# Fehlersichere SPS



## Full Flavor (28 November 2009)

Ein Kunde will von uns eine Anlage mit einer Fehlersicheren SPS. Da ich davon keine Ahnung habe, frag ich mal hier:

1. Gibt es irgendwelche besonderheiten die beim programmieren zu beachten sind?
2. Gibt es analoge Fehlersichere Bauteile (Ausgang)?
3. Wo ist genau der unterschied zwischen "normaler" und Fehlersicherer SPS?

Ich bekomme die Unterlagen erst am Montag und wollte mich schon mal vorinformieren, dass ich wenn mein chef mich ausfragt nicht ganz blöd dastehe.

Danke


----------



## Safety (28 November 2009)

Hi,
wenn Du unter Fehlersichere SPS eine Sicherheits SPS meinst dann kann ich Dir ein paar antworten geben.

Zur Programmierung :
Da gibt die DIN EN ISO 13849-1  Punkt 4.6 einiges vor 
Du musst die Software entsprechend des ermittelten PLr ausführen
Auch der BGIA Bericht 2/2008 enthält Punkt 6.3 hinweise.

Meines Wissenstands gibt es keine Analoge Ausgänge die Sicher sind. Analoge Eingänge gibt es

Eine Safety PLC enthält zwei Prozessoren und auch jeweils Doppelte Eingänge und Ausgänge die gegen Ausfall überwacht sind.


----------



## Earny (28 November 2009)

1. Es gibt hier nur die Programmiersprachen FUP und KOP
Du benötigst für STEP7 noch das "Distributed Safety". Falls Du ein älteres STEP7 hast, könnte auch ein Update für STEP7 erforderlich werden.

2. Habe mal auf die Schnelle eine F-Analogeingabebaugruppe für die S7-300 gefunden, z.B. die SM336-Safety

3. Ein praktischer Unterschied ist, dass die fehlersichere SPS auch Sicherheitsfunktionen übernehmen darf. Du brauchst dann vermutlich kein Sicherheitsrelais mehr. Der Projektierungsaufwand ist aber nicht zu unterschätzen. Für den sicheren Bereich müssen Fehlersichere Bausteine von Siemens verwendet werden. Die liefert "Distributed Safety".

Gruß
Earny


----------



## Giftpilz (28 November 2009)

Hallo Full Flavor,
zu Deinen Fragen.

1.) Es kommt darauf an welche Funktionen Du programmieren sollst und welche Kategorie Du einhalten musst. Für höhere Kategorien (z.B. Kat. 3 oder 4 der EN954-1) muss im Normalfall alles zweikanalig aufgebaut werden. Z.B. Not-Halt, Schutztür, Schütze, Rückführkreisüberwachung, ...
Dementsprechend musst Du in Deiner Software diese Funktionen auch 2-kanalig auswerten und überwachen (Plausibilitätsfehler...). Die Hersteller von fehlersicheren SPSen bieten aber auch Bausteinepakete an, in denen solche grundsätzlichen Sicherheitsfunktionen bereits enthalten sind und Du die Bausteine "nur" noch parametrieren musst.
2.) Analoge Ausgänge!? Ich kenne mich vor allem bei einem Hersteller aus und der hat nur sichere analoge Eingänge. Problem ist, dass Du nicht wie bei digitalen Ausgängen, wo z.B. mit zwei Ausgängen zwei Schütze geschaltet werden und deren Kontakte in Reihe liegen eine 2-kanaligkeit erreichen kannst. Du kannst ja nur ein analoges Ausgangssignal weitergeben. 
Allerdings könnte ich mir vorstellen, dass das analoge Ausgangssignal über eine Standardbaugruppe kommt und durch eine fehlersichere Eingangskarte überwacht wird.
3.) Eine fehlersichere SPS ist redundant/diversitär aufgebaut. Dies bedeutet in der SPS sind eigentlich zwei SPSen enthalten (redundant) die sich gegenseitig überwachen. Diversitär meint das diese beiden SPSen z.B. unterschiedliche Prozessoren von unterschiedlichen Herstellern haben um z.B. Chargenfehler auszuschließen. Fehlersicher heisst für Kategorie 4 z.B. das kein einzelner Fehler zum Verlust der Sicherheit führen darf. Dazu gehören natürlich auch Fehler die in der SPS selbst entstehen können (z.B. Bauteildefekt). Zusätzlich gibt es Überwachungen an den Eingangssignalen bzw. Ausgangssignalen um Kurzschlüsse bzw. Querschlüsse zu erkennen, die macht aber das Betriebssystem der SPS.

