# Standard PLC - Kat; was ist erreichbar



## Profilator (7 November 2011)

Ich frage mich, was für eine Kat / PL kann ich mit einer Standard SPS (S7) erreichen.

Eine weit verbreitete Meinung ist max. Kat B, da für Kat 1 "bewährte Bauteile" gefordert sind,
die Standard SPS da definitiv (13849-1, Seite 42) nicht zugehört.

Andererseits werden "bewährte Bauteile" für z.B. Kat 3 nicht gefordert, d.h. eigentlich müsste
doch mit einer Standard SPS eine Kat 3 - SRP/CS realisiert werden können. 

Wie seht ihr das ?

Mal zunächst unabhängig vom Aufwand mit Sicherheitssoftware im Hinblick auf Verifikation
und insbesondere Validierung.


----------



## Deltal (7 November 2011)

Normal bauen die "Kategorien" auf einander auf, also wird auch Kat. 3 bewährte Bauteile fordern.

Ich würde ne Standartsps nicht für Sicherheitsaufgaben nutzen.. pauschal.


----------



## reliability (7 November 2011)

Hallo,

anbei ein ein Link zum Dokument der IFA zur Verwendung von Sicherheitsbauteilen und Standardbauteilen:
http://publikationen.dguv.de/dguv/pdf/10002/standardkomponenten.pdf

darin heisst es:



> Generelle Regeln dafür, wann bestimmte Standardkomponenten in Sicherheitsapplikationen einsetz-bar sind und wann nicht, können nicht definiert werden. *Auszuschließen* ist aber im Allgemeinen der Einsatz komplexer Subsysteme (z. B. *Standard-SPS*) in gleichartiger Ausführung (homogene Redundanz) *für die Minderung mittlerer und hoher Risiken*, da Fragen nach der systematischen Eig-nung und der erforderlichen Fehleraufdeckung oft nicht ausreichend beantwortet werden können. In einer Standardsteuerung könnten noch unentdeckte Entwicklungsfehler vorhanden sein.



Die Anforderung an bewährte Bauteile existiert nur in Kategorie 1. Diese Anforderung existiert nicht in Kat.2 und größer. Nicht zu verwechseln mit den bewährten Sicherheitsprinzipien die ab Kat.2 aufwärts gefordert sind. Dies finde ich recht anschaulich in Tabelle 4.1. des BGIA Reports 2/2008 dargestellt.

Gruß
Reliability


----------



## Safety (7 November 2011)

Hallo,
dieses Thema hatten wir schon oft. Es ist wohl möglich aber mit entsprechenden Aufwand, zwei unterschiedliche Systeme, Baumusterprüfung, Qualitätsprüfungsmaßnahmen und und und  also ich mache es kurz, es macht für mich keinen Sinn mehr es gibt entsprechende Systeme zu kaufen die bezahlbar sind und auch Leistungsfähig.  Es gibt auch Serienmaschinenbauer die früher Ihre Systeme selbst gebaut haben und jetzt auch keine Sinn mehr darin sehen. Für den normalen Maschinenbau nicht durchführbar. Und welcher Endkunde kauft sowas noch.
Also welche Vorteile rechtfertigen solch einen Aufwand?


----------



## Andreas Koenig (7 November 2011)

nach dem derzeitigen Stand der Herstellerangaben ist mit den mit bekannten nicht fehlersicheren (Standard-)SPS auch kein PL=a erreichbar, da für Standard-SPS weder die erforderlichen Zuverlässigkeitskennwerte zur Verfügung stehen, noch dem Nicht-Hersteller eine Validierung und Verifizierung der SPS möglich ist. 

@Deltal:"normal bauen die "Kategorien" auf einander auf, also wird auch Kat. 3 bewährte Bauteile fordern." --> Die Aussage ist definitiv falsch, bitte lies die Kriterien für die Kategorien in  der 13849-1.  Nur in Kat. 1 wird die Sicherheit durch bewährte Sicherheitsbauteile erzielt, bei Kat. 2 ist der Schlüssel die Testung, ab Kat. 3 Redundanz + Testung. So bekommt man  problemlos eine Kat. 3 mit 2 ganz normalen Pneumatikventilen mit entsprechendem Test mit Druckschalter /Stellungsüberwachung o.ä. hin.  Gruss Andreas


----------



## Blockmove (7 November 2011)

Profilator schrieb:


> Mal zunächst unabhängig vom Aufwand mit Sicherheitssoftware im Hinblick auf Verifikation
> und insbesondere Validierung.



So weit kommst du gar nicht. Wie willst du die Hardware überhaupt sicherheitstechnisch beurteilen können?
Baumusterprüfung von Standard E/A-Karten?

Gruß
Dieter


----------



## rostiger Nagel (7 November 2011)

Nächstes Thema, wie willst du die Programmier Software sicher mache. Warum glaubst
du hat Siemens ein halbes Jahr länger Gebraucht um für TIA Safty raus zubringen.


----------



## Profilator (8 November 2011)

Danke für die Antworten.

Mir gehts eigentlich darum:
- Standard SPS für Kat 1 fällt flach (bewährte Bauteile).
- Standard SPS für z.B. Kat 2 oder 3 im Prinzip möglich, aber u.U. sehr aufwändig.

Nur wie sieht es aus mit einem 
a) Kat 3 System in dem 1 Kanal über Standard SPS läuft ?
b) Standard SPS für die Überwachung der Ausgabeeinheiten im Kat 3 System ?
c) Kat 2 System, oder zumindest für den Testpfad ?

Im BGIA-Report finden sich ja solche Beispiele - was ist davon zu halten ?

Nebenbei: was ich grundsätzlich nicht verstehe, wieso werden im BGIA-Report
mal so locker 25 oder 50 Jahre für die Standard SPS "angenommen", wo doch
die 13849 ganz klar sagt: Herstellerangabe/Tabelle im Anhang ansonsten 10 Jahre.


----------



## Andreas Koenig (8 November 2011)

zu Fall a) der Fall ist ja oben bereits diskutiert, vergiss es:  da Du für eine nicht fehlersichere SPS keine Kennwerte bekommen wirst, um diesen Kanal zu berechnen, nicht verifizieren und validieren etc. kannst geht das nicht, allen schönen Theoriebeispielen z.B.  in den Beispielen des BGIA-Reports zum trotz. 

Zu Fall b) Testung ist natürlich über Standard-SPS möglich und zulässig, aber aus meiner sicht trotzdem möglichst zu vermeiden, um die SPS aus der Verifizierung und Validierung der Sicherheitsfunktionen herauszuhalten. Und da eine SPS frei programmierbar ist, gibts hier zahlreiche Fehlermöglichkeiten

Zu Fall c) siehe Fall a) seit der DIN EN ISO 13849 gilt für Kat. 2 die Forderung dass der Testkanal die Halbe Zuverlässigkeit des zu testenden Kanals haben muss. Ausserdem ist die Forderung dass der Test 100x häufiger erfolgen muss als die Anforderung der Sicherheitsfunktion, nur bei elektronischen Bauteilen wie Lichtvorhängen Typ 2 zu realisieren. Die Kat 2 kann man also bis auf Ausnahmefälle, z.B. wenn ein Test vor dem Freigeben einer zugehaltenen Tür erfolgen kann, ganz vergessen. 

Die BGIA-Report Beispiele sind daher in einigen Einzelfällen zwar theoretisch zulässige aber nicht praxistaugliche Konstrukte. In der Theorie kann man also auch irgendwelche Werte für Standard-SPS annehmen, vielleicht gibt es ja auch SPS-Hersteller  die solche Werte für ihre SPS angeben. Da wir nur S7 einsetzen, entzieht sich das meiner Kenntnis.

Gruss Andreas


----------



## Safety (8 November 2011)

Hallo,
ich kann Andreas in allen Punkten nur recht geben!
Warum die IFA BGIA solche Schaltungen genommen hat kann ich nur vermuten, wenn man sich alte Unterlagen zur 954 ansieht erkennt man Ähnlichkeiten. Denke die haben versucht die alten Strukturen in die neue Norm zu übersetzen.  Was aber letztlich an der Realität gescheitert ist. 
Ich frage mal, was machst Du bzw. willst Du machen?


----------



## Tommi (8 November 2011)

Andreas Koenig schrieb:


> allen schönen Theoriebeispielen z.B. in den Beispielen des BGIA-Reports zum trotz



Hallo,

also wenn das so ist, sind die Beispiele der BGIA gemeingefährlich und gehören aus dem Verkehr gezogen!!!

Das ist mein voller Ernst!

Da orientiert sich jemand daran, denkt, "das ist sogar von der BG, das muss ja passen"
und dann sagt der Richter: "April, April, schuldig." Und der Sachverständige ist von
Sick oder Pilz.

Die BGIA ist nicht irgendwer, oder täusche ich mich da??

Gruß
Tommi


----------



## rostiger Nagel (8 November 2011)

Hallo Tommi,
da stimme ich dir voll zu, der BGIA Report ist von 2008 und könnte mal
wirklich überarbeitet werden. Ich glaube nicht das ein Richter jemanden von Sick
oder Pilz zu rate ziehen wird. Aber vom TÜV, Dekra oder BG selber könnte er sein
und dieser sagt dann "Ätsch" da hättest du dich besser an die Norm gehalten, der
Bericht vom Kollegen XY und ist nicht Norm.

Ich habe sowieso den Eindruck, seit den die neuen Normen den Kurs angeben, sich
die BG immer mehr aus dieser Aufgabe zurück zieht. Ich glaube das die mit den neuen
Normen genauso überfordert sind wie die Nutzer. 

