# Frage zum neuen Entwurf ISO 13849-1:2020-08



## safety_PL (13 Oktober 2020)

Hallo zusammen,

ich würde gern mal auf euer Schwarmwissen zugreifen. In der momentan gültigen Version der ISO 13849-1 gibt es in der Begriffsdefinition zum Punkt 3.1.1 die Anmerkung 2 durch die auch Diagnoseeinrichtungen wie SRP/CS behandelt werden. 




Bisher gab es meines Wissens eine Lücke der Definition zur IEC 61508 und der 62061 zu diesem Punkt, zumindest hab ich dort keinen Hinweis darauf gefunden das die Diagnoseeinrichtung wie ein SRP/CS behandelt werden muss.

Im neuen Entwurf der ISO 13849 der vor kurzem Erschienen ist, ist diese Anmerkung nicht mehr vorhanden, könnte es also zukünftig daraus hinauslaufen das ich auch "Nicht-Sichere" Produkte für die Diagnose verwenden kann? Dann könnte ich also eine "graue" Software zur Überwachung meiner SRP/CS verwenden?


----------



## s_kraut (1 Juli 2021)

Das würde ich gern applikationsspezifisch entscheiden wollen.

Für die Rückmeldung eines Schütz in der Rolle eines SRP/CS gilt allerdings die Forderung nach mechanisch zwangsgeführten Kontakten.
Ein Hilfskontaktblock erfüllt diese Forderung.

Lt. Siemens-Speech reicht für die Diagnose in der Regel ein grauer Kanal, ich teile das, wenn gewisse Standards in der Programmierung eingehalten werden.
Möglich dass es da andere Einschätzungen gibt.


Ich kenne allerdings kein Sicherheitshandbuch irgendeines Herstellers, welches eine mehrkanalige Diagnose vorschlägt.
Somit kann eh kein höherer SIL erreicht werden als 1 bzw. PLc.


----------



## JuergenKuehnle (19 Juli 2021)

Hallo zusammen,

ein Überwachungssystem im Sinne der ISO 13849-1 ist z.B. eine Geschwindigkeitsüberwachung für die Sicherheits-Teilfunktion "sicher reduzierte Geschwindigkeit". Die Diagnose, z.B. zwangsgeführte Kontakte von Schützen, Drucküberwachung bei Ventilen, war nie Bestandteil der Zuverlässigkeitsbetrachtung nach ISO 13849-1. Sie muss nur vorhanden sein und bei der Ansteuerung eines Schützes/Ventils ein entsprechendes Rückmeldesignal geben. Dann kann die Abschätzung für den DC nach Tabelle E.1 verwendet werden.

Da dieser Satz nur zu Fehlinterpretationen führte, wurde er gestrichen.

Ja, man kann "graue" Software verwenden, aber dann bitte auch eine FMEA mit den möglichen Fehlern/Fehlerauswirkungen erstellen und geeignete Maßnahmen treffen. Ein mögliches Beispiel (hat kein Anspruch auf Vollständigkeit!)


Nr.Betrachteter FehlerBewertung1Fehler in allen Teilen der Funktion oder in einem Teil der Funktion einschließlich Software-FehlerEin beliebiger Fehler in der Hardware oder Software kann zu einem dauerhaften „0“- oder „1“-Signal führen bzw. zu einem Signalwechsel zu einem beliebigen Zeitpunkt.

Durch eine Schaltzeitüberwachung der Ventile werden dauerhafte Signale oder ein Signalwechsel ohne Schaltsignal durch das Sicherheitsschaltgerät erkannt.

Ein Fehler wird nicht erkannt, wenn innerhalb der Schaltzeitüberwachung ein Signalwechsel auf Grund eines Fehlers stattfindet. Ist die korrekte Funktion in einem Funktionstest nachgewiesen und das Umschalten kurz, kann angenommen werden, dass ein Fehler während der Schaltzeitüberwachung selten auftritt.2Unterbrechung eines einzelnen AnschlussesWird ein Anschluss unterbrochen, ist dies durch den unerwarteten Signalwechsel oder das Ausbleiben eines Signals durch die Schaltzeitüberwachung des Sicherheitsschaltgeräts erkennbar.

