# Diagnosedeckungsgrad nach DIN EN ISO 13849-1 Anhang E



## Safety (16 September 2011)

Hallo Tommi,
ja klar Du kommst gleich mit dem schwierigsten Thema.
Spaß beiseite DC kommt ohne Gewähr ist meine Interpretation:
Ich fange mal mit den Sensoren an
Anhang E
*1. **Zyklischer Testimpuls durch Dynamische Änderung der Eingangssignale*
Was bedeutet das, hier steht im BGIA Report 2/2008:
*Periodische Generierung eines Signalwechsels mit Überwachung des Ergebnisses.*
Sowas machen wir z.B. mit den Taktsignalen, die man an unsere Steuerung ausgeben kann.
Aber oft werden die Maßnahmen in der entsprechenden Betriebsanleitung angeben. So dass man hier nicht lange überlegen muss. Was bei diesem Punkt fehlt ist die Erkennung von Querschlüssen.
Aber dies kommt dann noch später.

2. *Plausibilitätsprüfung z.B. Verwendung der Schließer Öffner Kontakte von zwangsgeführten Relais. *
Dürfte klar sein.
*3. **Kreuzvergleich von Eingängen ohne Dynamische Testung*
*Anmerkung der Norm: 0-99% Abhängig davon wie oft ein Signalwechsel durch die Anwendung erfolgt.*

Dies ist z.B. so bei Sicherheitsrelais ohne Taktsignale, hier werden zwei Verschiedene Spannungen auf die Kanäle gegeben und im Relais getestet ob die Kanäle gleiche oder eben ungleiche Zustände haben. 
Man kann durch diese Maßnahme einen DC von 99% erreichen, wenn eine Anforderung der SF auch in entsprechenden Zeittakten passiert. Eine Anforderung die nur einmal im Jahr kommt kann nicht so gut sein wie eine die einmal alle Stunde kommt. Da die erste einmal pro Jahr  eine Fehler bzw. eine Fehleranhäufung erst erkennt wenn alles zu spät ist. Der Abschnitt 4.5.4 geht von mindestens einmal pro Jahr aus.  Was kann man z.B. bei Not-Halt SF machen,  die wahrscheinlich nur sehr selten benutzt werden, man könnte eine Auslösung pro Monat zum Test in der Betriebsanleitung vorschreiben. 
Also bei verriegelnden Trenneden Schutzeinrichtungen, Schutztüren oder Klappen kann man von einer Anforderungsrate ausgehen die entsprechend hoch ist und somit auch eine DC von 99% zulässt. Wenn eine Tür nur einmal im Jahr aufgemacht wird kann man diesen auch durch andere Maßnahmen absichern siehe hierzu DIN EN 953. 
Geht dann bald weiter!


----------



## Tommi (17 September 2011)

Hallo Dieter,

danke für Deine Ausführungen.

Hatte und habe z.Zt. keine Zeit, es sorfältig zu lesen.
Sobald ich Zeit habe, melde ich mich.

