# Unstimmigkeiten beim sicherheitskonzept - was tun?



## Mumpitz (16 Juli 2015)

Hallo. 

Ich soll die Sicherheitsfunktionen für eine Anlage programmieren. Allerdings passt mir das sicherheitskonzept nicht, dass mir mein Kollege vorgelegt hat. 
Dabei wird mit einem nicht sicheren, einkanaligem Bauteil das wiederanlaufen der Anlage verhindert. Bzw. Dieses Bauteil ist das schwächste Glied in der Sicherheitskette. 
Ich schreibe gerade von meinem Handy und kann deshalb nicht das gesamte Konzept darlegen. 
Mein Problem ist, dass mein Kollege das Problem wegredet und mir die stichhaltige Argumente fehlen. Da ich sicherheitskonzepte nicht entwerfe.
Ich höre dann so Sachen wie: "das würde vom sicherheitsbeauftragten der kundenfirma so abgenommen." oder "wir machen x, das erhöht das Performance level". Das ist meiner Meinung nach so nicht zulässig. Ich habe versucht über die herstellerfirma ein stichhaltige Argument zu erhalten. Aber diese haelt sich auch raus und macht keine Aussage über ein fremdes Konzept. 
Auf der anderen Seite finde ich auch keine Alternative, wie man das gewünschte Konzept umsetzen könnte. Aber das ist kein Grund um nicht sichere Bauteile zu nutzen. 

Grüße, mumpitz


----------



## Aventinus (16 Juli 2015)

Und was willst du jetzt hören?

Wenn du vom Bauchgefühl her sagts dass das nicht passt wirds wahrscheinlich auc so sein.
Deine Ausführungen sind so dermaßen schwammig dass von Alles ok bis Todesstrafe alles rauskommen kann.

Entweder du beschreibst uns deine Sicherheitsfunktion und die verwendeten Bauteile, dann kann dir technisch geholfen werden. Ansonsten wirds schwierig.


----------



## stevenn (16 Juli 2015)

Aventinus schrieb:


> Und was willst du jetzt hören?
> 
> Wenn du vom Bauchgefühl her sagts dass das nicht passt wirds wahrscheinlich auc so sein.
> Deine Ausführungen sind so dermaßen schwammig dass von Alles ok bis Todesstrafe alles rauskommen kann.
> ...



*ACK*
wir brauchen schon mehr Infos


----------



## Mumpitz (17 Juli 2015)

Die Anlage ist über vier Türen betretbar. An jeder Tür befindet sich ein Lesegerät. Dort soll sich die Person mit einem eigenen RFID-chip anmelden.
Daraufhin wird die Anlage in den sicheren Halt versetzt und die Tür freigegeben. Von innen kann man aus jeder Tür mit der Fluchtentriegelung rausgehen.
Dann soll sich die Person nachdem Sie die Tür geschlossen hat wieder, durch auflegen des Chips, abmelden.
Eine safety SPS wertet alles aus und kann auch den sicheren Halt veranlassen.

Das Problem ist, dass ich noch keine sichere RFID Auswertung gefunden habe. Und dort meiner Meinung nach das Problem liegt. 
Die rfid Auswertung vom Kollegen ist einkanalig zur sps. 
Auch wenn die Lesung nur für eine kurze dauer ist pro Tag (falls das überhaupt relevant ist).


----------



## Strabon (17 Juli 2015)

Im Prinzip sind das zwei Sicherheitsfunktionen Stopp und Wiederanlauf. Wenn die Türen entsprechend überwacht sind, scheint die Stoppfunktion sicher zu sein. Sofern die F-SPS die Maschine abschaltet, wenn eine der Türen offen ist. Hier ist das Lesegerät dann nicht an der SF beteiligt.

