# DC avg niedrig ohne Rückmeldung???



## blimaa (7 November 2014)

Hi

In einem Schneider Dokument (LINK) ab Seite 53 wird ein Beispiel gemacht. Dort wird ein Diagnosedeckungsgrad DCavg von 62.4% erreicht. Nun stellte ich dies im Sistema nach und erhielt immer ein Diagnosedeckungsgrad von 0%, da ich keine Rückführung habe. Was stimmt den jetzt? 

Gruss blimaa


----------



## jora (7 November 2014)

blimaa schrieb:


> Nun stellte ich dies im Sistema nach



Hi,

ich nehme an, du meinst ab Schritt 4, oder?
Kategorie 3 nach EN ISO 13849-1 benötigt als Grundvoraussetzung einen DC von niedrig oder höher, siehe Bild 5 aus der Norm. Kat.3 ohne DC ist nicht möglich, somit kann das keine Kat. 3 sein, sondern max. Kat 1 -> max. PL c.
Für mich ist das, was Schneider da nachgebildet hat, nicht korrekt und SISTEMA hat recht. 
Ich hoffe meine kurze Antwort ist verständlich, ich will Feierabend machen ;-)

Gruß
Alex


----------



## Blockmove (7 November 2014)

Ich hab mal mit mehreren Schutztüren, Auswertegerät und Schützen rumgerechnet und bin auf was Ähnliches gestossen.
Meines Wissens ist die Krux daran, dass es im Prinzip Schwellwerte für die Performancelevel gibt.
Somit kannst rechnerisch PLd ohne Kat.3 erreichen.
Das ganze fällt wohl unter das Thema "Traue keiner Statistik, die du nicht selber gefälscht hast"

Vielleicht können die Sicherheitsexperten hier im Forum mal was genauer dazu schreiben.

Gruß
Dieter


----------



## blimaa (7 November 2014)

Hi
Jou etwas Klarheit von richtigen Experten wäre noch was.
Wir sind am Auslegen von einer Maschine und dort ist genau das Problem. Lichtvorhang, Logik etc alles mttfd hoch und reicht locker für pl d. Nur die Frage ist, müssen die zwei Hydraulikventile abgefragt werde?!
Laut schneider nein, Sistema ja!

Gruss blimaa


----------



## Safety (7 November 2014)

Hallo,
wenn Du das alles in ein SUB-System eingibst geht das.
Aber die Kategorie 3 fordert:
SRPICS der Kategorie 3 müssen so gestaltet werden, dass ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt. Wenn immer in angemessener Weise durchführbar, muss ein einzelner Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt werden.

Die Anforderungen der Kategorien ist ein Teil ein Parameter des PL und müssen auch eingehalten werden und das ist definitiv nicht bei dem Beispiel gegeben.
Sowas als Beispiel zubringen ist unverantwortlich.


----------



## Blockmove (8 November 2014)

Safety schrieb:


> Die Anforderungen der Kategorien ist ein Teil ein Parameter des PL und müssen auch eingehalten werden und das ist definitiv nicht bei dem Beispiel gegeben.
> Sowas als Beispiel zubringen ist unverantwortlich.



Wo finde ich in der Norm welcher PL welche Kategorie erfordert?
Das Beispiel von blimaa passt hier wirklich gut.
Hydraulikventile haben meist extrem gute Sicherheitskennwerte (x-mal  besser als Schütze).

Gruß
Dieter


----------



## jora (8 November 2014)

jora schrieb:


> Kategorie 3 nach EN ISO 13849-1 benötigt als Grundvoraussetzung einen DC von niedrig oder höher, siehe Bild 5 aus der Norm.



Ich arbeite immer mit dem Bild 5 aus der EN ISO 13849-1, wie schon erwähnt. Da stehen alle wichtigen Informationen drinnen.


----------



## Klopfer (9 November 2014)

Blockmove schrieb:


> Wo finde ich in der Norm welcher PL welche Kategorie erfordert?
> Das Beispiel von blimaa passt hier wirklich gut.
> Hydraulikventile haben meist extrem gute Sicherheitskennwerte (x-mal besser als Schütze).
> 
> ...