Dann kommen solche Stilblüten, das Mann eine Standard Steueung zu Sicherheitsaufgaben
zweckentfremden möchte. Wenn ich mir dann den Mehrpreis bei Siemens anschaue, wie hoch
der Aufpreis zur F-CPU ist oder was so ein PNOZ Multi Mini kostet, ist wirklich der Gedankengang
Zeit und Geldverschwendung.  

@TE, die Dinger kosten nichts, was soll der Quatsch?

Gruß RN


----------



## Tommi (9 November 2011)

Andreas Koenig schrieb:


> da Du für eine nicht fehlersichere SPS keine Kennwerte bekommen wirst, um diesen Kanal zu berechnen
> 
> Die BGIA-Report Beispiele sind daher in einigen Einzelfällen zwar theoretisch zulässige aber nicht praxistaugliche Konstrukte. In der Theorie kann man also auch irgendwelche Werte für Standard-SPS annehmen, vielleicht gibt es ja auch SPS-Hersteller die solche Werte für ihre SPS angeben. Da wir nur S7 einsetzen, entzieht sich das meiner Kenntnis.



Hallo Andreas,

aber Siemens gibt doch MTBF-Werte für ihre Steuerungen raus.

Und laut deren Unterlagen ist 2*MTBF=MTTF.

DC-Wert durch "Fehlererkennung durch den Prozess", natürlich nur, wenn das auch so ist,

dann kann man doch einen Kanal für Kat.3 mit SPS machen, oder nicht?

Und mein Gefühl sagt mir, daß das wunderbar funktionieren würde.

So ganz habe ich Deine Argumentation noch nicht verstanden.

Bitte klär mich auf...


Gruß
Tommi


----------



## Profilator (9 November 2011)

Erstmal Danke für die vielen und kompetenten Antworten.

Mir geht es darum diese ganze Thematik besser zu verstehen, und vor allem auch um
Argumente in der innerbetrieblichen Diskussion.

Also Siemens gibt ja Werte an (Tabelle liegt mir vor), allerdings komme ich wenn ich nur
eine E- + eine A-Baugruppe + CPU betrachte auf einen MTTFd so um die 20.

Und da fehlt sicher noch die Stromversorgung usw. D.h. doch wenn ich damit beide Kanäle
einer Kat 3 SF gestalte komm ich nicht weit vielleicht auf PL c, eine typische SF im Maschinenbau
erfordert aber i.d.R. Kat 3 / PL d. Das wäre allerdings wohl zu erreichen wenn nur ein Kanal der SF
über die SPS läuft.
Wie bereits erwähnt, das bedeutet natürlich auch Sicherheitssoftware (SRASW) und den dazugehörigen 
Aufwand bzgl. Verifikation / Validierung.


----------



## Safety (9 November 2011)

> aber Siemens gibt doch MTBF-Werte für ihre Steuerungen raus.
> 
> Und laut deren Unterlagen ist 2*MTBF=MTTF.
> 
> ...


 
Hallo Tommi,
wie gesagt theoretisch machbar, aber dann fang schon mal an einen neuen MA einzustellen der das alle dokumentiert und auch die SPS nach den Normen zu gestalten bzw. die SRASW. 
Und die Prozessdiagnose muss auch entsprechend ausgeführt sein also immer schön FMEA machen für den DC.
Ich verstehe wirklich nicht warum ich heute sowas machen soll??????


----------



## Safety (9 November 2011)

Profilator schrieb:


> Erstmal Danke für die vielen und kompetenten Antworten.
> 
> Mir geht es darum diese ganze Thematik besser zu verstehen, und vor allem auch um
> Argumente in der innerbetrieblichen Diskussion.
> ...



Hallo,
wie oben geschrieben mit Diversitären Aufbau würde es theoretisch gehen. Voll Verantwortung für den Konstrukteur und sehr viel Arbeit. 
Passwort für die SPS keiner geht mehr ran und ändert was, auch nicht so einfach bei der IB.


----------



## Safety (9 November 2011)

Hallo Tommi,
man kann nicht generell alle Beispiel des Reports für falsch erklären, alle Beispiel beruhen auf 
bestimmten Angaben, die auch aufgeführt sind wenn man diese nicht einhalten kann dann geht sowas nicht! Also immer schön Norm lesen und Kopf einschalten.


----------



## Tommi (10 November 2011)

Safety schrieb:


> Hallo Tommi,
> man kann nicht generell alle Beispiel des Reports für falsch erklären, alle Beispiel beruhen auf
> bestimmten Angaben, die auch aufgeführt sind wenn man diese nicht einhalten kann dann geht sowas nicht! Also immer schön Norm lesen und Kopf einschalten.



Hallo Dieter,

eigentlich glaube ich, daß ich das mache. Aber durch Dich bekomme ich immer ein schlechtes Gewissen .

Ich kann nicht immer neueste Pilz-Technologien einsetzen. Es gibt auch Umbauten, Nachrüstungen, etc.

