# Maschinensicherheit (13849) - DCavg (Schon wieder...)



## LehnerTh (27 April 2011)

Guten Morgen!

Erstmal muss ich euer Forum loben. Ich hab hier schon viel Nützliches im Bezug auf SPS gefunden, doch jetzt geht es um Normen! 


Ich arbeite gerade an meiner Bachelorarbeit im Zuge eines kleinen Projekts. Es geht um einen Personenlift. Der Aufzug ist nach der Aufzugsnorm gebaut (EN 81-xx) und da diese harmonisiert ist, brauche ich die Maschinenrichtlinie an sich nicht zu betrachten.

Nun ist der Aufzug aber auch eine Hubmaschine, darum könnte es für mich trotzdem von Interesse sein. Erreicht werden sollte PLr-d, also zumindest Kat2, eher 3.


Allerdings ist die Sicherheitskette nur einkanalig und hat keine Testfunktionalität (bestehendes Produkt).


Die Sicherheitskette besteht aus:

Einigen Öffnern – Allesamt Sicherheits-Zwangsöffnend (zertifiziert nach IEC/EN 60947-5-1) 
und 1 Schließer (Freigabe der SPS, keine safetySPS) in Reihenschaltung.

Danach dann 2 Schütze – Redundant ausgeführt, unterbrechen Stromzufuhr (Gefahrbringende Bewegung des Motors, Ruhestrom) sofort im Fall des Auslösens eines Sicherheitsschalters. 

Die Kette wird bei jedem Bewegungsstart in den Etagen aufs Neue mit 24V versorgt. Schützabfallkontrolle ist auch enthalten. Ein Auslösen 2er Sicherheitseinrichtungen zugleich ist sehr unwahrscheinlich.


Also nun die Fragen:
1. Braucht man ab Kat2 zwingend eine Testung (Zweikanalig bei Kat3 ist ja auch nicht zwingend)?? Ich glaub ich hab irgendwo das Wort "muss" gelesen...

2. Hat da wer ein Beispiel für einen gefahrbringenden Fehler? Hab so was noch nie gemacht, drum bin da irgendwie sehr Unkreativ… Muss mir die 13849-2 mit der Fehlerliste noch kaufen wenn ichs denn brauch.

3. Ich hab gelesen dass man einen DC von 60% bei Reihenschaltung einfacher elektromechanischer Einzelgeräte annehmen kann (Quelle: ZVEI.org)??

4. Bei den zwangsöffnenden Schaltern kann ich den Fehler "Nichtöffnen von Kontakten" ausschließen. Alles restliche muss ich schon noch berücksichtigen oder?

Wäre super wenn mir jemand etwas weiterhelfen könnte, mit Buch und Internet komme ich nicht Richtig weiter. Insbesondere Frage 1 wäre wichtig


----------



## reliability (27 April 2011)

Hallo LehnerTh,



LehnerTh schrieb:


> Der Aufzug ist nach der Aufzugsnorm gebaut (EN 81-xx) und da diese harmonisiert ist, brauche ich die Maschinenrichtlinie an sich nicht zu betrachten


Ist das so zu verstehen, dass der Aufzug unter die Anwendung der Aufzugsrichtlinie fällt?
Aufzüge können entweder unter die Anwendung der Maschinenrichtlinie (MRL) oder der Aufzugsrichtline fallen.
Die Abgrenzung kannst du Artikel 24 der MRL entnehmen:


			
				Maschinenrichtlinie schrieb:
			
		

> Die Richtlinie 95/16/EG wird wie folgt geändert:
> 1. In Artikel 1 erhalten die Absätze 2 und 3 folgende Fassung:
> „(2) Im Sinne dieser Richtlinie gilt als ‚Aufzug‘ ein Hebezeug,
> das zwischen festgelegten Ebenen mittels eines Lastträgers
> ...


 
Die Antworten zu deinen Fragen findest du zum einen im BGIA Report 2/2008
http://www.dguv.de/ifa/de/pub/rep/rep07/bgia0208/index.jsp:
und zum anderen in den Normen ISO 13849-1 und ISO 13849-2:



LehnerTh schrieb:


> 1. Braucht man ab Kat2 zwingend eine Testung (Zweikanalig bei Kat3 ist ja auch nicht zwingend)?


BGIA Report 2/2008 Kapitel 6.2.5 -> Testung ist erforderlich.



LehnerTh schrieb:


> 2. Hat da wer ein Beispiel für einen gefahrbringenden Fehler? Hab so was noch nie gemacht, drum bin da irgendwie sehr Unkreativ…


BGIA Report 2/2008 Kapitel 6.2.10 -> Welche Bauteilfehler auftreten können, erläutert DIN EN ISO 13849-2



LehnerTh schrieb:


> 3. Ich hab gelesen dass man einen DC von 60% bei Reihenschaltung einfacher elektromechanischer Einzelgeräte annehmen kann (Quelle: ZVEI.org)??


