# Sicherheitskategorie ???



## mitchih (19 Juli 2009)

Hallo,

ich habe eine Anlage, an der sich diverse Antriebe befinden.  Diese sind sowohl elektrisch und auch hydraulisch. Die Sicherheitstechnik wird über eine F-CPU ralisiert. Sicherheitsmäßig werden die Antriebe und Ventile über 2 Schütze abgeschaltet.  Jedoch haben die Schütze keinen Rückführkreis ein kleben wird also nicht erkannt.

Um welche Kategorie handelt es sich dann??


----------



## Sockenralf (19 Juli 2009)

Hallo,

wie sieht denn die Hydraulik aus?
Gefährliche Bewegungen nur über ein Ventil (Kriterium)?
Wurde da nach der Elektrik aufgehört sicherheitstechnisch zu denken (wie sooooooooo oft)?


So aus der Ferne schwanke ich zw. B und 1



MfG


----------



## Safety (19 Juli 2009)

Also aus Normen sicht erfüllt Ihr damit KAT1 da die Anforderungen der KAT2-3-4 nicht möglich. Keine Fehleraufdeckung keine Testung. Aber für KAT1 benötigt man Bewährte Bauteile nach 13849 ich gehe davon aus das die Schütze dies auch nicht erfüllen also KAT B .


----------



## mitchih (19 Juli 2009)

Safety schrieb:


> Also aus Normen sicht erfüllt Ihr damit KAT1 da die Anforderungen der KAT2-3-4 nicht möglich. Keine Fehleraufdeckung keine Testung. Aber für KAT1 benötigt man Bewährte Bauteile nach 13849 ich gehe davon aus das die Schütze dies auch nicht erfüllen also KAT B .



Gibt es auch irgendwo unterlagen bzgl. der Kategorien, will mich dort ebenfalls einarbeiten, da dieses Thema mehr und mehr auch für mich wichtig wird. (nicht das ich bisher nicht auf Sicherheit geachtet hätte, aber immer mehr muss ich mich auch mit dem Thema F.Steuerungen etc.. auseinandersetzen.)


----------



## Safety (19 Juli 2009)

*BGIA Report 2/2008*

Lade Dir den BGIA Bericht 2/2008 runter damit kannst Du dann mal anfangen da sind auch die Anforderungen für die Erfüllung der Kategorien enthalten aber da ist noch mehr viel mehr!
http://www.dguv.de/bgia/de/pra/en13849/index.jsp

Aber Ihr benötigt auch Normen die 13849-1/2 12100-1/2 60204-1 14121 und eventuell weitere am besten wenn eine C-Norm passt!


----------



## mitchih (6 Oktober 2009)

*Thema noch mal aufgreifen*

Hallo,

ich muss das Thema nochmals aufgreifen, da man sich bisher immer noch uneins ist.

Ich beschreib nochmal kurz den Aufbau:

Eingänge: Alle Eingänge wie Not Aus, Zustimmtaster, und Türsicherheitsschalter sind 2 kanalig ausgeführt.

Anschluß Eingänge an F-DI
Ausgänge an F-DO

Bei den EIngängen wird 2v2 Auswertung gefahren, d.h. die Diskrepanz wird ebenfalls ausgewertet. Querschluß wird ebenfalls überwacht, da das Potential der F-Baugruppen genutzt wird.

Bei den Ausgängen sprich Schützen handelt es sich um "normale Hilfsschütze" Diese haben ja normalerweise zwangsgeführte Kontakte.

Es sind jeweils 2 Schütze mit ihren Schliessern in Reihe geschaltet. 

Angesteuert werden sie über einen Ausgang. Jedoch wird einmal der Plus der Baugruppe auf ein Schütz geschaltet und einmal auf das andere 2. Schütz ist der minus geschaltet.

Drahtbruchüberwachung ist aktiviert.

Jedoch haben die 2 Schütze jeweils 1 Schliesser in Reihe.

D.h. wenn beide Schütze angezogen sind bekommt die F-Steuerung ein 1 Signal.

Jetzt der Knackpunkt:

Ich bin der Meinung, das die Regelmäßige Prüfung, die laut Kat. 1 sogar gefordert ist nicht einmal erfolgt. Oder liege ich da falsch??

Auf der Eingangsseite erfolgt sie ja noch (durch die 2v2 Auswertung)

Aber auf der Ausgangsseite aufgrund des fehlendes Öffners in Reihe nicht. 

Würde man jetzt 2 Öffner in Reihe schalten, und die Kontakte z.B. mit dem F-feedback auswerten dann hätte man meiner meinung nach Kat 3.

Der Lieferant hat jetzt behauptet: Es sei ein Rückmeldesignal für die Steuerung und NICHT sicherheitsgerichtet, daher schliesser.

Nur wenn ich keinen Rückführkreis habe brauche ich auch keine 2 Schütze oder???

