# Unvollständigen Maschine: Ausfall einer Sicherheitskomponente / Not-Aus nach Extern



## andrejtm (1 Oktober 2012)

Hallo zusammen,

bei einer unvollständigen Maschine teilen wir der übergeordneten Steuerung mit, wie der Status von dem Sicherheitskreis und dem Not-Aus ist. 
Nun kommt es vor, dass wir durch zwei-kanalige Komponenten ein Not-Aus aufgrund einer Konsistenzprüfung erhalten. Es kommt dabei z.B. vor, dass bei einem Türschalter die Tür nur angelehnt ist, so dass der Schalter nur einen Kontakt betätigt. 

Durch Weiterleitung des Not-Aus Signals schaltet aber die übergeordnete Maschine "hart" aus, was bei manchen Teilen die Lebensdauer drastisch verkürzt.

Daher nun die Frage: Wie kann man solch einen Fall behandeln? Darf/Muss man einen getrennten "Not-Aus-Kreis" haben, der nur "Not-Aus-Komponenten" beeinhaltet?

Vielen Dank!


----------



## Safety (1 Oktober 2012)

Hallo ich verstehe leider nicht ganz was da das Problem ist.
Kannst das mal genauer beschreiben was du wissen willst.

Wenn es nur die Kanalfehler sind nimm einen vollelektronischen Schalter da gibt es das so gut wie nie.


----------



## andrejtm (2 Oktober 2012)

Es geht um das Thema, dass unser Sicherheitssystem (BECKHOFF TwinSAFE) beim Ausfall eines Sicherheitsschalters direkt ein Not-Aus-Signal erzeugt. 
Der Not-Aus wird bisher über eine parallele Schnittstelle (potentialfreie Kontakte) an die Kundenanlage übermittelt. Da wir aber keine "Diagnose" des Not-Aus-Grundes mitteile, reagiert die Kundenanlage genauso mit einem Not-Aus.
Darüber ist unser Kunde nun nicht sehr erfreut, da der Ausfall des Sicherheitsschalters nur "unser" Problem darstellt, seine Maschine aber auch genauso hart abschaltet...

Müssen bzw. dürfen wir nun den Not-Aus "differenzieren"?

die Auswertung des Not-Aus-Stranges separat an den Kunden schicken
im Falle eines Ausfalls eines Teiles des Sicherheitssystems diese Information "normal" an den Kunden zusenden, damit dieser eine normale Abschaltung durchführen kann
Meine Frage bezieht sich also nur auf die Schnittstelle zum Kunden...


----------



## jora (2 Oktober 2012)

Du darfst bzw musst ja die Ausfallmöglichkeiten bewerten und wenn ihr einen Not-Aus auslöst, wird das schon seinen Grund haben. Wenn der Kunde eure unvollständige Maschine zukauft, muss er ebenfalls eine Bewertung durchführen (Risikobeurteilung). In dem Dokument ermittelt er, bei welchen Ausfällen die gesamte Anlage reagieren muss oder auch nicht.
Wenn der Kunde nun meint, das eure unvollständige Maschine bei einem Ausfall keine Auswirkung auf die Sicherheit macht, dann kann er mit eurem Signal die notwendigen Reaktionen anpassen.
Als Beispiel:
Hersteller 1 stellt eine Bon-Bon-Maschine her, Hersteller 2 die Verpackungsmaschine. Wenn die Verpackungsmaschine einen Not-Aus erfährt UND dadurch eine gefährdung erzeugt werden kann, muss Hersteller 1 ebenfalls seine Maschine abschalten. Umgekehrt ist es möglich, das bei einem Not-Aus der Bon-Bon-Maschine keine sicherheitskritischen Auswirkungen der Verpackungsmaschine entstehen, somit muss keine Not-Aus eingeleitet werden. Als Alternative ist es auch möglich, das die beiden Maschinen nicht sicherheitstechnisch verknüpft werden müssen, wenn keine Gefährdung erzeugt werden kann.

Wie du an dem Beispiel erkennst, habe ich 1. gerade ein Bon-Bon gegessen und 2. ist immer eine Betrachtung notwendig welche von dem Integrierenden durchzuführen ist.

Gruß Alex


----------



## Zersch (2 Oktober 2012)

Hey,

wenn du Zugriff auf die Schnittstellenbetrachtung in der Risikobeurteilung hast, dann schau einfach mal rein. Wenn es dort so gefordert ist, wie du oben beschrieben hast, dann kannst du es nicht ohne weiteres ändern.
Denn dann nimmst du eine wesentliche Änderung in der Sicherheitstechnik vor und es muss eine neue Risikobeurteilung erstellt werden.

Gruß
Sacha


----------



## andrejtm (2 Oktober 2012)

Der Kunde muss aber auch eine Diagnose durchführen können... Er muss zwischen "es interessiert micht nicht" und "es ist für mich auch wichtig" unterscheiden können...
Bei Not-Aus ist dies ja schwieriger... 

In der Schnittstellen-Beschreibung fehlt gerade diese Unterscheidungsmöglichkeit (Diagnose). Wenn sie da wäre, dann könnte der Kunde ja selbst tätig werden...
So müssen wir eine "Vorauswahl" der Antwort an den Kunden treffen, damit seine Maschine richtig reagiert...


----------



## Tigerente1974 (2 Oktober 2012)

"Eigentlich" ist das alles ganz einfach 

Wenn für den Bediener keine klare Trennung der Anlagen erkennbar ist, MUSS der Not-Halt-Taster auf alle Anlagen wirken.

Eine Trennung des Schutzgitters der Maschine von der Not-Halt-Funktion KANN durchaus legitim sein. Hierbei kommt es auf eine entsprechende Risikobewertung der Anlage an. Sprich: Kann dem Bediener etwas passieren, wenn er den Schutzgitterbereich betritt/dort hineingreift, wenn die "verkettete Anlage" in so einem Fall nicht abschaltet.

Wenn NEIN: Alles gut. Entsprechend ausführen und dokumentieren.
Wenn JA: Dann muss auch "sicher" abgeschaltet werden. Ggf. kann man hier noch mit der Stopkategorie 1 erreichen, dass die verkettete Anlage "normal" herunterbremst indem sie zuvor ein "nicht sicheres" Signal bekommt. Die sichere Abschaltung der Schnittstellensignale muss aber erfolgen. Wieviel Zeit zum Abbremsen zur Verfügung steht muss wiederum die Risikobewertung ergeben: Wie schnell kann jemand die Gefahrenstelle erreichen, wenn das Schutzgitter geöffnet wird? Dabei auch Lauf-/Schaltzeiten von Lichtgittern o.ä. berücksichtigen.


----------

