-> Hier kostenlos registrieren
Hallo zusammen,
ich habe eine Frage, inwieweit elektrische Fehler die Eignung eines passiven Bauteils zur Verwendung in einer Sicherheitsfunktion beeinträchtigen oder ob diese ausgeschlossen werden dürfen. Wir haben dazu auch schon mit dem Hersteller gesprochen, diese Infos habe ich hier mit einfließen lassen.
Wir haben aktuell in einer Sicherheitsfunktion von Pepperl + Fuchs das ASi-Modul VAA-4E4A-KE5-ZEJQ verbaut, das ist laut Datenblatt aufgrund des Fehlerausschlusses für die sichere galvanische Trennung geeignet für Sicherheitsfunktionen bis PLd. Soweit alles prima.
Nun soll aus fertigungstechnischen Gründen stattdessen das ASi-Busmodul das VAA 4E4A-G11-ZAJ von P+F eingesetzt werden. Dessen Optokoppler haben auch eine sichere galvanische Trennung zwischen zwischen ASi und AUX (Hilfsenergie) zur Realisierung einer funktional sicheren Abschaltung der Hilfsenergie. Zum Zeitpunkt der Entwicklung waren laut P+F die Anforderungen, an eine solche sicheren Trennung für die Funktionale Sicherheit (FS) praktisch identisch mit den Anforderungen an eine sichere Trennung für die elektrische Sicherheit (ES) (wie sie z.B. in der DIN EN 60664-1 definiert sind).
Zu diesen Anforderungen gehören unter anderem neben der passenden Auslegung der Luft- und Kriechstrecken auch die Verwendung geeigneter Trennelemente (Optokoppler) sowie eine Hochspannungsprüfung in der Fertigung, mit der man Fertigungsfehler in der Trennstrecke ausschließen kann.
Die Anforderungen an das Design erfüllten zu diesem Zeitpunkt bereits einige der bestehenden Geräte, insbesondere auch das Design des VAA-4E4A-G11-ZAJ/EA2L-F. Durch Einführen einer zusätzlichen Hochspannungsprüfung in der Fertigung konnte damit diesen Designs eine sichere Trennung bescheinigt werden.
Zwischenzeitlich gab es auch eine neue Ausgabe, die EN ISO 13849-2:2012, die für die Betrachtung des Fehlerausschluss für Optokoppler eine kleine aber feine Änderung mitbrachte.
Tabelle D.19: "Es werden Maßnahmen getroffen, um sicherzustellen, dass ein interner Fehler des Optokopplers nicht zu einem übermäßigen Temperaturanstieg seiner Isolierwerkstoffe führen kann."
D.h. es muss schaltungstechnisch sichergestellt sein, dass auch bei einem Fehler des Optokopplers keine Verlustleistung über der zulässigen Grenze entsteht.
Darüber hinaus wird wohl gefordert, dass auch bei einem anzunehmenden Fehler der Beschaltung des Optokopplers dieser innerhalb der spezifizierten Grenzen betrieben wird. Diese Forderungen sind nur durch spezielle und aufwändige Beschaltung der Optokoppler zu erfüllen, die für die G11-Reihe nicht realisierbar ist.
So lange diese Geräte unter den in den Installationsanweisungen beschriebenen Randbedingungen betrieben werden, ist ein Fehlerausschluss auf die an der sicheren Trennung beteiligten Komponenten und damit auf die sichere Trennung als Ganzes möglich. Diese realisieren eine sichere Trennung im Sinne der DIN EN IEC 60664-1 (für elektrische Sicherheit) , nicht jedoch eine sichere Trennung mit Fehlerausschluss im Sinne der 13849-2 (für funktionale Sicherheit).
Unter der Voraussetzung, dass ein konventionelles ASi Netzwerk nach Norm (nicht Power24 mit geerdetem ASi-) zum Einsatz kommt, muss für einen gefährlichen Fehler, der zur Übertragung von Energie von ASi nach AUX führt, nicht nur eine Trennstrecke zwischen den beiden Netzen versagen, sondern zwei. Diese beiden Fehler müssen dabei unterschiedliche Potentiale verbinden, somit an unterschiedlichen Stellen auftreten. Vereinfacht gesprochen muss beispielsweise ein Kurzschluss zwischen ASI+ und AUX+ entstehen sowie an anderer Stelle ein weiterer Kurzschluss zwischen ASI- und AUX-.
Die Annahme eines Fehlers einer Trennstrecke ermöglicht noch keine Energieübertragung und stellt somit keinen gefährlichen Fehler dar. Die Annahme zweier unabhängiger Fehler geht über die Anforderungen der FS in diesem Kontext hinaus.
Es kommt ein ASi-Erdschlusswächter zum Einsatz, der bereits den ersten (nicht gefährlichen) Fehler einer Trennstrecke erkannt.
Es sind somit zwei Randbedingungen gegeben, die jede für sich eine Argumentation erlauben, dass auch ohne Fehlerausschluss auf die Trennung kein gefährlicher Fehler anzunehmen ist.
Was meint ihr dazu?
