Hallo zusammen, wir bauen aktuell den Prototypen einer Messeinrichtung. Es werden Elektro-Zylinder von 0 bis 100mm mit 0,9mm/s aufgefahren. Damit der Benutzer sich nicht verletzten kann, befindet sich über den Zylindern eine Schutzabdeckung aus Plexiglas. Die Haube soll nur geöffnet werden können, wenn alle Zylinder in 0-Stellung sind (Verriegelt wird mit Magnetventilen). Zwar kenne ich die Position der Zylinder innerhalb der Software, um auf Nummer sicher zu gehen (Funktionale Sicherheit) will ich die Positionen aber mit Endschaltern abfragen (z.B. diese hier: https://www.reichelt.de/snap-action-mikroschalter-1x-um-simulierte-rolle-av-4044-j-p191404.html?&trstct=pos_12). Meine Frage: Welche Endschalter warf man für solche sicherheitskritischen Aufgaben nutzen? Dürfen es einfache Endschalter sein (die als Schließer fungieren um Probleme mit Drahtbrüchen zu umgehen) oder muss man da auf spezielle zurückgreifen? Meine Frage beruht darauf, dass man ja für solche Aufgaben auch keine normalen Relais nutzt, sonder sogenannte Sicherheitsrelais die zwangsgeführte Kontakte besitzen (nahezu kein verklemmen des Relais möglich).
Echte Sicherheit -> https://www.pilz.com/de-DE/produkte-loesungen/sensorik/sicherheitsschalter Fake-Sicherkeit -> https://www.reichelt.de/snap-action-mikroschalter-1x-um-simulierte-rolle-av-4044-j-p191404.html?&trstct=pos_12
Also kann man sagen, dass der gewählte Endschalter die Norm DIN ISO 14119 erfüllen soll um genutzt zu werden?
Für sicherheitskritische Anwendungen sollten auf jeden Fall Ausfallraten von Bausteinen mit untersucht werden und Möglichkeiten geschaffen werden, diese Ausfälle zu detektieren, bzw auf sie reagieren zu können. Im Automotive Bereich gibt es hier in der ISO26262 vorgeschriebene Verfahren welche man einsetzen kann, bzw einzusetzen hat. Ich kann mir vorstellen dass es ähnliche Normen auch in deinem Einsatzfeld gibt. Ein einfaches "Nimm diesen Baustein, dann ist alles gut" gibt es glaub ich nicht. Wichtig bei der generellen Betrachtung ist immer Fehlerschwere, Auftrittswahrscheinlichkeit und "Möglichkeit die Situation unter Kontrolle zu bringen". Hoffe das bringt dich irgendwie auf den richtigen Pfad. Grüße Martin
Martin K schrieb: > Hoffe das bringt dich irgendwie auf den richtigen Pfad. Danke! Das hilft mir schon mal etwas weiter. Ich finde es allerdings wirklich schwer sich mit diesem Thema auseinanderzusetzen. Also Neuling auf dem Gebiet der Produktentwicklung wird man wirklich mit Normen überschüttet...
In erster Linie halt darauf achten, daß ein Ausfall immer zur sicheren Seite hin abläuft. Sprich wenn der Schalter defekt sein sollte, dürfen die Antriebe gar nicht erst anlaufen können. Zweitens werden solche Schutzeinrichtungen von den Anwendern gerne manipuliert, um die Maschine hmmm sagen wir mal effizienter oder auf anderen Wegen nutzen zu können. Man sieht halt genauer was passiert, wenn man den Kopf auch in ein laufendes CNC-Bearbeitungszentrum hineinstecken kann.
Ben B. schrieb: > In erster Linie halt darauf achten, daß ein Ausfall immer zur sicheren > Seite hin abläuft. Sprich wenn der Schalter defekt sein sollte, dürfen > die Antriebe gar nicht erst anlaufen können. > > Zweitens werden solche Schutzeinrichtungen von den Anwendern gerne > manipuliert, um die Maschine hmmm sagen wir mal effizienter oder auf > anderen Wegen nutzen zu können. Man sieht halt genauer was passiert, > wenn man den Kopf auch in ein laufendes CNC-Bearbeitungszentrum > hineinstecken kann. Ja das waren auch meine Überlegungen! Wenn ich 5 Endschalter nutze die als Schließer fungieren und sie in Reihe anschließe, wird der Stromkreis nur geschlossen, wenn alle geschlossen (in 0-Stellung) sind. Erst dann hat das Magnetventil Spannung und öffnet sich. Geht ein schließer kaputt oder hat einen Drahtbruch, ist der Stromkreis bis zum Auswechseln geöffnet und die Haube ist geschlossen. Die Endschalter sind übrigens nicht zu erreichen durch den Benutzer. Jetzt überlege ich nur gerade, ob es möglich ist, dass ein defekter Endschalter dauerhaft leitet?
Bernd schrieb: > Jetzt überlege ich nur gerade, ob es möglich ist, dass ein defekter > Endschalter dauerhaft leitet? Hierfür könnte dir vielleicht das Stichwort FMEA helfen. Eine Methode um solche Dinge aufzudecken und zu analysieren.
Bernd schrieb: > Jetzt überlege ich nur gerade, ob es möglich ist, dass ein defekter > Endschalter dauerhaft leitet? Ja, indem er z.B. durch Umgebungsdreck in der geschlossenen Stellung klebenbleibt. Das kann die Software aber abfragen, also daß nur die Schalter geschlossen sein dürfen, die auch geschlossen sein sollen, und die anderen müssen offen sein. Schließlich kann ein Zylinder nichtin beiden Endpositionen zur selben Zeit sein. Damit verhindert man auch wirksam Anwender-Improvisationen wie Kurzschluß der Kabel. Möglich sind auch Kalibrier-Aktionen, daß die Maschine beim Einschalten im Selbsttest erstmal den Zylinder in beide Positionen fährt, die Schalter überprüft, aber ohne "gefährliche" weitere Funktionen zu veranlassen.