Oder gibt es irgendwo einen Passus der Besagt das eine RFK nicht erforderlich ist wenn 2 Schütze vorhanden sind.

Wie ist es mit Zustimmtastern:

Bei der Anlage kann über Zustimmtatser von Mobile Paneln die Anlage gefahren werden wenn sich jemand im Sicherheitsbreich befindet. (Für Fehlersuche und EInstellarbeiten, Wartung) Gibt es dann eine mind. Sicherheitskategorie??

Wäre schön wenn jemand eine Antwort wüsste. Habe mich mit dem BIGA Report befasst und bin zu der oben geschilderten Ansicht gekommen, der Hersteller sieht das aber anscheinend ein wenig lascher.


----------



## Strabon (6 Oktober 2009)

Hi, sieht nach kat3 aus, mit niedrigen PL. 
DC von 60% Nachweis wird durch die schlecht überwachten Schütz schwer.. muss auch nachgewiesen werden, ob die Ansteuerung über einen Ausgang als zweikanalig gilt. Kann nur der Hersteller der F-cpu sagen.



mitchih schrieb:


> ...
> 
> Der Lieferant hat jetzt behauptet: Es sei ein Rückmeldesignal für die Steuerung und NICHT sicherheitsgerichtet, daher schliesser.
> 
> ...



RFK oder EDM ist eine Aufdeckungsmaßnahme über den schütz, kein direkter Teil der Sicherheitsfunktion. Falls man mit kat3 bzw. mit nur 1 Fehlersicherheit leben darf (niedriger PL) und alle Anforderungen kat3 nachweist, ist das m.E. erlaubt. 

2 Schütze sind aber notwendig, um eine HFT von 1 zu erreichen .. die Reihenschaltung birgt aber die Gefahr des verklebens beider Schliesser durch einen Kurzschlussstrom (CCF wird als ein 1 Fehler betrachtet) Wird aber durch entsprechende Sicherungen entschärft...

Zustimmschalter müssen meines Wissens gleiche kat, Pl erfüllen wie die jeweilige Stoppfunktion.. also ergibt sich das aus der gefahrenanalyse ...

grüße


----------



## mitchih (6 Oktober 2009)

Strabon schrieb:


> Hi, sieht nach kat3 aus, mit niedrigen PL.
> DC von 60% Nachweis wird durch die schlecht überwachten Schütz schwer.. muss auch nachgewiesen werden, ob die Ansteuerung über einen Ausgang als zweikanalig gilt. Kann nur der Hersteller der F-cpu sagen.
> 
> 
> ...



Was zum Teufel ist EDM, CCF und HFT???

Ich glaub mein Chef muss mal ne Schulung springen lassen.

Aber schon mal danke für die Antwort.
 Die Anlage wurde noch nach der alten Masch Richtlinie erstellt

Wie machst du denn die Kat 3 fest?? Nur an den 2 Schützen und 2 kanaligen DI??

Bzgl. Des Zustimmtasters reden wir glaub ich aneinander vorbei

Also wenn ich mit dem Zustimmungsschalter in der Anlage stehe, ist die Schutztür ja offen, d.h. beide Schütze sind abgefallen. Wenn ich nun drücke ziehen beide an. Wenn nun jedoch beide Schütze Kaputt sind (kleben) wäre ja z.B. Spannung an den Ventilen trotz offener Tür und Zustimmtaster nicht gedrückt.

Daher meine ich das z.B. ein hoher Diagnosegrad erreicht werden muss.


----------



## Strabon (7 Oktober 2009)

Sorry, wollte dich nicht verwirren. EDM (= External Device monitoring, RFK ist auch eine Art EDM) und HFT (= hardware fehler toleranz) Abk. kommen aus andere Normen (IEC62061 bzw. IEC61508). Da ich mich mit Sicherheitskomponenten beschäftige, schwirren die auch in meinen Kopf rum.

Aber mit CCF solltest Du was anfangen können
CCF = Common Cause Fehler siehe anhang F der Iso13849-1; bezeichnen Fehler gemeinsamer Ursache die auf beide Kanäle wirken und gleichzeitig beide Kanäle zum Ausfall bringen können. Bsp: Zwei in Reihe geschaltete Schließer schalten eine spannung weg. Alles schön zweikanalig redundant und und per RFK  überwacht angesteuert. Jetzt tritt irgendwo im Abschaltkreis ein saftiger Kurzschluss auf, der Strom fließt durch beide Schließer, die Kontakte verschweißen beide.. wird als 1 Fehler betrachtet.