EN ISO 13849-1 -> enthält Abschätzungen des DCs für Funktionen und Module



LehnerTh schrieb:


> 4. Da die Öffner und Schützen EN 60947 zertifiziert sind, können sie unter „Fehlerausschluss von Bauteilen“ fallen.
> Aber ich glaube kaum dass ich fast die komplette Kette ausschließen kann (Es sind auch auf den Datenblättern keine Werte für MTTF bzw. Bd10 angegeben, nur die Zertifizierung)??


EN ISO 13849-2 -> Gibt im Anhang D.5 einige Fehlerausschlüsse und die zugehörige Begründung an.
Um MTTF und B10d Werte zu erhalten solltst du mal auf IFA Homepage stöbern
http://www.dguv.de/ifa/de/pra/softwa/sistema/bibliotheken/index.jsp



Gruß


----------



## LehnerTh (27 April 2011)

Servus!

Ja der Lift wurde nach der Aufzugsrichtlinie gebaut und erfüllt diese. Allerdings muss die Abgrenzung zur Hubmaschine (welche Mrl wäre) erst gemacht werden, das Ding ist etwas speziell.

Ist aber nebensächlich, das ist nur der Grund warum ich die DIN EN ISO 13849-1 bzw -2 noch nicht gekauft habe und so viele blöde Fragen stell! 

Den Report hab ich durch, im Endeffekt wollte ich nur Bestätigung für meine Annahmen. Mal eben 2 Tage reinlesen und sich voll auskennen is halt nich... 

Hab Dank, reliability!


----------



## Andreas Koenig (27 April 2011)

Hallo, ich würde mir noch mal die Geltungsbereiche der Aufzugs- und Maschinenrichtlinie genau durchlesen, und in Deiner Dokumentation schriftlich begründen welche Richtlinie und warum Du als für Dein Gerät als Gültig ansiehst.  
Falls Du die MRL anwendest, musst Du eigentlich (und ab 2012 sowieso) auch die ISO 13849 anwenden. Damit fällt Kat. 2 flach (Testung lt 13849 100x öfter erforderlich als Anforderung der Sicherheitsfunktion).
Eine Kat. 3 ist nun aber auch nich soo schlimm, obwohl man mit der 13849 nun bei den Schützen mehr nachdenken muss (z.B. Überdimensionieren bei Siemens Schützen kann den B10d auf 10 Mio steigern, da musst Du aber mit Deinen Kennwerten bei Siemens direkt anfragen, die 1, 33 Mio was die so angeben ist worst case...) 

DIN EN ISO 13849-1 brauchst Du für so einen Einzelfall nicht kaufen, wenn Du den oben verlinkten Report der BGIA runterlädst. Wenn du eine konkrete Frage hast, kann ich da auch recherchieren....


----------



## reliability (28 April 2011)

Hallo LehnerTh,

sieh dir bitte die Abgrenzung von Maschinenrichtlinie und Aufzugsrichtlinie im Detail an:

Den Anwendungsbereich der Aufzugsrichtlinie habe ich ja bereits in meinem ersten Beitrag gepostet, wann diese nicht anzuwenden ist findest du nachfolgend:



			
				Maschinenrichtlinie schrieb:
			
		

> Die Richtlinie 95/16/EG wird wie folgt geändert:
> ...
> (3) Diese Richtlinie gilt nicht für
> — Hebezeuge mit einer Fahrgeschwindigkeit von bis zu 0,15 m/s,
> ...


 
Trifft keines der Ausschluss-Kriterien zu, so ist nur die Aufzugsrichtlinie anzwenden. 
Hast du z.B. eine Fahrgeschwindigkeit kleiner 0,15 m/s, so ist dieser Aufzug aus dem Geltungsbereich der Aufzugsrichtlinie ausgeschlossen und der Maschinenrichtlinie zugeordnet.
http://www.lift-report.de/index.php...Entwicklungen---Europaische-Aufzugsrichtlinie

Da du ja an deiner Bachelorarbeit arbeitest ist nachfolgender Link vielleicht hilfreich:
http://www.beuth.de/Normen-vor-Ort-...cnVtYnRoZW1hPTEyMTQwNiZsYW5ndWFnZWlkPWRl.html
Vielleicht ist ja bei Dir in der nähe eine Auslegestelle für Normen, wo du benötigte Normen einsehen kannst.

Gruß


----------



## LehnerTh (28 April 2011)

Danke für die Infos!

Abgrenzung ist kein Thema mehr, Fahrgeschwindigkeit < 0,15 m/s = MRL! 
Das ist auch gewollt so, denn mit der Aufzugsrichtlinie kommen viele bautechnische Maßnahmen zum Tragen, die besonders beim Nachrüsten eines Lifts schwierig sind (Schachtgrubentiefen, ...).


Jetzt hätte ich noch eine Frage zum elektronischen Aufbau:

Kategorie 2 sieht eine Testung der Sicherheitsfunktionen vor, ich hab dafür schon Geräte von Pilz (PNOZ) bzw. Jokab ins Auge gefasst.