Martin K schrieb: > Hierfür könnte dir vielleicht das Stichwort FMEA helfen. Hört sich vielversprechend an. Auf den ersten Blick ist das natürlich ein ziemliches Schlagwort. Sprich: Ich denke das bedarf erheblicher Einarbeitungszeit (war ja irgendwie auch zu erwarten...)
Nop schrieb: > Möglich sind auch Kalibrier-Aktionen, daß die Maschine beim Einschalten > im Selbsttest erstmal den Zylinder in beide Positionen fährt, die > Schalter überprüft, aber ohne "gefährliche" weitere Funktionen zu > veranlassen. Super Idee, danke. Ist schon mal notiert!
Bei CNC-Bearbeitungszentren ist das oft so gelöst, daß diese Sicherheitsschleifen getestet werden müssen bevor irgendwelche Antriebe freigegeben werden. Die Tür muß z.B. einmal geöffnet und dann wieder geschlossen werden, vorher lässt sich nicht einmal die Hydraulik starten.
Normalerweise fängt man mit der Risikobeurteilung an (so steht's in der Maschinenrichtlinie): Wie groß ist das Risiko = f(Schadensschwere, Eintrittswahrscheinlichkeit) 1. Wie groß ist die Schadensschwere (Kratzer, Quetschung, Amputierung, Tod..) und 2. Wie groß ist die Eintrittswahrscheinlichkeit. Bei niedrigem Risiko (Kratzer & selten) ist auch ein Hinweisschild noch akzeptabel, bei hohem Risiko (Tod) sollte das System nach gängigen Safety Normen (ISO13849 oder IEC62061) entwickelt werden. Welche Kraft können denn die Elektro-Zylinder aufbringen?
Hallo,
ob ISO 26262 (automotive), IEC 61511 (Prozessindustrie) oder IEC 61508
(übergeordnete Norm) - alle Sicherheitsnormen schlagen ähnliche
Vorgehensweisen vor:
1.) Definition des zu untersuchenden Systems
2.) Überlegen, welche möglichen Gefährdungen von diesem System ausgehen
können und wie schwer die möglichen Schäden sind ("Schadensschwere S")
3.) Überlegen, wie häufig diese Gefährdungen möglich sind ("Exposition
E") und inwieweit sie durch den Menschen verhinderbar sind
("Kontrollierbarkeit C")
4.) Mit S, E und C bestimmen eines Kennwertes, der die Kritikalität der
Gefährdung charakterisiert (ASIL, SIL,...).
5.) Festlegen von Sicherheitsfunktionen, um die Gefährdungen
auszuschließen.
6.) Festlegen anhand der Kritikalität, wie diese Sicherheitsfunktionen
umzusetzen sind. Das betrifft sowohl die Entwicklungsmethodik (wie genau
muss das Anforderungsmanagement sein, welche Arbeitsschritte sind zu
tätigen,...) als auch konkrete Anforderungen an Ausfallraten der
Funktion und mögliche sichere Zustände.
7.) Technisches Design festlegen, mit dem die Sicherheitsfunktionen
umgesetzt werden.
8.) Implementieren der notwendigen Funktionalitäten (Hardware &
Software)
9.) Test der Implementierung gegen die Spezifikation (Verifikation)
10.) Test der Spezifizierung gegen die Realität, also ob die
Sicherheitsfunktionen die Gefährdung tatsächlich verhindern (Validation)
11.) Nachweis der Zuverlässigkeit der Sicherheitsfunktion (z.B.
Bestimmung der Fehlerraten der eingesetzten Elemente um eine
Gesamt-Ausfallrate der Sicherheitsfunktion zu bestimmen. Diese muss
kleiner als die normativ in 6) geforderten Kennwerte sein). Hier kommen
auch weitere Qualitätswerkzeuge wie FMEA, FMEDA, FTA, quantitative
Analysen,... zum Einsatz
12.) Dokumentation aller Schritte
Hinzu kommen noch normenspezifische Elemente wie das Review der
einzelnen Arbeitsergebnisse, weitere Prozessanforderungen, Anforderungen
an begleitende Prozesse,...
Vollständig ausgeführt kannst Du damit alleine ein kleines
Entwicklungsteam beschäftigen. Erschwerend kommt hinzu, dass die
entsprechenden verantwortlichen Entwickler ihre Kenntnisse auf dem
jeweiligen Gebiet (insbesondere auf dem Gebiet der funktionalen
Sicherheit) nachweisen müssen.
Es klingt jetzt leider nicht so als ob "ihr" genau wisst, wie damit
umzugehen ist. Auch ist - denke ich - illusorisch, dass ihr euch schnell
genug das entsprechende Wissen aneignen könnt.
Damit bleiben zwei mögliche Vorgehensweisen:
1.) Entweder das Wissen extern einkaufen
oder 2.) Sich zurückbesinnen, wozu das ganze dient: nämlich den Stand
von Wissenschaft und Technik einzuhalten, um kein höheres Risiko als die
anderen zu erzeugen und einzugehen.
Dazu ist es notwendig, die einschlägigen Normen (alle!) durchzuarbeiten
(eventuell gibt es eine Norm, die bestimmte Sicherheitseinrichtungen
oder Eigenschaften von diesen vorschreibt). Auch kann es sinnvoll sein,
sich anzuschauen, wie andere Firmen ähnliche Probleme gelöst haben (hast
Du ja schon zum Teil gemacht, indem Du Dir überlegt hast, dass
zusätzliche Endschalter sinnvoll sein könnten). Dann aber bitte so in
das Detail gehen, dass wirklich die andere Lösung "kopiert" und nicht
nur "nachgeahmt" wird - also z.B. die gleichen Komponenten verwenden.