Hallo Dieter,

es ist leider nicht relevant ob Schütze oder Hydraulikventile aufgrund ihrer Kennwerte besser oder schlechter sind. Entscheidend ist, dass im Rahmen der Risikobeurteilung ein PLd als angemessen für die Sicherheitsfunktion ermittelt wurde. Diesen erreichst Du theoretisch auch mit einer Beschaltung in Kategorie 2 mit niedrigem DC und sehr zuverlässigen Bauteilen. Aber um eine Diagnose zu ermöglichen muss diese auch stattfinden. Dies muss nicht unbedingt eine Stellungsüberwachung (Rückführung) des Ventils sein, sondern kann ggf. auch durch eine Drucküberwachung realisiert werden.

Der wesentlichste Unterschied zwischen Kategorie 2 und 3 ist, dass der Diagnose- und Abschaltpfad bei Kategorie 2 nicht "sicherheitsgerichtet" ausgeführt muss. Die Diagnose muss allerdings 100 mal häufiger als Anforderung der die Sicherheitseinrichtung erfolgen. So hat man einer verbreiteten Praxis aus Zeiten der EN 954-1 einen Riegel vorgeschoben, wo man eine in der Betriebsanleitung geforderte tägliche Kontrolle (oder einmal pro Schicht) der korrekten Funktion der Sicherheitsfunktion als ausreichend erachtet hatte.

Zur Überwachung von Hydraulikventilen gibt es auch (manchmal recht trickreiche) Beispiele im BIA-Report.

Gruß

Alex


----------



## Blockmove (9 November 2014)

@Klopfer
Du schreibst:


> Diesen erreichst Du theoretisch auch mit einer Beschaltung in Kategorie 2 mit niedrigem DC und sehr zuverlässigen Bauteilen.



Safety schreibt:


> Die Anforderungen der Kategorien ist ein Teil ein Parameter des PL und müssen auch eingehalten werden



Daher die Frage:
Wo steht in der Norm konkret, dass PLd nur mit einer Beschaltung nach Kat.3 möglich ist?

Das ganze "Gedöns" mit Testung, direkter bzw. indirekter Rückführung und sonstwas ist mir alles klar und wende ich oft genug an.
Mir geht es nur um die Frage ob das zitierte Schneider Beispiel wirklich falsch ist.

Gruß
Dieter


----------



## Klopfer (10 November 2014)

Blockmove schrieb:


> Daher die Frage:
> Wo steht in der Norm konkret, dass PLd nur mit einer Beschaltung nach Kat.3 möglich ist?
> 
> Das ganze "Gedöns" mit Testung, direkter bzw. indirekter Rückführung und sonstwas ist mir alles klar und wende ich oft genug an.
> ...



Hallo Dieter,

wie schon gesagt in Bild 5 oder Tabelle 7 der EN ISO 13849-1. Wobei hier wohl ein klitzekleiner Fehlerteufel denn gemäß Bild 5 kann ich mit Kat. 2 und DC niedrig gerade eben noch D erreichen. Laut Tabelle 7 geht das erst mit mittlerem DC.

Somit ist Schneider meiner Meinung nach falsch, da die Sicherheitskette nicht bis zu ihrem Ende betrachtet wird. Ein unbemerkter gefahrbringender Ausfall eines Ventils würde die Sicherheitsfunktion kompromitieren!

Gruß

Alex


----------



## jora (11 November 2014)

Blockmove schrieb:


> Das ganze "Gedöns" mit Testung, direkter bzw. indirekter Rückführung und sonstwas ist mir alles klar und wende ich oft genug an.
> Mir geht es nur um die Frage ob das zitierte Schneider Beispiel wirklich falsch ist.



Ich schließe mich Klopfer an, es ist falsch was die da gezeigt haben!

Leider scheint der Bereich der funktionalen Sicherheit so komplex zu sein, das es für meinen Geschmack viel zu viele Hersteller gibt, die fehlerhafte Dokumente heraus bringen. Am Besten orientiert man sich an den Kochbüchern der IFA - da ist man wesentlich sicherer, wie bei allem was die Hersteller von Bauteilen heraus bringen.

Gruß
Alex


----------



## blimaa (11 November 2014)

Hi
Es freut mich, dass wacker an diesem Thema wieder diskutiert wird.
Ich glaube der Fehler bei der Beispielberechnung liegt darin, dass sie den Mittelwert des DC`s über alles rechnen (Seite 55). Darum bekommen sie den Mittelwert von 64%, was ja wirklich ein DC von niedrig gibt. 

