Hallo, über eine Ethernet-Verbindung möchte ich (mit SIL3-Komponenten) eine NOT-HALT-Funktion realisieren. D.h., wenn ich am Steuerrechner den NOT-HALT-Button betätige, soll mein Antrieb (über Ethernet-Kabel verbunden) sicher anhalten. Mit welchen Komponenten von welchem Hersteller lässt sich das am einfachsten realisieren? Danke für alle Tipps.
Für Profibus gibt es diverse E/A Baugruppen der Firma Wago. Dies nennt sich dann ProfiSafe. Auch die CPU muß das haben (Siemens F-CPU). Diese Technik funktioniert gut. Im Bereich Ethernet ist mir sowas nicht bekannt, zumal die Übergeordnete Steuerung dann auch Fehlersicher sein müsste. Wenn ein Frequenzumrichter den Antrieb steuert muß dieser das "Sichere Aus" beherschen. Wenn es eine Maschine ist von der eine Gefärdung für Mitarbeiter ausgeht muß du hier die aktuelle Maschinenrichtlinie einhalten. Es gibt hier verschiedene Schutzkategorien die vom Maschinenhersteller zutreffend ausgewählt werden müssen.
Vielleicht ist hier was zu finden. http://www.wago.com/infomaterial/pdf/51242546.pdf Sonst mal bei Wago anfragen.
Der TO fragte ja nach einer Ethernet-Verbindung. Eine Standard Ethernet-Verbindung ist für Not-Aus-Funktionen ungeeignet. Siehe hierzu auch: http://de.wikipedia.org/wiki/Echtzeit-Ethernet Wie Andi_73 schon schrieb ist es tatsächlich angebracht sich mit dem Profibus/Profinet auseinanderzusetzen. Oder eben ein anderes geeignetes Verfahren.
Ist Ethernet auch ungeeignet, wenn man regelmäßig (häufig) ein OK-Telegramm überträgt und im Not-Aus-Falle dies nicht mehr tut ? Das andere Gerät würde dann beim Ausbleiben des Telegramms nach kurzer Zeit abschalten. Oder ist es zu unsicher, weil die Ethernet-Task trotz Not-Aus weiter OK-Telegramme senden könnte ?
Martin schrieb: > Ist Ethernet auch ungeeignet, wenn man regelmäßig (häufig) ein > OK-Telegramm überträgt und im Not-Aus-Falle dies nicht mehr tut ? > Das andere Gerät würde dann beim Ausbleiben des Telegramms nach kurzer > Zeit abschalten. > Oder ist es zu unsicher, weil die Ethernet-Task trotz Not-Aus weiter > OK-Telegramme senden könnte ? Und was passiert wenn dein Not-Aus Gerät sich in der Software verhängt und einfach weiter Telegramme schickt obwohl es das nicht soll? Und was passiert wenn ein anderes Gerät im Netz diese Telegramme fälschlicherweise versendet? Aus dem Industriebereich gibt es diverse Ethernet-Basierte Kommunikationsprotokolle mit denen das Gewünschte erreicht werden kann, z.B.: - ProfiSAFE via ProfiNET (Sollte SIL-3 tauglich sein) - EthernetIp mit Cip Safety - EtherCat mit Safety over Ethercat
...was ist nach "kurzer Zeit"? Wenn es den Maschinenbediener schon zu 30% in die Maschine gezogen hat? Vielleicht hätte er ja bei 5% überlebt... Was passiert wenn die Maschine abschaltet? Kann man die einfach wieder in Betrieb nehmen? Es kann ja auch mal sein, das ein Paket nicht ankommt weil der Switch verstopft ist oder sich aufgehangen hat... Wenn es natürlich eine Punkt zu Punkt Verbindung ist, warum muss dann der NOT-Aus über Ethernet gehen? Könnte man nicht ein paar Adern als NOT-Aus missbrauchen? (100Mbit braucht nur 4 Adern / 2 Paare) Mirko
Ziel eines Not-Aus ist es eigentlich, auch eine entsprechend schnelle Abschaltung einer Maschine oder Betriebseinrichtung zu erreichen. Mit einer Not-Abschaltung soll ja erreicht werden dass kein Schaden an Mensch und Material entsteht. Dies kann mit Standard Ethernet nicht erreicht werden, da die zeitliche Abfolge der Pakete nicht garantiert werden kann. Anders gesagt kann die Reaktionszeit eines solchen Aufbaus nicht vorhergesagt werden. Standard Ethernet verfügt einfach nicht über die notwendigen sicherheitsrelevanten Strukturen um Notabschaltungen oder andere zeitkritische Dinge zu realisieren.
Torgen schrieb: > Hallo, > über eine Ethernet-Verbindung möchte ich (mit SIL3-Komponenten) eine > NOT-HALT-Funktion realisieren. D.h., wenn ich am Steuerrechner den > NOT-HALT-Button betätige, soll mein Antrieb (über Ethernet-Kabel > verbunden) sicher anhalten. > Mit welchen Komponenten von welchem Hersteller lässt sich das am > einfachsten realisieren? > > Danke für alle Tipps. Hallo, SIL3 ist schon eine harte Anforderung, da würde ich nocheinmal darüber nachdenken. Oft tuts SIL2 auch. SIL3 heißt ja quasi, dass die Maschine mehrere Menschen frisst, wenn der Not-Aus nicht geht. Folgendes kenne ich: http://www.br-automation.com/en/products/safety-technology/ Da gibts das X20 und da X67 - System mit Steuerungen, IOs und allem sonstigen drum und dran fertig TÜV-zertifiziert. Deren Antriebe können SIL3 "Not Aus" über Ethernet - D.h. Leistung sicher wegschalten. Man kann über deren IO-Modul den Not-aus einlesen und den Antrieb über Ethernet ausschalten. Voraussetzung ist eine Safety-SPS. Die Sachen verwenden Ethernet Powerlink.
Not Aus und selbst basteln ist ein kritisches Thema.. Fertige Lösungen sind geprüft und sorgen für ein sicheres Abschalten der Maschine....
Sucht mal unter ProfiNet. Auf der Seite http://www.profibus.com/ findet man Hersteller die ProfiSave verkaufen. Und zum Thema : Zitat -- Ziel eines Not-Aus ist es eigentlich, auch eine entsprechend schnelle Abschaltung einer Maschine oder Betriebseinrichtung zu erreichen. Mit einer Not-Abschaltung soll ja erreicht werden dass kein Schaden an Mensch und Material entsteht. Dies kann mit Standard Ethernet nicht erreicht werden, da die zeitliche Abfolge der Pakete nicht garantiert werden kann. Anders gesagt kann die Reaktionszeit eines solchen Aufbaus nicht vorhergesagt werden. Standard Ethernet verfügt einfach nicht über die notwendigen sicherheitsrelevanten Strukturen um Notabschaltungen oder andere zeitkritische Dinge zu realisieren. ---- Ende Das kann man so nicht stehen lassen.... LÖSUNG : Verbindung über UDP Alle 10 - 20ms ein kurzes Telegramm : Kommt kein Telegramm --> Not Halt. Die Lösung hat zwar keinen Performace - Level aber in Grunde macht ProfiSave nichts Anderes ....
Torgen schrieb: > .h., wenn ich am Steuerrechner den > NOT-HALT-Button betätige, Sind NOT-HALT-Buttons eigentlich zulässig?
Dumdi D. schrieb: > Sind NOT-HALT-Buttons eigentlich zulässig? Mit Touch-Screen?! Ist der eigentlich immer zuverlässig bedienbar? Mit Handschuhen? Mit der Nase/Schuhspitze (weil die Arme schon in der Maschine hängen)? Ist der Steuerrechner auch SIL3-zertifiziert? Ich würde die erprobten, roten Taster/Seilzugschalter verwenden und die Stromversorgung mit einem kräftigen Schütz zwangsweise wegschalten. Nicht sehr elegant, aber zuverlässig und preiswert.
Schreiber schrieb: > Stromversorgung mit einem kräftigen Schütz zwangsweise wegschalten. Reicht nicht wirklich. Wenn da relativ grosse bewegte Massen im Spiel sind, musst Du schon noch aktiv bis zum Stillstand bremsen und dann erst abschalten. wendelsberg
wendelsberg schrieb: > Wenn da relativ grosse bewegte Massen im Spiel sind, musst Du schon noch > aktiv bis zum Stillstand bremsen und dann erst abschalten. Das kann man beides kombinieren. Erst bekommen die Umrichter ben Befehl zum Bremsen, über ein Zeitrelais wird dann verzögert die Stromversorgung abgeschaltet. Alternativ gibts natürlich auch Motoren mit angeflanschter Bremse, sobald der Strom abgeschaltet wird, wird mechanisch gebremst. Wenn man nur wenige Motoren braucht, ist das wesentlich günstiger wie eine SIL3 SPS+Zubehör
Torgen schrieb: > D.h., wenn ich am Steuerrechner den > NOT-HALT-Button betätige, soll mein Antrieb (über Ethernet-Kabel > verbunden) sicher anhalten. Am Steuerrechner einen Button? Ist das ein echter Not-Aus-Knopf am Rechner oder ein Button auf dem Bildschirm? Mit einem Software-Button auf einem Bildschirm erreichst du niemals SIL3. Falls es ein physikalischer Button ist, dann kann dieser an eine Failsafe-PLC angeschlossen werden, welche über ProfiSafe mit einer abgesetzten EA-Einheit kommuniziert, an der du deinen Schütz für das Abschalten des Antriebs klemmst. Die Abgesetzte Einheit könnte z.B. ein ProfiSafe IP67 Modul sein. wendelsberg schrieb: > Reicht nicht wirklich. > Wenn da relativ grosse bewegte Massen im Spiel sind, musst Du schon noch > aktiv bis zum Stillstand bremsen und dann erst abschalten. Die Anlage muss aber damit klar kommen, dass im Fehlerfall einfach abgeschaltet wird. Denn genau das tut eine Failsafe-Steuerung. Sie schaltet bei einem auftretenden Fehler alle Ausänge aus.