Sonst könnte es sein, dass signifikant wichtige Eigenschaften der
existierenden Lösung nicht mitkopiert werden und damit die Lösung eben
nicht funktioniert (wie z.B. Sicherheitsschalter durch
Reichelt-Mikroschalter zu ersetzen und damit die Ausfallrate zu
potenzieren).
Speziell in Deinem Fall kann es aber auch tatsächlich Sinn machen, bei
der Analyse der Gefährdung einzusteigen um zu entscheiden, ob wirklich
weitere Maßnahmen notwendig sind. 0.9mm/s klingt bei einem geschulten
Bediener (der - da Prototyp - besser geschult sein sollte als der
normale Fließbandarbeiter) jetzt nicht so, als ob die Kontrollierbarkeit
besonders schlecht wäre. Die Exposition für Deine spezielle Gefährdung
ist auch nur sehr gering (Verriegelung der Abdeckung funktioniert auf
Grund einer falschen Positionsangabe der Zylinder nicht), so dass ggf
das Restrisiko so klein ist, dass entweder tatsächlich ganz einfache
Schalter oder sogar gar keine zusätzlichen Schalter notwendig sind (wenn
es die Normen zulassen).
Insgesamt leider ein hoch komplexes Thema, das vorzugsweise die
erfahrensten Entwickler betreuen sollten...
Ach ja: leider (bzw. natürlich) decken die hier vorgeschlagenen
konkreten Lösungen nur kleine Teilaspekte des Gesamtproblems ab (z.B.
Öffner statt Schließer -> Verringerung der Ausfallrate, Referenzfahrten
-> Verringerung der Latenzfehlerrate, Erhöhung der Diagnosefähigkeit).
Sich daraus ein Flickwerk zusammenzusetzen ist zwar besser als nichts,
könnte aber im Schadensfall als nicht ausreichend angesehen werden.
Schöne Grüße,
Martin
Marc schrieb: > Welche Kraft können denn die Elektro-Zylinder aufbringen? Die Zylinder können bis 2500N. dabei fahren sie mit zwischen 0,4-0,9mm/s Vorschub, also wirklich sehr langsam!
Martin L. schrieb: > Es klingt jetzt leider nicht so als ob "ihr" genau wisst, wie damit > umzugehen ist. Auch ist - denke ich - illusorisch, dass ihr euch schnell > genug das entsprechende Wissen aneignen könnt. Erstmal danke für die wirklich sehr ausführliche Antwort!! Wie erwähnt, haben wir einen Prototypen entwickelt. Das Ziel ist es, diesen möglichst schnell verkaufen zu können, d.h. erst mal drei weitere Exemplare davon. Um das zu erreichen muss ich mich also jetzt mit diesem Thema auseinandersetzen. Leider bin ich vorerst alleine mit diesem Thema beschäftigt und habe auch kaum Vorwissen auf diesem Gebiet. Du hast also recht, wir wissen noch nicht wie wir am besten damit umgehen... Es fängt ja schon damit an, dass wir kaum Normen hier haben und alle erst mal kaufen müssen (erscheint mir sehr teuer wenn man pro Norm um die 150€ zahlen muss). Martin L. schrieb: > 1.) Entweder das Wissen extern einkaufen Wäre natürlich eine Option, aber gefühlt wird das sicherlich sehr teuer? (Über 2000€ fände ich z.B. teuer)
Bernd schrieb: > Die Zylinder können bis 2500N. dabei fahren sie mit zwischen 0,4-0,9mm/s > Vorschub, also wirklich sehr langsam! Für eine mittelalterliche Folterkammer wäre das sicher ideal. Wenn Ihr aber schnell eine Lösung wollt, dann wendet Euch am besten an eine Firma Eurer Wahl, die diese Sicherheitskomponenten anbietet und lasst Euch beraten. Danach wird alles projektiert und zusammengebaut. Bei den Preisen sind sich die Firmen übrigens alle ziemlich einig.
Bernd schrieb: > Die Zylinder können bis 2500N. dabei fahren sie mit zwischen 0,4-0,9mm/s > Vorschub, also wirklich sehr langsam! Ok, 2500N ist 'ne Hausnummer. Allerdings ist 1mm/s ja lahm. Frage zur Schutzabdeckung (Plexiglas): Muss der Anwender die Abdeckung abnehmen? Also zur normalen Bedienung des Geräts? Wenn nein, ist doch alles paletti. Dann hast Du eine perfekte mechanische Schutzeinrichtung.
Bernd schrieb: > Das Ziel ist es, > diesen möglichst schnell verkaufen zu können, d.h. erst mal drei weitere > Exemplare davon. spätestens an dem punkt -> verkaufen des dings an andere - würde ich persönlich auch lieber jemanden dafür ins boot setzen, der weiß was er da tut. sonst wird das schnell ein böser boomerang..