Eine weitere Frage zur Testung:
Wir überwachen alle Zylinder ob die Endstellung in gewisser Zeit erfolgt oder nicht und gehen auf Störung, wenn der Zylinder die Endlage nicht erreichen kann. Allerdings geschieht dies mit einer normalen SPS. Gilt dies auch bereits schon als Testung oder nicht?

Das mit der Testeinheit ist ja auch etwas schwamig in der Norm beschrieben. (Also im perfekten Normendeutsch)

Gruss blimaa


----------



## Blockmove (11 November 2014)

blimaa schrieb:


> Ich glaube der Fehler bei der Beispielberechnung liegt darin, dass sie den Mittelwert des DC`s über alles rechnen (Seite 55). Darum bekommen sie den Mittelwert von 64%, was ja wirklich ein DC von niedrig gibt.



Schneider packt Alles (Erfassen, Logik, Ausgabe) in ein Subsystem.
Dieses erfüllt dann die Vorgaben.
Trennst du in einzelne Subsysteme, dann hat die Ausgabe (Schütze) einen DC von 0 und erfüllt die Anforderung nicht.


----------



## Automatisier0r (11 November 2014)

Blockmove schrieb:


> Schneider packt Alles (Erfassen, Logik, Ausgabe) in ein Subsystem.
> Dieses erfüllt dann die Vorgaben.
> Trennst du in einzelne Subsysteme, dann hat die Ausgabe (Schütze) einen DC von 0 und erfüllt die Anforderung nicht.



Weil es kein spezielles Sicherheitsschütz ist oder woher kommt die 0 für den DC?

edit: Ok ich habe gerade nochmal den Link angeguckt, Herstellerangabe für das Schütz ist DC von 0%


----------



## Blockmove (11 November 2014)

Automatisier0r schrieb:


> Weil es kein spezielles Sicherheitsschütz ist oder woher kommt die 0 für den DC?
> 
> edit: Ok ich habe gerade nochmal den Link angeguckt, Herstellerangabe für das Schütz ist DC von 0%



Es werden im Schneider-Beispiel keine Rückführkontakte verwendet.
Deshalb DC 0.


----------



## Klopfer (12 November 2014)

blimaa schrieb:


> Hi
> Es freut mich, dass wacker an diesem Thema wieder diskutiert wird.
> Ich glaube der Fehler bei der Beispielberechnung liegt darin, dass sie den Mittelwert des DC`s über alles rechnen (Seite 55). Darum bekommen sie den Mittelwert von 64%, was ja wirklich ein DC von niedrig gibt.
> 
> ...



Auch Gruß blimaa,

Eine normale SPS (TE) ist für Überwachungsaufgaben durchaus zulässig, wenn sie einen zweiten Abschaltpfad hat, oder zumindest "laut schreit" wenn etwas nicht stimmt. Wenn betriebsmäßig geschaltet und somit durch die SPS getestet werden kann, dann kann man so immerhin Kategorie 2 erreichen.

_"Die Einleitung dieses Tests kann automatisch erfolgen. Jeder Test der Sicherheitsfunktion(en) muss entweder den Betrieb zulassen, wenn keine Fehler erkannt wurden, oder einen Ausgang für die Einleitung geeigneter Steuerungsmaßnahmen erzeugen, wenn ein Fehler erkannt wurde.__Wenn immer möglich, muss dieser Ausgang einen sicheren Zustand einleiten. Dieser sichere Zustand muss aufrechterhalten bleiben bis der Fehler behoben ist. Wenn die Einleitung eines sicheren Zustands nicht_
_möglich ist (z. B. durch Verschweißen des Kontakts eines Schaltglieds), muss der Ausgang die Warnung vor der Gefährdung bereitstellen"

und

"Für vorgesehene Architekturen werden folgende typische Annahmen getroffen:
__- Gebrauchsdauer, 20 Jahre (siehe Abschnitt 10);_
_- konstante Ausfallraten innerhalb der Gebrauchsdauer;_
_- für Kategorie 2, Anforderungsrate ≤ 1/100 der Testrate;_
_- für Kategorie 2, MTTFd,TE größer als die Hälfte der MTTFd,L."_

Gruß

Alex


----------