Nun gibt es die Möglichkeit meine (ca 30 Stück) zwangsöffnenden Schalter in Reihe an einen Testausgang zu hängen, einkanalig, und einen DC von 60% anzunehmen. Oder gilt die Annahme nur bei zweikanaliger Ausführung??

Ich fänds ohnehin nicht sehr sinnvoll, das selbe hat die Schaltung ohne PNOZ auch gekonnt.


----------



## Safety (29 April 2011)

Hallo,
  also sehen wir uns die Struktur der Kategorie 2 genauer an.
  Erst mal versuche in eigenen Worten:
  Es ist eine Struktur mit einem Funktionskanal wenn dieser ausfällt ist die Sicherheit nicht mehr gegeben. Also muss mit einem Testkanal erkannt werden das der Funktionskanal ausgefallen ist zwar bevor eine Gefährdung dadurch entstehen kann und somit also ein sicherer Zustand bzw. wenn möglich eine Warnung ausgegeben werden. Was dazu führen kann dass der Testkanal zu einer Abschaltung führt und somit wieder einen Aktor besitzen kann.
  So jetzt sehen wir uns mal die Normen an.
  DIN EN ISO 13849-1 
  6.2.5 Kategorie 2
  Für Kategorie 2 müssen die gleichen Anforderungen erfüllt sein wie diese nach 6.2.3 für Kategorie B.
  Bewährten Sicherheitsprinzipien nach 6.2.4 muss ebenfalls gefolgt werden. Zusätzlich gilt Folgendes.
  SRP/CS der Kategorie 2 müssen so gestaltet werden, dass ihre Funktionen in angemessenen Zeitabständen durch die Maschinensteuerung getestet werden. Der Test der Sicherheitsfunktion(en) muss durchgeführt werden:
  - beim Anlauf der Maschine, und
  - vor dem Einleiten einer Gefährdungssituation, z. B. Start eines neuen Zyklus, Start anderer Bewegungen und/oder periodisch während des Betriebs, wenn die Risikobeurteilung und die Betriebsart zeigen, dass dies notwendig ist.
  Die Einleitung dieses Tests kann automatisch erfolgen. Jeder Test der Sicherheitsfunktion(en) muss entweder
  - den Betrieb zulassen, wenn keine Fehler erkannt wurden, oder
  - einen Ausgang für die Einleitung geeigneter Steuerungsmaßnahmen erzeugen, wenn ein Fehler erkannt wurde.
  Wenn immer möglich, muss dieser Ausgang einen sicheren Zustand einleiten. Dieser sichere Zustand muss aufrechterhalten bleiben bis der Fehler behoben ist. Wenn die Einleitung eines sicheren Zustands nicht möglich ist (z. B. durch Verschweißen des Kontakts eines Schaltglieds), muss der Ausgang die Warnung vor der Gefährdung bereitstellen.
  Für die in Bild 10 gezeigte vorgesehene Architektur der Kategorie 2 berücksichtigt die Berechnung der MTTFd und des DC„, nur die Blöcke des Funktionskanals (d. h. I, L und 0 im Bild 10) und nicht die Blöcke des Testkanals (d. h. TE und OTE im Bild 10).
  Der Diagnosedeckungsgrad (DC„,) der gesamten SRPICS einschließlich der Fehlererkennung muss niedrig sein. Die MTTFd jedes Kanals muss, abhängig vom erforderlichen Performance Level (PL,), niedrig bis hoch sein. Maßnahmen gegen CCF müssen angewendet werden (siehe Anhang F).
  Der Test darf selbst nicht zu einer Gefährdungssituation führen (z. B. aufgrund einer Erhöhung der
  Ansprechzeit). Die Testeinrichtung darf als Bestandteil des die Sicherheitsfunktion ausführenden
  sicherheitsbezogenen Teile(s) oder getrennt davon vorgesehen sein.
  Der maximale PL, der mit Kategorie 2 erreicht werden kann, ist PL = d.
  ANMERKUNG 1 In einigen Fällen ist die Kategorie 2 nicht anwendbar, da sich der Test der Sicherheitsfunktionen nicht bei allen Bauteilen durchführen Iässt.
  ANMERKUNG 2 Das Systemverhalten der Kategorie 2 Iässt zu, dass
  - zwischen den Tests das Auftreten eines Fehlers zum Verlust der Sicherheitsfunktion führen kann,
  - der Verlust der Sicherheitsfunktion durch den Test erkannt wird.
  ANMERKUNG 3 Das Prinzip, das die Gültigkeit einer Kategorie-2-Funktion stützt, ist, dass die angewendeten
  Festlegungen, z. B. die Wahl der Testhäufigkeit, die Wahrscheinlichkeit des Auftretens einer Gefährdungssituation verringert.

