Forum: Mikrocontroller und Digitale Elektronik NOT-HALT über Ethernet-Verbindung

Für Profibus gibt es diverse E/A Baugruppen der Firma Wago.
Dies nennt sich dann ProfiSafe.
Auch die CPU muß das haben (Siemens F-CPU).
Diese Technik funktioniert gut.

Im Bereich Ethernet ist mir sowas nicht bekannt,
zumal die Übergeordnete Steuerung dann auch Fehlersicher sein müsste.

Wenn ein Frequenzumrichter den Antrieb steuert muß dieser das
"Sichere Aus" beherschen.

Wenn es eine Maschine ist von der eine Gefärdung für Mitarbeiter
ausgeht muß du hier die aktuelle Maschinenrichtlinie einhalten.
Es gibt hier verschiedene Schutzkategorien die vom
Maschinenhersteller zutreffend ausgewählt werden müssen.

Vielleicht ist hier was zu finden.

http://www.wago.com/infomaterial/pdf/51242546.pdf

Sonst mal bei Wago anfragen.

Der TO fragte ja nach einer Ethernet-Verbindung.

Eine Standard Ethernet-Verbindung ist für Not-Aus-Funktionen ungeeignet.
Siehe hierzu auch:
http://de.wikipedia.org/wiki/Echtzeit-Ethernet

Wie Andi_73 schon schrieb ist es tatsächlich angebracht sich mit dem 
Profibus/Profinet auseinanderzusetzen.
Oder eben ein anderes geeignetes Verfahren.

Ist Ethernet auch ungeeignet, wenn man regelmäßig (häufig) ein 
OK-Telegramm überträgt und im Not-Aus-Falle dies nicht mehr tut ?
Das andere Gerät würde dann beim Ausbleiben des Telegramms nach kurzer 
Zeit abschalten.
Oder ist es zu unsicher, weil die Ethernet-Task trotz Not-Aus weiter 
OK-Telegramme senden könnte ?

...was ist nach "kurzer Zeit"? Wenn es den Maschinenbediener schon zu 
30% in die Maschine gezogen hat? Vielleicht hätte er ja bei 5% 
überlebt...

Was passiert wenn die Maschine abschaltet? Kann man die einfach wieder 
in Betrieb nehmen? Es kann ja auch mal sein, das ein Paket nicht ankommt 
weil der Switch verstopft ist oder sich aufgehangen hat...

Wenn es natürlich eine Punkt zu Punkt Verbindung ist, warum muss dann 
der NOT-Aus über Ethernet gehen? Könnte man nicht ein paar Adern als 
NOT-Aus missbrauchen? (100Mbit braucht nur 4 Adern / 2 Paare)

Mirko

Ziel eines Not-Aus ist es eigentlich, auch eine entsprechend schnelle 
Abschaltung einer Maschine oder Betriebseinrichtung zu erreichen.
Mit einer Not-Abschaltung soll ja erreicht werden dass kein Schaden an 
Mensch und Material entsteht.

Dies kann mit Standard Ethernet nicht erreicht werden, da die zeitliche 
Abfolge der Pakete nicht garantiert werden kann. Anders gesagt kann die 
Reaktionszeit eines solchen Aufbaus nicht vorhergesagt werden.

Standard Ethernet verfügt einfach nicht über die notwendigen 
sicherheitsrelevanten Strukturen um Notabschaltungen oder andere 
zeitkritische Dinge zu realisieren.

Torgen schrieb:
> Hallo,
> über eine Ethernet-Verbindung möchte ich (mit SIL3-Komponenten) eine
> NOT-HALT-Funktion realisieren. D.h., wenn ich am Steuerrechner den
> NOT-HALT-Button betätige, soll mein Antrieb (über Ethernet-Kabel
> verbunden) sicher anhalten.
> Mit welchen Komponenten von welchem Hersteller lässt sich das am
> einfachsten realisieren?
>
> Danke für alle Tipps.

Hallo,

SIL3 ist schon eine harte Anforderung, da würde ich nocheinmal darüber 
nachdenken. Oft tuts SIL2 auch. SIL3 heißt ja quasi, dass die Maschine 
mehrere Menschen frisst, wenn der Not-Aus nicht geht.

