# Distributed Safety: Anwenderquittierung/Module passivieren



## Markus (8 November 2008)

hallo,

es gibt ja die möglichkeit module (in meinem fall an der et200s) einzeln oder seit 5.4 sp3 oder sp4 (?) über den FB219 (F_ACK_GL) gloabl alle module einer ablaufgruppe zu depasivieren.


leut doku kann ich das in beiden fällen entweder über einen sicheren eingang machen, oder über einen baustein welcher eine wertänderung eienr variablen in der visu überwacht. (ich muss erst 6 und nach ca. 1s innerhalbt einer bestimmten zeit 9 eintragen).

wieso darf ich diese quittierung nicht über einen stadard DI machen?
wie macht ihr das mit dem depassivieren?


es gibt maschinenführer die es immer wieder schaffen den not-halt derart gefühlvoll einzudrücken dass das FDI modul einen dikrepanzfehler erkennt und depasiviert werden will.

ich habe an dem baustein F_ACK_GL derzeit die normale quittiertaste dran die auf einen Standard DI geht, distibuted safety meckert nicht. aber in der doku ist nie von standard DI die rede - oder habe ich was überlesen?

danke!


----------



## Astralavista (8 November 2008)

Das was du mit dem Modul machen willst nennst sich auch depassivieren.
Und das kann man sehr wohl über einen nicht sicheren eingang machen.
Ich jetzt zwar nichts an meinem Rechner Zuhause vorliegen, weiß aber das es ein Bit im zugehörigen DB der Baugruppe gab was man einfach auf True setzen musste. Das wars auch schon.


----------



## Markus (8 November 2008)

Astralavista schrieb:


> Das was du mit dem Modul machen willst nennst sich auch depassivieren.
> Und das kann man sehr wohl über einen nicht sicheren eingang machen.
> Ich jetzt zwar nichts an meinem Rechner Zuhause vorliegen, weiß aber das es ein Bit im zugehörigen DB der Baugruppe gab was man einfach auf True setzen musste. Das wars auch schon.



jupp, das mizt dem bit im modul db ist bekannt, aber inzwischen (wie gesagt erst siet 5.4 sp 3 oder sp4) gehts noch komfortabler mit dem fb219.

aber bei beiden lösungen ist entweder von einem sicheren eingang oder von dem baustein F_ACC_OP die rede.

es wird sogar explizit der f_acc_op verlangt, der wiederum den wechsel einer varibalen in einem eingabefeld in einem bestimmten zeitfenster erwartet - also nicht einfach nur eine taste!

ich verstehe nur nicht warum?
warum muss eine depassiverung "sicher" sein?


----------



## Markus (8 November 2008)

Astralavista schrieb:


> Das was du mit dem Modul machen willst nennst sich auch depassivieren.



sorry, meinte natürlich depasivierung und nicht pasiveren - hab das oben verbessert...


----------



## Markus (8 November 2008)

siemens selber macht es in diesem beispiel auch so (mit eienm nicht sicheren standard DI)

http://support.automation.siemens.com/WW/view/de/28609440

wieso reden die dann in der hilfe überall von FDI und diesem dämlichen F_ACC_OP baustein?


----------



## Nico99 (8 November 2008)

Hallo!



Markus schrieb:


> es wird sogar explizit der f_acc_op verlangt, der wiederum den wechsel einer varibalen in einem eingabefeld in einem bestimmten zeitfenster erwartet - also nicht einfach nur eine taste!
> 
> ich verstehe nur nicht warum?
> warum muss eine depassiverung "sicher" sein?



Wir bekommen auch viele fehlersichere Anlagen und das "Problem" hatten wir auch schon.

Da man sich irgendwelche Gedanken gemacht hat (Risikobewertung) und sich für eine fehlersichere Anlage entschieden hat, darf man natürlich im Fehlerfall das ganze nicht einfach so (nicht fehlersicher) quittieren. Sonst brauche ich die Fehlersicherheit nicht, da es sich irgendwo widerspricht. Die Quittierungen werden entweder als Taster an F-DI oder über HMI (in 2 Schritten, teilweise aber auch mit einem Schritt) gemacht

Bei uns ist es soweit, dass wenn ich über HMI Werte verstellen möchte, die für fehlersichere Anlagenteile relevant sind, muss ich es am TP auch fehlersicher machen: z.B. 2 Angaben eines Wertes in verschiedenen Grössen, (z.B. Meter und Centimeter). HMI prüft es, und falls es stimmt, erscheint Schaltfläche um die Eingabe in der SPS zu vergleichen. Und erst wenn die CPU OK meldet, wird der eingegebene Wert übernommen.


