS abbilden zu können.
Ich persönlich finde das seriös, es liegt in der Herstellerverantwortung. Wenn da Prozesse existieren und eingehalten werden wie es zur Software kommt und wie diese hinreichend unabhängig verifiziert wird und die Prozesse hinreichend unabhängig überwacht werden, wird es unvorstellbar ein Problem geben. Sind wir ehrlich. Es sind dann 60% systematische Fehler umgangen: fehlerhafte oder mangelnde Spezifikation.

Software altert nicht. Sie funktioniert wie sie es soll - was zu verifizieren ist - oder sie funktioniert halt nicht. Zufällige Fehler darf man heute als unwahrscheinlich behandeln.

Daher warum nicht gesunde und durchgetestete Systeme nach z.B. 10^5 Betriebsstunden als bewährt ansehen - solange man nichts dran ändert.

DGUV mauert massiv dagegen denkt wie bisher bewährt rückwärts bewertend.


----------



## s_kraut (18 November 2022)

ducati schrieb:


> Das würde ich so machen, wenn ichs geplant hätte. Bin aber in dem Fall nur Programmierer für ne externe Firma...
> Soll halt 150 Signale im F-Teil programmieren, wovon aber nur 10 fehlersicher sind...


Sorry hatte ich überlesen.

Wenn es dein Job ist das so und so zu programmieren, dann sollst du es halt so machen. 

Dann gilt es halt für dich dass du die Spezifikationen einhältst (und dass solltest du im eigenen Interesse dokumentieren) und wenn die Spezifikation falsch oder lückenhaft ist, dann bist du vorhersehbar nicht derjenige der das aufdecken kann.

Wenn da Dinge aufstoßen wie dass die Hardware nicht dem SIL taugt, dann nach dem Telefonat noch ein Mail setzen. Ball hochspielen.

In der Regel sind die Gefängnisse nicht voll Programmierer. Der Richter kennt sich mit Software eben so wenig aus wie der Staatsanwalt. Die schauen im ersten Ansatz beim Betreiber.


----------



## Blockmove (18 November 2022)

Wenn du es im F-Teil programmierst, dann hast du natürlich eine sichere Programmausführung.
Doppelter Code, Inverse Logik. Das ist sicher ein Vorteil.
Vielleicht kannst du FDBACK zur Ansteuerung verwenden. 

Ich bin mir zwar sicher, dass es funktionieren wird und auch sicher wäre, aber ich hab keine Ahnung wie man es in der Sistema rechnen kann oder sonst den Nachweis bringen kann.


----------



## ducati (19 November 2022)

Blockmove schrieb:


> Wenn du es im F-Teil programmierst, dann hast du natürlich eine sichere Programmausführung.
> Doppelter Code, Inverse Logik. Das ist sicher ein Vorteil.
> Vielleicht kannst du FDBACK zur Ansteuerung verwenden.
> 
> Ich bin mir zwar sicher, dass es funktionieren wird und auch sicher wäre, aber ich hab keine Ahnung wie man es in der Sistema rechnen kann oder sonst den Nachweis bringen kann.


Wenn das alles im F-Teil ist, erschwert das aber ungemein das Händling bei Inbetriebnahme und auch danach...
Sind halt auch Messwerte die auf ner normalen AI Karte liegen mit Abschaltgrenzen für diese Ventile. Da muss man sicherlich zumindest in den ersten Wochen immer mal an den Grenzen ändern und das wäre halt unschön im F-Teil mit CPU-Stopp und neuer F-Checksumme und neuer F-Prüfung...

Die Ventile haben keine Rückmeldung und keine Endlagenschalter...

Achso, es sind auch noch diverse Ventile dabei, die zwar stromlos druckluftlos geschlossen sind, aber bei Notaus öffnen sollen.

Also das ganze wär meiner Meinung alles nur erlaubt, wenn es höchstens PLb wäre (untere SIL1) und dann müsste man es aber nicht zwingend im F-Teil programmieren. Also wie gesagt, die einzigen fehlersicheren Bauteile der Anlage sind die Notaustaster. Alle anderen Sensoren und Aktoren sind erstmal nicht fehlersicher. 
Also daher die Frage, ob man das alles im normalen SPS Teil programmiert, weils eh höchstens PLb ist.


----------



## ducati (19 November 2022)

Blockmove schrieb:


> Wenn du es im F-Teil programmierst, dann hast du natürlich eine sichere Programmausführung.
> Doppelter Code, Inverse Logik.


Also ich verwende nen normalen DO im F-Teil. Im blödesten Fall, beschreibt den DO aber dann später nochmal jemand im normalen OB1 Programm... Das ist doch nie im Leben safe...

Hab mir schon überlegt, die Ventilinseln in nen eigenes Teilprozessabbild zu legen, welches nur dem F-OB zugeordnet ist. Dann geht zumindest mal ne einfache DO Beschaltung im OB1 nicht mehr raus. Wenn ich aber im OB1 dann ne 256 ins AB1000: P schicke, gehts vermutlich trotzdem raus.

Obs das sicherer macht, keine Ahnung.


----------



## ducati (19 November 2022)

s_kraut schrieb:


> Wenn es dein Job ist das so und so zu programmieren, dann sollst du es halt so machen.
> 
> Dann gilt es halt für dich dass du die Spezifikationen einhältst (und dass solltest du im eigenen Interesse dokumentieren)


Wie dokumentierst Du denn solche ungereimten Problemfälle?
Man könnte ja diverse E-Mails abspeichern... Aber wie machst Du das bei nem Arbeitgeberwechsel? Dann müsstest die E-Mails mit nach Hause nehmen und 30 Jahre aufbewahren?

Im blödesten Fall kommt es in 10 Jahren zu nem Unfall und ich muss in 12 Jahren vor Gericht nachweisen, dass ich damals schon drauf hingewiesen hab, dass es grober Unfug ist, ich den Unfug aber auf Anweisung trotzdem programmiert habe?

Und wer darf mich anweisen, Unfug zu programmieren? Mein Chef oder auch der Kunde...

Keine Ahnung, in der Praxis ist das alles ziemlich kompliziert, wenn man anfängt drüber nachzudenken..


----------



## Blockmove (19 November 2022)

ducati schrieb:


> Wenn das alles im F-Teil ist, erschwert das aber ungemein das Händling bei Inbetriebnahme und auch danach...
> Sind halt auch Messwerte die auf ner normalen AI Karte liegen mit Abschaltgrenzen für diese Ventile. Da muss man sicherlich zumindest in den ersten Wochen immer mal an den Grenzen ändern und das wäre halt unschön im F-Teil mit CPU-Stopp und neuer F-Checksumme und neuer F-Prüfung...
> 
> Die Ventile haben keine Rückmeldung und keine Endlagenschalter...
> ...



Wenn letztlich nur der Not-Halt auf Safety geht und der Rest der Sensorik und Aktorik Standard-IO ist, dann kannst du den Not-Halt auch noch im Standard-Programm auswerten  😜.

Mal nen anderen Vorschlag:
Sicheres Abschalten der Haupt-und / oder Steuerluft.
Bei den meisten Ventilinseln kann man Funktionsgruppen bilden.
Ähnlich wie mit Powermodule bei der ET200S
Also getrennte Einspeisungen von Haupt- und / oder Steuerluft.
Der Not-Halt geht auf ein sicheres Hauptventil und schaltet somit die Luft sicher ab.
Der Pneumatiker kann durch entsprechenden Aufbau der Insel und Auswahl der Ventile die Sichrheitsfunktionen bestimmen.
Du hat nur den Not-Halt als Safety. Der Rest geht im Standard-Programm. Kein Ärger mit SIL und Abschaltmatrix, Validierung, usw.


----------



## ducati (19 November 2022)

Blockmove schrieb:


> Wenn letztlich nur der Not-Halt auf Safety geht und der Rest der Sensorik und Aktorik Standard-IO ist, dann kannst du den Not-Halt auch noch im Standard-Programm auswerten  😜.


ja eben, frag mich halt, wofür die externe Firma ne F-CPU geplant hat  
Aktuel gibts ca 10 F-DIs und 3 F-DOs und 2 Profisafegeräte. Alle anderen 100 Feldgeräte die in der Liste zum abschalten ausgeführt sind, sind nicht fehlersicher.