Schreiber schrieb: > Das kann man beides kombinieren. Erst bekommen die Umrichter ben Befehl > zum Bremsen, über ein Zeitrelais wird dann verzögert die Stromversorgung > abgeschaltet. Dann muss das Zeitrelais + Ansteuerung + Umrichter SIL3 sein... Typischerweise wird über eine SIL3-Funktion der Antrieb stromlos geschalten und dann über eine mechanische Bremse gestoppt. Soll definiert heruntergefahren werden, dann ist die Drehzahl des Systems eine Größe, die Bestandteil der SIL3-Funktion ist. Sie müsste also nach SIL3 erfasst und verarbeitet werden.. Geht schon, aber ist aufwändig.
Was aber auch noch möglich ist, ist sehr schnelles Herunterfahren mit SIL1 und dann Stromlos schalten mit SIL3.. Aber Herunterfahren mit SIL3 ist m.E. hässlich aufwändig..
Müssen NOT-AUS Schalter ncith so konstruiert sein, dass bei Unterbrechung der Leitungen KEINE Gefahr besteht, also das Gerät mit unterbrochener Leitung nicht arbeiten darf?
Stefan U. schrieb: > Müssen NOT-AUS Schalter ncith so konstruiert sein, dass bei > Unterbrechung der Leitungen KEINE Gefahr besteht, also das Gerät mit > unterbrochener Leitung nicht arbeiten darf? Müssen sie ;-) Und daher auch die Feststellung, dass das mit einem Button auf einem Touch-Screen sowieso nichts wird. Meines Wissens muss bei für SIL3 der NOT-Aus sogar zweikanalig mit Querschlusserkennung ausgeführt werden.. Bin mir da aber nicht ganz sicher.
Stefan U. schrieb: > Müssen NOT-AUS Schalter ncith so konstruiert sein, dass bei > Unterbrechung der Leitungen KEINE Gefahr besteht, also das Gerät mit > unterbrochener Leitung nicht arbeiten darf? Ja nennt sich Ruhestromprinzip und soll der Leitungsbrucherkennung dienen. Wenn du es prüfen lassen musst, such mal nach dem Tool SISTEMA.
Ein sehr gutes deutschsprachiges Forum für solche Fragen ist dort zu finden: http://www.sps-forum.de/vde-iec-din/
Andreas M. schrieb: > Und was passiert wenn dein Not-Aus Gerät sich in der Software verhängt > und einfach weiter Telegramme schickt obwohl es das nicht soll? Und was > passiert wenn ein anderes Gerät im Netz diese Telegramme > fälschlicherweise versendet? Die Telegramme müssen natürlich fortlaufend nummeriert sein.
Torgen schrieb: > Mit welchen Komponenten von welchem Hersteller lässt sich das am > einfachsten realisieren? Hersteller Fa. HIMA oder Fa. SEW-EURODRIVE bieten Systemlösungen an. Die Liste der Anforderungen an ein solches System ist nicht trivial! Maschinenrichtlinie, EMV-Richtlinie, Anwendung IEC 61508, Anwendung der DIN EN 418, etc. pp. Die Lösungen existieren seit mehreren Jahren! Die oben genannten Kommunikationsprofile sind Beispiele mit Zertifikat. Mal eben selbst programmiert ist das definitiv nicht!
DiplIng(FH) schrieb: > Die Lösungen existieren seit mehreren Jahren! Das ist gut, der Thread war ja auch schon über ein Jahr tot.
Horst schrieb: > Das ist gut, der Thread war ja auch schon über ein Jahr tot. Ach schade, ich wollte gerade eine "Not-Aus-Äpp" vorschlagen. Bei Gefahr einfach App auf dem Handy starten, den roten Knopf auf dem Display drücken und warten, bis die Maschine stoppt. Schüttel ... Duck und weg ... ;-) Gruß Jobst
Handy-App ist zu einfach. Heute macht man das mit Windows XP. Beim Start der App kommt dann die Meldung "Der Computer muss wegen einem Update neu gestartet werden" (oder er macht es einfach). Dann folgt ein 30 Minuten langes Update und dann kann man die App nicht mehr starten, weil sie inkompatibel ist. Also zerschlägt man aus lauter Verzweifelung den Computer und die Racks im Server Raum. Aber die amok laufenden Maschinen laufen weiter, weil sie drahtlos von Amazons Rechenzentrum gesteuert werden. Du rufst also beim Verteidigungsminister an, er möge bitte sofort das lokale Rechenzentrum von Amazon wegbomben lassen, weil sonst 3000 Menschen sterben müssen. Doch der lacht dich nur aus, denn keiner der 3000 Menschen finanziert seinen Urlaub oder stellt ihm die geliebte Segeljacht zur verfügung. Die Geister die du riefst.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.