---

Wie handhabt ihr es mit diesen Dinger.

Für Kat 3 ist das Systemverhalten so (laut Maschinensicherheit Betrachtungen zu europäischen Sicherheitsnormen 3.Auflage von Pilz), dass

a. bei Auftreten eines Fehlers die Sicherheitsfunktion immer erhalten bleiben
b. einige jedoch nicht alle Fehler erkannt werden
c. eine Anhäufung unerkannter Fehler zum Verlust der Sicherheitsfunktion führen kann.

Die Ventile werden bei uns über Feldbusinseln angesteuert.
Dort hat man zwar für die Ausgänge eine Separate Spannungsversorgung die man abschalten kann. (in diesem Fall aber leider nur einpolig ohne das 0V Potential) 

Das heist das Ventil für könnte ich SHT abschalten aber eben nur 1 kanalig 
24V-> Ventil weg
wäre für mich dann nur KAT2 

Also haben wir eine Hauptventil das unabhängig von den Antriebsventilen abgeschaltet wird bzw. werden kann
24V-> Ventil weg
24V-> Hauptventil weg
wäre für mich dann KAT3

Nur besonders schön ist es nicht wenn man nur ein Hauptventil hat und mehrere Bereiche abschalten will.
Wie lösst ihr dieses Problem?
Wäre schön wenn jemand Beispiele hätte!

Gruß Gernot

------------------
Nichts auf der Welt ist so gerecht verteilt wie der Verstand.
Den jedermann ist überzeugt das er genug davon hat. 
JAGEN&SAMMELN

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Guten Morgen Gernot

Die Beantwortung Deiner Fragen wird eine etwas grössere Geschichte. Ich werde bis Anfang nächster Woche versuchen, einen möglichst umfassenden Aufsatz zu Deiner Problematik zu schreiben.

Gruss  Hans

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Du bist der Hammer!

Danke mal im Voraus
Zerstör dir wegen mir bitte nicht das Wochenende.

Grüße in die Schweiz

Gernot

------------------
Nichts auf der Welt ist so gerecht verteilt wie der Verstand.
Den jedermann ist überzeugt das er genug davon hat. 
JAGEN&SAMMELN

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo Gernot

Gilt in Deinem Falle für die Steuerungskategorie 2 oder 3 die Norm EN 954-1, oder die Norm EN 13849-1 in der neben dem SIL auch Steuerungskategorien angemerkt sind?

Für Deine Frage zu beantworten, kann es vielleicht entscheidend sein, welche Norm für die Steuerungskategorien zu Grunde gelegt wird.

Schönes Wochenende  Hans

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo Gernot

Zuerst einige generelle Anmerkungen zu den Normen:

Die Norm EN 954-1; 1966 "Sicherheitsbezogene Teile von Steuerungen" wird per Ende November 2009 zurückgezogen.
Die Nachfolgenorm EN ISO 13849-1; 2006 "Sicherheitsbezogene Teile von Steuerungen" ist, wenn ich mich recht erinnere, seit März 2007 in Kraft.

Die Norm EN 954-1 hat einen determistischen Ansatz. Demgegenüber weist die Norm EN ISO 13849-1 einen probalistischen Ansatz auf.

Zu Deiner Bemerkung:

Zitat:

---

Das heist das Ventil für könnte ich SHT abschalten aber eben nur 1 kanalig 
24V-> Ventil weg
wäre für mich dann nur KAT2

---

Zur Steuerungskategorie 2:

In beiden Normen muss als zusätzliche Anforderung zur Steuerungs-Kategorie 1, eine wiederkehrende Testung der Sicherheitsfunktion durchgeführt werden.

Dieser Test muss unter anderem

- beim Anlauf der Maschine und vor Einleiten eines gefährlichen Zustandes

durchgeführt werden.

Diese Anforderungen lassen sich kaum sinnvoll und praxisgerecht umsetzen. Daher wird meistens die Steuerungskategorie 3 gewählt.