Folgendes kenne ich:
http://www.br-automation.com/en/products/safety-technology/

Da gibts das X20 und da X67 - System mit Steuerungen, IOs und allem 
sonstigen drum und dran fertig TÜV-zertifiziert. Deren Antriebe können 
SIL3 "Not Aus" über Ethernet - D.h. Leistung sicher wegschalten. Man 
kann über deren IO-Modul den Not-aus einlesen und den Antrieb über 
Ethernet ausschalten. Voraussetzung ist eine Safety-SPS.
Die Sachen verwenden Ethernet Powerlink.

Sucht mal unter ProfiNet. Auf der Seite http://www.profibus.com/ findet 
man Hersteller die ProfiSave verkaufen.

Und zum Thema :

Zitat --

Ziel eines Not-Aus ist es eigentlich, auch eine entsprechend schnelle
Abschaltung einer Maschine oder Betriebseinrichtung zu erreichen.
Mit einer Not-Abschaltung soll ja erreicht werden dass kein Schaden an
Mensch und Material entsteht.

Dies kann mit Standard Ethernet nicht erreicht werden, da die zeitliche
Abfolge der Pakete nicht garantiert werden kann. Anders gesagt kann die
Reaktionszeit eines solchen Aufbaus nicht vorhergesagt werden.

Standard Ethernet verfügt einfach nicht über die notwendigen
sicherheitsrelevanten Strukturen um Notabschaltungen oder andere
zeitkritische Dinge zu realisieren.

---- Ende

Das kann man so nicht stehen lassen....

LÖSUNG :
Verbindung über UDP
Alle 10 - 20ms ein kurzes Telegramm : Kommt kein Telegramm --> Not Halt.

Die Lösung hat zwar keinen Performace - Level aber in Grunde macht 
ProfiSave nichts Anderes ....

Dumdi D. schrieb:
> Sind NOT-HALT-Buttons eigentlich zulässig?

Mit Touch-Screen?!
Ist der eigentlich immer zuverlässig bedienbar? Mit Handschuhen? Mit der 
Nase/Schuhspitze (weil die Arme schon in der Maschine hängen)?

Ist der Steuerrechner auch SIL3-zertifiziert?

Ich würde die erprobten, roten Taster/Seilzugschalter verwenden und die 
Stromversorgung mit einem kräftigen Schütz zwangsweise wegschalten. 
Nicht sehr elegant, aber zuverlässig und preiswert.

Schreiber schrieb:
> Stromversorgung mit einem kräftigen Schütz zwangsweise wegschalten.

Reicht nicht wirklich.
Wenn da relativ grosse bewegte Massen im Spiel sind, musst Du schon noch 
aktiv bis zum Stillstand bremsen und dann erst abschalten.

wendelsberg

wendelsberg schrieb:
> Wenn da relativ grosse bewegte Massen im Spiel sind, musst Du schon noch
> aktiv bis zum Stillstand bremsen und dann erst abschalten.

Das kann man beides kombinieren. Erst bekommen die Umrichter ben Befehl 
zum Bremsen, über ein Zeitrelais wird dann verzögert die Stromversorgung 
abgeschaltet.

Alternativ gibts natürlich auch Motoren mit angeflanschter Bremse, 
sobald der Strom abgeschaltet wird, wird mechanisch gebremst. Wenn man 
nur wenige Motoren braucht, ist das wesentlich günstiger wie eine SIL3 
SPS+Zubehör

Torgen schrieb:
> D.h., wenn ich am Steuerrechner den
> NOT-HALT-Button betätige, soll mein Antrieb (über Ethernet-Kabel
> verbunden) sicher anhalten.

Am Steuerrechner einen Button? Ist das ein echter Not-Aus-Knopf am 
Rechner oder ein Button auf dem Bildschirm?

Mit einem Software-Button auf einem Bildschirm erreichst du niemals 
SIL3.

Falls es ein physikalischer Button ist, dann kann dieser an eine 
Failsafe-PLC angeschlossen werden, welche über ProfiSafe mit einer 
abgesetzten EA-Einheit kommuniziert, an der du deinen Schütz für das 
Abschalten des Antriebs klemmst.
Die Abgesetzte Einheit könnte z.B. ein ProfiSafe IP67 Modul sein.

wendelsberg schrieb:
> Reicht nicht wirklich.
> Wenn da relativ grosse bewegte Massen im Spiel sind, musst Du schon noch
> aktiv bis zum Stillstand bremsen und dann erst abschalten.