Außerdem orientieren sich Komponentenhersteller auch am BIA-Report und stellen solche Sistema-Modellierungen
wie oben genannt zur Verfügung.

Ich habe bei meiner aktuellen Anwendung überhaupt kein schlechtes Gefühl und die Norm habe ich auch gelesen.
Sicherlich nicht so intensiv wie Du in Deiner Funktion als Berater, aber immerhin...

Gruß
Tommi


----------



## Safety (10 November 2011)

Hallo Tommi,

Habe ich bei dem letzen Satz den     vergessen!
Glaube ich nicht bzw. nicht mehr das mein wissen Deinem voraus ist.
Auch wollte ich nicht in Abrede stellen das Du lesen kannst
Ich kenne Deine Anwendungen nicht aber wir haben ja schon drüber geschrieben also Denke auch ich dass es passt und es gibt mit Sicherheit Lieferanten von Deinem Arbeitgeber die Dein Dir angeeignetes Wissen verfluchen.
Warum kannst Du nicht immer Pilz einsetzen, ich habe 3 Frauen, 6 Kinder, 5 Hunde und  3 Katzen, 17 Hamster, 32 Fische  wie bitte soll ich diese ernähren?
Zu den ernsten Dingen, auch wenn es Hersteller gibt die solche Strukturen angeben,  müssen die Voraussetzungen gegeben sein. 
So ich hoffe Du verstehst Spaß.


----------



## rostiger Nagel (10 November 2011)

Safety;362310
[* schrieb:
			
		

> Warum kannst Du nicht immer Pilz einsetzen, ich habe 3 Frauen, 6 Kinder, 5 Hunde und  3 Katzen, 17 Hamster, 32 Fische  wie bitte soll ich diese ernähren?



die Katzen teilen sich Hamster und Fische
Hund fressen Katzen
Kinder kannst du zur Adaption freigeben
aber drei Frauen, da weiß ich auch nicht weiter, wie machst du das?


----------



## Tommi (10 November 2011)

Hallo Dieter,

na klar verstehe ich Spaß. Ich habe den virtuellen  deutlich gesehen.
Dein Kollege vom Wettbewerb hat 4 Frauen, 8 Kinder, 12 Hunde und 7 Katzen, 117 Hamster, 3432 Fische.
Da konnte ich nicht anders...
Aber wir setzen genug Pilz ein, um Dich und Deine Familie zu ernähren. Auch in unseren aktuellen
Projekten. Frag mal Deinen Kollegen.

Gruß
Tommi


----------



## ANOX (26 Juni 2012)

Guten Abend,
Ich bin neu hier und muss leider das Thema wieder aufgreifen.
Wenn ich eine Standard SPS habe sogar in FVL programmiert kann ich doch in Einhaltung der Basismaßnahmen PL b erreichen.
Und wer verbietet mir den Einsatz dieser SPS in nur einem Kanal der Kat 3 für PL d.
Ja Ich weiß das ist kein "bewährtes Bauteil", aber dennoch heist es: es kann bei einem unerkannten Fehler die Sicherheitsfunktion verlohren gehen in der Kat 3.?

Gruß


----------



## Andreas Koenig (26 Juni 2012)

Hallo Anox, 
theoretisch ist es möglich, eine Standard-PLC als einen Kanal einer Architektur Kat. 3 zu verwenden.
Probleme: 
1. bekommst Du die Rechenwerte (Mttfd / B10 für E/A-Baugruppen und CPU)  für Deine SPS ? 
2. Du musst dann auch die Standard-PLC und deren Programmierung nach ISO 13849-2 validieren und verifizieren (das sollte man tunlichst vermeiden)

Aufgrund des damit verbundenen Aufwandes macht es allenfalls bei Massenprodukten einen Sinn, einen Kanal auf die normale SPS zu legen, zumal Du ja die Aktoren immer noch  redundant ausführen musst (was meist eher ein Kostenfaktor ist als die Logikbausteine).  
Gruss Andreas


----------



## ANOX (26 Juni 2012)

Danke für die schnelle Antwort,

1. ich nehme an B10d elektronisches Bauteil = 1.000.000 und betrachte nur meinen Ausgang (nop 4 Zyklen pro Stunde 20Jahre)
wenn mein Ausgang auf 24V Statisch hängt z.B. Kurzschluss von Aussen schaltet der Näherungsschalter 
(nur bei Näherungschalter defekt -> Gefahr)
wenn mein Ausgang auf 0V hängt -> sicherer Zustand

2. Funktionstest werden gemacht & dokumentiert  quasi die beschriebenen Basismaßnahmen für PL b.
-Aktor 2x 4KW Schütz der Firma S....... 400V in Reihe 1 Kanal von SPS 1 Kanal von Näherungsschalter
-Diese Lösung ist doch diversitär bei Nutzung unterschiedlicher Methoden 1x elektronisch 1x elektromechanisch

Gruß


----------



## Safety (27 Juni 2012)

Hallo,
es handelt sich um ein komplexes elektronisches Bauteil, da kannst Du nicht annehmen sondern musst es vom Hersteller erfragen.
Die Funktionstests stehen ziemlich am Ende der kompletten Verifizierung und Validierung der Sicherheitsfunktionen, da ist einiges mehr zu machen und besonders schwierig ist es eben bei solchen Standardsystemen. Siehe hierzu auch die DIN EN ISO 13849-1 Anhang J.
Du willst ja PLd erreichen?