Viele Grüße,
Carsten
ich habe eine Frage, inwieweit elektrische Fehler die Eignung eines passiven Bauteils zur Verwendung in einer Sicherheitsfunktion beeinträchtigen oder ob diese ausgeschlossen werden dürfen. Wir haben dazu auch schon mit dem Hersteller gesprochen, diese Infos habe ich hier mit einfließen lassen.
Wir haben aktuell in einer Sicherheitsfunktion von Pepperl + Fuchs das ASi-Modul VAA-4E4A-KE5-ZEJQ verbaut, das ist laut Datenblatt aufgrund des Fehlerausschlusses für die sichere galvanische Trennung geeignet für Sicherheitsfunktionen bis PLd. Soweit alles prima.
Nun soll aus fertigungstechnischen Gründen stattdessen das ASi-Busmodul das VAA 4E4A-G11-ZAJ von P+F eingesetzt werden. Dessen Optokoppler haben auch eine sichere galvanische Trennung zwischen zwischen ASi und AUX (Hilfsenergie) zur Realisierung einer funktional sicheren Abschaltung der Hilfsenergie. Zum Zeitpunkt der Entwicklung waren laut P+F die Anforderungen, an eine solche sicheren Trennung für die Funktionale Sicherheit (FS) praktisch identisch mit den Anforderungen an eine sichere Trennung für die elektrische Sicherheit (ES) (wie sie z.B. in der DIN EN 60664-1 definiert sind).
Zu diesen Anforderungen gehören unter anderem neben der passenden Auslegung der Luft- und Kriechstrecken auch die Verwendung geeigneter Trennelemente (Optokoppler) sowie eine Hochspannungsprüfung in der Fertigung, mit der man Fertigungsfehler in der Trennstrecke ausschließen kann.
Die Anforderungen an das Design erfüllten zu diesem Zeitpunkt bereits einige der bestehenden Geräte, insbesondere auch das Design des VAA-4E4A-G11-ZAJ/EA2L-F. Durch Einführen einer zusätzlichen Hochspannungsprüfung in der Fertigung konnte damit diesen Designs eine sichere Trennung bescheinigt werden.
Zwischenzeitlich gab es auch eine neue Ausgabe, die EN ISO 13849-2:2012, die für die Betrachtung des Fehlerausschluss für Optokoppler eine kleine aber feine Änderung mitbrachte.
Tabelle D.19: "Es werden Maßnahmen getroffen, um sicherzustellen, dass ein interner Fehler des Optokopplers nicht zu einem übermäßigen Temperaturanstieg seiner Isolierwerkstoffe führen kann."
D.h. es muss schaltungstechnisch sichergestellt sein, dass auch bei einem Fehler des Optokopplers keine Verlustleistung über der zulässigen Grenze entsteht.
Darüber hinaus wird wohl gefordert, dass auch bei einem anzunehmenden Fehler der Beschaltung des Optokopplers dieser innerhalb der spezifizierten Grenzen betrieben wird. Diese Forderungen sind nur durch spezielle und aufwändige Beschaltung der Optokoppler zu erfüllen, die für die G11-Reihe nicht realisierbar ist.
So lange diese Geräte unter den in den Installationsanweisungen beschriebenen Randbedingungen betrieben werden, ist ein Fehlerausschluss auf die an der sicheren Trennung beteiligten Komponenten und damit auf die sichere Trennung als Ganzes möglich. Diese realisieren eine sichere Trennung im Sinne der DIN EN IEC 60664-1 (für elektrische Sicherheit) , nicht jedoch eine sichere Trennung mit Fehlerausschluss im Sinne der 13849-2 (für funktionale Sicherheit).
Unter der Voraussetzung, dass ein konventionelles ASi Netzwerk nach Norm (nicht Power24 mit geerdetem ASi-) zum Einsatz kommt, muss für einen gefährlichen Fehler, der zur Übertragung von Energie von ASi nach AUX führt, nicht nur eine Trennstrecke zwischen den beiden Netzen versagen, sondern zwei. Diese beiden Fehler müssen dabei unterschiedliche Potentiale verbinden, somit an unterschiedlichen Stellen auftreten. Vereinfacht gesprochen muss beispielsweise ein Kurzschluss zwischen ASI+ und AUX+ entstehen sowie an anderer Stelle ein weiterer Kurzschluss zwischen ASI- und AUX-.
Die Annahme eines Fehlers einer Trennstrecke ermöglicht noch keine Energieübertragung und stellt somit keinen gefährlichen Fehler dar. Die Annahme zweier unabhängiger Fehler geht über die Anforderungen der FS in diesem Kontext hinaus.
Es kommt ein ASi-Erdschlusswächter zum Einsatz, der bereits den ersten (nicht gefährlichen) Fehler einer Trennstrecke erkannt.
Es sind somit zwei Randbedingungen gegeben, die jede für sich eine Argumentation erlauben, dass auch ohne Fehlerausschluss auf die Trennung kein gefährlicher Fehler anzunehmen ist.
Was meint ihr dazu?
Viele Grüße,
Carsten
