# Standard-SPS als bewährtes Bauteil nach DIN EN ISO 13849-1



## safety_simon (5 September 2018)

Hallo Leute,

wieder das leidige Thema Standard-SPS. Ich weiß, dass eine Standard-SPS kein bewährtes Bauteil ist, aber gibt es da Ausnahmen?

Wir haben derzeit über 240 Systeme (einige seit 20 Jahren) im Einsatz (Zwei Standard-SPSen arbeiten im Kreuzvergleich - homogene Redundanz), die alle ohne gefährlichen Ausfall/Fehler arbeiten.

Nach DIN EN ISO 13849-1:2015, 6.2.4 Kategorie 1:


> Ein „bewährtes Bauteil“ für eine sicherheitsbezogene Anwendung ist ein Bauteil, das entweder:a) *in der Vergangenheit weit verbreitet mit erfolgreichen Ergebnissen in ähnlichen Anwendungen verwendet worden ist*, *oder*
> b) unter Anwendung von Prinzipien hergestellt und verifiziert wurde, die seine Eignung und Zuverlässigkeit für sicherheitsbezogene Anwendungen zeigen.



Wieso kann man nun nicht sagen, dass die verwendete SPS ein "bewährtes Bauteil" ist?

Viele Grüße
safety_simon


----------



## Safety (5 September 2018)

Hallo,
DIN EN ISO 13849-1 Abschnitt 6.2.4
ANMERKUNG 1: Komplexe elektronische Bauteile (z. B. PLC, Mikroprozessor, anwendungsspezifische integrierte Schaltung) können nicht als gleichwertig zu „bewährt“ betrachtet werden.
Es hat soweit ich weiß eine Firma für eine Werkzeugmaschine für eine ganz spezielle Anwendung und genau definierten Bauteilen eine Bewertung als Bewährtes Bauteil vorgenommen. Findet man im Netz.


----------



## safety_simon (5 September 2018)

Stimmt, die Anmerkung habe ich beim Überfliegen übersehen.
Ja, den Artikel habe ich bereits vor einigen Tagen gefunden.


Für die Anwendung wird ein PL c gefordert (nach Risikobeurteilung). Da ich ohne bewährte Bauteile nicht über PL b kommen werden, würde ich mich nun auf auf die Änderung der DIN EN ISO 13849-1:2015 aus Anhang A beziehen:



> Neu hinzu kommt nun die Eintrittswahrscheinlichkeit eines Gefährdungsereignisses. Wenn sie alsniedrig bewertet werden kann, darf der PLRrR um einen Level verringert werden. Eine weitere Reduzierungvon PLRrR a ist dabei nicht vorgesehen. [...] Zuverlässigkeitsdaten und die Unfallgeschichte an vergleichbaren Maschinen(mit denselben Risiken, gleichem Prozess, derselben Betätigung durch die Bedienpersonund gleichen Technologien, die die Gefährdung verursachen) können die Einschätzung begründen.



Demnach sollte dann mit ausreichend Betriebsstunden und Ausfalldaten für einen Nachweis für PL b für diese spezielle Anwendung ausreichend sein (da dann die Absenkung von PL c auf PL b berechtigt ist und ich ein System der Kategorie B berechnen kann)


----------



## safety_simon (11 September 2018)

Nochmal eine Frage direkt zu diesem Thema:

Gilt die Bewertung der Unbewährtheit nur für die CPU die die Software enthält und ausführt, oder auch für die zugehörigen Ein- und Ausgangsbaugruppen, die auf dem Rack mit der SPS verbunden werden?


----------



## volker (11 September 2018)

du kannst standartbaugruppen sicher abschalten bis pld.
zumindest siemens-baugruppen (bzw einen teil davon)
https://support.industry.siemens.co...dbaugruppen-realisiert-werden-?dti=0&lc=de-DE


----------



## safety_simon (11 September 2018)

volker schrieb:


> du kannst standartbaugruppen sicher abschalten bis pld.
> zumindest siemens-baugruppen (bzw einen teil davon)
> https://support.industry.siemens.co...dbaugruppen-realisiert-werden-?dti=0&lc=de-DE



Hallo Volker,

vielen Dank für deine Antwort! Ich werde mal bei unserem Steuerungshersteller nachfragen. 
War mir nicht sicher ob dies allgemein nicht erlaubt ist (nach DIN EN ISO 13849-1).