Die Anlage muss aber damit klar kommen, dass im Fehlerfall einfach 
abgeschaltet wird. Denn genau das tut eine Failsafe-Steuerung. Sie 
schaltet bei einem auftretenden Fehler alle Ausänge aus.

Schreiber schrieb:
> Das kann man beides kombinieren. Erst bekommen die Umrichter ben Befehl
> zum Bremsen, über ein Zeitrelais wird dann verzögert die Stromversorgung
> abgeschaltet.

Dann muss das Zeitrelais + Ansteuerung + Umrichter SIL3 sein...

Typischerweise wird über eine SIL3-Funktion der Antrieb stromlos 
geschalten und dann über eine mechanische Bremse gestoppt.

Soll definiert heruntergefahren werden, dann ist die Drehzahl des 
Systems eine Größe, die Bestandteil der SIL3-Funktion ist.
Sie müsste also nach SIL3 erfasst und verarbeitet werden..
Geht schon, aber ist aufwändig.

Was aber auch noch möglich ist, ist sehr schnelles Herunterfahren mit 
SIL1 und dann Stromlos schalten mit SIL3..

Aber Herunterfahren mit SIL3 ist m.E. hässlich aufwändig..

Müssen NOT-AUS Schalter ncith so konstruiert sein, dass bei 
Unterbrechung der Leitungen KEINE Gefahr besteht, also das Gerät mit 
unterbrochener Leitung nicht arbeiten darf?

Stefan U. schrieb:
> Müssen NOT-AUS Schalter ncith so konstruiert sein, dass bei
> Unterbrechung der Leitungen KEINE Gefahr besteht, also das Gerät mit
> unterbrochener Leitung nicht arbeiten darf?

Müssen sie ;-)
Und daher auch die Feststellung, dass das mit einem Button auf einem 
Touch-Screen sowieso nichts wird.

Meines Wissens muss bei für SIL3 der NOT-Aus sogar zweikanalig mit 
Querschlusserkennung ausgeführt werden.. Bin mir da aber nicht ganz 
sicher.

Ein sehr gutes deutschsprachiges Forum für solche Fragen ist dort zu 
finden:

http://www.sps-forum.de/vde-iec-din/

Andreas M. schrieb:
> Und was passiert wenn dein Not-Aus Gerät sich in der Software verhängt
> und einfach weiter Telegramme schickt obwohl es das nicht soll? Und was
> passiert wenn ein anderes Gerät im Netz diese Telegramme
> fälschlicherweise versendet?


Die Telegramme müssen natürlich fortlaufend nummeriert sein.

Torgen schrieb:
> Mit welchen Komponenten von welchem Hersteller lässt sich das am
> einfachsten realisieren?

Hersteller Fa. HIMA oder Fa. SEW-EURODRIVE bieten Systemlösungen an.
Die Liste der Anforderungen an ein solches System ist nicht trivial!
Maschinenrichtlinie, EMV-Richtlinie, Anwendung IEC 61508, Anwendung der 
DIN EN 418, etc. pp.

Die Lösungen existieren seit mehreren Jahren!
Die oben genannten Kommunikationsprofile sind Beispiele mit Zertifikat.

Mal eben selbst programmiert ist das definitiv nicht!

https://de.wikipedia.org/wiki/OpenSAFETY

DiplIng(FH) schrieb:
> Die Lösungen existieren seit mehreren Jahren!

Das ist gut, der Thread war ja auch schon über ein Jahr tot.

Handy-App ist zu einfach. Heute macht man das mit Windows XP.

Beim Start der App kommt dann die Meldung "Der Computer muss wegen einem 
Update neu gestartet werden" (oder er macht es einfach). Dann folgt ein 
30 Minuten langes Update und dann kann man die App nicht mehr starten, 
weil sie inkompatibel ist.

Also zerschlägt man aus lauter Verzweifelung den Computer und die Racks 
im Server Raum. Aber die amok laufenden Maschinen laufen weiter, weil 
sie drahtlos von Amazons Rechenzentrum gesteuert werden.

Du rufst also beim Verteidigungsminister an, er möge bitte sofort das 
lokale Rechenzentrum von Amazon wegbomben lassen, weil sonst 3000 
Menschen sterben müssen. Doch der lacht dich nur aus, denn keiner der 
3000 Menschen finanziert seinen Urlaub oder stellt ihm die geliebte 
Segeljacht zur verfügung.

Die Geister die du riefst.