Blockmove schrieb:


> Mal nen anderen Vorschlag:
> Sicheres Abschalten der Haupt-und / oder Steuerluft.
> Bei den meisten Ventilinseln kann man Funktionsgruppen bilden.
> Ähnlich wie mit Powermodule bei der ET200S
> ...


So machen wir das normalerweise auch wenn wir sowas planen...

Nur diese komische externe Firma machts halt anders. Ich glaub noch nichtmal, dass überhaupt ne Risikobeurteilung oder Gefährdungsbeurteilung gemacht wurde. Die basteln halt irgendwas zusammen...

Wenn ich halt damit ein schlechtes Gefühl hab, dann schalte ich den Murks jedenfalls nicht ein. Das könnens selber machen, wenn ich weit weg bin...


----------



## Holzmichl (19 November 2022)

Ich bin eher bei @Blockmove und würde ein 3/2-Wege-Zentralventil setzen und den Abgang drucklos schalten, wenn Not-Halt ausgelöst wird. Ob das ein spezielles "sicheres" Ventil sein muss bei PLc bin ich überfragt. Ich würde zumindest ein mit mechanischer Feder öffnendes Ventil einsetzen und als "bewährtes Bauteil" definieren.




ducati schrieb:


> Achso, es sind auch noch diverse Ventile dabei, die zwar stromlos druckluftlos geschlossen sind, aber bei Notaus öffnen sollen.



Das sehe ich als sehr grenzwertig an.
Dann lieber Ventile tauschen bzw. die Luftleitungen drehen und bei Stromlos öffnen lassen, dann aber Spulen sicher spannungslos schalten.


----------



## ducati (19 November 2022)

Holzmichl schrieb:


> Ich bin eher bei @Blockmove und würde ein 3/2-Wege-Zentralventil setzen und den Abgang drucklos schalten, wenn Not-Halt ausgelöst wird.


Wir probieren grad, denen das ans Herz zu legen...

und die Ventile die öffnen sollen, müssen als NO, also stromlos/druckluftlos offen gebaut werden.

Aktuell ist das aber alles schon längst gebaut, wir solln das nurmal schnell programmieren, weil denen der eigene Programmierer davongelaufen ist...


----------



## Holzmichl (19 November 2022)

Nach deinen Erzählungen kann ich mir gar nicht vorstellen, warum der ursprüngliche Programmierer die Segel gestrichen hat... [Ironie off]



ducati schrieb:


> müssen als NO, also stromlos/druckluftlos offen gebaut werden.



Deshalb grenzwertig: Wenn du mit einem Zentralventil die Druckluftversorgung abstellst, geht nichts mehr auf, egal wie das Ventil angeschlossen oder ausgeführt ist...

Du musst dann die Druckluft drauf lassen und elektrisch abschalten für die öffnende Bewegung. Oder es reicht nur kraftlos zu schalten.
Ich weiß natürlich nicht, was das für ein Aktor ist. Ob Zylinder der klemmt oder pneumatischer Antrieb, der ein Ventil oder Klappe öffnet macht hier schon einen großen Unterschied.

Ansonsten hast Du ja genug Erfahrung, eine gute Einschätzung zu treffen.
Und die Arbeit ablehnen kann auch in bestimmten Fällen eine richtige Entscheidung sein.


----------



## ducati (19 November 2022)

Es passt halt alles nicht so wirklich zusammen. Wie immer eigentlich. Nur bei normalem SPS-Programm nehm ich das nicht so krumm und programmier einfach dass es funktioniert und bau evtl. bei der IBN die schlimmsten Fehler um.
Bei fehlersicheren Dingen würd ich gern nur stur das abtippen, was sich der jenige der die Risikobewertung gemacht hat, ausgedacht hat. Nur wenn da vorn und hinten nix zusammenpasst dann geht das halt nicht


----------



## s_kraut (19 November 2022)

ducati schrieb:


> Wie dokumentierst Du denn solche ungereimten Problemfälle?


Als ich draußen war, hat man mich nicht dafür bezahlt Problemfälle zu produzieren und zu dokumentieren.
Man hat mich dafür gezahlt die Problemfälle bereits im Vorfeld zu vermeiden (idealerweise) oder die Dinge vor Ort zu lösen.

Am Ende unterschreibt eh der technische Leiter die CE und der hat auch kein Bock auf Ärger. Wenn der sagt IBN verzögert sich weil wir auf ein Sicherheitsbauteil warten dann ist das so.


ducati schrieb:


> Man könnte ja diverse E-Mails abspeichern... Aber wie machst Du das bei nem Arbeitgeberwechsel? Dann müsstest die E-Mails mit nach Hause nehmen und 30 Jahre aufbewahren?


Also ich hab da noch so ein Notizbuch, wo die wichtigen Punkte festgehalten werden. Das ist immer bei mir und nicht beim AG.


ducati schrieb:


> Im blödesten Fall kommt es in 10 Jahren zu nem Unfall und ich muss in 12 Jahren vor Gericht nachweisen, dass ich damals schon drauf hingewiesen hab, dass es grober Unfug ist, ich den Unfug aber auf Anweisung trotzdem programmiert habe?


Dann steht Aussage gegen Aussage. Vielleicht gibt es Zeugen?


ducati schrieb:


> Und wer darf mich anweisen, Unfug zu programmieren? Mein Chef oder auch der Kunde...
> 
> Keine Ahnung, in der Praxis ist das alles ziemlich kompliziert, wenn man anfängt drüber nachzudenken..


Naja normalerweise sind alle die mit Technik arbeiten Menschen, mit denen man reden kann. Wenn man sagt, dass man Bauchweh hat  dann hören die schon zu.
Der Betreiber will ja auch keine Unfälle auf seinem Gelände und höhere Unfallversicherungsbeiträge auch nicht.



ducati schrieb:


> und die Ventile die öffnen sollen, müssen als NO, also stromlos/druckluftlos offen gebaut werden.


Ja, klar wenn es darauf ankommt! Sicherer Zustand ist immer der Energielose. Wenn man was anderes braucht dann wird es richtig kompliziert.



ducati schrieb:


> Aktuell ist das aber alles schon längst gebaut, wir solln das nurmal schnell programmieren, weil denen der eigene Programmierer davongelaufen ist...


Das wundert mich nicht, nachdem was du da schreibst   


Holzmichl schrieb:


> Ich bin eher bei @Blockmove und würde ein 3/2-Wege-Zentralventil setzen und den Abgang drucklos schalten, wenn Not-Halt ausgelöst wird. Ob das ein spezielles "sicheres" Ventil sein muss bei PLc bin ich überfragt. Ich würde zumindest ein mit mechanischer Feder öffnendes Ventil einsetzen und als "bewährtes Bauteil" definieren.


SIL1 PLc geht mit bewährten Bauteilen, wenn man die bewährten Sicherheitsprinzipien einhält - wie du schreibst.


----------



## Blockmove (19 November 2022)

@s_kraut 
Die Aussage „Sicherer Zustand ist immer der Energielose“ möchte ich nicht so stehen lassen.
Nimm Spannsysteme oder auch hydraulische Pressen, da gibt es genügend Beispiel, wo die Energie erhalten bleibt oder sogar bleiben muss.


----------



## s_kraut (19 November 2022)

Blockmove schrieb:


> @s_kraut
> Die Aussage „Sicherer Zustand ist immer der Energielose“ möchte ich nicht so stehen lassen.
> Nimm Spannsysteme oder auch hydraulische Pressen, da gibt es genügend Beispiel, wo die Energie erhalten bleibt oder sogar bleiben muss.


Ja der magnetische Hallenkran oder die Flugzeugturbine, haste recht.

Sowas umzusetzen kann halt recht kompliziert sein. Mehrfachredundanzen, Energiespeicher usw.
Mag ich nichts damit zu tun haben


----------



## ducati (21 November 2022)

Holzmichl schrieb:


> Ansonsten hast Du ja genug Erfahrung, eine gute Einschätzung zu treffen.


Ja, mich hätte nur Eure Einschätzung interessiert, welchen PL man mit der normalen PNIO Ventilinsel erreichen könnte und ob Ihr das im normalen oder fehlersicheren Teil programmieren würdet.


----------



## s_kraut (21 November 2022)

Den Gaul würde ich andersrum aufzäumen: alles, von dem ich nichts genaues weiß bleibt grau - bis dass jemand das Gegenteil beweist.

Ansonsten halt wie andere schon vorab geschrieben haben mit übergeordneten Sicherheitsfunktionen wie Hauptventil oder Hauptschütz kommt man dann in Richtung PLb-d.
Alles größer d braucht Redundanzen, eigentlich ist es für d auch schon sinnvoll wenn man eine Redundanz hat.


----------



## marscho (21 November 2022)

Grundsätzlich wurde das relevante schon gesagt: Für den im OP genannten Signalweg sieht's schwer aus.
Wenn wir aber die Abschaltung der Versorgungsspannungen von Ventilinseln hernehmen, gestaltet sich das etwas anders.

Beispiel 1: MVK-MPNIO DIO16 IRT 7/8" 5pin
Handbuch 55530_hdb_de_17, Abschnitt 2.2.1 - "Vorhersehbarer Fehlgebrauch" (S.13)


> Das Gerät nicht als sicherheitsgerichtetes Gerät einsetzen. Es entspricht nicht den einschlägigen Normen. Sicherheitsfunktionen der Anlage sind nicht gewährleistet!


Sieht schlecht aus somit. *Daran ändert auch die Bereitstellung eines MTTF-Zertifikats nichts, mit dem man hier vielleicht auf eine falsche Fährte geführt wird.*

Beispiel 2: SIMATIC ET 200ecoPN DIQ 16x24VDC/0.5A/2A M12-L 8xM12
Gerätehandbuch, S.75:



Weiter im Systemhandbuch, S. 86.


> Nachfolgender Aufbau beschreibt, wie Sie ET 200eco PN M12-L Standardmodule fehlersicher abschalten. Durch den dargestellten Aufbau (z. B. mit dem Sicherheitsabschaltgerät 3SK1) werden alle Digitalausgänge, die an der Versorgung 2L+ und 2M (24 V Switched) der ET 200eco PN M12-L Standardbaugruppen angeschlossen sind, in den sicheren AUS-Zustand geschaltet. Dabei wird die Sicherheitsklasse SIL2/Kategorie 3/PL d erreicht.


Da gibt's noch weitere Einschränkungen/Bedingungen, prinzipiell ist das aber mit dem richtigen Gerät durchaus machbar, *sofern mir der Hersteller die entsprechende Eignung bestätigt (bestimmungsgemäßer Gebrauch!)*. Und bitte nicht per Email, sondern dann drauf drängen, dass das in eine Betriebsanleitung gehört. Hin und wieder findet man hier auch den Begriff der "Rückwirkungsfreiheit" (kommt hier vor allem auch aus ISO 26262).


Am Ende sollte klar sein, dass es hierauf (leider mal wieder) keine definitive Antwort gibt.


----------



## s_kraut (21 November 2022)

marscho schrieb:


> Grundsätzlich wurde das relevante schon gesagt: Für den im OP genannten Signalweg sieht's schwer aus.
> Wenn wir aber die Abschaltung der Versorgungsspannungen von Ventilinseln hernehmen, gestaltet sich das etwas anders.
> 
> Beispiel 1: MVK-MPNIO DIO16 IRT 7/8" 5pin
> ...


Ja da bin ich voll mit dabei: das schlägt doch systematisch die Sistema-Kenner auf Kante!

An die Sistema-Kenner: Augenmerk auf das Kleingedruckte. Die Vorgegebenen Daten stützen sich manchmal auf Annahmen.


----------



## SPS-Totalizer (21 November 2022)

Ende der 90er bzw. Anfang der 2000er gab es bestrebungen einiger SPS-hersteller ohne spezielle teuere
Sicherheitsausgänge den Level 2 (SIL 1) zu erreichen (Damals galt noch die EN954). Speziell in der Mobilhydraulik
(Fahrzeuge und Baumaschinen) sollte dies Umgesetzt werden (Damals neuer Boommarkt für Spezial-SPS-Systeme).
Firmen wie IFM, Wittmann und InterControl setzten darauf und so wurde dies eine Zeit lang für Gültig erklärt.

Nach einigen kleineren Problemfällen gingen die Firmen dazu über doch Sichere Ausgänge mit 
Zertifikat zu verwenden. 
Spätestens die Reform 2013 bringt hier mehr Klarheit. 
Nun ist zwar grundsätlich möglich bei Sil 1 einkanalige Ausgänge ohne Rückführung zu verwenden, jedoch muß 
sichergestellt sein das eine versehentliche Doppelverwendung nicht stattfinden kann. Dies führt eigentilich dazu, 
das man zumindest von der Softwarseite angesteuerte Sicherheitsaugänge verwenden sollte da eine Absicherung
dieses Problems eigentlich bei normalen Ausgängen nicht möglich ist. 
Da die meisten Siemens-Systeme mit einem SAFETY-Zyklus von 100mS arbeiten wird sich der falsche Ausgang 
sogar in den Vordergrund spielen. Es besteht also Gefahr für den Bediener.
Das Wort Lebensgefahr habe ich bewusst vermieden, da wir in einem solchen Fall devinitiv nicht mehr in SIL 1 sind! 

Gruß

A.


----------



## Oberchefe (22 November 2022)

Um welche Art Ventilinsel geht es hier eigentlich? Ist das eine, die diskret verdrahtet wird(da deuten die Beiträge mit dem Murr Zeugs drauf hin), also jedes separate Ventil über einen diskreten Digitalen Ausgang? Der Threadüberschrift nach eine PNIO, also würde ich vermuten eine Businsel?
Wir setzen in so einer Anwendung statt der diskreten Insel eine busfähige Insel mit getrennter Spannungsversorgung für Logik und Ventile ein (so wie es Blockmove bereits geschrieben hat). Wenn die Versorgung der Ventile abgeschaltet ist (z.B. durch einen Sicherheitrelaiskontakt), dann kann die SPS über den Bus ansteuern was sie will. Ventile die Öffnen sollen (z.B. Membranventile) gibt es auch als "Öffner", also ohne Ansteuerung bzw. Druck per Feder geöffnet. Da muss dann die Ansteuerung invertiert programmiert werden. Aber: eine Manipulationsmöglichkeit besteht auch hier durch Handbetätigung der Ventile (egal wie elektrisch abgeschaltet), da würde nur ein pneumatisches Sicherheitsventil helfen ("Pressenventil") wie z.B. https://www.rosseuropa.com/produkte/pressenventile
Das ist allerdings auch alles andere als günstig.


----------



## ducati (22 November 2022)

Oberchefe schrieb:


> Um welche Art Ventilinsel geht es hier eigentlich? Ist das eine, die diskret verdrahtet wird(da deuten die Beiträge mit dem Murr Zeugs drauf hin), also jedes separate Ventil über einen diskreten Digitalen Ausgang? Der Threadüberschrift nach eine PNIO, also würde ich vermuten eine Businsel?


Es geht um eine Businsel.
Hab gestern mal mit dem Hersteller telefoniert. Über Bus ist garnix safe. Selbst durch Abschaltung der Versorgungsspannung wäre nix safe, weil die Ventilinsel intern nicht galvanisch getrennt ist. Selbst Abschaltung der Druckluft wäre auch nicht safe, da die verbauten Ventilscheiben nicht sicher entlüften.
Programmiert wird das ganze jetzt erstmal im normalen SPS-Teil.
Der Anlagenbauer prüft jetzt in Zusammenarbeit mit Betreiber und TÜV nochmal, ob das so passt oder ob doch ein PL oder SIL notwendig wird. Dann würden die Ventilinseln umgebaut bzw. ausgetauscht.
Hab gestern mal ausprobiert, was passiert, wenn ein normaler DO im OB1 eingeschaltet und im F-OB ausgeschaltet wird: es ist undefiniert und klackert hinundher! Die Zuordnung der DOs als Teilprozessabbild für den F-OB beseitigt das Problem aber.

Danke allen!


----------



## Blockmove (22 November 2022)

Des Pudels Kern ist hier eigentlich die Ansteuerung über die normale SPS und das normale Profinet.
Mit fast jedem popeligen Relais und Ventil kann ich PLb erreichen. Mit einer Standard-SPS und einer Businsel eben so gut wie unmöglich.
Ich denke jeder von uns wird unterschreiben, dass eine SPS sicherer ist als ein Relais für 1,80€.
Aber das Relais ist ein bewährtes Bauteil.
Da können die Vertreter der Anlagen- und Maschinenbauer noch so in Gremien betteln, irgendeiner der Sicherheitsmafia legt sich immer quer.


----------



## ducati (22 November 2022)

Blockmove schrieb:


> Ich denke jeder von uns wird unterschreiben, dass eine SPS sicherer ist als ein Relais für 1,80€.


Naja von der Hardware vielleicht.
Aber grundsätzlich traue ich einem direktverdrahtetem Taster/Relais mehr, als dem groben Unfug, den ein Möchtegernnachwuchsprogrammierer in der Software meint getan zu haben.


----------



## Blockmove (22 November 2022)

@ducati 
Dann darfst du auch kein PNOZmulti oder ne F-CPU nehmen. Da hab ich auch schon jede Menge gefährlichen 💩 gesehen


----------



## ducati (22 November 2022)

Blockmove schrieb:


> @ducati
> Dann darfst du auch kein PNOZmulti oder ne F-CPU nehmen. Da hab ich auch schon jede Menge gefährlichen 💩 gesehen


Ja sichertlich. Aber die Hemmschwelle ist schon etwas höher an so nen gelbes Ding dranzugehn...
Da fehlen meiner Meinung auch klare eindeutige Regeln, z.B. dass so nen gelbes Ding nur jemand mit ner Schulung programmieren DARF.


----------



## SPS-Totalizer (22 November 2022)

ducati schrieb:


> Ja sichertlich. Aber die Hemmschwelle ist schon etwas höher an so nen gelbes Ding dranzugehn...
> Da fehlen meiner Meinung auch klare eindeutige Regeln, z.B. dass so nen gelbes Ding nur jemand mit ner Schulung programmieren DARF.


Liest man die Hanbücher der Hersteller genau, so findet man überall den Hinweis auf geschultes Personal.
Dummerweise lässt sich aber Niemand darüber aus welchen Level (Welchen Umfang) eine solche Schulung haben muß!
Klar ist jedoch ohne Schulung ist ein absolutes NoGo.
Praktisch alle Hersteller von Sicherheitssteuerungen, egal ob Stand-Alone oder SPS/PC integriert bieten solche 
Schulungen an und empfehlen dies auch.
Leider ist die Range von einer 2h Schulung bis zum TÜV-Certified-Safety-Engeneer (meist 5 Tage) sehr groß.

Gruß

A.


----------



## ducati (10 Dezember 2022)

Die Bastelbuben bauen jetzt andere Ventilinseln ein und schalten "irgendwie" über F-DO und Magnetventil die Druckluftversorgung der Ventilinseln weg. Welche Bauteile das jetzt sind und ob die SIL 2 erreichen, keine Ahnung.

Jetzt geht das Spiel aber weiter... Es gibt keine vollständige und eindeutige Beschreibung, was das F-Programm konkret machen soll. Die ganzen F-DI und F-DO werden wirr versteckt in der (unvollständigen) Beschreibung des normalen SPS-Programms mit abgehandelt. Das sind halt nen riesen Sack an Powerpoint und Excel Dateien...

Irgendwie seh ich nicht ein, dass ich mir da zusammenreimen soll, wann vielleicht irgendwelche F-DO schalten könnten... Zumal ich in der Verfahrenstechnik und im Sicherheitskonzept nicht involviert bin. Bin eher der Meinung, es gibt garkein Sicherheitskonzept sondern irgendjemand hat einfach mal definiert: "da baun wir mal sicherheitshalber ne F-CPU ein"

Das ist schon echt nervig, zumal mir jetzt mittlerweile auch noch die eigene Firma in den Rücken fällt...

Ich hab gefordert, dass eine vollständige und eindeutige Beschreibung der fehlersicheren Sicherheitsfunktionen in einem separaten Dokument erfolgen muss, welches meine Programmiergrundlage für die F-Software ist.
Unser Vertriebler hat jetzt dem Kunden aber gesagt, dass das gemeinsame Kuddelmuddeldokument schon OK ist 👹.
Und der Chef hat schonmal nen Freiberufler gefragt, welcher mal gleich behauptet, ist doch alles kein Problem, die par UND ODER...

Sind ca. 40 F-DI und 10 F-DO + diverse Profisafe Signale über I-Device und PNPN-Koppler von Fremd-CPUs welche ziemlich aufwendig miteinander verknüpft werden müssten.

Da kriegst schon langsam die Krise...

🙈🤷‍♂️


----------



## Blockmove (10 Dezember 2022)

Bei größeren Anlagen kann allein schon die Sistema-Berechnung mit allen zugehörigen Unterlagen einen Ordner füllen.
95% sind nur Copy und Paste. 
@ducati 
Dreh den Spieß rum.
Wenn du nicht ins Safety-Konzept eingebunden bist, dann brauchst du als SPSler eine Abschaltmatrix und einen Validierungsplan.
Die E/As einfach nach Matrix verknüpfen und nach Validierungsplan testen.
Wenn du keine offensichtlichen Fehler dabei entdeckst, dann Checksumme eintragen und unterschreiben.
Anschließend Chef auf den Tisch legen.


----------



## ducati (10 Dezember 2022)

Blockmove schrieb:


> Dreh den Spieß rum.
> Wenn du nicht ins Safety-Konzept eingebunden bist, dann brauchst du als SPSler eine Abschaltmatrix und einen Validierungsplan.
> Die E/As einfach nach Matrix verknüpfen und nach Validierungsplan testen.


Ja, diese Abschaltmatrix hab ich ja gefordert aber nicht bekommen. Dafür hab ich einen Wust von Powerpoint und Excellisten.
Es gibt auch eine Excelliste, die sowas ähnliches wie eine Abschaltmatrix ist. Darin sind aber 80% keine fehlersicheren Signale, also von daher im Nicht-F-Teil programmiert. Manche F-DI F-DO sind in dieser Liste zwar enthalten, aber nicht vollständig und nicht eindeutig...
Und wie gesagt mein Chef und Vetriebler ist der Meinung, dass muss doch reichen und wir solln uns nicht so anstellen 🙄
Wenn das so weitergeht, sind die mich als Programmierer auch bald los... Dann solln sies halt mit den Freiberuflern machen, die einfach was zusammenbasteln...


----------



## SPS-Totalizer (10 Dezember 2022)

ducati schrieb:


> Ja, diese Abschaltmatrix hab ich ja gefordert aber nicht bekommen.


Mal ne Frage: Wer hat denn bei euch die Endverantwortung bzw. Unterschreibt die entsprechenden
CE Dokumente (oder im Volksmund wer hat den Hut auf) ?

Letztendlich ist Derjenige endverantwortlich der diese Dokumente unterschreibt!
Diese Verantwortung kann man nicht einfach so mal auf die Programmierer weiterschieben!
Dafür bedarf es entsprechender Prozeduren, Schulungen, Dokumente und last but not least auch
eine Verantwortungsgage (übernahme von zusätzlicher Veranwortung muß auch vergütet werden)!
Haupthaftender im Streitfall bzw. bei vorsätzlicher oder grob fahrlässiger Schlamperei ist der 
zuständige Beauftragte (viele vergessen dabei das hier eine persönliche Haftung vorliegt).

Zugegeben wurde mir in den letzen Jahren immer mehr klar, dass für die meisten anscheinend 
nicht die Technik das wichtigste ist, sondern im Falle des Falles die Gerichte mit möglichst viel
Papier (Dokumente) zuzumüllen. Dies dürfte an der Tatsache liegen, dass sowohl die Justitz
als auch die Gutachter meist überfordert sind.

Gruß

A.


----------



## Blockmove (10 Dezember 2022)

@ducati
Ok ... Abschaltmatrix und Validierungsplan sind schön, aber es geht auch ohne.
Eben mit einem Haufen Excel und Powerpoint ... Und wenn dein Chef meint, dass das reicht, dann hast du als Programmierer die Ar...karte.
Dann musst du dir halt die notwenigen Informationen daraus rausziehen und offene Punkte klären.
Und alles entsprechend dokumentieren.
Aus der Nummer kommst du erstmal nur raus, wenn dir die Qualifikation dafür fehlt.



SPS-Totalizer schrieb:


> Diese Verantwortung kann man nicht einfach so mal auf die Programmierer weiterschieben!



Doch kann man. Wenn der Programmierer die notwendige Qualifikation dafür hat, dann geht es das sehr wohl.
Ist bei mir z.B. der Fall.


----------



## SPS-Totalizer (10 Dezember 2022)

Blockmove schrieb:


> Doch kann man. Wenn der Programmierer die notwendige Qualifikation dafür hat, dann geht es das sehr wohl.
> Ist bei mir z.B. der Fall.


Mit einfach so mal meinte ich, das eben genau diese Qualifikation (Schulung) vorliegt
und hoffentlich auch Prozedurdokumente mit den entsperechenden Unterschriften und
klaren Vereinbarungen. Auch das mit der Vergütung war durchaus ernst gemeint.
Sollte irgendwas davon nicht gegeben sein, so kann ich nur sagen "armer Hund"
(soll nicht böse gemeint sein).

Gruß

A.


----------



## ducati (10 Dezember 2022)

SPS-Totalizer schrieb:


> Mal ne Frage: Wer hat denn bei euch die Endverantwortung bzw. Unterschreibt die entsprechenden
> CE Dokumente (oder im Volksmund wer hat den Hut auf) ?
> 
> Letztendlich ist Derjenige endverantwortlich der diese Dokumente unterschreibt!
> ...


Vermutlich unterschreibt garniemand etwas, da es garkeine Dokumente zum Unterschreiben gibt.🤷‍♂️
Im aktuellen Fall machen wir für nen externen Anlagenbauer nur die reine Programmierung, da denen der eigene Programmierer weggelaufen ist... Von denen kommen aber kaum stimmige Dokumente, was die Software machen soll. Die widersprechen sich auf jeder Seite 3 mal. Und wenn Du die eine Seite geklärt hast, gehts auf der nächsten Seite mit 3 Widersprüchen weiter...
Zum F-Teil gibts wie gesagt garnichts. Nur immer mal wieder zwischen den Zeilen zum Standardprogramm widersprüchliche und lückenhafte Angaben🤷‍♂️
Zuerst dachte ich ja, dass alle einzelnen Ventile der Ventilinseln fehlersicher per Profisafe angesteuert werden. Dann hab ich mir mal nen Tag die gsdml rausgesucht und da war alles nur Standard PNIO... täglich grüßt das Murmeltier...


----------



## SPS-Totalizer (10 Dezember 2022)

ducati schrieb:


> Im aktuellen Fall machen wir für nen externen Anlagenbauer nur die reine Programmierung, da denen der eigene Programmierer weggelaufen ist...


Das mit dem weggelaufenen Programmierer höre ich in letzter Zeit öfter, vor allem bei den jüngeren Generationen.
Zu einem kleinen Teil dient es sicher der Horizonterweiterung, ich gehe aber zum größeren Teil eher davon aus,
dass es an Interesseemangel (egal welcher Hintergrund) geschieht.

Die reine Programmierung?!

Auf einigen meiner Schulungen, wurde immer wieder darauf hingewiesen, das es sich bei einem Sicherheitsprogramm
eigentlich nicht um eine reine Programmierung, sondern um Harwareersatz handelt und daher die Vorgehensweise
eher der eines Harwarekonstrukteurs (Harwareplaner E-CAD...) ähneln sollte.
Ich kenne Firmen (größere Mittelständler) bei denen die HW-Abteilung für die Basiserstellung
des Sicherheitsprogrammes zuständig ist.

Eine Abnahmematrix stellt eigentlich das Ende der Veranstaltung dar. 
Diese Abnahme sollte übrigens zwingend nach dem 4-Augen-Prinzip erfolgen!!!
"ich kenne noch keinen einzelnen Menschen der 4 Augen hat" 😄

Befor man eigentlich mit der Sicherheitssoftware beginnt, ist eigentlich nach Norm
erst einmal die Grundbewertung (macht normalerweise die mech. Konstruktion)
notwendig, danch geht es in die Validierung der elektrischen (Elektronischen)
Sicherheitsmassnahmen (ggf. mit Itteration) um die mechanischen restgefahren
für Leib und Leben zu minimieren (auszuschalten).
Erst dann steht die Vorgabe für die elektrischen Komponenten und es kann 
über die Aufteilung (Einteilung) der Elektrischen und Softwaretechnischen komponenten
entschieden werden. Erst danach erfolgt normalerweise die Erstellung der Safety-SW.

Gruß

A.


----------



## s_kraut (10 Dezember 2022)

SPS-Totalizer schrieb:


> Mal ne Frage: Wer hat denn bei euch die Endverantwortung bzw. Unterschreibt die entsprechenden
> CE Dokumente (oder im Volksmund wer hat den Hut auf) ?
> 
> Letztendlich ist Derjenige endverantwortlich der diese Dokumente unterschreibt!
> ...


Hm nein das habe ich anders verstanden. 

Im Endeffekt ist es primär die Betreiberverantwortung, seinem Personal sichere Arbeitsmittel zu Verfügung stellen. Entsprechende Gefährdungsbeurteilungen anfertigen und vor Ort Arbeitsanweisungen aufhängen.

Da sind die ersten wesentlichen Dinge. Und wenn man so die Prozesse anschaut, dann hakt es meistens oben. Ansonsten geht es unten weiter:

Klar kann der Betreiber behaupten, dass das Betriebsmittel zum Zeitpunkt des Inverkehrbringens nicht dem Stand der Technik entsprochen hat. Und dann kommt die Beweislastumkehr und der Inverkehrbringer (der wo den Hut aufhat) muss nachweisen dass der Stand der Technik eingehalten worden ist.
Und da sind (noch) Prüfprotokolle mehr wert als rechnerische Nachweise für irgendwelche Wahrscheinlichkeiten.


SPS-Totalizer schrieb:


> Zugegeben wurde mir in den letzen Jahren immer mehr klar, dass für die meisten anscheinend
> nicht die Technik das wichtigste ist, sondern im Falle des Falles die Gerichte mit möglichst viel
> Papier (Dokumente) zuzumüllen.


Das kann eine Strategie sein, aber man kann auch ohne Papiermüll glaubhaft versichern, wie man seiner Sorgfaltspflicht nachgekommen ist - bzw rausarbeiten, ob die Risikobeurteilung möglicherweise lückenhaft war und einfach die Spezifikation in Folge lückenhaft war


SPS-Totalizer schrieb:


> Dies dürfte an der Tatsache liegen, dass sowohl die Justitz
> als auch die Gutachter meist überfordert sind.
> 
> Gruß
> ...


----------



## Blockmove (10 Dezember 2022)

SPS-Totalizer schrieb:


> Mit einfach so mal meinte ich, das eben genau diese Qualifikation (Schulung) vorliegt
> und hoffentlich auch Prozedurdokumente mit den entsperechenden Unterschriften und
> klaren Vereinbarungen. Auch das mit der Vergütung war durchaus ernst gemeint.
> Sollte irgendwas davon nicht gegeben sein, so kann ich nur sagen "armer Hund"
> (soll nicht böse gemeint sein).



Bei uns ist das schon recht ordentlich geregelt.
Sowohl Schulungen als auch Vergütung.


----------



## SPS-Totalizer (10 Dezember 2022)

s_kraut schrieb:


> Im Endeffekt ist es primär die Betreiberverantwortung, seinem Personal sichere Arbeitsmittel zu Verfügung stellen. Entsprechende Gefährdungsbeurteilungen anfertigen und vor Ort Arbeitsanweisungen aufhängen.


Erst einmal ist definitiv der Inverkehrbringer verantwortlich!
Dies hat sich seit 1995 grundsätzlich nicht geändert!
Selbstverständlich hat auch der Betreiber seine Verpflichtungen.
Diese Grundpflichten haben Betreiber eigentlich schon immer, da diese 
Pflichten in den UVV's der BG's festgelegt waren und sind.
Verändert hat sich lediglich im laufe der letzten 20 jahre die harmonisierung
zwischen CE und BGUV. Zwar waren die Vorschriften anfangs (90er und 2000er)
noch nicht ganz auf einander abgestimmt, so war dennoch klar:
Nur eine CE-Konforme Maschine durfte überhaupt in den Produktionsbetrieb 
übernommen werden. 
Die Erlangung (heute sollte man besser Kennzeichnung sagen) der (CE-Kennzeichnung)
für die Maschine ist ausschließlich sache des Liferanten nicht des Kunden!
Etwas anders sieht es aus wenn bestandsmaschinen gemeinsam mit dem
Kunden umgebaut werden, da in diesem Fall beiden eine Teilverantwortung obliegt.

Im Schadensfall sind binnen kürzester Frist (Ich meine 14 Tage) die entsprechenden
Dokumente vorzulegen. Dafür reicht keinesfalls eine Abnahmematrix, sonern
hier muß alles vorliegen, wie z.B Risikobewertung, Maßnahmen zur Minimierung, Abnahmen
und Konformitätserklärung ggf. auch Programmausdrucke etc.

Was das Thema Beweislast angeht, so gelten für mich immer noch drei Grundsätze:
1. viele "wichtige" Dokumente zu haben.
2. hol dir einen guten Anwalt (vor allem wenn du dich mit größeren Firmen anlegst).
3. Drei Juristen haben mindestens 10 Meinungen.

Gruß

A.


----------



## s_kraut (10 Dezember 2022)

SPS-Totalizer schrieb:


> Erst einmal ist definitiv der Inverkehrbringer verantwortlich!
> Dies hat sich seit 1995 grundsätzlich nicht geändert!
> Selbstverständlich hat auch der Betreiber seine Verpflichtungen.
> Diese Grundpflichten haben Betreiber eigentlich schon immer, da diese
> ...


Jaja.

Aber:

Der Betreiber darf keine unsicheren Anlagen in Betrieb nehmen. Wenn es verdeckte Mängel waren, dann mag sein dass der Hersteller in Verantwortung gezogen wird. Wenn es offensichtliche Mängel waren dann bewegen wir uns in Richtung Fahrlässigkeit-Vorsatz.
Ruhig mal hier im Forum rumsurfen wieviele Fälle es gab, wo der Betreiber Druck aufgebaut hat und über Szenarien wie Probebetrieb die nicht sichere Anlage in Betrieb genommen hat.


----------



## SPS-Totalizer (10 Dezember 2022)

s_kraut schrieb:


> Der Betreiber darf keine unsicheren Anlagen in Betrieb nehmen. Wenn es verdeckte Mängel waren, dann mag sein dass der Hersteller in Verantwortung gezogen wird. Wenn es offensichtliche Mängel waren dann bewegen wir uns in Richtung Fahrlässigkeit-Vorsatz.


Ich dachte wir reden von mangelhafter Ausführung der Sicherheit und nicht
über Sachmangelfehler im Sinne der Garantie bzw. Gewährleistung?!



s_kraut schrieb:


> Ruhig mal hier im Forum rumsurfen wieviele Fälle es gab, wo der Betreiber Druck aufgebaut hat und über Szenarien wie Probebetrieb die nicht sichere Anlage in Betrieb genommen hat.


Nun das die Kreativität der Menschheit "gigantisch" ist ist mir durchaus bewusst und das dabei
auf Grund von Preis- und Termindruck so einiges draußen fabriziert wirdist auch klar,
das heißt aber noch lange nicht das es auch Normkonform ist, bzw. einer juristischen Prüfung stand hält.

_Wie sagte Albert Einstein:
Zwei dinge sind unendlich, das Weltall und die menschliche Dummheit 
wobei er sich dei ersterem nich ganz sicher war_


----------



## s_kraut (10 Dezember 2022)

SPS-Totalizer schrieb:


> Ich dachte wir reden von mangelhafter Ausführung der Sicherheit und nicht
> über Sachmangelfehler im Sinne der Garantie bzw. Gewährleistung?!


Ja darum geht es dann.

Dann wird der Betreiber gefragt sein, warum er den Unfall durch seine Gefährdungsbeurteilung hat nicht abwenden können.

Wenn ihm das gelingt, dadurch dass er auf den Hersteller zeigt, dann wird der Hersteller gefragt sein, ob er Stand der Technik gewissenhaft und richtig umgesetzt hat.
Hatte eine Nachbar-Abteilung neulich auch den traurigen Fall, dabei ist über eine mobile Leiter eine Schutzeinrichtung überbrückt worden. Da fragt sich: was soll man noch alles tun?


SPS-Totalizer schrieb:


> Nun das die Kreativität der Menschheit "gigantisch" ist ist mir durchaus bewusst und das dabei
> auf Grund von Preis- und Termindruck so einiges draußen fabriziert wirdist auch klar,
> das heißt aber noch lange nicht das es auch Normkonform ist, bzw. einer juristischen Prüfung stand hält.
> 
> ...


Damit liegt der Albert sehr sehr nahe bei der Wahrheit.


----------



## SPS-Totalizer (10 Dezember 2022)

s_kraut schrieb:


> Hatte eine Nachbar-Abteilung neulich auch den traurigen Fall, dabei ist über eine mobile Leiter eine Schutzeinrichtung überbrückt worden. Da fragt sich: was soll man noch alles tun?


Dieser spezielle Fall ist dfinitiv nur schwer oder überhaupt nicht vom Lieferanten vorhersehbar 
und liegt damit in der Verantwortung des Betreibers.

Vor ca. einem Jahr wurde mir von einem Fall berichtet bei dem ein Arbeiter einen Arm verlor.
Vermultich wurde hier im laufenden Betrieb etwas bei *abgebauten mechanischen Sicherheitvorkehrungen*
gereinigt. Um diesen Fall zu vermeiden muß der Lieferant ggf zusammen mit dem Betreiber zwar entsprechende
Warnhinweise anbringen und der Betreiber die MA schulen.
Der Fehleingriff selbst, war vermutlich jedoch von der Person selbst vorgenommen worden.

*Diese Fälle meine ich aber nicht.
Kritisch wirds für den Lieferanten immer dann, wenn alle vorgeschriebenen Arbeitsprozeduren (BA) 
eingehalten wurden aber z.B. ohne das irgend welche Überbrückungen worgenommen wurden, 
sich ein Antrieb unkontrolliert bewegt und dabei jemand verletzt wird.*

Gruß

A.


----------



## s_kraut (10 Dezember 2022)

SPS-Totalizer schrieb:


> Dieser spezielle Fall ist dfinitiv nur schwer oder überhaupt nicht vom Lieferanten vorhersehbar
> und liegt damit in der Verantwortung des Betreibers.
> 
> Vor ca. einem Jahr wurde mir von einem Fall berichtet bei dem ein Arbeiter einen Arm verlor.
> ...


Dann wird es langweilig, wenn man sorgfältig gearbeitet hat. Dann wird soetwas niemals passieren können. Oder?

Sind wir uns ehrlich: die statistischen Ausfallraten der Komponenten sind irgendwo bei 10E-9 - das ist nur ein milliardstel Teil schlechter als wenn Gott es persönlich gebaut hätte.

Meine Meinung: wenn die RiB ordentlich gemacht ist und danach Sicherheitsmaßnahmen sauber formuliert spezifiziert worden sind. 
Und ich dummer Automatisierer sie genau nach diesen Anforderungen gebaut habe und deren Wirksamkeit bewiesen habe.....ahm und ja einen aus meiner Sicht angemessenen Vorschlag für Prooftestintervall gemacht habe (wobei ich ja letztlich die Betriebsbedingungen nie so gut kennen kann wie der Herr Betreiber). 
Ich weiß nicht warum man mich dann ans Kreuz nageln sollte - gerade bei diesem Fachkräftemangel.


----------



## SPS-Totalizer (10 Dezember 2022)

s_kraut schrieb:


> Ich weiß nicht warum man mich dann ans Kreuz nageln sollte - gerade bei diesem Fachkräftemangel.


Ich möchte nichts und niemandem ans Kreuz nageln.
Ich gebe nur das wieder was mir in meheren Schulungungen beigebracht wurde.
Zugegeben zwischen den einzelnen Schulungen waren manchmal auch kleinere Kontroversitäten.

Ein Fachkräftemangel sollte aber kein Freibrief zum schludern sein oder?

Gruß

A.


----------



## s_kraut (10 Dezember 2022)

SPS-Totalizer schrieb:


> Ich möchte nichts und niemandem ans Kreuz nageln.
> Ich gebe nur das wieder was mir in meheren Schulungungen beigebracht wurde.
> Zugegeben zwischen den einzelnen Schulungen waren manchmal auch kleinere Kontroversitäten.


Davon leben die.


SPS-Totalizer schrieb:


> Ein Fachkräftemangel sollte aber kein Freibrief zum schludern sein oder?


Nein. So ist das nicht gemeint.

Wobei es vermutlich in der Praxis halt echt dazu kommt!


----------



## SPS-Totalizer (10 Dezember 2022)

s_kraut schrieb:


> Wobei es vermutlich in der Praxis halt echt dazu kommt!