Bernd schrieb: > Martin L. schrieb: >> Es klingt jetzt leider nicht so als ob "ihr" genau wisst, wie damit >> umzugehen ist. Auch ist - denke ich - illusorisch, dass ihr euch schnell >> genug das entsprechende Wissen aneignen könnt. > > Erstmal danke für die wirklich sehr ausführliche Antwort!! > > Wie erwähnt, haben wir einen Prototypen entwickelt. Das Ziel ist es, > diesen möglichst schnell verkaufen zu können, d.h. erst mal drei weitere > Exemplare davon. Um das zu erreichen muss ich mich also jetzt mit diesem > Thema auseinandersetzen. Leider bin ich vorerst alleine mit diesem Thema > beschäftigt und habe auch kaum Vorwissen auf diesem Gebiet. Du hast also > recht, wir wissen noch nicht wie wir am besten damit umgehen... Es fängt > ja schon damit an, dass wir kaum Normen hier haben und alle erst mal > kaufen müssen (erscheint mir sehr teuer wenn man pro Norm um die 150€ > zahlen muss). Eine der wichtigsten (wenn nicht die für Dich wichtigste) Norm dürfte die Maschinenrichtlinie sein, die unter http://maschinenrichtlinie.de/home/ kostenlos herunterzuladen ist. > Martin L. schrieb: >> 1.) Entweder das Wissen extern einkaufen > > Wäre natürlich eine Option, aber gefühlt wird das sicherlich sehr teuer? > (Über 2000€ fände ich z.B. teuer) Das letzte Mal das ich gefragt hab' wurden so rund 150,- die Stunde aufgerufen (das war 2012)... Wenn ich mir die Maschinenrichtlinie anschaue, dann werden die benötigten Sicherheitseinrichtungen im Kapitel 1.3.8 und 1.4 beschrieben. Bewegliche Teile müssen dabei mit "Trennenden" (also Einhausungen) oder "nicht trennenden" (z.B. Laser-Vorhänge) Schutzeinrichtungen gesichert werden. Dabei gilt: Bewegliche trennende Schutzeinrichtungen mit Verriegelung müssen so konstruiert sein, dass bei Fehlen oder Störung eines ihrer Bestandteile das Ingangsetzen gefährlicher Maschinenfunktionen verhindert wird oder diese stillgesetzt werden. Wenn ich mir Deine Aufgabe so ansehe, dann stellen sich mir ein paar Fragen: - Du willst die Schutzhaube verriegel und nur freigeben, wenn die Zylinder in Endposition sind. Ist das aus Sicherheitssicht notwendig? - Du traust Deiner Software nicht und willst deswegen mechanische Schalter zusätzlich. Prinzipiell o.k., aber kann eine Gefahr davon ausgehen, wenn die Zylinder "übersteuert" werden? Dann musst Du hier sowieso weitere Maßnahmen ergreifen (oder Deine Software/Steuergerät sicherheitsrelevant entwickeln). - Du denkst über mehrere Schließer in Reihe nach. Dient das der Redundanz oder sind 5 Zylinder zu überwachen? - Wie stellst Du sicher, dass die Maschine nicht mit offener Klappe in Betrieb genommen wird? Deine bisherigen Maßnahmen verhindern ja nur das Öffnen während des Betriebs. Dabei ist die letzte Frage eventuell die Entscheidende (auch im Hinblick auf die Aussage der Maschinenrichtlinie): Wenn Du sicherstellst, dass sich die Zylinder nicht bewegen können solange die Klappe offen ist, ist die Maschine sicher (wenn die erste Frage verneint werden kann). D.h. besser als ein Endschalter scheint mir ein Schalter für die Klappe zu sein, die die Energieversorgung der Zylinder bei offener Klappe trennt. Wenn es sich um Einzelstücke handelt, kann man dann Entwicklungskosten gegen Stückkosten tauschen und einfach alles redundant auslegen (z.B. zwei Schließer in Serie, die zwei Relais betätigen o.ä.). Die genaue Ausbildung hängt aber natürlich von der restlichen Steuerung ab. Und natürlich macht es auch Sinn, die Überwachungsfunktionen zu überwachen (diagnostizieren), also z.B. die Spannung nach jedem Schalter und jedem Relais in die Steuerung einzulesen und bei Unstimmigkeiten (einer auf, einer zu) die Maschine stillzulegen. Um abzuschätzen, wie gut die zusätzliche Sicherung sein muss, hab' ich nochmal in die IEC61508 (2002er-Stand, ich bin eher in der ISO 26262 zu hause) hineingeguckt. Dabei habe ich folgendes angenommen: - Schwere Verletzungen oder Tod von einer Person - Häufig im Gefahrenbereich (- worst case Annahme) - Kann auf die Gefahr reagieren (bei 0.9 mm/s sicherlich) - Geringe Wahrscheinlichkeit des unerwünschten Ereignisses (da von der Abdeckung, verriegelt durch Software, normalerweise verhindert) Dann kommt man auf ein SIL 1 für die zusätzliche Schutzeinrichtung (Deine Sicherheitsschalter). D.h. diese zusätzliche Schutzeinrichtung darf nur alle 10^5 bis 10^6 Stunden ausfallen. Die Ausfallraten von Schaltern und Relais sind dabei weniger von der Betriebsdauer als von der Anzahl der Schaltspiele abhängig. Wenn die Klappe also nur jeden Tag einmal geöffnet wird, so könnte je ein Mikroschalter und Relais reichen (saubere Umgebung vorausgesetzt). Wenn sie alle 10 Sekunden geöffnet werden wird man vermutlich die doppelte Redundanz von oben brauchen (inkl. der Diagnose). Aber auch da hängt es davon ab, ob man lieber "billige" Komponenten redundant oder teure Komponenten einfach einsetzt. So bin ich gerade zufällig über http://www.moeller.net/binary/bl_supplements/bl8896de.pdf gestolpert, in dem spezielle Sicherheitsschalter/-relais aufgeführt sind, die je nachdem Deine Anforderungen locker erfüllen sollten (z.B. Positionsschalter LS-11 als Öffner mit Relais ESR5-NO-41-24VAC-DC bzw. einem der Halbleiter-Relais bei häufiger Betätigung). Das Hauptproblem dürfte aber die Dokumentation inkl. dem Kenntnisnachweis bleiben. Das stört solange nicht, bis etwas passiert, dann ist aber der verantwortliche Entwickler ggf. in der persönlichen Haftung (wenn er seine Bedenken nicht nachweisbar seinem Arbeitgeber kundgetan hat). Aus diesem Grund auch der Disclaimer: Die hier gegebenen Hinweise sind nur als solche zu verstehen und nicht als ausgearbeitetes Sicherheitskonzept... Schöne Grüße, Martin