----------



## ANOX (27 Juni 2012)

Hallo,
Ja es ist ein komplexes System MTTFd gemäß Norm als 10 angenommen SPS + Ausgang mit je 10 und in Sistema eingetragen
(http://www.sps-forum.de/showthread.php/32032-MTTFd-Standard-SPS)
siehe Beispiel in 13849-1 I.4.1 und besonders die Anmerkung unten das die Anforderungen an den PLC Pfad nach 4.6 als nicht relevant betrachtet werden
(4.6 Software-Sicherheitsanforderungen)
Das verwirrt mich ein bischen warum es bei diesem Besipiel zulässig ist?


----------



## Safety (28 Juni 2012)

Hallo,
wie hier und auch in einem anderen Thema ausführlich beschrieben ist es möglich aber nicht einfach.
Diese Anmerkung habe ich schon mit vielen Fachleuten diskutiert, die Meinungen gehen da auseinander. Hier wird die Meinung vertreten, da ja eine diversitär redundante Architektur muss man nicht viel in die Software stecken. Aber die Diagnose ob das K1B versagt hat erfolgt über diese PLC.
Also ich sage, man muss auch hier nachweisen das man die SRASW entsprechend erstellt hat und auch das System gegen Änderungen schützen.
Generell ist bei solchen Sicherheitsfunktionen eine wesentlich detaillierte Dokumentation durchzuführen. FMEA ist hier Pflicht und die Werte der Bauteile sind in Erfahrung zu bringen.
Wenn man alle Bauteile mit 10 Jahren bewertet wird es wohl nichts mit PLd.


----------



## ANOX (28 Juni 2012)

Guten Abend,

ich habe es auch mit meinen Kollegen diskutiert.
Wir sind zu folgenden Schluss gekommen:
Unser Softy (Software Programmierer) sagt er setzt das V-Lebensmodell um und hat bisher unbewusst sogar die Sicherheitsfunktionen spezieller bearbeitet. Die Software ist gegen unbefugtes ändern gesichert das ist Standard bei uns. Wir besitzen eine 9001 Zertifizierung in allen Bereichen und jede Version wird Protokolliert und einzeln mit Änderungsmitteilung und Testmanagement aufgezeichnet. (Auch ohne 13849 schon seit 10Jahren)
Da ich die SPS in nur einem Kanal einsetze und der andere entsprechend "klassisch" aufgebaut sagt sogar Sistema ich bin grün obwohl in einem Kanal MTTFd niedrig ist. Unser Sicherheitsbeauftragter sagt er kann damit leben als ihm alles erklärt habe.
Aber ich werde meine komplette Validierung wohl nochmal zum prüfen geben. (28 Schutzfunktionen 2 davon mit je einem Kanal SPS der Rest Klassisch oder nur PLc erforderlich dann aber auch keine SPS in dem einen Kanal)

Zusammenfassend bleibt bei mir und meinen Kollegen nur die Frage habe ich mehr Sicherheit durch die neue Norm oder eine bessere Anlage oder ist es nur wie wir vermuteten eine reine Lobby Norm? weil die 954 war bisher bei uns völlig ausreichend und Anlagen die bis in letzte Konsequenz in 954 ausgeführt waren erreichen jetzt auch noch gute Werte.


----------



## SafeIsEasy (28 Juni 2012)

Hallo zusammen,

Mich interessiert das Thema auch brennend. 
Ich denke, dass man heutzutage schon netzwerkfähige Sicherheitslösungen einsetzen kann, ohne extra eine Sicherheitssteuerung einsetzen zu müssen, soll heißen man kann bei seiner Standard PLC, also z.B. Standard S7 ohne F, wie der Themenersteller fragt, bleiben.
Somit kann man sich auch die kompletteren Berechnungen und schlaflose Nächte wegen diverser Frauen, Kinder, Hamster, Fische etc. sparen...
Googelt mal nach Safety Bridge! konfigurierbar, netzwerkfähig, in zig Standard Steuerungen integrierbar und vor allem sicher bis SIL3, PLe! Liest sich clever...
Vielleicht hat schon jemand Erfahrung?


----------



## Safety (30 Juni 2012)

Hallo,
ob die Sicherheitsfunktionen die Du da aufgebaut hast wirklich den erforderlichen PL erreichen wird sich zeigen wenn Du die komplette Doku mit Verifizierung und Validierung erstellt hast.
FMEA ist hier Pflicht, nicht nur für den DCavg sondern auch um den Nachweis der Kategorie und auch aufpassen wie die Fehlerreaktionen aussehen.
Die DIN EN ISO 13849-1 bringt genau aus diesem Grund einen erhebliche Verbesserung, wer hat sich den früher solche Gedanken gemacht, wer wusste das die DIN EN ISO 13849-2 auch für die 954-1 anzuwenden ist. Alleine die Ermittlung des DC bringt in den mehrkanaligen Strukturen schon erhebliches Verbesserungspotenzial, da man sich hier jetzt Gedanken machen muss.
Ich schließe mich aber auch der Meinung von Andreas an, es macht heute keinen Sinn mehr, gibt doch sehr günstige Zertifizierte Lösungen die einem die Arbeit erleichtern.


Die andere Antwort passt hier nicht ganz.


----------



## Andreas Koenig (30 Juni 2012)

Zu Thema safe bridge: sichere Übertragung zu lokalen sicheren E/A  über den "normalen" Bus bieten auch andere Hersteller. Letztlich handelt es sich bei diesem System auch nur um eine neben der SPS vorhandene Sicherheitskleinsteuerung, in der die Sifu auf eigener Hardware in dem in diesem System erforderlichen Sicherheitsmodul programmiert werden müssen (also nicht in der eigentlichen Standard SPS). Wenn man Standard SPS und Sicherheitssteuerung vollintegrieren will, braucht es schon eine Steurung mit fehlersicherer CPU wie Siemens F- Steuerungen.  Jede bessere Sicherheits-Klein SPS hat für diese Zwecke entweder schon Schnittstellen oder kann mit entsprechenden Gateways z.B. für Profibus nachgerüstet werden. Phoenix hat also ein bekanntes Konzept verwendet, nur dass sie es stark aus der Schnittstellen-Sicht darstellen. 

Andreas


----------



## SafeIsEasy (30 Juni 2012)

@ Safety & Andreas,

da habt ihr sicher recht, daß es sich bei  der Safety Brdige um eine eigenständige neben der Standard-SPS  Sicherheitslösung handelt, nur mit dem Unterschied zu anderen  Kleinsicherheitssteuerungen, daß sie von Datenfluss komplett in die  bestehende Infrastruktur (Feldbusse, Netzwerke) und in meine bestehende  Standard SPS voll integriebar ist. 

Ich brauch da also nicht  extra Gateways oder lästige Rückverdrahtungen, um mit meiner  Standard-SPS auf Stati, Diagnosen vom Safety Part zuzugreifen.
Da alle Sicherheitsfunktionen in den SafetyBridige-Komponenten laufen, die Standard-SPS also gar keinen Anteil am Safety Loop hat, brauche ich diese auch nicht in die Berechnungen einzubinden.

Ich hatte auch echt nicht daran gedacht, meine Standard-SPS ne Sicherheitsfunktione machen zu lassen 
Insofern  passt der Hinweis auf Safety Bridge nicht ganz zu ursprünglichen  Fragestellung, ob man für SF auch Standard-SPS nutzen kann.
Eher indirekt, da der Frafgesteller aus gewissen Gründen wohl auf eine F-CPU verzichten will. Mit Safety Bridge könnte er es.

Danke für eure Antworten


----------



## Safety (30 Juni 2012)

Hallo,
ich möchte nochmal auf die Bemerkung zum Beispiel in DIN EN ISO 13849-1 eingehen, es geht hier vorrangig um die SRESW, habe ich oben nicht genau genug ausgeführt, auf die hat man bei einer Struktur von Standard-SPSen keinen Einfluss.

Ich habe auch nochmal den Beitrag #28 gelesen, Du schreibst was von Sensor. Welcher PLr mit welcher Kategorie ist gefordert und wie baust Du das auf?


Auch nochmal zu dem anderen Beiträgen, dies hat nichts mit diesem Thema zu tun. Also mache doch dazu ein eigenes auf!


----------



## ANOX (11 Juli 2012)

Morgen,

ich war unterwegs deshalb die späte Antwort.
Ich benötige PLr d da meine Risikoanalyse eine Gefahr von 8 aufweist.
Aufbau: (Applikation: Transportwagen mit FU und Ansteuerung über Bus-IO's, Schütz im Schaltschrank, Schaltfahne am Boden mit Rolenschwenkhebel)
Wenn der Wagen über die Schaltfahne fährt soll er stehen bleiben und nur noch im Totmannbetrieb weiterfahren dürfen. Also ist die Schutzfunktion hier stehenbleiben bei erreichen Schaltfahne.
Kat 3
1.Kanal 
Rollenschwenkhebel - NA-Relais - 400V Schütz Wagen - FU 
2. Kanal
SPS - Buskoppler - Feldbus IO's - FU
Wenn der FU keine 400V mehr bekommt dann wird die Bremse reingehauen und der Wagen steht nach ca. 15cm
Wenn die SPS das Stop Signal gibt steht der sogar nach 7cm
In Kat 3 heist es das ein Fehler nicht zum Verlust der Schutzfunktion führt.
Deshalb folgende Betrachtung:
 Fehler 1 die Ansteuerung bleibt auf 24V d.h. der FU bekommt den Befehl vollgas in Richtung Nocken --> 15cm Stillstand
Fehler 2 der Nocken ist defekt und schaltet nicht um --> SPS gibt Stop 7cm Stillstand

das NA-Relais und 400V Schütz wird per SPS überwacht
Meine Kollegen und ich sehen jetzt kein Problem in dieser Konstellation.


----------



## Safety (11 Juli 2012)

Hallo,
habe wenig Zeit deshalb Fragen:
Wo ist der zweite Sensor? Rollenhebel = Kategorie 1, Drehgeber? MTTFd 10 Jahre?
Wo ist die Bremse und wie wird Redundant gebremst?
Wieso bekommst Du bei der Sistema Berechnung im Zweitenkanal mehr als 3 Jahre raus?
Gebe mal alle Bauteile einzeln ein und alle mit 10 Jahren, nicht einfach für alles 10 Jahre schätzen!
Wo ist die FMEA zum Nachweis von Kat 3 und DC, nicht nur einfach annehmen alle Fehler durch spielen und die Erkennung und Reaktion erfassen.


----------



## ANOX (20 Juli 2012)

Re,

hat ne Weile gedauert aber wir sind soweit fertig,
ich habe jetzt vom Hersteller für jede Komponente eine MTTFd per Datenblatt bekommen.
Wir haben gemäß 13849-2 die Fehlerlisten anaylisiert alle betreffeneden Fehler aufgeschrieben und deren DC Werte, für jede Komponente den DCavg berechnet und dieses wieder in Sistema eingegeben. (Das Ergebnis unserer Betrachtungen ist wir werden vom Hersteller einen Hardware Watchdog kaufen und den mit in das Not -Aus einbinden.)
Schlussendlich mit Watchdog Sistema ist grün.


----------



## Safety (20 Juli 2012)

Hallo,
schade dass Du nicht genauer auf meine Fragen eingehst, würde gerne tiefgreifender darüber diskutieren.


----------



## ANOX (20 Juli 2012)

Abend,
 Ja Sorry hier die Angaben:

Wo ist der zweite Sensor? *1 Sensor Rollenhebel 1 Sensor Drehgeber*
Rollenhebel = Kategorie 1, Drehgeber? MTTFd 10 Jahre?  (*Hersteller 100 Jahre*)
Wo ist die Bremse und wie wird Redundant gebremst? (*Wagensystem mit 2 Getriebemotoren und je Umrichter gleiche Ansteuerung*)
Wieso bekommst Du bei der Sistema Berechnung im Zweitenkanal mehr als 3 Jahre raus? (*Alle Herstellerangaben des Drehgeber, SPS, Buskoppler, Feldbus IO zusammen ergeben mehr als 20*)
Gebe mal alle Bauteile einzeln ein und alle mit 10 Jahren, nicht einfach für alles 10 Jahre schätzen! (*Gemacht Hersteller Angaben verwendet*)
Wo ist die FMEA zum Nachweis von Kat 3 und DC, nicht nur einfach  annehmen alle Fehler durch spielen und die Erkennung und Reaktion  erfassen.
(*Siehe Oben*)


----------



## Safety (21 Juli 2012)

Hallo,
wenn ich es richtig verstanden habe ist die Sicherheitsfunktion hier verhindern des Überfahrens einer bestimmten Position!? Endbegrenzung, bedeutet schnellst mögliches Anhalten?
Du Schreibst im Beitrag #34 dass im Kanal 1 und Kanal 2 der FU enthalten ist.
Also der Kanal 1 funktioniert folgend:
Auslösen des Rollenhebelschalters schaltet einen Schütz damit Trennung der Spannungsversorgung, damit ist ein elektronisches Bremsen nicht mehr gegeben, aber Ihr schaltet dann die mechanische Bremse. Die Bremsenschaltung erfolgt also durch den Spannungsabfall des FU. Wichtig ist hier das die Bremse auch im Sicherheitskonzept sein muss und nicht der FU sonst ist hier keine Diversitäre Redundanz gegeben. Also müsstet Ihr die Kontakte des Schützes in den Pfad der Bremse legen. Es ist durch aus so dass ein FU auch eine 24 VDC Versorgung hat und die dann im Fehlerfall ein Abfallen der Bremse verhindert. Da es ja um schnelles Bremsen geht ist auch der Bremswiderstand ein Problem. Also ich sehe im Kanal 1: Schalter-Schütz-Bremse, Schütz macht STO, Bremse Anhalten.
Davon sind auch die Angaben der 7 bzw. 15cm abhängig.
Dies ist aber nur ein Problem wenn ein STO nicht Ausreichend sein sollte, wovon ich ausgehe.
Wenn Du für alles MTTFd Werte für die SPS Seite bekommen hast dann ist der Nachweis einfach.
Der Nachweis des DC ist da schon recht schwierig, welchen DC hat der mechanische Schalter wird der in der SPS Quergelesen, wie oft wird der ausgelöst. Denke da müsst Ihr regelmäßige Prüfungen vorschreiben. Denkt auch an die Manuelle Rückstellfunktion da ich davon ausgehe da sind auch verriegelte trennende Schutzeinrichtungen und Not-Halt Geräte. Welcher DC hat die Bremse? Denke hier sind auch Tests und Prüfungen nötig.
Denke Ihr solltet mal die EN 528 lesen.


----------



## Safety (21 Juli 2012)

*Eventuelle Lösungsmöglichkeiten*

Hallo,
da Ihr zwei Getriebemotoren mit zwei Bremsen habt und wenn eine einzelne Bremse die Maschine zum Stillstand bringt dann wäre es am einfachsten so.
Zwei Sensoren (Rollenhebelschalter) die auf ein Sicherheitsrelais geht dieses schaltet dann die Schütze und die FU Enableeingänge (Voraussetzung MTTFd und DC für STO passen)  diese Schütze je einen vor jedem FU schalten auch direkt die Bremsen.
SF Bremsen beim überfahren des Endanschlages in PLd.
Kanal 1: Schalter 1-Schütz 1,Bremse 1
Kanal 2: Schalter 2-Schütz 2, Bremse 2
Ein einzelnes Subsystem für das Sicherheitsrelais da PLe Angabe vom Hersteller
MTTFd für Sensor, Schütze, Bremse durch B10d vom Hersteller, da nur geringe bis sehr geringe Anforderungsrate hoher MTTFd.
DC Sensoren da Kreuzvergleich vom Relais 99%
DC Schütze durch Rückführung 99%
DC Bremse  0%
Damit kann man einen PLd erreichen, aber man sollte regelmäßige Tests der Bremse vorschreiben.
Anforderung der Kategorie 3 sind auch gegeben.
Damit hätte man die ganze SPS raus.
Anders sieht es dann bei STO aus:
Hier würde ich einen Umrichter nehmen der diese SF mit PLd schon integriert hat. Würde auch hier einiges einfacher machen.
Nur mal so eine Idee.


----------



## Safety (22 Juli 2012)

Hallo,
noch eine Anmerkung:
Wenn man durch die SPS oder durch Servoverstärker/FU die es können die Bremsentests ausführen lässt, kann man auch hier einen hohen DC ansetzen und eventuell PLe erreichen.


----------



## ANOX (24 Juli 2012)

Hallo,
Vielen Dank für die Diskussion und die Vorschläge.
Wir benötigen lediglich das Austrudeln welches nunmal ca. 15cm Weg beinhaltet. Das Verletzungsrisikio beim Austrudeln haben wir auf reversibel und selten geschätzt.
Die Primäre Intention ist jedoch das wir in der Serie befindliches System nicht ändern möchten. Aus Insgesamt 8 Jahren Produkterfahren sind keinerlei Verletzungen durch techn. Versagen bekannt. Also stellt mir mein Vorgesetzter jedesmal die Frage warum muss das mehr Kosten und Warum dieser Aufwand? Meine Antwort: Wenn du das CE Zeichen behalten willst dann muss ich das tun.
Dadurch das wir lediglich PL d benötigen werden wir auch nicht mehr machen. Den Bremsentest verwenden wir an einer anderen Stelle:
siehe DGUV Schwerkraftbelastete Achsen.

MFG

ANOX


----------



## Safety (24 Juli 2012)

Hallo,
wenn ein STO ausreichend ist, dann solltet ihr aber auch Eure Risikobeurteilung und Doku anpassen. Hierbei ist aber nach meiner Auffassung ein Steuerungsversagen, plötzliche Geschwindigkeitsänderung auch ein entscheidender Faktor. Also das ganze wird durch die Mechanik gebremst ohne jegliches Bremsen vom System?
Der FU ist aber dann nicht in beiden Kanälen.
Was baut Ihr da überhaupt? RGB dann könnten noch ganz andere SF eine Rolle spielen. Die Norm habe ich Dir schon genannt, leider ist die nicht so einfach verständlich da auf einzelnen Baugruppen PL angegeben werden.
Auch wenn man es nicht wahr haben will, der Stand der Technik in der Funktionalen Sicherheit entwickelt sich parallel zur Steuerungstechnik, also auch weiter. Und diesen Stand findet man in den Aktuell gültigen Normen und selbst die sind zu hinterfragen.
Für mich ist das ganz noch nicht wirklich zu Ende gedacht.


----------