Nach 35 Jahren Automatisierungstechnik ist mir dies durchaus bewusst.

wie heist es so schön:
"nothing is Idiot-proofed because Idiots are genius"

Tja so ist das Leben.

Gruß

A.


----------



## s_kraut (10 Dezember 2022)

SPS-Totalizer schrieb:


> Nach 35 Jahren Automatisierungstechnik ist mir dies durchaus bewusst.
> 
> wie heist es so schön:
> "nothing is Idiot-proofed because Idiots are genius"
> ...


Dem ist nichts hinzuzufügen.
Ich geb ein Glühwein aus.

Steht dann in 5 min alles hier am Tisch!

VG


----------



## s_kraut (10 Dezember 2022)

Oh nein keiner da. Das wird hart..


----------



## Thomas_v2.1 (10 Dezember 2022)

Wobei einige SPS-Programmierer da auch völlig schmerzbefreit sind. Ich hatte mal eine Anlage von einem Kollegen der bei ins den Maschinenbauteil programmiert hat, bei einer Produktionsbegleitung ersetzen müssen. Da ich da etwas Zeit hatte, habe ich mir mal so angesehen was er da so schönes an Sicherheitsprogrammen erstellt hat, und hab ihn nachher mal darauf angesprochen auf welchen Vorraussetzungen er das denn alles programmiert hat. Hat er einfach so auf blauen Dunst heraus gemacht, gab keine Dokumentation dazu. Zum Glück musste ich da keine Anpassungen vornehmen.


----------



## ducati (11 Dezember 2022)

Thomas_v2.1 schrieb:


> Wobei einige SPS-Programmierer da auch völlig schmerzbefreit sind. Ich hatte mal eine Anlage von einem Kollegen der bei ins den Maschinenbauteil programmiert hat, bei einer Produktionsbegleitung ersetzen müssen. Da ich da etwas Zeit hatte, habe ich mir mal so angesehen was er da so schönes an Sicherheitsprogrammen erstellt hat, und hab ihn nachher mal darauf angesprochen auf welchen Vorraussetzungen er das denn alles programmiert hat. Hat er einfach so auf blauen Dunst heraus gemacht, gab keine Dokumentation dazu. Zum Glück musste ich da keine Anpassungen vornehmen.


Das ist so in etwa mein aktueller Fall...
Mit welcher Begründung kann ich sagen "Nein, ich programmier da nichts"? Wenn die andern sagen, "das steht doch irgendwo" bzw. "stell dich nicht so an"?
Es ist halt auch noch Prozessautomatisierung, also keine "Maschine", da ist das Thema schon immer komplizierter. Da gibts auch sehr selten ne F-CPU. Jetzt haben sie aber mal eine geplant und wundern sich, warum jemand auf einmal ordentliche Dokumente erstellen muss...

Eigentlich ist das Projekt wie immer. Nur sonst wären das alles in ner Standard SPS umgesetzt worden und ich hätt gesagt, naja, wenn das jemand so geplant hat... Programmier ich halt nach bestem Wissen und Gewissen...
Jetzt haben die aber auf einmal ne F-CPU geplant und bei manchen F-DI auchnoch SIL2 drangeschrieben... Da kann ich halt nicht so wie immer mal aus dem Bauch irgendwas zusammenprogrammieren...
Das ich jetzt am Sonntag drüber schreibe zeigt ja, dass ich die Umsetzung so nicht mit meinem Gewissen vereinbaren kann und das heisst STOP. Und wenn der Chef anderer Meinung ist, dann naja man wird sehn.


----------



## ducati (11 Dezember 2022)

Thomas_v2.1 schrieb:


> Wobei einige SPS-Programmierer da auch völlig schmerzbefreit sind


Manchmal hab ich das Gefühl, wir kriegen immer nur die Projekte, wo alle anderen Automatisierer schon schreiend weggelaufen sind... Nach dem Motto, "weisst noch damals die Firma xyz, die hat das damals doch auch schnell fertig gemacht, ruf die mal schnell an"


----------



## Blockmove (11 Dezember 2022)

Jetzt wurden zwar lang und breit erklärt, welche  Pflichten Hersteller und Betreiber haben, aber das hilft @ducati erstmal nichts.
Er schreibt das (sichere) SPS-Programm, nimmt die Anlage in Betrieb und hat somit die goldene Ar...karte.
Sein Chef muss bei Problemen nur seine Qualifikation für die übertragene Aufgabe nachweisen.
Also Schulungen und einige vergleichbare erfolgreich umgesetzte Projekte.
Gibt es Probleme, dann gilt "Melden macht frei". Also Vorgesetzte informieren.
Aber das entbindet letztlich nicht von der Verantwortung.
Fehlen Unterlagen, dann hilft nur entweder anfordern oder selber erstellen.
Meist ist es das letztere und man hat noch mehr Arbeit und Verantwortung an der Backe.
Bei sowas ist Konfliktpotential vorhanden, dass es kracht.
Sowohl mit den Vorgesetzten als auch mit Zulieferern.

Kommt bei uns auch öfters vor. Nach heftigen Streitereien vor einigen Jahren, holen wir da immer externe Experten.
Die 1500€ für eine Beratung und ein Gutachten sind uns das wert.


----------



## ducati (11 Dezember 2022)

👍


Blockmove schrieb:


> Gibt es Probleme, dann gilt "Melden macht frei". Also Vorgesetzte informieren.


Ja, das Thema hatten wir ja auch schon. Wenn man schriftlich bedenken anmeldet und es dann trotzdem macht, ist man ja erstrecht im Arsch, da es dann auch noch schriftlich vorliegt, dass man wissentlich/"vorsätzlich" Quatsch macht.

Ziemliches Dilemma...


----------



## Blockmove (11 Dezember 2022)

Bei "Melden macht frei" gilt dann das Thema Qualifikation andersrum.
Dein Chef muss in der Lage sein deine Meldung zu "verstehen".

Bevor wir zu der Gutachter-Lösung gekommen sind, hat mal mein damaliger Chef angeordnet, dass ich eine aus meiner Sicht unsichere Lösung trotz schriftlicher Bedenken umsetzen muss. Ich hab mir es schriftlich geben lassen und habe es im F-Programm als Kommentar hinterlegt.
Das Abnahme-Protokoll habe ich damals nicht unterschrieben.
Unabhängig von der Sicherheit ist sowas auch schlecht für's Betriebsklima. Deshalb von da an die Gutachter-Lösung. Seitdem holen wir bei sowas gleich nen Gutachter und lassen es klären. Spart Zeit und Nerven.
Wichtig ist hier kompetende Gutachter zu haben. Ich brauch keinen Vortrag über Rechte, Pflichten und Normen, ich brauche eine klare Aussage, ob die konkrete Umsetzung i.O. ist. Und da wird's bei vielen ganz schnell ganz ruhig.


----------



## Oberchefe (11 Dezember 2022)

> Wichtig ist hier kompetende Gutachter zu haben. Ich brauch keinen Vortrag über Rechte, Pflichten und Normen, ich brauche eine klare Aussage, ob die konkrete Umsetzung i.O. ist. Und da wird's bei vielen ganz schnell ganz ruhig.



Das haben wir schon vom TÜV Süd machen lassen. Der hat da (im Gegensatz zu der brasilianischen Filiale bei dem Thema Staudamm) einen guten Job gemacht.


----------



## Blockmove (11 Dezember 2022)

W


Oberchefe schrieb:


> Das haben wir schon vom TÜV Süd machen lassen. Der hat da (im Gegensatz zu der brasilianischen Filiale bei dem Thema Staudamm) einen guten Job gemacht.


TÜV Süd nehmen wir auch meistens.
Es gibt Aufgaben, die nicht ins normale Schema fallen.
Mit den Kollegen vom TÜV haben wir bislang immer eine gangbare Lösung gefunden.


----------



## s_kraut (11 Dezember 2022)

Blockmove schrieb:


> W
> 
> TÜV Süd nehmen wir auch meistens.
> Es gibt Aufgaben, die nicht ins normale Schema fallen.
> Mit den Kollegen vom TÜV haben wir bislang immer eine gangbare Lösung gefunden.


Wir auch.