Wenn Ihr eine fehlersichere SPS einsetzen müsst, dann ist die erste Frage welche Sicherheitskategorie muss ich lt. Risikoanalyse an der Maschine einhalten (z.B. EN954-1 bzw. Nachfolgenorm EN ISO 13849-1). Daraus ergibt sich dann, wie Du Deine Anlage absichern musst (1-kanalig, 2-kanalig, 2-kanalig mit Testtakten). Je nach Anzahl der zu überwachenden Sicherheitsfunktionen reicht dann ein nicht konfigurierbares Auswertegerät für definierte Funktionen (z.B. Not-Halt), eine konfigurierbare Kleinsteuerung oder eine frei programmierbare Steuerung.

Gruß Giftpilz


----------



## rostiger Nagel (28 November 2009)

Es sollte auf jedem Fall das Projekt bzw. Maschine beurteilt werden, 
nicht immer lohnt sich eine sichere Steuerung. Wenn doch reicht da oft
eine kleinere Sicherheit SPS parallel zur normalen SPS, das ist der Fall
wenn alles zentral ist und nur wenige sicherheitsaufgaben vorhanden sind. 
Ist der Ablauf komplex oder ist die Anlage stark dezentralisiert ist eine
Sicherheitsteuerung die alles macht, einfach besser.


----------



## Deltal (28 November 2009)

Die Siemens F-CPU ist im Grunde eine normale SPS, mit der sich auch sicherheitstechnisch relevate Geräte steuern lassen. 
Dazu gehören klassisch der Not-Aus(Halt), Schutztürschalter, Personenschutzlichtranken die dann z.B. fehlersicher Schütze ansteuern.

Fehlersicher bedeutet, das Fehler erkannt werden können. z.B bei einem zweikanaligen Not-Aus nur ein Kanal abgeschaltet wird.

Das ganze Thema ist relativ komplex, besonders weil man alle Normen dazu beachten/kennen muss.

Grundsätzlich:
-Nur sichere Funktionen müssen im "Sicherheitsteil" bearbeitet werden. Alles andere (z.B Anzeigemeldungen, Lampen usw.) kann und sollte wie bei einer normalen SPS mit standart AWL/KOP/FUP programiert werden.
-Alle Sensoren und Aktoren für das Sicherheitsprogramm müssen über Fehlersichere E/A angebunden werden.
-Personensicherheit muss immer im Sicherheitsteil programiert werden, Maschinensicherheit wie z.B "Förderband ist voll" sollte man NICHT im F-Programm bearbeiten.

In deinem Fall solltest du dich informieren, ggf mal einen Vertreter kommen lassen, der dir das ganze System erklärt. Da ihr bislang wohl nur Sicherheitsbausteine eingesetzt habt wird das F-Programm nicht so kompliziert werden..

Ach..  und eine F-CPU muss nicht zwangsläufig auch im F-Betrieb laufen *hust* Ihr müsst die Sicherheitsrelais nur gut verstecken 

*edit* müsste mal schneller tippen :/


----------



## mitchih (29 November 2009)

Hallo,

bei kleinen anwendunge ist das Pnoz multi Klasse, bei größeren Sachen setzen wir Siemens ein.

Wir sind auf dem Weg die PNOZ Schaltgeräte (außer das multi ;-) ) komplett aus den Anlagen zu verbannen, da die Geräte einfach flexibler sind und sich bei uns laufend was ändert.

Dazu ist aber auch jede Menge Vorplanung erforderlich. Die schönste F-CPu bringt nichts wenn du nur einen Abschaltkreis hast. Der dann alle Antriebe wegschaltet, das ganze muss sehr fein aufgesplittet werden. Und das ist immer der Haupt kosten Faktor. Die Programmierung ist da eher der kleinere Anteil.

Und wenn du mit dem System noch nie gearbeitet hast, würde ich dir raten deinen Chef eine Schulung aus den Rippen zu leiern, denn als Programmierer einer F-CPU bist du dann für die Sicherheit verantwortlich. Das ist nicht zu verachten.


----------



## Safety (29 November 2009)

Hallo,
ich empfehle euch dringend mit der EN ISO 13849-2 zu beschäftigen!
Validierung ist auch für die erstellte Software durchzuführen entsprechend des geforderten PLr.  Die durchzuführenden Maßnahmen steigen mit dem PL. Also einfach mal anfangen und dann sehen was kommt ist Falsch und auch gefährlich. Dies bezieht sich nicht nur auf die Software sondern auch auf die Hardware Planung.


----------



## Full Flavor (30 November 2009)

Na erstmal danke an alle!

Jetzt komm ich wenigstens nicht vollkommen unvorbereitet in mein meeting!


----------

