# Mal wieder. Quittierung einer Sicherheitsfunktion



## volker (19 März 2021)

Hallo

Wir hatten heute eine Prüfung von diversen Sicherheitsfunktionen durch die Firma Sick.

Anlage:
Roboterzelle mit Zugang über Tür oder Sicherheits BWS. PLr = d
Als Steuerung kommen hier PNOZmulti und S7-300/1500-F Baugruppen zum Einsatz

Die PNOZmulti sind über Bus mit der S7 gekoppelt.

Zur Zeit quittiere ich die SF bei PNOZ über ein Signal welches über den bus kommt.
Bei S7 verwende ich einen nicht sicheren Eingang vom Standartteil

Was der Mann jetzt bemängelt ist das die Tür/BWS über nicht sichere Signale quittiert werden können und ist der Meinung, dass das Quittiersignal auf einen sichern Eingang gehen muss.
Er bezieht sich dabei auf die 13849-1 5.2.2

Ich sehe das völlig anders.
Meiner Ansicht nach reicht es aus das Quittiersignal auch über einen nicht sicheren Eingang einzuleiten
(Ich sehe das äquivalent zum Rückführkreis der ja  imho auch nicht sicher sein muss)

Ich hätte jetzt gerne eine konkrete Aussage ob der Mann Recht hat oder nicht.
Kommt mir bitte nicht mit der Aussage 'Das ergibt die Risikobeurteillung'

mfg
Volker


----------



## Matze001 (19 März 2021)

Moin,

ja ein häufiges Thema.

Mal ein Auszug von der DGUV:


https://www.dguv.de/medien/fb-holzu...ter/infobl_deutsch/067_rueckstellfunktion.pdf
Mist kann nicht kopieren. Seite 3 2. Absatz.

Grüße

Marcel


----------



## Blockmove (19 März 2021)

Bei dem Thema sind sich die Hersteller selbst nicht einig.
Von Sick kenne ich auch die Forderung einen sicheren Eingang zu verwenden.
Wir verwenden BWS von Leuze Lumiflex und da wurde noch nie ein sicherer Eingang gefordert.
Normaler DI mit neg. Flanke genügte jedesmal bei der Abnahme.

Das gleiche Theater gibt es auch noch wenn du mit dem Quittiertaster gleichzeitig eine Funktion / Ablauf startest.

Gruß
Blockmove


----------



## Oberchefe (19 März 2021)

> Das gleiche Theater gibt es auch noch wenn du mit dem Quittiertaster gleichzeitig eine Funktion / Ablauf startest.



Das darf auch nicht sein.


----------



## Blockmove (20 März 2021)

Oberchefe schrieb:


> Das darf auch nicht sein.



Ich weiß, ich kenn die Stelle.
Früher hab ich auch 2 Tasten an einer nicht hintertretbaren BWS eingesetzt.
Eben Quittierung und Start.
Daraufhin verständlicherweise Beschwerden des Bedienpersonal. Ist ja auch unergonomisch und kostet Zeit.
Anschließend haben wir das Thema mit 2 externen Sicherheitsexperten diskuttiert.
Von beiden kam die Aussage, dass keine Gefährdung besteht und dass ein Taster reicht.
Bedingung eben, kein Hintertreten oder Einsperren möglich.

Bei Schutztüren halten wir uns natürlich daran. 

Gruß
Blockmove


----------



## volker (20 März 2021)

Matze001 schrieb:


> Mal ein Auszug von der DGUV:


Das Dokument kenne ich.
Hier geht es aber um steigende / fallende Flanke beim quittieren.
Damit  habe ich dem Sickmann zumindest schon mal den Wind aus den Segeln  genommen was das quittieren eines ESTOP (S7-Safety) betrifft.
Das der ESTOP mit positiver Flanke quittiert passte ihn nämlich auch nicht.


----------



## W@stl (20 März 2021)

Servus!
also ich hab noch nie einen sicheren Ausgang zum Quittieren der Sicherheit verwenden müssen.
da gabs bei der Sicherheitsabnahme noch nie probleme.

Ich händle es so:
Anlauf der Anlage funktioniert erst, wenn Schutztüren und/oder Lichtschranken quittiert sind; diese Kann man erst quittieren, wenn die Not-Aus Kreise quittiert sind. 
man braucht also min. 2 Flanken zum Quittieren und einen Start-Taster bzw. -Button.

Ich hatte mal eine Inbetriebnahme einer Anlage, die der Kunde selbst programmiert hatte.
Dort war eine Sirius Sicherheits-PLC verbaut. diese wurde über PN, nicht über einen Ausgang quittiert. da war ich mir auch nicht sicher, ob das so richtig war.
Aber die Sicherheit hat der Kunde selbst in Betrieb genommen, damit war ich raus 

wäre aber interresant, welche vorgehensweise 100% richtig ist...