Nur die Erfahrung zeigt, dass die zeitlichen Vorlauf brauchen. Also besser nicht von der Baustelle aus anrufen sondern in der Planungs- und Konzeptphase


----------



## Blockmove (11 Dezember 2022)

s_kraut schrieb:


> Wir auch.
> 
> Nur die Erfahrung zeigt, dass die zeitlichen Vorlauf brauchen. Also besser nicht von der Baustelle aus anrufen sondern in der Planungs- und Konzeptphase


Stimmt
Ausserdem ist es gut Alles vernünftig aufzubereiten.
Problemstellung, mögliche Lösungsansätze, Pläne, …
Dann reicht meist auch eine Stellungnahme und man spart sich das (teure) Gutachten. 
Gelegentlich entsteht ein richtig interessanter Austausch.


----------



## s_kraut (11 Dezember 2022)

Blockmove schrieb:


> Stimmt
> Ausserdem ist es gut Alles vernünftig aufzubereiten.
> Problemstellung, mögliche Lösungsansätze, Pläne, …


Das ist ja die Kernarbeit. Die nimmt niemand ab. Außer für viel Geld.


Blockmove schrieb:


> Dann reicht meist auch eine Stellungnahme und man spart sich das (teure) Gutachten.
> Gelegentlich entsteht ein richtig interessanter Austausch.


Wen man an der Stelle auch empfehlen kann ist der VDMA. 

Wir hatten vor geraumer Zeit eine interne Unstimmigkeit, die eine Abteilung meinte klar geht alles und SIL1 geht ja eh immer ganz einfach über Betriebsbewährtheit und haben wir schon immer so gemacht. Passt schon. 
Die andere hat sich vorsichtig verhalten und über Connection dafür gesorgt, dass externer Sachverstand gehört wird.

Übrigens: da kommt die andere Partie nicht aus, wenn sie auf einer Aussage besteht und es wird Rat von Extern eingeholt zu dieser Aussage dann ist das eine Pflichtveranstaltung. Dementsprechend sowas mit Vorlauf planen.

Der VDMA hat einen schönen Freitag Nachmittag mit einem Sachverständigen von der PTB organisiert. Online. Jeder hatte eine gute Tasse Kaffee, meine Person saß auf der Dachterrasse. Dazu gibt es keine Kosten, aber auch keine Unterlagen außer den Notizen der Beteiligten. Erfahrungsaustausch.
Der Sachverständige hat die unkonservative Abteilungsleitung verbal dermaßen rund gemacht in den 90 min, da kam nur noch Stottern zurück. Ergebnis: das Teil dient jetzt halt jetzt als normale Prozessmesseinrichtung und gilt bis auf Weiters nicht als Sicherheitsbauteil geeignet.

Stattdessen kommen inhärent sichere mechanische Mittel zum Tragen. Die eigentlich eh zu bevorzugen sind. [Bin ich übrigens Fan von. Weil das ist einfach, unkompliziert und ich bin als Automatisierer fein raus - wie der Apfel aus dem Pferd.]
Am Sommerfest hat sich der Abteilungsleiter von der unkonservativen Abteilung nach ein paar Bier dann doch indirekt bedankt weil ihm irgendwann klar geworden ist, dass ihm durch diese Aktion diverse persönliche Haftungsrisiken erspart worden sind.

So und wenn ich jetzt andersrum denke, wir hätten dieses Register nicht gezogen: 
Da wären Stück für Stück systematisch gleiche Anlagen in Betrieb gegangen, die durch das Fehlen der einfachen mechanischen Sicherheitsbauteile möglicherweise Gefährdungen hervorrufen. Ein nicht zertifiziertes elektronisches Bauteil soll herhalten weil haben wir schon immer so gemacht. Früher oder später wäre möglicherweise etwas schreckliches passiert - und dann? Die gleiche Diskussion, nur dass es zu spät ist und man eine Rolle spricht, die keiner sprechen will.

Drum nochmal zurück zur Kernaussage: Lieber offen darüber reden wie es gut gehen soll.


----------



## Blockmove (12 Dezember 2022)

@s_kraut 
Wir hatten auch schon den Fall, dass der TÜV einen komplett anderen Ansatz vorgeschlagen hat.
Durch die andere Vorgehensweise haben wir massiv Geld gespart.
Trotz Ablaufdiagrammen, tollen mathematischen Formeln und Normen ist Safety alles andere als exakt und genau.
Diskussion mit externen Praktikern ist immer sinnvoll.
Betonung auf Praktiker.


----------



## ducati (12 Dezember 2022)

Ich hab irgendwie immer das Gefühl, dass meist *nicht* versucht wird, gemeinsam eine ordentliche sichere Lösung zu finden. Sondern immer gleich alle auf Konfrontation gehen und nur versuchen, sich selbst abzusichern und die eigenen Prioritäten durchzudrücken oder gleich einfach nur abtauchen und garnichts machen.
In unserm Fall, wenn ich das eskalieren lasse, hat unsere Firma massive Mehrarbeit die niemand bezahlt, das Projekt wird nicht fertig und kann nicht abgerechnet werden, der Kunde ist sauer und der Endkunde zieht die Pönale...
Von daher kann ich halt meinen Chef schon verstehen, wenn der dann nen nochmal externen Freiberufler holt, der immer alles irgendwie zusammenpfuscht.
Sind halt auch immer ziemliche Interessenskonflikte vorhanden.

Grundsätzlich immer die Frage, wieweit geht man bei den Aktionen mit und wo zieht man persönlich die Grenze.
Ist ja auf der Baustelle das selbe, du hast nen Feldgerät wo du mit ner Hebebühne nicht drankommst, also fängst an zu klettern... Das kannst jetzt mal schnell machen oder du machst nen offizielles Fass auf und die Baustelle steht 4 Wochen. Wenn dann mal was geklärt ist, kommt aber sofort das nächste Problem, welches sich in der Grauzone bewegt.


----------



## Blockmove (12 Dezember 2022)

ducati schrieb:


> Grundsätzlich immer die Frage, wieweit geht man bei den Aktionen mit und wo zieht man persönlich die Grenze.


Bei Safety stell ich mir immer persönlich die Frage:
"Kann ich es verantworten, dass jemand von meinen Freunden oder aus der Familie daran arbeitet?"
Ganz besonders bei Aufgaben, die sich nicht 100% in RBU und Sistema abbilden lassen.


----------



## ducati (12 Dezember 2022)

Blockmove schrieb:


> Bei Safety stell ich mir immer persönlich die Frage:
> "Kann ich es verantworten, dass jemand von meinen Freunden oder aus der Familie daran arbeitet?"
> Ganz besonders bei Aufgaben, die sich nicht 100% in RBU und Sistema abbilden lassen.


was machst Du, wenn Du es nicht verantworten kannst? Arbeit verweigern?

Dann krigts halt nen anderer auf den Tisch, ders nicht so genau nimmt...

Im Fukushima wurde der Kollege, der die Mauer 3m höher bauen wollte dann vermutlich auch zur Planung der sanitären Anlagen abgestellt...


----------



## Blockmove (12 Dezember 2022)

ducati schrieb:


> was machst Du, wenn Du es nicht verantworten kannst? Arbeit verweigern?



Soweit ist es bislang noch nie gekommen.
Übliche Vorgehensweise ist erst das Gespräch mit dem Chef und dann diskutieren wir solche Themen im Kollegenkreis.
Da wir alle Safety-Themen bearbeiten müssen, kommt es dann schon eine Einigung.


----------



## stevenn (12 Dezember 2022)

ducati schrieb:


> was machst Du, wenn Du es nicht verantworten kannst? Arbeit verweigern?
> 
> Dann krigts halt nen anderer auf den Tisch, ders nicht so genau nimmt...
> 
> Im Fukushima wurde der Kollege, der die Mauer 3m höher bauen wollte dann vermutlich auch zur Planung der sanitären Anlagen abgestellt...


naja wenn es vernünftige Gründe gibt, warum du etwas nicht machen willst, dann werden das schon alle verstehen. 
Überleg doch mal. Du hast vernünftige und nachvollziehbare Gründe, warum etwas nicht gemacht werden sollte. Gehen wir aus, es wurde nachweislich an den Geschäftsführer übermittelt. ohne dass ich auch bei dir juristisches Wissen voraussetze, dürfte es dir doch auch klar sein, dass ein Geschäftsführer einen Teufel tun wird und bewusst etwas falsches macht. Wenn er genügend Gegenargumente findet, waren deine Gründe wahrscheinlich nicht nachhaltig genug. Dann müsstest du halt Hilfe bei der Argumentation bekommen. Wenn du es nicht besser wissen kannst, dann "melden macht frei".


----------