Steuerungskategorie 3 bedeutet nichts anderes, als dass die Sicherheitsfunktion 1-Fehlersicher sein muss. D.h. 1 Fehler darf nicht zum Verlust der Sicherheitsfunktion führen.

Diese obgenannten Anforderungen sind in beiden Normen identisch.

Somit wäre dann, entgegen Deiner Meinung, die 1-kanalige Sicherheitsfunktion eine Steuerungskategorie 1

Nun zu Deiner eigentlichen Frage:

Als erstes muss eine Gefahrenanalyse durchgeführt werden. Anmerkungen dazu findest Du in meinem Beitrag im Forum "Allgemeines im Maschinenbau, Liste der Gefährdungen"

Für die Abschaltung beider Ventile in Steuerungskategorie 3, (2-kanalig) würde ich folgende pragmatische Lösung erarbeiten:

1. Hauptventil über NOTAUS-Modul mit zwangsgeführten Kontakten (Schliesser) abschalten.

2. 24V-Ventil über NOTAUS-Modul mit zwangsöffnendem Kontakt (Öffner) das Ausschaltsignal an die SPS und somit an den Feldbus weitergeben.

Mit dieser Konstellation kann eine diversitäre NA-Abschaltung realisiert werden.

Zusätzliche Massnahmen:

Mit Hilfe eines Fehlerausschlusses kann dokumentiert werden, dass durch die Diversität der Ausschaltung und das direkte Abschalten des Hauptventils, mittels bewährter Bauteile, die Sicherheitsfunktion auch im Fehlerfalle gewährleistet ist.

Beide Normen lassen gemäss ihres Absatzes 7, einen Fehlerausschluss zu.

Ebenso gehört eine Validierung dieser Sicherheitsfunktion nach der Norm EN ISO 13849-2:2003 dazu.

Schlussbemerkung

In dieser Betrachtung fehlen nebst anderem nachstehende Punkte:
- Anhang E  "Erläuterungen der Funktionen für Handlungen im Notfall"  der Norm EN 60204-1:2006

- "Stopp-Funktionen" (Stopp-Kategorien 0 – 2) nach Norm EN 60204-1;2006 Pkt. 9.2.2

- Bestimmung der Sicherheitsfunktionen nach Norm EN ISO 13849-1:2006 :

o Performance – Level
o MTTFd der Betriebsmittel und des Sicherheitskanals
o Diagnose-Deckungsgrad
o Fehler gemeinsamer Ursache
o etc.

Dieser Aufsatz kann Dir lediglich einen möglichen Lösungsweg aufzeigen, und darf so nicht 1:1 übernommen werden.

Frohes Hirnen und Gruss    Hans

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo Hans!
Jetzt hast du dich doch noch am Wochende rangesetzt. Der mann kriegt keine Ruhe 
Entschuldigung für die lange Antwortspause

Zitat:

---

Gilt in Deinem Falle für die Steuerungskategorie 2 oder 3 die Norm EN 954-1, oder die Norm EN 13849-1 in der neben dem SIL auch Steuerungskategorien angemerkt sind?

Für Deine Frage zu beantworten, kann es vielleicht entscheidend sein, welche Norm für die Steuerungskategorien zu Grunde

---

Wir wollen KAT3 erreichen mit EN954-1 erreichen. Das mit der SIL2 ist eine Bildungslücke meinerseits, das diese erst aus der EN13849-1 herausgeht. Ich dachte das es lediglich eine einfache umschlüsselung auf SIL gibt  KAT1-entfällt, KAT2 =SIL1, KAT3 =SIL2, KAT4 =SIL3

Das KAT3 nur mittels der vorhergehenden Steuerungskategorien konform geht war mir schon klar. Ich dachte ich könnte gleich ein wenig abkürzen und weiter vorn einsteigen.

zum Problem

Zitat:

---

Nun zu Deiner eigentlichen Frage:

Als erstes muss eine Gefahrenanalyse durchgeführt werden. Anmerkungen dazu findest Du in meinem Beitrag im Forum "Allgemeines im Maschinenbau, Liste der Gefährdungen"

Für die Abschaltung beider Ventile in Steuerungskategorie 3, (2-kanalig) würde ich folgende pragmatische Lösung erarbeiten:

1. Hauptventil über NOTAUS-Modul mit zwangsgeführten Kontakten (Schliesser) abschalten.

2. 24V-Ventil über NOTAUS-Modul mit zwangsöffnendem Kontakt (Öffner) das Ausschaltsignal an die SPS und somit an den Feldbus weitergeben.

Mit dieser Konstellation kann eine diversitäre NA-Abschaltung realisiert werden.

---

Bei dieser Beschaltung baut man einfach einen Schütz vor jedes Ventil und schaltet es mit diesem ab und meldet von diesem Schütz. Ist doppelt gemoppelt und dann auch richtig so. Funktioniert auch einwandfrei

Was ich eigentlich wissen wollte war wie man bei Feldbusinsel welche eine vierpolige Zuleitung haben abschaltet. Ich hab immer im Hinterkopf das für Kat3 immer alles doppelt sein muss Bsp: Notaus zweikanalig, abschaltung von Antrieben zwei Schütze in Serie, Zutrittstüren wenn der Schalter nicht Kat 3 ist zwei Stück etc.

Bei diesen besagten Feldbusmodulen gibt es 24V als normale spannungsvers. Weitere 24V für die Abschaltung der Aktoren die 0V Maße ist für beide Spannung intern gebrückt.

Reicht es hier wirklich aus das man sagt du hängst zwei Schütze vor die Aktorspannung und die meldet man dann halt zurück?
Vorallem weil man bei diesen Modulen die Aktorspannung nicht zweipolig bekommt weis ich nicht so richtig wie man hier am besten vorgeht.
Im Detail geht es um die dezentralen Feldbusmodule von Beckhoff. Falls das jemanden hilft

Gruß Gernot
PS: Danke für den Ausflug in die Normenwelt und deine Bemühungen

PPS:In diesem Forum gibt es noch keinen MOD wär das nicht was für dich Hans??

------------------
Nichts auf der Welt ist so gerecht verteilt wie der Verstand.
Den jedermann ist überzeugt das er genug davon hat. 
JAGEN&SAMMELN

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Guten Morgen Gernot

Grundsätzlich hast Du recht, dass immer 2 Schützen in Serie über die beiden Kanäle eines NOT-AUS-Moduls geschaltet werden.
Im vorliegenden Fall habe ich mich für das Erreichen von Kat3 nach der Norm EN 954-1 vielleicht etwas zu wenig klar ausgedrückt. Ich werde versuchen, meinen Vorschlag etwas klarer darzustellen.

Zur Norm EN ISO 13849-1;2006:

Wie Du richtig bemerkt hast, kann nicht einfach von den Steuerungskategorien nach Norm EN 954-1 auf SI-Level nach Norm EN ISO 13849-1 geschlossen werden.

Noch eine grundsätzliche Frage:

Ist die vorliegende Steuerung ein repititives Produkt?  Wenn ja, würde ich vorschlagen, die Sicherheitsfunktionen nach der Norm EN ISO 13849-1 zu realisieren. Im Moment bedeutet das etwas mehr Aufwand, aber es erspart einen eventuellen Umbau nach Rückzug der Norm EN 954-1.

Gib mir etwas Zeit für eine etwas klarere Antwort Deiner Fragen.

Betreffend Dein "PS", muss ich mir mal überlegen. Ich bin ja relativ neu in diesem Forum und nicht so PC-gewandt.

Gruss  Hans

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Es sollte eigentlich schon ein Standardprodukt werden.