----------



## Safety (11 September 2018)

Hallo, da sich um komplexe elektronische Bauteile handelt beliebt Dir realistisch nur den Weg den Hersteller zu fragen.
Die von Volker gezeigte Abschlautung hat nichts mit Deiner Frage zu tun. Hier wird die Lastspannung abgeschaltet und war von einem externen Schaltgerät. 
Dir geht es um die Anforderungen einer Kategorie 1 nach DIN EN ISO 13849-1 mit einer Standard SPS!?


----------



## safety_simon (12 September 2018)

Mir geht es um die Datenerfassung von Digitalen und Analogen Signalen mit einer Standard-Steuerung, die dann die Abschaltbefehle ausgibt.

Zur Veranschaulichung:


Zwei Drehgeber werden in Kat 3 verwendet und über zwei verschiedene Baugruppen der Steuerung eingelesen.
Darauf folgt die SPS in Kat B (da diese kein bewährtes Bauteil ist).
Darauf folgt die Abschaltung, hier als Sicherheitsrelais dargestellt.

Die MTTFd-Werte für die SPS-Baurguppen liegen mir vor. Nun weiß ich jedoch nicht, ob ich die Baugruppen in Kategorie 3 verwenden kann.
Und wenn nicht. Wie lässt sich dann das redundante Erfassungs-System darstellen? Wenn ich die Drehgeber nur in Kategorie B einsetzen kann, kann ich ja auch folglich nur einkanalige Strukturen (mit SISTEMA zB) berechnen.


----------



## stevenn (12 September 2018)

dein Nadelöhr bleibt die Standard SPS und hier wirst du nicht über ein PL b hinauskommen. Du könntest für jeden Zweig eine StandardSPS nehmen, dann schon, das wird sich aber nicht rentieren .


----------



## safety_simon (12 September 2018)

Nun ja, wie benutzen zwei StandardSPSen, die sich über Kreuzvergleich miteinander vergleichen.
Also theoretisch Kategorie 3, aber da die StandardSPS ja kein bewährtes Bauteil ist, kann ich diese ja lediglich in Kategorie B verwenden.

Oder verstehe ich da jetzt was falsch?



> „Auszuschließen ist im Allgemeinen der Einsatz komplexer Elemente oder Teilsysteme gleichartiger Ausführung (homogene Redundanz), da Fragen nach der systematischen Eignung und der erforderlichen Fehleraufdeckung oft nicht ausreichend beantwortet werden können.“


----------



## stevenn (12 September 2018)

da verstehst du etwas falsch. für Kategorie 3 brauchst du kein bewährtes Bauteil. nur für kategorie 1


----------



## Blockmove (12 September 2018)

Nicht alles lässt sich mit der Sistema rechnen und nicht alle Fälle werden durch die Normen ausreichend beschrieben.
Wir haben oft vergleichbare Probleme beim Retrofit und holen uns da dann einfach einen Sachverständigen vom TÜV Süd.

Frage am Rande:
Warum verwendet ihr 2 SPSen und nicht einfach 1 Sicherheits-SPS?

Gruß
Blockmove


----------



## safety_simon (12 September 2018)

Danke euch beiden!

Das mit SISTEMA ist mir des Öfteren auch schon aufgefallen.

Die Bewertung/Berechnung soll für ältere Systeme gelten, bzw. die letzten Systeme die jetzt noch ausgeliefert werden.
Habe mich in meiner Bachelorarbeit mit der Umrüstung des Systems auf eine Sicherheits-SPS beschäftigt, nur die Entwicklung mit Änderung der Software benötigt noch Zeit. Die Aufträge müssen also noch nach dem alten Prinzip abgearbeitet werden und benötigen deshalb noch einen ordentlichen Nachweis mit Berechnungen.

-
Also verstehe ich das dann entsprechend richtig, dass das Blockschaltbild dann grob so aussehen könnte? Also ich würde die SPSen vermutlich noch mit in das obere Subsystem einbeziehen.



Gibt es noch weitere Sachen die ich dann bei Standard-Steuerungen beachten mus (außer den entsprechenden Anforderungen an die SRAWS)?


----------



## stevenn (12 September 2018)

wenn die linke Seite (2 und 5) und die rechte Seite (4 und 5) jeweils eine eigene SPS sind ja
schau dir das mal an http://publikationen.dguv.de/dguv/pdf/10002/rep0217.pdf


----------



## safety_simon (12 September 2018)

Werde ich mir definitiv nochmal durchlesen.



So (oben) sieht es eigentlich aus: Beide Drehgeber werden von einer eigenen SPS mit eigenen Baugruppen eingelesen. Also theoretisch ein zweikanaliges Einlesen pro SPS. Da sich sowas nicht mit der Norm darstellen lässt, bzw. vermutlich auch nicht gemacht werden muss, würde ich es dann wie im unteren Teil als Sicherheitsbezogenes Blockdiagramm realisieren. 

Hast du da spontan irgendwelche Einwände oder Verbesserungsvorschläge?

EDIT: SISTEMA berechnet mir in Kategorie 3 mit DC = ?? und CCF > 65 Punkten einen erreichten PL c bis e für die zweikanalige Struktur der Standard-SPS. Kann mir nicht vorstellen, dass man mit der Anordnung einen so hohen PL realisieren kann.


----------



## Safety (12 September 2018)

Hallo, 
  Deine Fragestellung hat sich jetzt aber gewaltig verändert.
  Du hast ja schon aus diesem Dokument zitiert:
http://publikationen.dguv.de/dguv/pdf/10002/standardkomponenten.pdf
  Und darin wird das Hauptproblem von der Verwendung zweier gleichartiger (gleicher Typ, gleicher Hersteller) Standard SPSen in je einen Kanal erwähnt.
  „Auszuschließen ist aber im Allgemeinen der Einsatz komplexer Subsysteme (z. B. Standard-SPS) in gleichartiger Ausführung (homogene Redundanz) für die Minderung mittlerer und hoher Risiken, da Fragen nach der systematischen Eignung und der erforderlichen Fehleraufdeckung oft nicht ausreichend beantwortet werden können.  „

  Da beide z.B. Fehler in der SRESW aufweisen können, kann es zu einem Fehler kommen, der sich auf beide Kanäle auswirkt und das entspricht nicht den Anforderungen. Hierzu müsstest Du mit dem SPS Hersteller sprechen aber ich denke nicht das es viel Hilft.


----------



## safety_simon (12 September 2018)

Hallo Safety,

darin lag ja genau das Problem, das wir bei unseren alten Anlagen haben. 
Meine möglichen Szenarien:
1. Berechnung von einer Standard-SPS in Kategorie B (PL b erreichbar) und Erwähnung der zweiten SPS in der Dokumentation, aber hat keinen Mehrwert für die Berechnung. Problem: Zweite SPS geht nicht in die Berechnung ein.  
2. Berechnung von beiden Standard-SPS in Kategorie 3, da dort keine bewährten Bauteile benötigt werden. Problem: SRESW wird sehr sehr wahrscheinlich die Anforderungen an Kategorie 3 nicht erfüllen.

Beide Möglichkeiten bringen mich nicht zu dem geforderten Ergebnis.


----------



## Blockmove (12 September 2018)

safety_simon schrieb:


> Die Aufträge müssen also noch nach dem alten Prinzip abgearbeitet werden und benötigen deshalb noch einen ordentlichen Nachweis mit Berechnungen.



Gewagt ... Was passiert, wenn ihr nun feststellt, dass eure Lösung nicht den sicherheitstechnischen Anforderungen entspricht?
Rückruf? Umrüstung? Insolvenz?
Ich würd da mal ganz schnell nen Sachverständigen und nen Fachanwalt kontaktieren ...

Wenn du Angestellter bist, dann solltest du zudem die Bedenken rechtssicher deinen Vorgesetzten melden.