  DIN EN ISO 13849-2
  9.2.3 Kategorie 2
  SRP/CS der Kategorie 2 müssen validiert werden, um aufzuzeigen, dass:
  a) sie die Anforderungen der Kategorie B erfüllen;
  b) die angewendeten bewährten Sicherheitsprinzipien (sofern anwendbar) die Anforderungen von 9.2.2 c)erfüllen;
  c) die Prüfeinrichtung alle relevanten Fehler erkennt, die nacheinander während des Prüfablaufs berücksichtigt werden, und eine angemessene Reaktion der Steuerung bewirkt, die:
  1) einen sicheren Zustand einleitet, oder wenn das nicht möglich ist,
  2) eine Warnung vor der Gefährdung vorsieht;
  d) die mit der Prüfeinrichtung durchgeführten Prüfungen nicht in einen unsicheren Zustand führen;
  e) die Einleitung der Prüfung durchgeführt wird:
  1) beim Anlauf der Maschine und vor der Einleitung einer gefährlichen Situation, und
  2) periodisch während des Betriebs, wenn die Risikobeurteilung und die Art des Betriebs zeigen, dass
  dies notwendig ist.
  f) die MTTF d des funktionellen Kanals (MTTF d,L) mindestens drei Jahre beträgt;
  g) die MTTF d,TE größer ist als die Hälfte der MTTF d,L;
  h) die Anforderungsrate ~ Testrate/100 ist;
  i) der DCavg mindestens 60 % beträgt;
  j) die Ausfälle infolge gemeinsamer Ursache (siehe ISO 13849-1 :2006, Anhang F) ausreichend verringert wurden.
  ANMERKUNG In besonderen Fällen können höhere Werte der MTTF d erforderlich sein, zum Beispiel wegen eines hohen PLr.

  So jetzt zu Deiner Frage.


> Jetzt hätte ich noch eine Frage zum elektronischen Aufbau:
> 
> Kategorie 2 sieht eine Testung der Sicherheitsfunktionen vor, ich hab dafür schon Geräte von Pilz (PNOZ) bzw. Jokab ins Auge gefasst.
> 
> ...


  1.       Du hast eine Einkanalige Mechanik den Bauart 1 oder 2 Schaltern diese können versagen also musst hier einen Fehlerausschluss machen oder eben die Bedingungen der Kategorie 2 ausführen. Fehlerausschluss wäre möglich unter ganz bestimmten Bedingungen aber sehr schwer. Testung, wie soll man sowas testen und dann noch 100x mehr als die Anforderung?
  2.       Fehler der Kontakte, kann man ausschließen wenn die Mechanik nicht versagt also siehe 1. Begründung: Da diese Zwangsöffnend sind.
  3.       Die Testung der Querschlüsse auf der Leitung könnte mit einem weiteren Kontakt machen welcher dann z.B. auf eine Sicherheits-SPS geht oder auf eine Normale SPS. Was für Probleme ergeben sich dadurch?
  3.1     Mit einer Sicherheits-SPS sind die Werte „die MTTF d,TE größer ist als die Hälfte der MTTF d,L;“  erreichbar. Die Software muss natürlich Validiert werden. Die Test rate könnte man argumentieren dass bei einem Querschluss dieser sofort erkannt wird durch die Plausibilitätsprüfung. Aber dann ist es schon eine Kategorie 3 wenn man es entsprechend aufbaut. Warum also so ausführen.
  3.2     Mit einer Standard SPS hat man noch mehr Ärger da die Anforderungen „die MTTF d,TE größer ist als die Hälfte der MTTF d,L;“ nicht erfüllt werden und man jetzt auch noch ein Sicheres Programm auf einer Standard SPS schreiben will.
  4.       Wie sieht Dein Aktor aus? Schütz? Wie willst Du einen Schütz 100 x mehr testen wie die Anforderung  der Sicherheitsfunktion?

  Alles in allem ist die Kategorie 2 nur noch bei Vollelektronischen Systemen einsetzbar.

  Also such Dir ein System das wenn möglich Berührungslos arbeitet und einen Reihenschaltung mit mindestens Kategorie 3 zulässt beide von Dir genannte Hersteller haben entsprechende Produkte.


----------



## Tommi (30 April 2011)

Safety schrieb:


> Wie willst Du einen Schütz 100 x mehr testen wie die Anforderung der Sicherheitsfunktion?
> 
> Alles in allem ist die Kategorie 2 nur noch bei Vollelektronischen Systemen einsetzbar.


 
Hallo Dieter,

die Sache mit den 100mal mehr testen als anfordern, macht die 13849 bzgl. Hardware überflüssig, jetzt mal *provozierend ausgedrückt! *
Aber das hatte ich glaub' ich schon mal geschrieben. :wink:

Gruß
Tommi


----------



## Safety (30 April 2011)

Hallo Tommi,
als erstes muss man meiner Meinung nach mal verstehen, dass mit einer Kategorie 2 ein PLd erreicht werden kann. Was bedeutet das Risiko muss in hohem Maße gemindert werden und dies war auch schon bei der 954-1 so. Wenn man sich jetzt mal die Ausführungen vieler Sicherheitsfunktionen mit Kategorie 2 in der Realität ansieht, dann erkennt man schnell es ist in Wirklichkeit nur eine Kategorie 1 und da hier keine bewährten Bauteile verwendet wurden nicht einmal dies. Und das vereinfachte Verfahren der DIN EN ISO 13849-1 und die damit verbundenen Berechungen die im Hintergrund mit der Kategorie 2 gemacht wurden, gehen eben davon aus das die Testung erheblich öfter ausgeführt wird als die Anforderung. Alles andere macht auch keinen Sinn den was nützt es wenn beim öffnen einer Tür der Ausfall erkannt wird aber die Energie noch auf der Maschine bleibt.

Wir reden bei PLd von möglicherweise tödlichen Gefährdungen, als keine Blauenflecken.


----------



## Tommi (30 April 2011)

Moin Dieter,

ich will mal so sagen:

Für uns als Anlagenersteller stellen wir z.Zt. nur fest, daß wir unsere alten
Kat.3 und 4 Schaltungen weiter einsetzen können, wenn ich sie durch "Sistema" laufen lasse. Hurra!!!!!

Ich verstehe was Du meinst, mit PLd und Kat.2.

Aber dann können *wir* die 13849 nicht sinnvoll einsetzen, haben nur Mehraufwand, den irgendwelche schlauen Auditoren sich dann mal gnädig ansehen werden.

Mag sein, dass Komponentenhersteller von Sicherheitselektronik Vorteile haben.

Wie gesagt, meine Kritik betrifft die Hardware, die Softwarevalidierung der 13849 finde ich gut!
Da habe ich schon Fehler aufgedeckt, die sonst untergegangen wären und auch die Kollegen finden das gut! 

Gruß
Tommi


----------



## Safety (30 April 2011)

Hallo Tommi,
die DIN EN ISO 13849-1 hat noch Schwachpunkte aber bei den Kategorien der 954-1 waren nicht immer das was man da gesehen hat Beispiel:
Bia Report 6/97 sehe Dir mal das Beispiel auf Seite 88 an. 
http://www.dguv.de/ifa/de/pub/rep/rep02/biar0697/index.jsp

Das ist zwar eine Kategorie 3 nach 954-1 aber ob man damit ein höheres Risikomindern kann bezweifele ich und genau dies verhindert jetzt die 13849-1. Besonders durch den DC da auch bei Kategorie 3 eine Diagnose gefordert wird und es müssen auch Bauteile mit einer entsprechenden Güte eingesetzt werden. Also die 13849-1 hat einige Schwächen der 954-1 entfernt. 

Wie Du schon geschrieben hast wenn man die 954-1 richtig angewendet hat dann ist der Schritt zur 13849-1 nicht so groß und der Absolute Basisparameter ist immer noch die Kategorie und die Anforderungen dieser!

Wieso könnt Ihr diese Norm nicht Sinnvoll anwenden?
Nur weil die Anforderungen der Kategorie 2 verschärft wurden?
Hier wurden doch die meisten Fehler gemacht und mir sind schon einige graue Haare mehr gewachsen beim Anblick von angeblich Kategorie 2 nach 954-1. Diese Kategorie wurde von den wenigsten Sinnvoll angewendet hier hat bei den aller meisten Fällen das Geld den Ausschlag gegeben und heraus kam eine schlechte Kategorie 1.


----------



## Tommi (30 April 2011)

Safety schrieb:


> Wieso könnt Ihr diese Norm nicht Sinnvoll anwenden?
> Nur weil die Anforderungen der Kategorie 2 verschärft wurden?


 
Hallo Dieter,

ja, genau das ist es!

Ich hatte gehofft, gerade beim Anlagennachrüsten, wenn sich der Betreiber nach einem Jahr Betrieb doch noch überlegt hat, einen Zustimmschalter nachzurüsten, kostengünstigere vom Normensetzer anerkannte Konzepte anbieten zu können, als nur Kat.3 oder 4.

Beim Anlagenneubau bringt uns die Norm nichts außer Mehraufwand mit z.Zt. noch viel Diskussion, ob die 954 doch noch bleibt.
Wir haben in der Vergangenheit schon ordentlich Kat.3 und 4 Anlagen gebaut bzw. bauen lassen, nicht so wie auf Seite 88 des BIA-Reports . 

Aber ich lasse mich gerne eines Besseren belehren, dafür ist das Forum ja schließlich da :s12:. 

Wir sollten dem Themenstarter nur nicht sein Thema plattreden, ursprünglich ging es um Aufzüge.

Gruß
Tommi


----------



## Safety (30 April 2011)

Hallo Tommi,


> Ich hatte gehofft, gerade beim Anlagennachrüsten, wenn sich der Betreiber nach einem Jahr Betrieb doch noch überlegt hat, einen Zustimmschalter nachzurüsten, kostengünstigere vom Normensetzer anerkannte Konzepte anbieten zu können, als nur Kat.3 oder 4.


  Eine Sonderbetriebsart mal so nachrüsten wird nicht funktionieren, haben wir schon öfter hier besprochen. Es sind dann sowieso Maßnahmen nötig die Aufwendig werden. Da ist die Überlegung ob Kategorie 2 oder 3 nicht mehr so relevant.


> Beim Anlagenneubau bringt uns die Norm nichts außer Mehraufwand mit z.Zt. noch viel Diskussion, ob die 954 doch noch bleibt.