Der Fehler wird durch die Schaltzeitüberwachung erkannt und es kann durch das Ausschalten der Ventile ein sicherer Zustand erreicht werden.3Kurzschluss zwischen zwei beliebigen AnschlüssenEin Kurzschluss zwischen zwei Anschlüssen führt dazu, dass beide Anschlüsse die gleichen Signale ausgeben.
Durch die Schaltzeitüberwachung der Ventile werden dauerhafte Signale oder ein Signalwechsel ohne Schaltsignal durch das Sicherheitsschaltgerät erkannt.

Ein Fehler wird nicht erkannt, wenn innerhalb der Schaltzeitüberwachung ein Signalwechsel auf Grund eines Fehlers stattfindet. Ist die korrekte Funktion in einem Funktionstest nachgewiesen und das Umschalten kurz, kann angenommen werden, dass ein Fehler während der Schaltzeitüberwachung selten auftritt.4Stuck-At-Fehler (d. h. Kurzschluss zu 1 und 0 bei isoliertem Eingang oder unterbrochenem Ausgang).
Statisches „0”-und „1”-Signal an allen Ein- und Ausgängen, einzeln oder gleichzeitigEin statisches Signal führt zu einem Ausbleiben des Signalwechsels, der durch die Schaltzeitüberwachung des Sicherheitsschaltgeräts erkannt wird.

Wird dieser Fehler erkannt, kann durch das Ausschalten der Ventile ein sicherer Zustand erreicht werden.5Störschwingung der AusgängeEin Störschwingen der Ausgänge führt zu mehreren Signalen in kurzer Zeit.

Die Schaltzeitüberwachung wertet normalerweise die fallende oder steigende Flanke des Überwachungssignals aus. Kommt es zu einem falschen Signalwechsel, erkennt das Sicherheitsschaltgerät einen Fehler und bringt die Ventile in den sicheren Zustand.

Anforderung an die Anwendung: Überwachungssignal muss auf eine Signalflanke ausgewertet werden.6Veränderung von Kennwerten, z. B. Eingangs- / Ausgangsspannung analoger GeräteMögliche Veränderungen der Kennwerte betreffen die Signalspannung, Signalstrom und Schaltzeiten.

Liegen die Kennwerte für Spannung und Strom des Signals außerhalb der Kennwerte der Eingänge des Sicherheitsschaltgeräts werden die Signalwechsel beim Schalten der Ausgabeeinheiten nicht mehr erkannt und das Sicherheitsschaltgerät erkennt einen Fehler. Auf Grund des erkannten Fehlers bringt das Sicherheitsschaltgerät die Ventile in den sicheren Zustand.7Unerkannte Fehler in der Hardware, die wegen der Komplexität des IC nicht entdeckt werdenVerhalten entspricht dem des Fehlers Nr. 1 „Fehler in allen Teilen der Funktion oder in einem Teil der Funktion einschließlich Software-Fehler“, siehe dort.8Nicht autorisierte Änderung der Programmierung der SteuerungEine beliebige Änderung der Programmierung der funktionalen Steuerung führt dazu, dass die korrekte Funktion der Überwachung geprüft werden muss.

Anforderung an die Anwendung:
Eine Prüfung der Überwachung auf korrekte Funktion muss festgelegt sein, einschließlich der Simulation der möglichen Fehler.
Die Überwachung sollte in der Software durch einen gegen Änderung geschützten Funktionsblock umgesetzt sein.
Die Programmierung der funktionalen Steuerung kann nur durch autorisierte Personen geändert werden (Passwortschutz). Diese Personen müssen geschult sein, dass bei jeder Änderung die Prüfung der Überwachung durchgeführt und dies dokumentiert werden muss.


----------



## s_kraut (23 Oktober 2021)

Ist schon eine Zeit lang her, aber die beschilderten Fehlerbilder deuten doch sehr in Richtung Hobby- und Bastler-Ecke. Das wird sich mit halbwegs qualifiziertem Personal und Einsatz halbwegs tauglichem Material schon handhaben lassen. Passwortschutz ist ohnehin obligatorisch..


----------