----------



## Matze001 (20 März 2021)

Okay was ist denn das Argument für einen sicheren Eingang?

Die Fehler die im DGUV-Dokument erwähnt sind passieren auch mit einem einkaligen sicheren Eingang (Lediglich die Querschlusserkennung ist besser)

Ich habe schon öfters gesehen, dass in schlecht einsehbaren Bereichen in denen jemand eingeschlossen werden könnte ein Taster in diesem Bereich ist.
Diesen muss man drücken, dann den Bereich sperren (z.B. Tür schließen) und dann die Tür quittieren. Dies muss in einer festen Reihenfolge in einer max. zulässigen Zeit passieren.
Ist das auch nur eine Implementierung damit man die Sicherheit erhöht, oder gibt es das auch als Vorgabe / Beispiel in einer Norm?

Ich habe selbst Anlagen bei Sick installiert, die auch von Sick abgenommen wurden. War ein spannendes Erlebnis. 
Ich habe die Erfahrung gemacht, dass wenn die Doku sauber ist, der Rest fast von allein funktioniert. 
Z.B. habe ich eine Siemens F-CPU eingesetzt, und die Sicherheitsfunktionen über das HMI quittiert (mit dem ACK-Baustein von Siemens mit dem Byte von 6 auf 9)
Das habe ich dokumentiert, und sogar die Hilfedatei mit der Beschreibung der Funktion standardmäßig an meine Doku angehängt (man ist ja faul).
Das Ergebnis: Die Herren von Sick waren begeistert. 

1. Kannten sie diese Funktion noch nicht, und fanden es super das ich es gleich mit dokumentiert habe
2. Waren die beiden der Meinung das es über das HMI besser ist, da keine Querschlussfehler o.ä. auftreten können,
und durch den Signalwechsel über zwei Buttons mit der Zeit auch ein sauberer definierter Ablauf und Zustand geschaffen ist

Grüße

Marcel


----------



## rostiger Nagel (20 März 2021)

W@stl schrieb:


> Servus!
> also ich hab noch nie einen sicheren Ausgang zum Quittieren der Sicherheit verwenden müssen.
> da gabs bei der Sicherheitsabnahme noch nie probleme.



Ich hoffe du meinst Eingang, ansonsten hast du den Prüfer
genauso durcheinander gebracht wie mich jetzt :s17:


----------



## W@stl (20 März 2021)

nein ich meinte sogar beides. 

Taster > Eingang SPS > Ausgang -> Sicherheit(s-SPS)


----------



## rostiger Nagel (20 März 2021)

W@stl schrieb:


> nein ich meinte sogar beides.
> 
> Taster > Eingang SPS > Ausgang -> Sicherheit(s-SPS)



mmh meins währe das nicht. Irgendwie brauche ich da etwas Taktiles.
Ich habe auch grundsätzlich Probleme Sicherheitskreise mit einen OP
zu Quittieren.


----------



## Larry Laffer (21 März 2021)

W@stl schrieb:


> nein ich meinte sogar beides.
> 
> Taster > Eingang SPS > Ausgang -> Sicherheit(s-SPS)



Sorry ... das verstehe ich nun nicht ...
Wieso gehst du mit dem Taster nicht gleich auf die Sicherheits-SPS - bzw. was ist der Sinn dieser Kette ?

Gruß
Larry


----------



## Larry Laffer (21 März 2021)

@Helmut:
Das mit der 6-9-Geschichte, die Matze beschreibt, ist ein durchaus legitimes Vorgehen. Siemens hat sogar einen Baustein dafür. Diesen finde ich allerdings manchmal "ein bisschen" zäh - soll heissen, dass ich die Erfahrung gemacht habe, dass der manchmal nicht so richtig will (Siemens "von hinten in die Brust ins Auge" halt). Von daher ist der HW-Taster da ggf. sogar "etwas" Bediener-freundlicher.

Gruß
Larry


----------



## Blockmove (21 März 2021)

Larry Laffer schrieb:


> @Helmut:
> Das mit der 6-9-Geschichte, die Matze beschreibt, ist ein durchaus legitimes Vorgehen. Siemens hat sogar einen Baustein dafür. Diesen finde ich allerdings manchmal "ein bisschen" zäh - soll heissen, dass ich die Erfahrung gemacht habe, dass der manchmal nicht so richtig will (Siemens "von hinten in die Brust ins Auge" halt). Von daher ist der HW-Taster da ggf. sogar "etwas" Bediener-freundlicher.
> 
> Gruß
> Larry



Mir gefällt die Lösung über HMI auch nicht sonderlich.
Daher gibt's bei uns nur Taster


----------



## stevenn (22 März 2021)

volker schrieb:


> Hallo
> 
> Wir hatten heute eine Prüfung von diversen Sicherheitsfunktionen durch die Firma Sick.
> 
> ...


was steht denn in der 13849-1 5.2.2, ich gehe davon aus, das ist gemeint:
_"Der Performance Level der sicherheitsbezogenen Teile für die manuelle Rückstellfunktion muss so ausgewählt werden, dass die Einbeziehung der manuellen Rückstellfunktion die erforderliche Sicherheit der zugehörigen Sicherheitsfunktion nicht mindert."