  Hier ist ganz klar der Stand der Technik nicht mehr die 954-1 und wird auch egal wo nicht mehr so anerkannt werden. Besonders bei Programmierbareren oder mit Software Konfigurier baren Steuerungen.

 P.S. natürlich ist dieses Forum zur Diskussion da und ich beteilige mich daran sehr gerne.


----------



## Tommi (1 Mai 2011)

Safety schrieb:


> natürlich ist dieses Forum zur Diskussion da und ich beteilige mich daran sehr gerne.


 
Diskussionsgrundlage:

Lieber ein Zustimmschalter niedriger Kategorie, als gar keiner...

Am Liebsten beim Bier...

Gruß
Tommi

... Guten Wochenstart ...


----------



## LehnerTh (2 Mai 2011)

Hallo Safety, hi Tommy!

Vielen Dank für die gewaltigen Ausführungen, ein paar eigene Worte helfen mir viel in dem ganzen Normenblabla !

Ich hab mir jetzt ne Anordnung überlegt mit der ich den Großteil der alten Schaltung übernehmen kann und trotzdem Kat2 erfüllen müsste (an sich auch Kat3, dank Ein-Fehler-Sicherheit).

Vielleich kann noch kurz wer drüberschauen und mir bescheidgeben, wenn ich irgendwo groben Blödsinn mache (kann ja sein)!





Jede Sicherheitsfunktion wird 2-Kanalig geführt, einmal 24V, einmal Testkanal des Sicherheitsschaltgeräts. Die abgezweigten Infokanäle dienen nur der Fehlerinformation an die SPS. 
Falls ein Fehler auftritt, werden die Motorschütze (K1,K2) nicht mehr mit 24V versorgt und die Maschine steht, entweder direkt durch einen der Sicherheitsschalter oder durch die Relais des Testkanals. (Frage 1: Darf man das, oder müssen die Hauptschützen direkt vom Sicherheitsschaltgerät geschaltet werden?)

Die Schaltung müsste nun folgende Fehler erkennen:
-Querschlüsse (plötzlich 24V auf Testkanal, ob das geht werde ich noch erfragen)
-Nichtöffnen eines Sicherheitskontakts
-Klebenbleiben der Hauptschützen (Abfallkontrolle über Zwangsführung, folgt noch!)
-Kurzschlüsse im Haupt- und Testkanal: Fehler wird nicht erkannt, Sicherheitsfunktion jedoch intakt.

Ich hoffe ich liege mit meinen Annahmen nicht ganz daneben!

Beste Grüße,
Thomas


----------



## Safety (2 Mai 2011)

Also warum baust Du so eine Schaltung auf?
Gehe zweikanalig auf ein Sicherheitsrelais welches dann auch eine Kategorie 3 erfüllt und schalte auch die Aktoren zweikanalig dann noch einen Rückführkreis und schon ist es fast eine Kategorie 4, was Dir Probleme bereitet ist die einkanalige mechanik der Verriegelungsschalter hier musst Du einen Fehlerausschluss machen dies ist aber nur erlaubt bis Kategorie 3. 

Und ein Abgriff zwischen den Schaltern zur Info an z.B. eine Normale SPS geht nicht da hier eine Spannung aus dem Gerät kommen könnte.

Bei solch einer Reihenschaltung gibt es die Meinung einen DC von 60% anzusetzen ich sehe dies aber nicht so, aber es wird oft so gemacht.


----------



## Tommi (2 Mai 2011)

Hallo Vornamensvetter,

sorry, daß Safety und ich in Deinem Thema etwas in Fachsimpeln gekommen sind.

Jetzt zu Deiner Schaltung:

Sie stellt ja keinen korrekten Stromlaufplan dar, d.h. ich weiß nicht, 
welche Klemmen des PNOZ x2 8p eigentlich angeschlossen sind.

Bei K1 und K2 fehlt mir irgendwie ein Rückführkreis.

Und die Funktion von K3 und 4 ist mir auch nicht klar, insbesondere mit den Öffnern.
Sollen K3 und K4 im Fehlerfall anziehen? Das ist eigentlich, gelinde gesagt, unüblich.

Mach erst mal nen richtigen Stromlaufplan, dann können wir nochmal schauen.

Hier die Infos von dem von Dir gezeichneten Gerät:

http://www.pilz.de/downloads/open/PNOZ__X2_8P_Data_Sheet_1002001-DE-05.pdf?redirected=true

Gruß
Tommi


----------



## LehnerTh (3 Mai 2011)

Hi Tommi, Hallo Safety!

Is ja kein Problem, schließlich sind Foren ja zum diskutieren da. 

Warum ich so eine Schaltung aufbaue? 
Die Schalter im Sicherheitskreis sind einerseits Türkontakte, die bei jedem Stockwerk öffnen, andererseits Sicherheitsschalter (Schacht, Seilspannung, Fangschalter,...) die wohl so gut wie nie benutzt werden.
Das heißt: Die Sicherheitsfunktion wird bei jedem aus/einsteigen von Personen unterbrochen.