Ich kann mich nur nochmal bedanken für deine ausführlichen Antworten!! Martin L. schrieb: > - Du willst die Schutzhaube verriegel und nur freigeben, wenn die > Zylinder in Endposition sind. Ist das aus Sicherheitssicht notwendig? > - Du denkst über mehrere Schließer in Reihe nach. Dient das der > Redundanz oder sind 5 Zylinder zu überwachen? > - Wie stellst Du sicher, dass die Maschine nicht mit offener Klappe in > Betrieb genommen wird? Deine bisherigen Maßnahmen verhindern ja nur das > Öffnen während des Betriebs. > > Dabei ist die letzte Frage eventuell die Entscheidende (auch im Hinblick > auf die Aussage der Maschinenrichtlinie): Wenn Du sicherstellst, dass > sich die Zylinder nicht bewegen können solange die Klappe offen ist, ist > die Maschine sicher (wenn die erste Frage verneint werden kann). > > D.h. besser als ein Endschalter scheint mir ein Schalter für die Klappe > zu sein, die die Energieversorgung der Zylinder bei offener Klappe > trennt. Also ursprünglich hatte ich gedacht meine grobe Beschreibung der Anlage reicht aus um die Endschalterproblematik zu klären, daher hatte ich nicht alle Details genannt. Der Ablauf ist folgender: Es stehen 5 Elektrozylinder parallel horizontal nebeneinander in dem Messaufbau. Es sollen 5 unabhängige Kraft-Weg-Diagramme erzeugt werden. Dazu drückt jeder Zylinder bei Start des Messprogramms (Python Programm auf embedded system) einen Prüfkörper auf. Dieser Prüfkörper ist aus Stahl und verformt sich (Plasitizität und Elastizität wird im Kraft-Weg-Diagramm protokolliert). An der gewünschten Position angekommen hält der Zylinder diese für einige Stunden und fährt dann wieder zurück. WICHTIG: Die Ringe können auf dem Weg oder nach einiger Zeit brechen, dabei können Splitter entstehen. Bei unseren Tests habe ich auch Splitter abbekommen, diese sind nicht wirklich Schmerzhaft aber dennoch könnte man ja unter sehr ungünstigen Umständen etwas ins Auge bekommen. Daher die Schutzabdeckung! Es gibt aus meiner Sicht also zwei große Gefahren: 1. die beweglichen Motoren können die Finger vom Benutzer quetschen (obwohl sie wirklich sehr langsam sind) --> wird durch die Schutzhaube verhindert. Wenn die Haube geschlossen ist werden zwei Endschalter betätigt und Magnetventile stromlos geschaltet (von NAFSA: https://www.nafsa-magnettechnik.de/produkte/elektrische-verriegelungsmagnete/cu20cp/). Im stromlosen Zustand verriegeln diese (schützt auch bei Stromausfall). Ein Sicherheitsrelais von WAGO schaltet dann alle Motoren stromlos. Zusätzlich kann die Software das erfassen und anzeigen. Soll die Klappe geöffnet werden muss der Benutzer einen Schalter drücken (dieser schaltet auch alle Motoren stromlos). 2. die Prüfkörper können reißen und splittern --> wird durch die Schutzhaube verhindert. Diese kann nur geöffnet werden, wenn alle Zylinder in 0-Stellung sind (dann wirkt keine Kraft auf Prüfkörper). Dies soll durch die Software erfüllt werden (Wenn alle Kraftsensoren 0N liefern, herrscht keine Gefahr) Zusätzlich sollen hier die Endschalter Sicherheit bringen. (Alternative Idee: Wenn alle Sensoren 4mA liefern herrscht keine Kraft... könnte man auch abfragen mit Grenzwertschaltern?) > - Du traust Deiner Software nicht und willst deswegen mechanische > Schalter zusätzlich. Prinzipiell o.k., aber kann eine Gefahr davon > ausgehen, wenn die Zylinder "übersteuert" werden? Dann musst Du hier > sowieso weitere Maßnahmen ergreifen (oder Deine Software/Steuergerät > sicherheitsrelevant entwickeln). ich traue der Software auf jeden Fall, jedoch habe ich noch aus der Ausbildung im Kopf, dass man zusätzlich noch Hardwarelösungen nutzen sollte? Nach dem Motto doppelt hält besser ;) > Die Ausfallraten von Schaltern und Relais sind dabei weniger von der > Betriebsdauer als von der Anzahl der Schaltspiele abhängig. Wenn die > Klappe also nur jeden Tag einmal geöffnet wird, so könnte je ein > Mikroschalter und Relais reichen (saubere Umgebung vorausgesetzt). Wenn > sie alle 10 Sekunden geöffnet werden wird man vermutlich die doppelte > Redundanz von oben brauchen (inkl. der Diagnose). Diesbezüglich würde ich sagen, dass die Klappe zwischen 1 und 5 Mal am Tag geöffnet wird. > Aber auch da hängt es davon ab, ob man lieber "billige" Komponenten > redundant oder teure Komponenten einfach einsetzt. So bin ich gerade > zufällig über http://www.moeller.net/binary/bl_supplements/bl8896de.pdf > gestolpert Macht einen guten Eindruck, die könnte ich als Endschalter der Abdeckhaube nehmen!