----------



## Deltal (9 November 2008)

Hmm hab mit mal eben die Hilfe Datei angeschaut, da ist keine Rede von einem F-DI. Nur "Eine positive Flanke am ACK_REI_GLOB".

Irgendwie macht es auch keinen Sinn dort F-DIs einzusetzen. Die Depassivierung kann nur erfolgen wenn kein Fehler mehr an der Baugruppe vorhanden ist. Also hat die Depassivierung selbst keine fehlersichere Funktion. Du kannst stundenlang auf die Depassivierung drücken, wenn eine diskepanz vorhanden ist, kannst du die Anlage nicht mehr einschalten.

Ist das selbe mit der quittierung eines Not-Aus, Lichtschranke etc. dort braucht man auch keine fehlersicheren Eingänge.

In unseren Anlagen gibts ein Schlüsseltaster im Schaltschrank der die Module wieder eingliedert. Hat bisher noch niemand bemängelt.


Nico99: Kann es sein das du Fehlersicherheit und Idiotensicher durcheinander bringst? Selbst wenn der Taster auf ein F-Modul geht ist ja noch lange nicht gewährleistet das der "Tasten-drücker" auch nur den hauch einer Ahnung hat was er da gerade macht. Bei der Fehlersicheren Steuerung geht es darum das technische Fehler erkannt werden und die Anlage sicher gestoppt wird. Im Grunde geht es darum das wenn ich einen Not-Aus betätige auch "sicher" die Maschinen anhalten und nicht lustig weiterlaufen nur weil ein Schütz hängt etc.


----------



## Nico99 (9 November 2008)

Hallo!



Deltal schrieb:


> Nico99: Kann es sein das du Fehlersicherheit und Idiotensicher durcheinander bringst? Selbst wenn der Taster auf ein F-Modul geht ist ja noch lange nicht gewährleistet das der "Tasten-drücker" auch nur den hauch einer Ahnung hat was er da gerade macht. Bei der Fehlersicheren Steuerung geht es darum das technische Fehler erkannt werden und die Anlage sicher gestoppt wird. Im Grunde geht es darum das wenn ich einen Not-Aus betätige auch "sicher" die Maschinen anhalten und nicht lustig weiterlaufen nur weil ein Schütz hängt etc.



Idiotensicherheit (Bedienerfehler) kann und muss programmiert werden.
Fehlersicherheit wird neben F-Programm auch direkt in der Hardware überwacht (Kurz- oder Querschluss, Ader- oder Kontaktbruch ect.)
Und ich persöhnlich finde, dass es nicht i.O. ist, wenn F-Steuerung durch einen evtl. Hardwarefehler selbständig depassiviert werden kann, deshalb fehlersichere depassivierung am HMI oder über F-DI.


----------



## Deltal (9 November 2008)

Dann dürftest du auch keine Lichtschranken-, Not-Aus- oder Schütztür quittierungen über normale Eingänge machen. Dort wäre ein "automatischer" reset noch wesendlich gefährlicher!

Und wie gesagt, die depassivierung kann nur erfolgen wenn das Modul wieder i.O. ist, also einen sicheren Zustand angenommen hat. 

Man kann die Baugruppen sogar so konfigurieren, dass sich das Modul selbst wieder depassiviert wenn alles OK ist.

Über das HMI zu resetten ist genau so gefährlich. Wenn ich z.B. 10 Steuerungen seperat über ein HMI Bild quittieren kann und dort eine Variable vertauscht ist, gehts genau so in die Hose.


----------



## jokey (9 November 2008)

Deltal schrieb:


> Dann dürftest du auch keine Lichtschranken-, Not-Aus- oder Schütztür quittierungen über normale Eingänge machen. Dort wäre ein "automatischer" reset noch wesendlich gefährlicher!



Ersetze dein "dürftest" durch "darfst" und du hast die Aussage im Kern getroffen. (Grundlage: Betriebsanweisungen und BG Richtlinien für BWS und Not-Aus)
:sm5:


----------



## Nico99 (9 November 2008)

Hallo!