Gruß
Thomas


----------



## Safety (18 September 2011)

Also weiter:
  Immer noch Eingabeeinheit.
* Kreuzvergleich von Eingangssignalen mit dynamischem Test, wenn Kurzschlüsse nicht bemerkt werden können (bei Mehrfach-Ein/Ausgängen) DC  90%*
  Die IFA-BGIA schreibt zu diesem Thema:
*Mit Dynamisierung ohne hochwertige Fehlererkennung.*
  Sowas ist dann wenn man eine Querschluss nicht erkannt wird also eine weniger gute Fehlererkennung. Hier finde ich den DC von 90% also mittel sehr hoch angesetzt. 
*Kreuzvergleich von Eingangssignalen mit unmittelbaren und Zwischenergebnis in der Logik und zeitliche und logische Programmablaufüberwachung und Erkennung  statischer Ausfälle und Kurzschlüsse (bei Mehrfach-Ein/Ausgängen) DC  99% *
  BGIA:
*Elektrik :*
*Kreuzvergleich von Eingängen und Ausgängen mit Kurzschlusserkennung und Erkennung statischer Fehler z.B. mithilfe von Sicherheitsbausteinen.*
*(Programmierbare) Elektronik*
*Kreuzvergleich von Signalen und zwischenwerten mit Kurzschlusserkennung. Erkennung statischer Fehler und zeitliche und logische Programmablaufüberwachung:  Dynamischer Kreuzvergleich unabhängig  gewonnener Stellungs,- oder Geschwindigkeitsinformationen*
  Beispiel: Verriegelungsschalter mit Integrierter Sicherheitslogik, also OSSD Ein,- und Ausgängen die alle Fehler erkennen und die Kanalüberwachung übernimmt die Sicherheitssteuerung mit einem Zertifiziertem Baustein.  PSENcode mit PNOZMulti 
  Oder eine Abfrage der Stellung vom Ventilschieber, da aber bei diesen Ventilen meist keine zwangsöffnende Diagnoseschalter angebracht sind müssen diese Zyklisch Überwacht werden also bei jedem Ein und Ausschalten eine Plausibilitätsprüfung der Signale „Ausgang Ventil“ und „Eingang Diagnose Sensor“.
  Oder Einlesen von zwei Drehzahlsignalen und entsprechendem Vergleich in einer Sicherheitslogik PSEN sigma S30 oder PNOZmulti mit Erweiterungsbaustein. Hier wieder zertifizierte Bausteine und Produkte bevorzugt einsetzte macht vieles einfacher.

  Eingabeeinheiten immer noch nicht komplett aber jetzt sollten wir mal Diskutieren.


----------



## Tommi (19 September 2011)

Hallo Dieter,

kann man die Tabelle eigentlich unterteilen?

1. Die Maßnahmen, die der Maschinenhersteller erfüllen muß.

2. Die Maßnahmen, die der Sicherheitsbauteilehersteller erfüllen muß.

Das würde die Sache vereinfachen. Ich weiß nicht, ob ich mich da 
richtig ausdrücke?
Kreuzvergleich ist doch eigentlich "Pilz-Sache", oder? Dann muss der
Maschinenhersteller doch nur nach Pilz-Vorgabe verdrahten und hat
sowieso schon einen PL-Wert von Euch für das Bauteil.

Ich habe das noch nie gewählt oder ich habe was falsch gemacht.

Indirekte Überwachung... kommt bei Eingabe- und Ausgabeeinheiten vor, einmal für Antriebe und einmal für Aktoren.


Gruß
Tommi


----------



## Safety (19 September 2011)

Hallo Tommi,
  wenn Du zertifizierte und Baumustergeprüfte Lösungen einsetzt hat doch der Hersteller das alles schon getan!
  Also hier die Datenblätter und Betriebsanleitungen beachten dann hat man nach einer Überprüfung die Grundlegenden und Bewährten Sicherheitsprinzipien, CCF  die angegebene Kategorie  und den entsprechenden PL eingehalten.  Wann benötigt man nun diese Tabelle?
  Z.B. wenn man an den Ausgängen der Multi Pneumatische Aktoren hat die dann mit einer entsprechenden Diagnose ausgestattet werden müssen. Hier hilft die Tabelle den DC abzuschätzen.
  Oder wenn man was selbst basteln will.


----------



## Tommi (25 September 2011)

Safety schrieb:


> Wann benötigt man nun diese Tabelle?


 
Hallo Dieter,

ich habe mal die Maßnahmen der Tabelle E1 herausgesucht, welche meiner Meinung nach für Maschinenbauer wichtig sind.

Sie sind im *Anhang* grün umrandet.

Die Tabelle wird meiner Meinung nach für den SPS-Programmierer hauptsächlich für Stellglieder benötigt.

Einige ähneln sich auch sehr.

Schönen Sonntag noch.

Gruß
Tommi


----------



## hapr (25 September 2011)

Hallo Tommi,

Bei der Logik würde ich den Punkt "Verarbeitungseinheit: Selbsttest durch Software" nicht für den Maschinenbauer markieren. Letztendlich wäre das ein Punkt für den Hersteller, den internen Programmablauf abzusichern. Der Maschinenbauer setzt nur die auszuführenden Abhängigkeiten im Programmablauf ein.

Ein anderer interessanter Punkt ist die Handhabung bei mehreren zutreffenden Punkten. Hier könnte es zwei Verfahren geben. Beim ersten wird der maximale Wert genommen, beim zweiten wird gemittelt.

Nach meinem Empfinden ist es zulässig, den Punkt mit dem maximalen Wert zu berücksichtigen, weil zusätzlich eine Anforderung erfüllt wird. Im Umkehrschluss wird durch eine zusätzliche Maßnahme mit einem geringeren Wert der Gesamtwert nicht reduziert.

Aber wie schon gesagt, es gibt hier kein Schwarz und Weiß, sondern ein helleres und ein dunkleres Grau.

So, Essen ist fertig ;-)
Harald.


----------



## Tommi (25 September 2011)

Hallo Harald,

Danke für Deine Rückmeldung. Bei dem Punkt war ich mir auch nicht 
sicher.
Aber man kann als Maschinenbauer gut auf ihn verzichten, da man die Software ja zusätzlich noch nach V-Modell bewerten soll.

Wir waren heute auf dem Stiftsmarkt in Bielefeld-Schildesche essen,
ich wünsche Dir Guten Appetit gehabt zu haben. 

Gruß
Tommi


----------



## hapr (25 September 2011)

Ich nochmal,

<Zitat>
Aber man kann als Maschinenbauer gut auf ihn verzichten, da man die Software ja zusätzlich noch nach V-Modell bewerten soll.
</Zitat>
Da stolpere ich etwas drüber, will aber nicht zu stark darauf herum reiten. 

Die Software soll nach V-Modell entwickelt werden und besagt eigentlich nichts anderes als, von Top-down planen (Implementation und Test) und von Bottom-up implementieren und testen. Das gilt dann sowohl für die Software des Herstellers als auch für die Anwendungssoftware durch den Maschinenbauer. Also, nur eine Bewertung nach V-Modell ist IMHO nicht möglich.

Die Verwendung eines V-Modells für die Software Entwicklung ist nicht bindend vorgeschrieben. Es kann auch ein anderes Modell benutzt werden, soweit Anforderungen, Realisierungen, Testabläufe und Testdurchführungen nachvollziehbar dokumentiert werden. Das ist der eigentliche Haken, wo sich viele schwer tun (so viel Schreibarbeit).

<Offtopic>
Nach Forumstreffen und Geburtstagsfeier haben wir heute mal zu Hause gegessen ;-) Jetzt ist gerade mal Zeit für ein bischen Arbeit am Computer, bevor es mit dem nächsten Termin weiter geht. Morgen kann ich dann wieder in Ruhe arbeiten ;-)
</Offtopic>

Bis dann
Harald.


----------



## Safety (25 September 2011)

hapr schrieb:


> Ich nochmal,
> 
> <Zitat>
> Aber man kann als Maschinenbauer gut auf ihn verzichten, da man die Software ja zusätzlich noch nach V-Modell bewerten soll.
> ...


 
Hallo,
Normen muss man ja bekanntlich nicht anwenden, aber wenn dann ist auch der Abschnitt 4.6 der DIN EN ISO 13849-1 im Normativenbereich dieser Norm.

Diese Betrachtung der Software ist sehr interessant, aber hierzu sollten wir eventuell ein eigenes Thema eröffnen. Es wird in vielen Fällen nichts gemacht, noch nicht mal eine ordentliche Spezifikation.
Durch das mehr oder weniger gute Werkzeug zur Softwareerstellung wird dann auch der Rahmen vorgegeben den man dann umsetzten muss.


----------



## Tommi (25 September 2011)

Safety schrieb:


> Diese Betrachtung der Software ist sehr interessant, aber hierzu sollten wir eventuell ein eigenes Thema eröffnen.


 
Hallo Dieter,

das meine ich auch.

Und was meinst Du sonst zu unserer Interpretation der Tabelle E1?

Gruß
Tommi


----------



## Safety (25 September 2011)

Hallo Tommi, 
bei den Eingabeeinheiten sind meiner Meinung nach alle relevant für den Maschinenbau. Siehe Beiträge weiter oben.
Bei den Logikeinheiten hier ist es wieder  sehr abhängig vom System, wenn man eine Sicherheits-SPS benutzt wie z.B. PNOZmulti oder PSS4000 dann ist schon viel vorgegeben und die zugehörigen Zertifizierten Bausteine nehmen einem vieles ab. So das nur wenig Punkte greifen.
Es ist doch auch in den meisten Fällen so dass die Logik in Verbindung mit den Eingabeeinheiten und den Ausgabeeinheiten die Maßnahme bilden. Aber das was Du da markiert hast sehe ich ähnlich.
Den Punkt Verarbeitungseinheiten: Selbsttest durch die Software. Sehe ich wie hapr.
Bei den Ausgabeeinheiten sehe ich wieder Möglichkeiten dass alle Punkte
für den Maschinenbau relevant sein könnten.


----------



## Tommi (25 September 2011)

Safety schrieb:


> bei den Eingabeeinheiten sind meiner Meinung nach alle relevant für den Maschinenbau. Siehe Beiträge weiter oben.


 
Hallo Dieter,

ich werde mir Deinen oberen Beiträge nochmal zu Gemüte führen.

So, jetzt ist Schluss für heute. :s12:

Gruß
Tommi


----------



## Tommi (3 Oktober 2011)

Hallo Dieter,

ich habe mir Deine obigen Ausführungen mal angesehen.

Bei den Eingabeeinheiten gebe ich Dir recht, die können irgendwie alle
für den Maschinenbauer relevant sein.

Harald (hapr) hat auch recht mit seiner Betrachtung zu "Selbsttest durch Software".

Bei den Ausgaben habe ich noch nicht den genauen Unterschied bzw. die
Abgrenzung zwischen "Kreuzvergleich" und "redundantem Abschaltpfad" verstanden. 
Vielleicht kannst Du da helfen .

Ich habe mal Schaltungsbeispiele aus dem Handbuch PNOZmulti angehängt und Kategorien bzw. Diagnosedeckungsgrade eingetragen.

Bitte um Info, ob das so sein kann.

Danke und schönen Feiertag noch...

Gruß
Tommi


----------



## hapr (3 Oktober 2011)

Hallo Tommi,

mal kurz meine Interpretation (es ist ja wieder kurz vor Mittagessen fertig ;-) )

Redundanter Abschaltweg:
Die Sicherheitsfunktion wird in zwei unabhängigen Pfaden ausgeführt. Es gibt keine Information, die zwischen diesen beiden Pfaden ausgetauscht und bewertet wird. Ein Fehler in einem Pfad wird nicht erkannt. Dann ist im Fehlerfall die Sicherheitsfunktion nur noch einkanalig.

Kreuzvergleich:
Die Sicherheitsfunktion wird ebenfalls in zwei Pfaden ausgeführt. Zusätzlich werden Informationen der Zwischenergebnisse zwischen den Verarbeitungseinheiten der Pfade ausgetauscht und bewertet. Bei einem Fehler in einem Pfad wird eine Fehlerhafte Information vom anderen Pfad erkannt und führt zu einer dauerhaften Abschaltung (Fehlerhaltung), auch wenn die Eingangsinformation wieder in Ordnung ist.

Ich hoffe, dass ich Dir auf die Schnelle mit den Worten etwas Licht bringen konnte.

Essen ist gerade fertig ;-)
Harald.


----------



## hapr (3 Oktober 2011)

Ich nochmal,

Hier die Grafik für Kat. 4 Architektur aus der EN ISO 13849-1. Für den Kreuzvergleich ist die Verbindung C zwischen den beiden Logikeinheiten (L1, L2) zuständig.







IMHO ist der Kreuzvergleich ein wesentlicher Bestandteil eines Sicherheitsauswerters oder einer Sicherheitssteuerung. Daher ist der Kreuzvergleich meines Erachtens nicht relevant für die allgemeine Maschinensteuerung, bei der Sensoren (I1, I2) und Aktoren (O1, O2) allerdings einfach redundant angewendet werden können.

Bis dann
Harald.


----------



## Safety (3 Oktober 2011)

Hallo Tommi,
  Schaltung links oben= Kat B oder 1, PLb oder c, DC nicht relevant
  Schaltung links unten = Kat B oder 1,PLb oder c, DC nicht relevant
  Schaltung rechts oben Kat b bis 3, PLb bis d, DC für diesen Ausschnitt max. 60%
  Begründung: Es wird ein schwerwiegender Fehler nicht erkannt, Querschluss zwischen den Kanälen. Würde ich auch nur für die Handlung im Notfall empfehlen. Kategorie 3 erfüllbar, da auch bei einem Fehler die Sicherheitsfunktion erhalten bleibt. Aber für diese Schaltung sprechen nur Wirtschaftliche Gründe. 
  Schaltung rechts unten Kat B bis 4, PLb bis e für diesen Ausschnitt DC 99%.


Ich gehe bei diesen Bewertungen von PNOZmulti oder mini aus mit entsprechender Auswertung im Programm.


----------



## Tommi (3 Oktober 2011)

Safety schrieb:


> Schaltung links oben= Kat B oder 1, PLb oder c, DC nicht relevant


 
Ach ja, bei Kat. b und 1 gibt es ja keine DC...

Gruß
Tommi


----------



## Tommi (3 Oktober 2011)

hapr schrieb:


> IMHO ist der Kreuzvergleich ein wesentlicher Bestandteil eines Sicherheitsauswerters oder einer Sicherheitssteuerung. Daher ist der Kreuzvergleich meines Erachtens nicht relevant für die allgemeine Maschinensteuerung, bei der Sensoren (I1, I2) und Aktoren (O1, O2) allerdings einfach redundant angewendet werden können.


 
Hallo Harald, 

Danke für die Antwort während des Suppenkomas.

Was meinst Du mit "allgemeiner Maschinensteuerung"?

Mir fällt gerade auf, daß Kreuzvergleich in der DC-Tabelle für Logikeinheiten gar nicht auftaucht. 

Gruß
Tommi


----------



## Safety (3 Oktober 2011)

Hallo,


> Schaltung rechts oben Kat b bis 3, PLb bis d, DC für diesen Ausschnitt max. 60%
> Begründung: Es wird ein schwerwiegender Fehler nicht erkannt, Querschluss zwischen den Kanälen. Würde ich auch nur für die Handlung im Notfall empfehlen. Kategorie 3 erfüllbar, da auch bei einem Fehler die Sicherheitsfunktion erhalten bleibt. Aber für diese Schaltung sprechen nur Wirtschaftliche Gründe.


  Hier habe ich mal eine FMEA gemacht mit verschiedenen Szenarien und komme auf 75% bzw. 80% DC.  Das kann bei der Berechnung mit z.B. Pascal oder Sistema helfen da hier mit DC zwischenwerten gerechnet wird.  Also liege ich mit meiner konservativen Schätzung von 60% auf der sicheren Seite.


----------



## hapr (3 Oktober 2011)

Tommi schrieb:


> Hallo Harald,
> 
> Danke für die Antwort während des Suppenkomas.
> 
> ...



Hallo,

ist wohl auf die Schnelle falsch ausgedrückt. Gemeint ist die Integration einer Maschine mit den Komponenten Signalgeber, Logikeinheit und Aktoren. Die Logikeinheit ist in dem Fall eine Sichereitssteuerung oder ein Sicherheitsschaltgerät. Hier hat also der IBN keinen Einfluss auf Kreuzvergleich.

Kein Kreuzvergleich bei Logikeinheiten:
Bingo, you got me. Die Kurve kriege ich dann wieder, in dem der Kreuzvergleich nur durch verarbeitende Logik ausgeführt werden kann. Reine Aktoren (z.B. Relais, Schütze) können nur auf Eingangsinformation (Schaltsignal) reagieren. Eventuell kann durch Rückführung des Schaltzustands ein Schaltvorgang freigegeben oder unterbunden werden. Da fängt dann wieder die Grenze für Logikeinheit an.

Eine genaue Abgrenzung zwischen Input, Logic und Output ist nicht immer einfach. Häufig sind diese Komponenten schon in Signalgebern (Positionswächter mit redundaten Ausgängen) oder auch in Aktoren (angenommen: sichere Servosteuerung) vorhanden. So ändert sich dann die Betrachtungsweise für die einzelnen Komponenten.

Wieso weißt Du eigentlich, dass es Suppe gab 
Harald.


----------



## Tommi (3 Oktober 2011)

hapr schrieb:


> Wieso weißt Du eigentlich, dass es Suppe gab
> Harald.


 
Hallo Harald,

naja, Montags, Feiertag nach dem Wochenende, was soll es da in
einer SPS-Programmierer-Familie schon anderes geben?
Bei uns gab es heute nur Fleisch, weil unsere Tochter zu Besuch war!

Sonst hätte es Milchreis gegeben !

Zum Fachthema heute nichts mehr...

Aber ich glaube, wir werden den Knoten lösen!!!

Gute Nacht...

Gruß
Tommi


----------



## Safety (4 Oktober 2011)

Hallo, 
  Anhang E, Logikeinheiten, hier geht es um die Diagnosemaßnahmen der Logikeinheit selbst. Deshalb sind hier auch nur die entsprechenden Maßnahmen aufgeführt die zu einem Selbsttest beitragen können.


----------



## Tommi (4 Oktober 2011)

Safety schrieb:


> Deshalb sind hier auch nur die entsprechenden Maßnahmen aufgeführt die zu einem Selbsttest beitragen können.


 
Hallo Harald, hallo Dieter,

so langsam verstehe ich die Tabelle... :s12:

Gruß
Tommi


----------



## testor (15 Januar 2018)

Hallo zusammen,
ich hoffe es ist ok, wenn ich diesen alten Thread nochmal hochhole. Ich finde die Diskussion sehr gut und sie hat mir beim Verständnis des Anhangs E weitergeholfen. Eine Frage ist nun aber bei mir aufgekommen, bei der ich mir nicht sicher bin. Es geht im speziellen um Kategorie 3 und 4 Schaltungen, den hier wird im Prinzipschaltplan in der ISO 13849-1 mit dem Pfeil "c" der Kreuzvergleich gefordert. Für Kategorie 3 wird er noch als "vernünftigerweise Durchführbar" beschrieben, bei Kat. 4 scheint mir dieser nicht mehr als optional.
In dem von mir verwendeten Programmiersystem würde ich den Kreuzvergleich als Diskrepanzzeitüberwachung einstellen, was aber leider mit Nachteilen verbunden ist. Eine angenehmere Lösung wäre an einigen Stellen die Plausibilitätsprüfung. Aus Sicht des DC sollte dies ja möglich sein. Allerdings bin ich mir aufgrund der Darstellung der Prinzipschaltungen nicht sicher ob man überhaupt auf einen Kreuzvergleich verzichten kann?


----------



## hapr (16 Januar 2018)

Wenn Du beides machen kannst, ist ja alles ok. Machst Du nicht bei der Diskrepanzzeitüberwachung schon in gewisser Weise ein Kreuzvergleich? Letztendlich führt es doch dazu, dass der EIN-Zustand nicht aktiviert wird, wenn der andere Kanal nicht in Ordnung ist.
LG, Harald.


----------



## testor (16 Januar 2018)

Danke für deine Rückmeldung. Eventuell habe ich mich unklar ausgedrückt. Aus meiner Sicht ist die Diskrepanzzeitüberwachung eine Implementierung des Kreuzvergleichs. Im Anhang E gibt es ja aber auch Möglichkeiten zur Erreichung eines DC, die keinen Kreuzvergleich enthalten (einfache Dynamische Testung, Plausibiltätsprüfung etc.). Da die Norm (ISO13849-1, Bild 12) für Kat. 4 explizit auf den Kreuzvergleich (Pfeil c) hinweist, frage ich mich ob die Maßnahmen ohne Kreuzvergleich in Kat. 4 überhaupt anwendbar sind. Eine Plausibiltätsprüfung würde zwar ebenfalls einen DC von 99% bringen, aber führt ebend keinen Kreuzvergleich aus.


----------



## Safety (16 Januar 2018)

Hallo,
also erstens soll der durchgezogene Strich folgendes ausdrücken:
Kategorie 4:
„Das Systemverhalten der Kategorie 4 ist dadurch gekennzeichnet, dass 
- Fehler rechtzeitig erkannt werden, um den Verlust der Sicherheitsfunktion zu verhindern, 
- Anhäufungen von unerkannten Fehlern in Betracht gezogen werden. „

Zum Vergleich die Kategorie 3:
„SRP/CS der Kategorie 3 müssen so gestaltet werden, dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt. Wenn immer in angemessener Weise durchführbar, muss ein einzelner Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt werden.“


Ich versuche es mal an einem Beispiel:
Der klassische redundante Aufbau von zwei Schützen mit Zwangsgeführten Öffner-Kontakten wird entsprechend der DIN EN ISO 13849-1 Anhang E mit folgendem diagnostiziert: 
„Direkte Überwachung (z. B. elektrische Überwachung der Steuerungsventile, Überwachung elektromechanischer Einheiten durch Zwangsführung) „ 

Die Diagnose erfolgt bei einem einfachen Sicherheitsrelais beim nächsten Versuch zu starten, Reaktion man kann das Sicherheitsrelais nicht mehr einschalten. 
Es ist also kein „Kreuzvergleich“, damit kann man bekannterweise auch eine Kategorie 4 erfüllen aber nur wenn:
„der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt wird, z. B. unmittelbar, beim Einschalten oder am Ende eines Maschinenzyklus, aber wenn diese Erkennung nicht möglich ist, dann darf die Anhäufung von unerkannten Fehlern nicht zum Verlust der Sicherheitsfunktion führen.“

Wichtig ist das man versteht das eine hohe Anforderungsrate vorhanden sein muss um eine Fehlerakkumulation zu verhindern, bzw. bevor es dazu kommt den Fehler zuerkennen und eine Reaktion erfolgen!

Beispiel aus der DIN EN ISO 14119 Abschnitt 8.3:
„Wenn eine manuelle Funktionsprüfung zur Erkennung einer möglichen Fehleranhäufung notwendig ist, muss sie in den nachstehend angegebenen Zeitabständen durchgeführt werden: 
- mindestens monatlich für PL e mit Kategorie 3 oder Kategorie 4 (nach ISO 13849-1) oder SIL 3 mit HFT (Hardwarefehlertoleranz) = 1 (nach IEC 62061); 
- mindestens alle 12 Monate für PL d mit Kategorie 3 (nach ISO 13849-1) oder SIL 2 mit HFT (Hardwarefehlertoleranz) = 1 (nach IEC 62061).


----------