Beim Wiederanlauf teile ich deine Bedenken. Solange eine Tür offen ist, wird die Maschine nicht anlaufen. Aber wird die Zugangstür versehentlich geschlossen wenn jemand im Gefahrenbereich ist, hängt die SF vom sicheren Freigabesignal des RFID Lesegerät ab. Da im Lesegerät ein µC verbaut ist, kannst du dem alles unterstellen(z.b. Fehlermodell für komplex IC z.B. in ISO13849-2) Wenn das Lesegerät den RFID Code fehlerhaft noch einmal schickt, ist die SF ausgefallen. So erreicht man eventuell PLa oder PLb mit Kat.B nach ISO13849-1 
Anforderungen an entsprechende Freigabefunktionen findest Du in der ISO13849-1 / ISO12100 / IEC60204


----------



## rostiger Nagel (17 Juli 2015)

Währe vielleicht nicht so etwas für euch https://www.pilz.com/de-DE/eshop/00012000287075/PITmode-Betriebsarten-Wahlschalter


----------



## volker (17 Juli 2015)

da die tür zugehalten wird sehe ich hier in der anforderung zum freigeben mit dem rfid kein problem.
mit dem abmelden wird die tür wieder verriegelt? das wäre auch noch ok.
wird die maschine danach automatisch gestartet? das wäre dann nicht mehr ok.
das quittieren einer sf darf keinen automatischen start auslösen.

das anfordern und quittieren gehört hier nicht zur sf. das muss nicht einmal auf einen sicheren eingang gehen.


----------



## Mumpitz (17 Juli 2015)

Vielen Dank schonmal für die vielen Antworten. 
Zum Teil wurde die Funktion aber falsch verstanden. 
Die tuer soll nicht offen bleiben.  Die Person meldet sich an. Die Anlage wird angehalten. Die sps merkt sich wer angemeldet ist. Die Person geht durch die tuer hinein und schließt diese wieder.  Danach geht sie durch eine andere tuer hinaus und quittiert sich mit dem rfid Chip wieder und startet die Anlage mit einem Taster. Die SPs startet die Anlage, wenn niemand mehr angemeldet ist. Und dort liegt das Problem. Deshalb benötige ich meiner Meinung nach eine sichere rfid Auswertung. 
Ich glaube das System von Pilz ist auch nicht darauf ausgelegt. Aber ich schaue mir das heute abend mal an.

Strabons Post ist aber genau das was ich gedacht habe. Die Anlage wird Minimum pld benötigen, da schwerste Verletzungen die Folge sein könnten.


----------



## Knaller (17 Juli 2015)

Moin
Das Problem ist die Möglichkeit an einer anderen Stelle die Maschine zuverlassen.  Das Thema hatte eine Firma für Fliessstoffe ( 1 bis 4 lagen  Hygienepapier).   Da die Maschine unübersichtlich ist, musste am bedienpult ein zentraler Schalter mit Verriegelung hin.  Alla Kensingten schloss.   Der in die Maschine ging musste den Schlüssel und nach einem persönlichen Schlüssel haben.     


Sent from my iPhone using Tapatalk


----------



## Blockmove (17 Juli 2015)

Ich sehe es ähnlich wie Knaller.
Wenn die Anlage so unübersichtlich ist, dass sie beim Quittieren nicht eingesehen werden kann, dann ist ein ein klassischer Fall für ein Schlüsseltransfer-System.
Wahrscheinlich ist so eine Lösung sogar noch günstiger als eure bisherige Lösung.

Bei manchen Anlagen reicht aber auch eine sichere Anlaufwarnung und der entsprechende Sicherheitshinweis

Gruß
Dieter


----------



## karliesepp (17 Juli 2015)

Guten Abend,
tu deine Anlage und dein Sicherheitssystem doch mal in Sistema bewerten! Da kannst du deine verwendeten Bauteile eintragen und erhälst zum guten Schluss deinen tatsächlichen PL.

Gruß Karliesepp


----------



## volker (18 Juli 2015)

ich weiss jetzt nicht wie gross und unübersichtlich die anlage ist.
den nicht einsehbaren bereich könnte man z.b. mit einem laserscanner überwachen.


----------



## Blockmove (19 Juli 2015)

karliesepp schrieb:


> Guten Abend,
> tu deine Anlage und dein Sicherheitssystem doch mal in Sistema bewerten! Da kannst du deine verwendeten Bauteile eintragen und erhälst zum guten Schluss deinen tatsächlichen PL.
> 
> Gruß Karliesepp



Das würde mich jetzt aber inetessieren wie du die konkrete Aufgabe des TE in der Sistema einträgst ...


----------



## rostiger Nagel (19 Juli 2015)

Blockmove schrieb:


> Das würde mich jetzt aber inetessieren wie du die konkrete Aufgabe des TE in der Sistema einträgst ...



Genau einfach eingeben und alles ist gut, egal ob jetzt die Sicherheitszone nicht einzusehen ist.
Hauptsache PLs wie Perfomance Level Schwachsinn.