Warum also die Infokanäle (wofür ich ja den 24V Kanal brauche)?
- Meldung an die SPS, ob nur die Tür offen ist, oder ein "wirklicher Fehler" vorliegt.
- Information an Instandhalter welche Sicherheitsfunktion angesprochen hat (durch LEDs).

Da sich der Lift ja über viele Stockwerke erstreckt brauche ich diese Meldung, ungeachtet des Änderungsaufwands der entstehen würde, wenn ich die Meldung wegließe.

Ich weiß, einfach beide Testkanäle über die Schalter, Motorschütz direkt vom Sicherheitsschaltgerät anziehen lassen, rückführen und gut ist's. 
Ich werd trotzdem nochmal versuchen ne andere Lösung zu finden. Hab jetzt auch was zum Stromlaufplan zeichnen, da euch meine Paint-Skizzen anscheinend nicht gefallen. 


PS: Die Infokanäle werden durch Relais verwirklicht. Für eine Fremdspannung aus der SPS müsste also ein Querschluss im Relais erfolgen. Kuck ich mir auch nochmal an.
PSS: Die einen nennen es unüblich, die anderen kreativ


----------



## LehnerTh (3 Mai 2011)

Hey, ich nochmal!

Hab da jetzt ein Teil gefunden: Das Pilz PSEN ix1!
(http://www.pilz.com/downloads/open/PSEN_ix1_Operating_Manual_20950-3FR-06.pdf?redirected=true)
Hat 4 Diagnosekanäle mit je einem Halbleiterausgang für meine Informationsgewinnung.

Ich werde mir aber nochmal die Fehlerausschlüsse und DVavg-Annahme 60% bei Reihenschaltung, ansehen für die bereits vorhandene Öffner-Reihenschaltung.

Schönen Feierabend,
Thomas


----------



## Tommi (3 Mai 2011)

Andreas Koenig schrieb:


> Falls Du die MRL anwendest, musst Du eigentlich (und ab 2012 sowieso) auch die ISO 13849 anwenden. Damit fällt Kat. 2 flach (Testung lt 13849 100x öfter erforderlich als Anforderung der Sicherheitsfunktion).


 
Hallo, ich zitiere nochmal meinen Kollegen...
Wissen Deine Auftraggeber das?
Wenn nicht, sag' es ihnen?

Man kann darüber ja denken, wie man will, es ist nur faktisch so!

Gruß
Tommi


----------



## Andreas Koenig (3 Mai 2011)

Noch ein Zusatz:

Generell ist Sicherheitstechnik nach dem aktuellen Stand der Technik auszulegen. Das ist eine Kat 2 für einen Aufzug sicherlich nicht. Ein weiterer Grundsatz ist, Sicherheitstechnik stets konservativ, dh. im Zweifel in die sicherere Richtung auszulegen, auch hiergegen wird verstoßen. 
Offensichtlich können sind durch den Aufzug Personen "häufig" , dh. lt. ISO 13849 mehr als 1x/Schicht exponiert, es kann eine tödliche Verletzung auftreten und dem Unfall kann man in verschiedenen Fällen nicht ausweichen z.b. Sturz in Schacht weil Tür offen und Aufzug nicht da...Da kommst Du eigentlich auf ein PL=e  (dh. Kat 3 oder 4), mit einem DC=niedrig kommst Du nicht hin. Was Deine Kollegen wollen ist kostengetriggertes Wunschdenken. Schau zu, das Du für nichts unterschreibst und dem Ansinnen, den Aufzug mit einer nicht vollständig umgesetzten Kat 2 auszuführen in einer Form widersprichst, die eine spätere Beweisführung erlaubt. 
Oder die sollen mal hier reinschauen...

Gruss Andreas


----------



## LehnerTh (4 Mai 2011)

Hallo Andreas, Tommi!

Ich gebe dir vollkommen Recht, überhaupt ist die Annahme eines PL-d mit DC = niedrig schon knapp und nicht auf der sicheren Seite. Unterschreiben tu ich nix, hab so einen Fall schon mal miterlebt (ging zum Glück glimpflich aus). 
Allerdings muss man sagen dass, wenn der Aufzug nach Aufzugsnorm abgenommen wird, die Sicherheitsanforderung dieser Norm (EN 81) gerade mal Kat 1 genügt.

Ungeachtet dessen hab ich grad gelesen, dass ich mit dem Aufzug sowieso auf eine SIL3 kommen muss, das setzt eh schon einen PLe voraus!

Das mit der 100x Testung wird wohl der zweite Aufhänger. Da bei mir die Sicherheitsfunktion bei jedem Türöffnen, also alle paar Minuten geschieht, müsste der Test alle 1-2 Sekunden erfolgen. 
Damit fallen die, für die Kat2 üblichen Sicherheitsschaltgeräte, aus der Anforderung und man muss sowieso eine Kat3 machen, sehe ich das richtig?

Gruß, Thomas


----------



## Tommi (4 Mai 2011)

LehnerTh schrieb:


> ...man muss sowieso eine Kat3 machen, sehe ich das richtig?


 

ja! :s12:

Gruß
Tommi


----------



## Andreas Koenig (4 Mai 2011)

Noch eine Anmerkung zum Thema Kat 1.  Diese gewährleistet die Sicherheit ja über ein einzelnes bewährtes Sicherheitsbauteil, unter Einhaltung bewährter Sicherheitsprinzipien etc. Wenn dieses Bauteil entsprechend konstruiert, eingesetzt und erprobt ist, Ausfall in sichere Richtung etc, kann es durchaus zuverlässiger sein als eine Architektur Kat. 2 (irgendein Bauteil mit irgendeiner Testung und vielleicht noch nicht mal ein 2. Abschaltpfad).  Sie könnte sogar mit einer Kat. 3 konkurrieren, wenn man z.B. Ausfälle gemeinsamer Ursache nicht ausreichend beachtet.  

Oder eine Kat. 2 mit 2. Abschaltpfad und ggf. mehreren diviersitär redundanten Testmaßnahmen ist ggf. besser als eine schlechte Kat. 3. 

Die in den Normen hergestellte Folge B/1/2/3/4 im Sinne einer zunehmenden Sicherheit stimmt so in der Praxis nicht, die Normensetzer sehen das aber anscheinend anders.


----------



## Safety (7 Mai 2011)

> Noch eine Anmerkung zum Thema Kat 1. Diese gewährleistet die Sicherheit ja über ein einzelnes bewährtes Sicherheitsbauteil, unter Einhaltung bewährter Sicherheitsprinzipien etc. Wenn dieses Bauteil entsprechend konstruiert, eingesetzt und erprobt ist, Ausfall in sichere Richtung etc, kann es durchaus zuverlässiger sein als eine Architektur Kat. 2 (irgendein Bauteil mit irgendeiner Testung und vielleicht noch nicht mal ein 2. Abschaltpfad). Sie könnte sogar mit einer Kat. 3 konkurrieren, wenn man z.B. Ausfälle gemeinsamer Ursache nicht ausreichend beachtet.
> 
> Oder eine Kat. 2 mit 2. Abschaltpfad und ggf. mehreren diviersitär redundanten Testmaßnahmen ist ggf. besser als eine schlechte Kat. 3.
> 
> Die in den Normen hergestellte Folge B/1/2/3/4 im Sinne einer zunehmenden Sicherheit stimmt so in der Praxis nicht, die Normensetzer sehen das aber anscheinend anders.


Hallo Andreas, 
da kann ich Dir nicht Recht geben, den genau dieses Problem behandelt die DIN EN ISO 13849-1 und auch -2 wesentlich besser also die 954-1.

Beispiel:
Kategorie 3 früher, da wurden Schaltungen konstruiert die hatten bestenfalls eine Kategorie B weil eben die Anforderungen der Kategorien nie richtig umgesetzt wurden.
Jetzt werden mit MTTFd und vor allem DCavg Paramater geschaffen die eine Diagnose und eine bestimmte Bauteilgüte zwingend erforderlich machen.

Beispiel 1

SRP/CS der Kategorie 3 müssen so gestaltet werden, dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt. Wenn immer in angemessener Weise durchführbar, muss ein einzelner Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt werden.

Dies ist und war die Hauptforderung der Kategorie 3 und jetzt kommt der MTTFd hinzu damit die Bauteile auch eine bestimmte Güte haben und dies in Verbindung mit einer entsprechenden Fehleraufdeckung macht das ganze rund!
Was bei allen mehrkanaligen Architekturen wichtig ist sind CCF und Systematische Fehler. Diese werden leider sehr oft wenige beachtet.


Beispiel 2:
Ich habe hier schon einmal geschrieben die Kategorie 2 kann einen PLd erreichen also schwere Verletzungen verhindern. Das muss man sich immer klar machen diese Kategorie lebt vom Testkanal dieser muss vor eintritt einer Gefahr (es wird erst aus einer Gefährdung eine Gefahr wenn der Mensch zur Gefährdung kommt) erkennen das der Funktionskanal ausgefallen ist und man muss die Testrate so hoch wählen das dies auch sicher passiert. Die DIN EN ISO 13849-1 hat diese Kategorie entscheidend verschärft und somit für die Normalen Anwendungen ausgeschlossen. 
f) die MTTF d des funktionellen Kanals (MTTF d,L) mindestens drei Jahre beträgt;
g) die MTTF d,TE größer ist als die Hälfte der MTTF d,L;
h) die Anforderungsrate <= Testrate/1 00 ist;
i) der DCavg mindestens 60 % beträgt;

Diese Anforderungen ermöglichen erst eine höhere Risikominderung. Und dann muss je nach Risikobeurteilung eine Warnung ausgegeben werden oder es muss auch hier zu einer Abschaltung kommen. 

Man muss schon auch das machen was die DIN EN ISO 13849-1 und vor allem auch die -2 fordern dann verhindert diese Norm viele Fehler die bei der 954-1 gemacht wurden.


----------