_Was musst du dir jetzt überlegen ( und sorry das hat nunmal mit der Risikobeurteilung zu tun). Kann eine gefährliche Situation passieren, wenn fehlerhaft quittiert wird. Wenn ja, schätze die Gefahr ein, hinterlege einen PLr und dieser muss erfüllt werden. WEnn keine Gefahr entstehen kann, dann kannst du auch unsichere Quittierungen machen.


----------



## W@stl (22 März 2021)

Larry Laffer schrieb:


> Sorry ... das verstehe ich nun nicht ...
> Wieso gehst du mit dem Taster nicht gleich auf die Sicherheits-SPS - bzw. was ist der Sinn dieser Kette ?
> 
> Gruß
> Larry



Servus Larry,
das war die Elektroplanung eines Kunden. Sie wollten  das unbedingt so machen, weil das Grundprinzip des Panels immer gleich ist.
dort wird dann eine ET200SP verbaut, auf die alle Eingänge verdrahtet werden.
Dann wird im Schaltschrank ein Ausgang verwendet, um die Sicherheit zu quittieren. (ausser, es wird eine F-CPU verwendet.)

bei eigenen anlagen, verwenden wir auch den Hardware-Taster zum quittieren.

jeder wie er will, oder...?


----------



## volker (22 März 2021)

stevenn schrieb:


> was steht denn in der 13849-1 5.2.2, ich gehe davon aus, das ist gemeint:
> _"Der Performance Level der sicherheitsbezogenen Teile für die manuelle Rückstellfunktion muss so ausgewählt werden, dass die Einbeziehung der manuellen Rückstellfunktion die erforderliche Sicherheit der zugehörigen Sicherheitsfunktion nicht mindert."
> 
> _Was musst du dir jetzt überlegen ( und sorry das hat nunmal mit der Risikobeurteilung zu tun). Kann eine gefährliche Situation passieren, wenn fehlerhaft quittiert wird. Wenn ja, schätze die Gefahr ein, hinterlege einen PLr und dieser muss erfüllt werden. WEnn keine Gefahr entstehen kann, dann kannst du auch unsichere Quittierungen machen.


Wie ich erwähnt habe handelt es sich um Roboterzellen.
Die SF löst die Sicherheitsfunktion aus. Beim Roboter immer, bei den Bearbeitungsmaschine abhängig davon ob diese gerade eigensicher sind.
Not-Halt wirkt immer.
Hat die SF ausgelöst wird diese quittiert.
Zum Starten des Roboters muss ein weiterer Taster Robo-Start betätigt werden.

Von daher gesehen sehe ich es so, dass die Rückstellung keine direkte Gefährdung auslöst und somit nichtsicher sein darf.
Sehe ich das richtig?


----------



## stevenn (22 März 2021)

volker schrieb:


> Wie ich erwähnt habe handelt es sich um Roboterzellen.
> Die SF löst die Sicherheitsfunktion aus. Beim Roboter immer, bei den Bearbeitungsmaschine abhängig davon ob diese gerade eigensicher sind.
> Not-Halt wirkt immer.
> Hat die SF ausgelöst wird diese quittiert.
> ...


ganz genauso würde ich es auch sehen. wenn die alleinige Rückstellung keine Gefährdung hervorruft, dann muss sie auch nicht mit einem sicheren Eingang verarbeitet werden.
wenn allerdings CCF's gleichzeitig eine Rückstellung sowie RoboStart verusachen kann, dann muss das nochmal überdacht werden. kann ich mir aber hier nicht vorstellen.  Also in der Risikobeurteilung niederschreiben und bewerten, dann müsste das passen.


----------



## testor (24 März 2021)

Oberchefe schrieb:


> Das darf auch nicht sein.
> 
> Anhang anzeigen 53522



Ja die Normstelle ist Tricky. Meiner Interpretation nach löst nicht der Reset die Bewegung aus sondern die hinterlagerte Logik, die auswertet das kein Gefahr bestehen kann.

Bzgl. unsicheren Reset, wir resetten SF vor Ort meist auch mit unsicher ausgeführten Reset, es ist dann aber eine weitere Schalthandlung notwendig oder ein hintertretten ist nicht möglich. Bei der Abschätzung wie sich die Ausführung eine Resets sich/nicht sich auf die Sicherheutsbetrachtung auswirkt, hilft mir auch immer mal wieder das Twinsafe Handbuch von Beckhoff. Dort werden verschiedene  Schaltungen recht gut dargestellt. Hilft bei Robotik jedoch evtl. nur bedingt.


----------