Gruß
Blockmove


----------



## stevenn (12 September 2018)

ich bin mir nicht sicher ob ich das Problem / euer Problem richtig nachvollziehen kann. Was ist denn falsch an der Vorgehensweise aus dem post #15 ? wenn für die Standard sps kein Mttf wert vorliegt, dann verwendet man den Wert 10 Jahre (steht doch irgendwo in der 13849, mag jetzt nicht suchen). natürlich hat man eventuell zwei gleiche spsn, aber dann hat man bei sistema eben keinen haken bei "unterschiedliche technologien", dann muss man sich die 65 punkte eben anders zusammensammeln.

Welchen PLr hast du denn?


----------



## safety_simon (12 September 2018)

Blockmove schrieb:


> Gewagt ... Was passiert, wenn ihr nun feststellt, dass eure Lösung nicht den sicherheitstechnischen Anforderungen entspricht?
> Rückruf? Umrüstung? Insolvenz?
> Ich würd da mal ganz schnell nen Sachverständigen und nen Fachanwalt kontaktieren ...
> 
> ...



Wir haben zahlreiche Anlagen mit insgesamt 1.300.000 Betriebsstunden pro Jahr und bisher ohne einen einzigen gefährlichen Ausfall des Systems, also an sich ist das System sicher.
"Nur" entsprechend der Norm fehlt da ein Nachweis, den ich gerade besten Gewissens versuche zu erbringen. Wenn ich berechnen kann, dass das System so wie wir es produzieren sicher ist, können die letzten Aufträge noch damit abgearbeitet werden, ansonsten werden sich die Aufträge wohl verzögern.

Ich bin selbst Werkstudent in der Firma und soll mich mit dem Thema beschäftigen und eine mögliche Berechnung durchführen. Daher


----------



## safety_simon (12 September 2018)

stevenn schrieb:


> ich bin mir nicht sicher ob ich das Problem / euer Problem richtig nachvollziehen kann. Was ist denn falsch an der Vorgehensweise aus dem post #15 ? wenn für die Standard sps kein Mttf wert vorliegt, dann verwendet man den Wert 10 Jahre (steht doch irgendwo in der 13849, mag jetzt nicht suchen). natürlich hat man eventuell zwei gleiche spsn, aber dann hat man bei sistema eben keinen haken bei "unterschiedliche technologien", dann muss man sich die 65 punkte eben anders zusammensammeln.
> 
> Welchen PLr hast du denn?



Wie ich das verstanden habe, wird eine Standard-SPS nicht die Anforderungen an die SRESW erfüllen und daher bringt auch eine homogene Redundanz nichts weiter. 

PLr c kam aus der Risikobeurteilung. Abgestuft nach DIN EN ISO 13849-1:2015 Anhang A.2.3 (weil wir entsprechend nachweisen können, dass die Eintrittswahrscheinlichkeit eines Gefährdungsereignisses als niedrig bewertet werden kann), dann PLr b.

EDIT: MTTFd-Werte liegen für alle Bauteile vor. CCF-Bewertung ergibt 75 von 100. Also scheitert es nur an der SRESW


----------



## safety_simon (18 September 2018)

Könnten wir die Diskussion noch weiterführen beziehungsweise mit einem Ergebnis beenden? 
Ich sehe hier einen Konflikt zwischen der Aussage von stevenn und Safety.


----------



## stevenn (18 September 2018)

ich fasse zusammen:
- dein PLr ist b
- du hast für alles MTTFd-Werte vom Hersteller
- du wirst nicht Kategorie 1 ausführen, dementsprechend brauchst du auchkeine bewährten Bauteile
- für den CCF kannst du nicht unterschiedliche Technologien eingeben -> dann müssen die 65 Punkte anders gesammelt werden

also wenn du das zweikanalig realisierst (mit 2 SPSn) denke ich solltest du PL b erreichen.


----------



## safety_simon (18 September 2018)

Vielen Dank stevenn,

habe es auch so dokumentiert und erwähnt, dass der erreichbare PL durch die SRESW begrenzt ist.

Schönen Tag noch


----------