Bernd schrieb: > 1. die beweglichen Motoren können die Finger vom Benutzer quetschen > (obwohl sie wirklich sehr langsam sind) --> wird durch die Schutzhaube > verhindert. Wenn die Haube geschlossen ist werden zwei Endschalter > betätigt und Magnetventile stromlos geschaltet (von NAFSA: > https://www.nafsa-magnettechnik.de/produkte/elektrische-verriegelungsmagnete/cu20cp/). > Im stromlosen Zustand verriegeln diese (schützt auch bei Stromausfall). > Ein Sicherheitsrelais von WAGO schaltet dann alle Motoren stromlos. > Zusätzlich kann die Software das erfassen und anzeigen. Soll die Klappe > geöffnet werden muss der Benutzer einen Schalter drücken (dieser > schaltet auch alle Motoren stromlos). Ich nehme an, dass das WAGO-Relais die Motore stromlos schaltet, wenn die Endschalter eine offene Klappe anzeigen? Dann wäre das ja ziemlich genau der Aufbau aus meinem letzten Beitrag ;-) > 2. die Prüfkörper können reißen und splittern --> wird durch die > Schutzhaube verhindert. Diese kann nur geöffnet werden, wenn alle > Zylinder in 0-Stellung sind (dann wirkt keine Kraft auf Prüfkörper). > Dies soll durch die Software erfüllt werden (Wenn alle Kraftsensoren 0N > liefern, herrscht keine Gefahr) Zusätzlich sollen hier die Endschalter > Sicherheit bringen. (Alternative Idee: Wenn alle Sensoren 4mA liefern > herrscht keine Kraft... könnte man auch abfragen mit > Grenzwertschaltern?) Hier lässt sich dann tatsächlich alles mögliche denken: zusätzliche Endschalter, eine reine Softwarelösung oder Benutzung der Kraftsensoren mit diskret-elektrischer Auswertung des Signals. Was genommen werden kann hängt davon ab, welche Ausfallraten erreichbar sind (wie hoch sind z.B. die Ausfallraten der Sensoren - Fehlerfall Stuck at 4mA?) >> - Du traust Deiner Software nicht und willst deswegen mechanische >> Schalter zusätzlich. Prinzipiell o.k., aber kann eine Gefahr davon >> ausgehen, wenn die Zylinder "übersteuert" werden? Dann musst Du hier >> sowieso weitere Maßnahmen ergreifen (oder Deine Software/Steuergerät >> sicherheitsrelevant entwickeln). > > ich traue der Software auf jeden Fall, jedoch habe ich noch aus der > Ausbildung im Kopf, dass man zusätzlich noch Hardwarelösungen nutzen > sollte? Nach dem Motto doppelt hält besser ;) Jein - Software/Steuergeräte kann man durchaus so entwickeln, dass man davon hunderte von Leben abhängig machen kann. Bei einem einzelnen Leben (z.B. SIL 1 wie oben) hält sich der Aufwand sogar noch einigermaßen in Grenzen. Allerdings muss man wissen, worauf alles zu achten ist (Stichpunkte: RAM/Rom-Überwachung, z.B. durch ECC, Instruction Set Test, Programm-Ablaufkontrolle, Stack-Überwachung, externer (intelligenter) Watchdog mit Frage-Antwort-Kommunikation, ausreichende Diagnosemöglichkeiten, redundante Aktorik,...). Daher kann es einfacher sein, einen diskreten Sicherheitspfad aufzubauen. Wenn ich Deinen Aufbau richtig verstanden habe, würde es sich hier doch tatsächlich anbieten, in die Aktuierung der Verriegelung 5 Zylinder-Endlagenschalter in Serie einzubinden. Wenn man dafür Schalter mit Ausfallraten wie die oben genannten nimmt, sollte man dem Stand der Technik genügen. Das Auswerten der Kraftmessdosen könnte schwieriger werden, da ja nicht nur auf eine Grenze geprüft werden darf, sondern auf ein "Fenster" um 4mA herum (um eine Leitungsunterbrechung nicht als "kraftfrei" zu erkennen). Jedenfalls wünsche ich Dir viel Erfolg. Und überlege Dir tatsächlich, ob Du den finalen Aufbau nicht von einem der üblichen Verdächtigen (TÜV, SGS,...) überprüfen lassen kannst (auch wenn es vermutlich mehr als 2000,- Euro kosten dürfte). Die übernehmen zwar keine Haftung, aber das Überprüfen als solches und ein "O.K." könnten im Schadensfall sehr hilfreich sein, um nachzuweisen, dass du nicht fahrlässig gehandelt und den Stand von Wissenschaft und Technik eingehalten hast. Schöne Grüße, Martin
Martin L. schrieb: > Und überlege Dir tatsächlich, ob > Du den finalen Aufbau nicht von einem der üblichen Verdächtigen (TÜV, > SGS,...) überprüfen lassen kannst (auch wenn es vermutlich mehr als > 2000,- Euro kosten dürfte). Wir haben jetzt die Zertifizierung einer Prüfanlage (mit Roboter durch) und das CE erhalten. Aus dieser Erfahrung heraus kann ich sagen: Keine Bastellösungen. Einfach von der Stange weg kaufen (Pilz ist eine hervorragende Adresse dafür). Es gibt fertige Schutzabdeckungsverriegelungen, die die Sicherheitsnormen erfüllen, es gibt Sicherheits-Endschalter und es gibt Sicherheits-Schaltgeräte, die das ganze auswerten, um locker die notwendige Sicherheit zu gewährleisten. Das was diese Komponenten teurer sind, spielt sich ganz schnell bei der Gefahrenanalyse wieder rein. Sieht der Sachverständige "Ahh, Fertigteil, Datenblatt, passt", dann beschäftigt er sich nicht mehr weiter damit. Er prüft dann nurnoch, ob die Abschalteinrichtungen funktionen. Wichtig ist, dass alles haarklein dokumentiert sein muss (Stromlaufpläne, Schaltpläne, Pneumatikpläne u.s.w.u.s.f.). Die Abnahme der Anlage hat runde 3000 Euro gekostet. Klingt viel? Isses nicht. Ein (schwerverletzter) Bediener kostet das 5-10-fache. Viel wichter ist auch für DICH, vor allem als Laie: FINGER WEG VON GEFÄHRDUNGSBEURTEILUNGEN! Und lass dich bloß nicht zu einem Seminar überreden! Das Problem ist: Sobald Du irgendwas unterschreibst, zieht sich dein Chef ganz schnell aus der Verantwortung. Kostendruck kann Dich schnell zwingen, Kompromisse einzugehen, die zum Boomerang werden. Es kann Dir sch**** egal sein, wie teuer es ist, sowas "richtig" zu machen, denn DEIN Chef haftet. Wenn er das nicht will, braucht es externe. Wir hatten hier erst einen schweren Arbeitsunfall, bei dem eine Hand abgetrennt wurde. Die Staatsanwaltschaft stellte im Ermittlungsverfahren fest, dass der Schichtleiter zum Schichtbeginn nicht alle Geräte auf ordungsmäßigkeit kontrolliert hat. Das ist vollkommen utopisch aber so schnell steckt man in der Haftungsfalle. Das Verfahren ist anhängig - mal sehen, wie's ausgeht. Verurteilt wird aber er, und nicht sein Chef, und nicht seine Firma.
Hi Ich habe jetzt nicht alles gelesen, aber bei uns wurden an Maschinen teilweise Schalter mit Wechslerkontakten verwendet. Damit hättest Du einerseits Drahtbruchsicherung und hängenbleibende Kontakte detektiert. Welche Schalter dafür geeignet sind weiss ich nicht. MfG
Martin L. schrieb: > Jedenfalls wünsche ich Dir viel Erfolg. Und überlege Dir tatsächlich, ob > Du den finalen Aufbau nicht von einem der üblichen Verdächtigen (TÜV, > SGS,...) überprüfen lassen kannst (auch wenn es vermutlich mehr als > 2000,- Euro kosten dürfte). Die übernehmen zwar keine Haftung, aber das > Überprüfen als solches und ein "O.K." könnten im Schadensfall sehr > hilfreich sein, um nachzuweisen, dass du nicht fahrlässig gehandelt und > den Stand von Wissenschaft und Technik eingehalten hast. Ich wünsche es dir auch...und unsere Kunden z.B. akzeptieren überhaupt nichts, was nicht weltweit zertifiziert ist...Prototypen und Versuchsanlagen mal ausgenommen. Und auch da könntest du mit keiner Schutzklappe kommen, die nicht zuverlässig das tut, was sie soll! (Ja, hört sich bombastisch an...aber...) Und wie schon von anderen gesagt, Haftungen im Schadensfall, zumal bei "Personenschäden", kosten richtig viel Geld und manchmal auch mehr. Dir selbst sollte auch ganz klar sein, wann und wofür du persönlich für irgendwas haften müßtest! Chefs sind da manchmal recht schmerzlos in ihren Ansichten, nicht nur in kleineren Firmen. Ein Protokoll, in dem du bei einem uneinsichtigen Chef deine Bedenken bezüglich Sicherheit darlegst, kann manchmal Wunder bewirken. Wir hatten in der Anfangszeit unserer Firma unsere Platinen selbst produziert und eine Menge Chemikalien angesammelt. Nachdem ich die GL schriftlich darauf hingewiesen habe, was ein fehlender Entsorgungsnachweis für schmerzliche Konsequenzen haben könnte, wurde kurzerhand eine Entsogungsfirma (für höllisch) viel Geld beauftragt und die Platinenfertigung ausgelagert. Gruß Rainer
Martin S. schrieb: > Wir hatten hier erst einen schweren Arbeitsunfall, bei dem eine Hand > abgetrennt wurde. Die Staatsanwaltschaft stellte im Ermittlungsverfahren > fest, dass der Schichtleiter zum Schichtbeginn [irgendwie] nicht alle > Geräte auf [irgendeine] ordungsmäßigkeit kontrolliert hat. > Das ist vollkommen utopisch aber so schnell steckt man in der Haftungsfalle. wenn ihr eine derartige Unsicherkeitskulturt in eurem Betrieb hab, dass sogar die Staatsanwaltschaft kein bestimmtes Gerät feststellen konnte und lediglich unbestimmt über "nicht alle" fest- bzw. weichstellen konnte, dann sind utopische Folgen wie aus Fake-book natürlich unvermeidlich. Mit etwas Geld um bei einer VHS einen Computerführerschein für sicheres informieren im Internet zu erwerben könntest du erfahren: *Staatsanwalt*: ermittelt in Straf sachen bspw. Verdacht auf Straftat "fahrlässige Körperverletzung" --> - Objektiver Verstoß gegen Sorgfaltspflichten? hat der Schichtleiter objektiv sorgfaltswidrig gehandelt und war der Eintritt des Unfalls für den Schichtleiter vorhersehbar? - Pflichtwidrigkeits zusammenhang gegeben? wäre der Unfall, der zur Verletzung geführt hat, ausgeblieben wenn sich der Schichtleiter pflichtgemäß verhalten hätte? --> wenn eure gefühlte Staatsanwaltschaft nur irgendwie "nicht alle" Geräte festgestellt hat, dann wird der Zusammenhang sicher zu lose. *BG*: (eine Pflichtversicherung) haftet für die finanziell bezahlbaren Folgen des Opfer und kann bei grob fahrlässigen Verhalten Regress beim Betrieb nehmen. U.U. hat bei euch der Flurfunk eine vergessene Betriebshaftlichtversicherung, die praktisch eine "Haftungsfalle" für so einen bunten Betrieb sein kann, im sozialen-Post-Verfahren eine Wanderung zum Schichtleiter übernommen, aber wenn du beim Thema Sicherheit einfach alles aus Fake-book/Flurfunk oder ähnlichen Quellen weitertratscht, dann fördert das weiter Unsicherheit. Sorry für die direkten Worte auf deine Fake-Story, ein Unfall könnte wohl passiert sein, aber wenn du noch nicht weißt durch welches Gerät, dann könnte dich das auch von selbst stutzig gemacht haben.
Dirk B. schrieb: > Sorry für die direkten Worte auf deine Fake-Story, ein Unfall könnte > wohl passiert sein, aber wenn du noch nicht weißt durch welches Gerät, > dann könnte dich das auch von selbst stutzig gemacht haben. "Sorry" für die direkten Worte, aber was laberst du?
Martin S. schrieb: > Dirk B. schrieb: >> Sorry für die direkten Worte auf deine Fake-Story, ein Unfall könnte >> wohl passiert sein, aber wenn du noch nicht weißt durch welches Gerät, >> dann könnte dich das auch von selbst stutzig gemacht haben. > > "Sorry" für die direkten Worte, aber was _laberst_ > du [aktuell aus meinem Computer, obwohl Dirk Sätze > geschrieben hat] ? wenn bei dir die Sicherungseinrichtungen so derart sabotiert wurden, dass du Geräusche/Gelaber anstelle von bereits geschrieben Sätzen empfangen hast und du dann hilflos einen Fremden danach fragen musstet "was" bei dir gelabert wurde, dann könnten natürlich die Grundlagen für die Teilnahme an einem VHS-Kurs fehlen und du musst weiterhin Fake-Stories wie die des Staatsanwalt der festgestellt hätte es wären irgendwie nicht alle Geräte überprüft worden und weil der STRAFrechtlich verfolgende Staatsanwalt kein bestimmtes Gerät das einen Unfall verursacht haben könnte identifizieren konnte säße der Schichtleiter in einer ZIVILrechtlichen "Haftungsfalle" Falls du Erwachsene in deinem persönlichen Umfeld hast die auch direkt mit dir sprechen wenn du keine fremden Texte lesen und beantworten darfst, dann kannst du die auch direkt fragen ob sie dir die den Unterschied Haftung(Zivilrecht) Strafe(Strafrecht)u.U. und einige weitere Punkte erklären die sehr einfach deine Story als Fake belegen. Wenn du niemand in deinem Umfeld hast der dir helfen kann, dann musst du wohl wieder mich um Hilfe bitten oder einfach deine Story glauben.
Martin S. schrieb: > [Ich hatte keine gesundheitliche Kraft den Text > selber zu beantworten[ Sag mal bist du betrunken? da du schon wieder nicht ohne meine Hilfe antworten konntest, hat sich wohl die Frage ob du eigenständig Fakes erkennen kannst erledigt und du musst weiterhin deine Story glauben Natürlich bin ich nicht betrunken weil du keine Wörter selber beantworten kannst, aber das kann dir wohl wirklich nur jemand mit abgeschlossenem Grundschulstudium direkt bei dir erklären. Falls du einmal einen Internetführerschein machen solltest oder die Buch/Text-Technologie etwas erlernst, dann kannst du vielleicht zukünftig Texte lesen und beantworten und bist nicht mehr auf Unterstützung angewiesen.
Martin L. schrieb: > Ich nehme an, dass das WAGO-Relais die Motore stromlos schaltet, wenn > die Endschalter eine offene Klappe anzeigen? Dann wäre das ja ziemlich > genau der Aufbau aus meinem letzten Beitrag ;-) Ja genau, so ist es :) Martin L. schrieb: > Jedenfalls wünsche ich Dir viel Erfolg. Vielen Dank! Ich werde ich den kommenden Wochen alle Möglichkeiten abschätzen!
Dirk B. schrieb: > Martin S. schrieb: >> [Ich hatte keine gesundheitliche Kraft den Text >> selber zu beantworten[ Sag mal bist du betrunken? > da [bla bla bla] Hilfe [bla bla bla] Frage [bla bla bla] Natürlich bin ich > [bla bla bla] betrunken [bla bla bla] wirklich [bla bla bla] erklären. > [bla bla bla] Internetführerschein [bla bla bla] Unterstützung [bla bla > bla] Sorry, aber ich les nur [bla bla bla]. Obwohl; eigentlich ist es [lall lall lall] ;-)
Martin S. schrieb: > Sorry, aber ich les nur [bla bla bla]. Obwohl; eigentlich ist es [lall > lall lall] für ein derartiges lesen musst du dich nicht entschuldigen, du hast bereits vorher geschrieben, dass du nicht wie ältere Menschen bspw. Schüler Zivilrecht (bspw.Haftung, wird von jur. Personen ggf. 'verfolgt ) und Strafrecht (wird ggf. staatlich bspw. mit Hilfe eines Staatsanwalt verfolgt) unterscheiden kannst und von einer "Haftungsfalle" berichtet: Martin S. schrieb: > Wir hatten hier erst einen schweren Arbeitsunfall, bei dem eine Hand > abgetrennt wurde. Die Staatsanwaltschaft stellte im Ermittlungsverfahren > fest, dass der Schichtleiter zum Schichtbeginn [irgendwie] nicht alle > Geräte auf [irgendeine] ordungsmäßigkeit kontrolliert hat. > Das ist vollkommen utopisch aber so schnell steckt man in der Haftungsfalle. ... immerhin musstest du nicht wieder eine Frage basteln. Erwachsen wüssten, dass eine Entschuldigung für folgenlose interne Tätigkeiten bspw. ähnlich einem Betrunkenen "lall lall lall" oder einem Trotzkind "Bla bla bla" lesen, sinnlos wäre, aber du bist wohl psychisch dazu gezwungen deine spezielle Lesetätigkeit in sozialen Medien zu posten. Da ist es kein Wunder, dass du die Fake-Story über eine sog. "Haftungsfalle" auch unkontrolliert gepostest hat. Wenn du Sicherheitschecks ähnlich wie Fake-checks lesen musst, dann bist du ein sicheres Sicherheitsproblem und am Ende muss dein Chef bzw. dessen Betriebshaftplichtversicherung für deine verursachten Schäden aufkommen, weil du wieder nur "Bla Bla Bla" lesen konntest. Martin S. schrieb: > ;-) das heißt vermutlich du bist glücklich wenn du nur [bla bla bla] lesen kannst und noch nicht mit belastenden Fakten/real geschrieben Worten belastet wirst. Zumindest erklärt das dein Bedürfnis die Fake-Story zu veröffentlichen.
Bernd schrieb: > Vielen Dank! Ich werde ich den kommenden Wochen alle Möglichkeiten > abschätzen! Ja, Bernd, das solltest du und gut! Gruß Rainer
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.