Also ne Schulung würde ich Dir auch sehr an Herz legen, gerade für den Einstieg immens wichtig. Sonst werden dir nur Begriffe, Abk, Normen usw. um die Ohren gehauen, so das man nix versteht (ging mir genauso, aber ich kann ja immer die Jungs und Mädels von TÜV/ BGIA fragen, die wir quasi ständig im Haus haben)

Zu Kategorien.  Ich vermutete die Kat3, da alles 2kanalig aufgebaut wurde. Die verwendeten Kategorien und Performance Level müssen laut ISO den Anwender angegeben werden. Was steht in der offiziellen Doku?
Ob deine Anlage Kat3 erfüllt, kann ich natürlich nicht beurteilen. Aber Kat3 ist nicht gleich Kat3 ;-)

Nach  ISO13849-1 können Sicherheitsfunktionen (kürze ich ab jetzt mit SF ab) der Kat3 unsicherer als SF der Kat1 sein. Kat3 Anlagen können Pl-a bis Pl-e besitzen! 

Schaue dir in der 13849 unter 6.2.6 die anforderungen für kat3 an : 
- Anforderungen nach Kat B und Anwendung bewährter Sicherheitsprinzipien
- 1 Fehler darf nicht zum Verlust der SF führen => deshalb die Empfehlung einer zweikanaligen Struktur
- DCavg mindestens 60% oder besser
- MTTFd jedes Kanals muss niedrig bis hoch sein
- CCF Maßnahmen
=> aber Mehrfachfehler können zum Verlust der SF führen!

Durch den DC und MTTFd Werte wird ein PL bzw. PFH-Wert erreicht. Bei Kat3 ist DCavg=60% Pflicht. Du erreichst damit bei ca 4J MTTFd/Kanal schon PL-b, mit 11J  Pl-c und mit 24J Pl-d. Kannst Du schön in der Tabelle K1 in der 13849 sehen.

Zurück zu Deiner Anlage. DCavg=60% (und CCF) muss bei kat3 erfüllt sein, egal ob Pl-a oder Pl-c. Ohne Überwachung der Schütze wird das schwierig. Wahrscheinlich ist die Aussage falsch,dass die Rückführung nicht sicherheitsrelevant ist. Die SPS bekommt ein Signal über den RFK und wertet es aus. Auch wenn es nicht über Zwangsführung realisiert wurde, ist das eine Aufdeckungsmaßnahme. Dafür wurde wahrscheinlich ein DC= 60% angenommen.
Es kann auch sein, dass der DC schön gerechnet wurde. Wenn du in deiner Anlage Teilelemente mit niedrigen MTTFd hast und diese gut überwachst (z.b. 99% ), kannst Du dir an anderen Teilelementen mit höheren MTTFd dann einen kleineren DC als 60% leisten. Der DCavg kommt dann trotzdem über 60%. Kann gut sein, dass dies beim Normenschreiber nicht beabsichtigt wurde und die Iso verschärft wird. Dazu war hier im Forum auch ein schönes Bsp mit zwei Ventilen, eins hoch und das andere überhaupt nicht überwacht..

Zum Zustimmtaster, da habe ich Deine Schaltung wohl nicht verstanden, aber was Pneumatik und Hydraulik betrifft, bin ich eh 'ne Niete. Ventile gibt es in meiner Welt nur am Fahrrad  Ich habe es so verstanden, das die beiden Schütze eine Spannung auf die Ventile (werden die nicht überwacht?) schalten und damit wird die gefährliche Bewegung aktiviert. Wenn beide Schütze angezogen sind => Gefahr, Maschine ist eingeschaltet... Türschalter usw. stoppen die Maschine = 1.SF  . Der Zustimmschalter startet die Maschine (bzw. überbrückt bei dir den Türschalter, oder?). In dem Fall überwacht ein Mensch den Anlage, so dass niemand im Gefahrenbereich ist. Dabei ist die SF, dass nur das Drücken des Zustimmschalters und kein Fehler die Schütze einschaltet. Was passiert, wenn Du in der Anlage bist und da rumfummelst und in dem Moment tritt ein Fehler im Zustimmschalter auf und die Schütze schalten ein? Deshalb ist Zustimmschalter = überwachter Anlauf = 2.SF der Anlage. Diese SF muss auch entsprechend der Gefahrenanalyse ausgelegt sein.

Die Schütze sind Teilelemente der 1.SF und der 2.SF und müssen so oder so dem geforderten PLr entsprechend überwacht werden.

Hoffe ich, verwirre ich dich nicht noch mehr


----------



## mitchih (7 Oktober 2009)

Hallo,

also ich habe heute erst mit unserem Ingenieur gesprochen, der widerum hatte gar keine Idee. 

Danach war der Lieferant zu Besuch, da haben wir das Thema nochmals aufgetischt, und er will jetzt noch mal klären nach welcher Kategorie das ganze ausgelegt ist. Dann sehen wir weiter.

Zu den Ventilen,

Ich habe für die Fahrbewegung bzw. die Zuschaltung 2 Vent. in Reihe, wovon jedoch keines Überwacht ist.


----------