Deltal schrieb:


> Dann dürftest du auch keine Lichtschranken-, Not-Aus- oder Schütztür quittierungen über normale Eingänge machen. Dort wäre ein "automatischer" reset noch wesendlich gefährlicher!



Die Aussage hat was. Vermutlich ist es alles eine Ansichtsfrage


----------



## Deltal (9 November 2008)

jokey schrieb:


> Ersetze dein "dürftest" durch "darfst" und du hast die Aussage im Kern getroffen. (Grundlage: Betriebsanweisungen und BG Richtlinien für BWS und Not-Aus)
> :sm5:



Hmm willst du mir damit sagen das es nicht zulässig ist? Ne quittierung über einen fehlersicheren (zwei kanaligen) Taster hab ich noch nie gesehen..

Wäre aber nett wenn du da was passendes posten könntest aus den BA und Richtilinen.


----------



## jokey (9 November 2008)

Werd ich morgen nochmal in den Bericht von unserem Sachverständigen schauen, dann kann ich dir die Referenz entsprechend geben.

Der Quittungstaster muss natürlich auch nicht 2-Kanalig ausgeführt sein, nur darf die Quittung der Lichtschrankensteuerung nicht über eine unsichere SPS erfolgen -> Quittiertaster muss direkt auf das Steuermodul verdrahtet werden.


----------



## Deltal (9 November 2008)

Jo wäre nett. Aber denk dran das es hier um eine Sicherheitsps geht!


----------



## jokey (9 November 2008)

Die Aussage von dem Sachverständigen war jedenfalls eindeutig.

Entweder man setzt eine spezielle Steuerung ein (Not-Aus Relais, BWS Steuerung), die direkt verdrahtet wird oder man hat eine fehlersichere SPS zu verwenden, wobei sowohl E als auch A als Fehlersicher auszuführen sind.
Seine "Faustregel": Alles was du zur Anlauftestung brauchst, muss schlichtweg fehlersicher sein.

Bei uns haben wir schlicht aus Kostengründen daher die Kompaktgeräte verwendet, ziehen paar Kabel mehr und alle sind zufrieden.


----------



## Markus (10 November 2008)

das stimmt nicht!

1. wir reden hier ausschliesslich von sicherheits sps - in diesem speziellen fall nur von s7 mit distibuted safety!

2. rückführugnen und quittiertasten können über normale standard DI gemacht werden! das wird in jedem siemens beispiel auch so gemacht.

3. meine frage bezog sich auf den eingang des bausteins zum depassivieren der F-Module nach dem diese zb eine diskrepanz bei zwei kanaligen nothalt tastern erfast hatten. hier wird in der hilfe immer von FDI oder dem baustein der eine wertänderung einer variablen im hmi überwacht geredet. aber in dem verlinkten beispil verwednet siemens ebenfalls einen stadard DI - was meiner meinung nach kein problem darstellt.



> Möglichkeiten für eine Anwenderquittierung
> 
> Eine Anwenderquittierung können Sie realisieren über:
> 
> ...


----------



## Deltal (10 November 2008)

> einen Quittiertaster, den Sie an eine F-Peripherie mit Eingängen anschließen



Darum gehts dir oder?

Ist irgendwie doof geschrieben aber man kann es so interpretieren das man den Quittiertaster an eine Erweiterungsbaugruppe der F-CPU anschliessen soll. Auch die Standart-Eingänge gehören (irgendwie) zur F-Peripherie.


----------



## derwestermann (10 November 2008)

Anbei eine Depassivierung, wie ich sie derzeit am Laufen habe.
Wieso sollte eine Quittierung zwanghaft sicher sein?
Wenn die Sicherheitsbedingung, Not-Aus-Taster entriegelt, Tür zu, Rückführkontakt iO oder so nicht erfüllt ist, darf keine Freigabe erfolgen. Das gilt auch für die Depassivierung. Der dafür angelegte Kontakt kann so unsicher sein, wie er will.
Auch bei Sicherheits-SPSen, wie die von Pliz, habe ich immer die Quittierung über den Bus von der Standard-SPS bekommen, unsicher hoch neun; warum auch nicht....


----------