----------



## Blockmove (19 Juli 2015)

rostiger Nagel schrieb:


> Genau einfach eingeben und alles ist gut, egal ob jetzt die Sicherheitszone nicht einzusehen ist.
> Hauptsache PLs wie Perfomance Level Schwachsinn.



Zumal die Quittierfunktion von Schutztüren gar nicht Bestandteil der "normalen" Sicherheitsfunktion (Schutzgitter geschlossen) ist.
Für die Quittierung reicht ein normaler Taster der eben die üblichen Bedingungen erfüllen muss.
Viele andere würden einfach ein Schild anbringen (Vor Quittieren Bereich kontrollieren) und ein weiteres Schild (Zutritt nur für unterwiesenes und befugtes Personal) und es würde wahrscheinlich gut sein.

Gruß
Dieter


----------



## Mumpitz (20 Juli 2015)

Ist es denn überhaupt zulässig, dass das wiederanlaufen einer Anlage nur von der f-sps verhindert wird. Weil die sps weiß, dass sich jemand angemeldet hat und erst auf die Abmeldung wartet? Also in diesem Moment ohne jegliche mechanische abfrage. 
Dann kann ich mir auch die Zeit sparen nach einer sicheren anmeldemethode zu suchen. Ich hatte mir als Alternative überlegt, dass man zwei Lesegeräte anbringt und zwei Chips hat die genau aufeinander passen, um es zweikanalig zu gestalten.


----------



## L.T. (20 Juli 2015)

Hallo Mumpitz,

ich habe mich jetzt mit dem Thema nicht von der Sicherheitsseite aus beschäftigt aber sozusagen nebenbei von Euchner die EKS-FSA "gefunden".
Laut Beschreibung "Einsatz für Sicherheitsanwendungen im Zusammenhang mit der Betriebsartenwahl"  
Vielleicht solltest du die Jungs mal kontaktieren. 

Gruß Lars


----------



## Mumpitz (21 Juli 2015)

Hallo L.T.,
Dieses System habe ich auch schon gesehen. Aber wie das Pilz System ist der anwendungsfall ein anderer. Das eks-fsa stellt sicherheitsgerichtet fest, dass ein Schlüssel im Lesegerät ist. Aber nicht welcher. Und mit dem entnehmen des Schlüssels soll die Anlage wieder in einen sicheren Betriebszustand oder -art gehen. 
Das passt leider nicht zu meiner geforderten Aufgabe.


----------



## se_la (21 Juli 2015)

Guten Morgen,

du hast folgendes geschrieben:

"Die tuer soll nicht offen bleiben.  Die Person meldet sich an. Die Anlage wird angehalten. Die sps merkt sich wer angemeldet ist. Die Person geht durch die tuer hinein und schließt diese wieder.  Danach geht sie durch eine andere tuer hinaus und quittiert sich mit dem rfid Chip wieder und startet die Anlage mit einem Taster. Die SPs startet die Anlage, wenn niemand mehr angemeldet ist. Und dort liegt das Problem. Deshalb benötige ich meiner Meinung nach eine sichere rfid Auswertung."

Hat deine Tür eigentlich eine Zuhaltung oder eine Verriegelung? Wie wirken die Türen auf den Prozess bzgl. sicherheitsbezogenes Stillsetzen.
Wird die Anlage durch das Anmelden in einen sicheren Zustand versetzt? Verhindern des unerwarteten Anlaufs etc.? Diese Sicherheitsfunktion steht ja immer in Verbindung mit einer sicherheitsbezogenen Stoppfunktion. Was macht denn die Person in der Anlage? Sie wird ja wohl kaum nur rein und raus gehen um den Weg abzukürzen. 

Wenn deine Tür eine Zuhaltung hat, so sollte die Freigabe der Zuhaltung dadurch erfolgen, dass die Anlage in einem sicheren Zustand ist (z.B. Drehzahlüberwachung=0). Wenn die Zuhaltung freigegeben ist kann das Betreten der Anlage mithilfe dieses RFID Chips nur eine steuerungstechnische Bedingung sein. 
Wenn deine Tür nur eine Verriegelung hat, dann muss sichergestellt sein, dass die gefährlichen Bewegungen innerhalb der vorgeschriebenen Zeit zum Stoppen kommen.

Dann der Fall, dass die Tür wieder geschlossen ist. Wie viele Zugänge hat deine Anlage denn? Wie übersichtlich ist die Anlage? Kann von allen Stellen von denen gestartet wird der gefährliche Bereich eingesehen werden? Wenn nein, dann liegt hier dein Problem, dass du nicht sicher erkennst ob sich Personen im Gefahrenbereich aufhalten.
Das kann dann z.B. durch Schlüsseltransfersysteme, Schaltmatten, Bereichsüberwachung durch Scanner erfolgen, um ein unerwartetes Wiederanlaufen zu verhindern.
Sollte die Anlage Übersichtlich sein, kannst du je nach Risikobeurteilung, vielleicht sogar darauf verzichten. Denn das Rücksetzen der Sicherheitsfunktion startet ja den Prozess nicht, was ja auch schon vorher mal gesagt wurde. Das Starten des Prozesses muss ja auch nicht sicherheitstechnisch erfolgen und dann kann in deinem Fall eine Bedingung sein, dass der RFID Chip wieder ausgelesen ist und der Start-Taster betätigt werden muss.


Aber da stellt sich wieder raus, dass die Risikobeurteilung das A und O ist.


----------



## Mumpitz (21 Juli 2015)

Hallo se_la, 

Zu deinem ersten Punkt, dem sicheren stillsetzen:
Dies ist kein Problem und wurde auch schon in anderen Anlagen umgesetzt. Die tueren sind mit einer zuhaltung versehen und werden erst freigegeben, wenn der sichere halt ausgelöst wurde. Umgekehrt wird bei fehlerfaellen oder einer geöffneten tuer der sichere halt sofort ausgelöst. 

Zum wiederanlaufen :
Die Anlage ist nicht übersichtlich und es gibt 4 tueren. Leider kann es laut dem Kunden sein, dass die beugte Person wirklich nur durchlaufen möchte. Da es zwei Hallen verbindet. 
Du hast mich aber mit deiner letzten Aussage verwirrt, dass es in Ordnung ist den rfid zu nutzen, da er nur das starten freigibt.
Der rfid quittiert doch auch die sicherheitsfunktion in diesem Fall. Bzw wenn die Person nach dem quittieren, Start drückt, dann ist dies doch trotzdem nicht sicher. Oder ergibt sich das alles durch die Übersichtlichkeit der Anlage und damit ist der Benutzer verantwortlich?


----------



## se_la (21 Juli 2015)

http://www.dguv.de/medien/fb-holzun...ter/infobl_deutsch/067_rueckstellfunktion.pdf

Vielleicht hilft dir das weiter. 

Das Problem was wir hier haben ist das wir deine Risikobeurteilung nicht vorliegen haben. In der sollte die Risikominderung doch bereits beschrieben sein mit der du dein Schutzziel erreichen kannst. 

Du schreibst die Anlage ist nicht übersichtlich. Deine Gefahr verbirgt sich darin, dass eingeschlossene Personen nicht erkannt werden, das ist gefährlich.
Ich habe ja oben auch schon die Beispiele genannt. Schlüsseltransfersystem kommt wahrscheinlich nicht in Frage, aber was ist denn mit Schaltmatten oder Scannern? Warum muss unbedingt das RFID System genutzt werden?


----------



## Mumpitz (21 Juli 2015)

Das Problem ist das "durchgehen". Wir haben bereits schluesseltransfer Systeme genutzt, damit hat es wunderbar funktioniert. Jetzt kam eben die Anforderung, dass man auch auf der anderen Seite wieder rausgehen können muss. Dadurch kam die Idee mit dem rfid vom Kollegen. 
Ein schluesseltransfer System mit dem ich auf der einen Seite reingehen und auf der anderen raus habe ich noch nicht gefunden. Es ist ja auch der Wunsch dass von dort die Anlage wieder gestartet werden kann.

Aber vielen Dank für die ausführlichen Erklärungen. Jetzt kann ich besser argumentieren, warum das System so nicht funktioniert. Ich hatte auch befürchtet dass ich vielleicht aus einer Mücke einen Elefanten mache. 

Edit: ich hab gerade gemerkt, dass du schon selbst das schluesseltransfer System ausgeschlossen hast. Ich werde mich mal über Scanner und matten informieren und diese vorschlagen. Danke


----------