Problem wir haben zurzeit noch ziemlich wenig Normen in der Firma das Wissen beruht eben auf der alten EN 954-1. Und die "neue" EN ISO 13849-1 kennen wir halt nur von hörensagen.

Wie es oft so ist soll bei den Normen noch gesparrt werden.

Gruß Gernot

------------------
Nichts auf der Welt ist so gerecht verteilt wie der Verstand.
Den jedermann ist überzeugt das er genug davon hat. 
JAGEN&SAMMELN

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo Gernot

Sende mir bitte den Link zu den entsprechenden Beckhoff-Modulen. Meine Sucherei entfällt dann.

Vielen Dank und Gruss  Hans

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hab dir was an deine Mailadresse geschickt

------------------
Nichts auf der Welt ist so gerecht verteilt wie der Verstand.
Den jedermann ist überzeugt das er genug davon hat. 
JAGEN&SAMMELN

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Prinzip-Schema.jpg

Hallo Gernot

Nachstehend Ergänzungen und Korrekturen meiner vorhergehenden Ausführungen.

Abschaltung der Energiezuführung nach Norm EN 954-1, Steuerungskategorie 3

Bei einer sicheren Abschaltung von gefährlichen Bewegungen muss die Energiezuführung unterbrochen werden.

Im vorliegenden Falle ist das eine hydraulische oder pneumatische Energiezuführung. Daher muss diese Zuleitung, und nicht die elektrische Speisung der einzelnen Betriebsmittel (Ventile), gemäss Steuerungskategorie 3 nach Norm EN 954-1, 2-kanalig abgeschaltet werden.

Über die Ausgangskontakte des Not-Aus-Moduls wird mit dem 1. Kanal das Hauptventil geschaltet. Über den 2. Kanal wird die elektrische Speisung der Ventilinsel geschaltet. Bei gleichzeitiger Abschaltung mehrer Ventilinseln wird das mit einem Hilfsschütz, der zwangsgeführte Kontakte aufweist, realisiert

Siehe auch das beigefügte Prinzipschaltbild.

Wird anstelle der Ventilinsel ein einzelnes Mehrwegventil eingesetzt, so muss dieses Ventil in die Nullstellung geschaltet werden.

Dieses Schaltungsprinzip wird so z.B. auch bei Pressen eingesetzt.

Abschaltung über Feld-BUS

Sollte jedoch ein einzelnes Ventil einer Ventilinsel sicherheitsgerichtet abgeschaltet werden, so muss ein sicherer Feld-BUS (Profi-BUS) eingesetzt werden.

Wie weit es heute jedoch möglich ist, einen sicheren BUS zusätzlich auch für normale, d.h. keine sicherheitsgerichteten Signale und Aufgaben zu verwenden, weiss ich nicht.

Zu Deiner Bemerkung nach SIL 2 erlaube ich mir, ein neues Kapitel mit entsprechenden Hinweisen zu eröffnen.

Gruss  Hans

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

    Danke nochmals für deine Mühen und den tollen Erklärungen!   

Gruß Gernot

------------------
Nichts auf der Welt ist so gerecht verteilt wie der Verstand.
Den jedermann ist überzeugt das er genug davon hat.    
JAGEN&SAMMELN

[Diese Nachricht wurde von Micki0815 am 21. Apr. 2008 editiert.]

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Habe ich gerne gemacht. Bis zum nächsten Mal

Gruss  Hans

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Guten Abend Gernot

Noch einen Hinweis als Komplettierung zu meinem Beitrag:

Werden die Ventile über Schützen geschaltet, so müssen Öffnerkontakte dieser (Sicherheits)-Schützen in den Rückstellkreis des Sicherheitsmoduls geschaltet werden.

Damit wird sichergestellt, dass vor dem Rückstellen des Sicherheitsmoduls, die Sicherheitsschützen sicher abgefallen sind, und somit keine gefährliche Bewegung entstehen kann.

Gruss  Hans

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP