Unsere SiFa will unsichere Eingänge mit Safety-SPS sicherheitsrelevant auswerten

ANZEIGE
Werbung auf Sifaboard
  • Hallo,


    ich habe ein Problem mit unserer betriebseigenen Auslegung unserer sicheren Programmierung von Maschinen. Ich hoffe wir verstoßen damit nicht gegen geltende Verordnungen. Vielleicht könnt ihr mir weiterhelfen.
    Wir haben einen Industrieroboter bei dem mehrere Greifer zum Einsatz kommen. Da der Durchschlagschutz des Schutzzauns im Worst Case nicht gegeben ist, kommt eine sichere Variante des Industrieroboters zum Einsatz.


    Da die verschiedenen Greifer teils unterschiedliche Geometrien aufweisen, werden diese vermessen und in der Sicherheits-SW des Roboters als Räume verwaltet.
    Da der Roboter keine eigene Sicherheits-SPS hat, muss eine externe Sicherheits-SPS der Robotersteuerung über sichere Eingänge mitteilen, welcher Greifer sich tatsächlich am Roboterflansch befindet. Das ist technisch soweit umgesetzt.


    Die Sicherheits-SPS benötigt noch die Information, welcher Greifer sich tatsächlich am Roboterflansch befindet?
    In der Regel kommt hier eine einfache 16bit Kodierung, die mit Kontakten abgefragt wird zum Einsatz, also:


    Code
    0000 0001 = Greifer 1
    0000 0010 = Greifer 2
    0001 0000 = Greifer 16 u.s.w


    Das Problem ist nun, dass unsere neue Sicherheitsfachkraft es bei der Auswertung der "unsicheren" Kodierung belassen will, weil er dass für ausreichend hält, ich aber meine Bedenken habe. Und die Kommunikation mit ihm ist schwierig, wie ihr an den Emails unten sehen könnt. Da brauchen wir am besten stichhaltige Argumente.
    Diese Kodierung ist nach meiner Meinung deshalb nicht "sicher", weil wenn z.B. wenn ein Bit ausfällt, könnte ein anderer Greifer mit einer anderen Geometrie an die Robotersteuerung übermittelt werden. Dies könnte bei einem Worst Case fatale Folgen haben, die doch eigentlich mit der Sicherheits-SW abgesichert werden sollen.
    Meine Frage ist nun, ist das nach den Sicherheitsbestimmungen überhaupt erlaubt?


    Nun, im Grunde geht es mich ja nichts an, Ich schreibe nicht das SPS-Programm und ich erstelle auch nicht die Risikobeurteilung in unserem Betrieb. Ich habe nur meine Bedenken zum Ausdruck gegeben.
    Allerdings viel der Emailverkehr nicht so konstruktiv aus, was die Sache leider nicht einfacher macht. Deshalb hänge ich den Emailverkehr an das Posting an:




    Dazu schrieb ich:

    Zitat

    Im Prinzip möglich. Da habe ich aber ein Frage: Wie wird dann eine Fehlkodierung z.B. aufgrund eines Defektes verhindert?


    Erläuterung:
    1100 = 12
    1101 = 13 -> 110X = 12


    Letztes PIN hat kein Kontakt, es wird statt Code 13, Code 12 erkannt, somit der falsche Greifer.


    Dazu kam folgende Mail von unserer Sicherheitsfachkraft:


    Dazu schrieb ich:

    Zitat

    Doch genau dafür gibt es doch sichere Signale! Wenn wir diese nicht nehmen stellt sich für mich die Frage wie wir eben so eine Fehlkodierung verhindern, die du selber oben beschreibst.
    Das würde doch sonst das ganze sichere System in Frage stellen. Entweder ist es "sicher" oder nicht. Und sollten die Greifer keine Gefahr darstellen, so brauchen wir auch keine sichere Software, oder?
    Wenn du es so in der Risikobeurteilung verantworten kannst ist das deine Sache. Ich werde meine Bedenken aber auf dem Protokoll vermerken, das ich unterschreibe, wenn dem so sei.
    Ich sehe es aber als meine Pflicht Bedenken anzumelden.


    Dazu kam wiederum folgende Mail von unserer Sicherheitsfachkraft:


    Was meint ihr dazu? Ist es OK wenn die Greifercodierung nicht "sicher" ausgewertes wird? Ist das Sache der Risikobeurteilung, kann es hier Ausnahmen geben?



    Vielen Dank im Voraus
    Martin

    Einmal editiert, zuletzt von Angst Hase () aus folgendem Grund: Bilderquelle aktualisiert

  • ANZEIGE
  • Moin Martin,


    hier auf der Sifa-Page gibt es wahrscheinlich nicht den Hintergrund, damit die Sachen der Programmierung verstehen werden können.


    Doch gehen wir es einmal ganz allgemein an:


    Du hast Bedenken. Ok. Dazu gibt es bei dir Gedankengänge, die Gefahren sehen. Auch gut. Jeder, der einen industriellen Elektrobackground hat, weiss das Roboter, respektive Servoantrieb, Jedermann killen können. Hier ist also Vorsicht angesagt, völlig richtig.


    Auf die Gedankengänge des Programmierers möchte ich nicht eingehen. Ich würde den Bewegungsraum des Roboters betrachten. Kann der irgendwen erreichen? Damit meine ich nicht nur mittels Arm, aus einer Bewegung heraus, sondern auch mit einem Werkzeug oder einem Werkstück. Das verlängert den Bewegungsradius. Ist das Ding eingezäunt? Ob jetzt rein mechanisch oder elektrisch, egal. Wird dieser Schutzzaun verletzt, wie macht euer Robi seine Vollbremsung? Hat er evtl. solche Massen zu stoppen, dass er sich dann selber zerlegt? Können die Teile sicher aufgefangen werden?


    Und einen Schritt zurück: Wie schnell ist das System und die Steuerung für einen Nothalt? Sind die Anweisungsschleifen direkt programmiert? Schnell genug? Gibt es neben der Software zusätzliche Sicherheitssysteme, die evtl. den Leistungsteil abschalten und zusätzlich eine Vollbremsung einleiten können?


    Der Programmierer macht immer eine Gratwanderung. Er soll ein funktionables System bauen, das nicht störanfällig ist, leicht zu bedienen ist, servicefreundlich, ..., usw. Gleichzeitig scheint der Programmierer aber auch SiFa zu sein. Damit besitzt er eigentlich die seltene Eigenschaft das als Ganzes zu sehen. Also nicht nur wirtschaftlich, sondern auch sicherheitstechnisch.


    Das alles sind Anmerkungen, die ich aus der Ferne machen kann. Ich kenne das/euer System nicht. Versucht zusammen zu arbeiten. Vielleicht ist euch ja auch wohler, wenn ihr zusätzlich einige Informationen verarbeiten könnt. Z.B. Zuordnung der Greifer im Quellcode nicht nur über einfache Binärabfragen (ein Kontakt kann auch einmal einen Defekt haben) sondern dazu ein eindeutiges Merkmal (NFC-Aufkleber mit Abfrage? Oder mind. zwei Eingänge für jedes Werkzeug, die eine höhere Zahl ergeben könnten = Ausfallsicherheit.).


    Viel Erfolg.

    .
    .
    .
    ... viele Grüße vom Waldmann.





    "Et kütt, wie et kütt."
    (kölsche Zuversicht)

    2 Mal editiert, zuletzt von Waldmann ()

  • Hallo Waldmann,


    danke für deine Antwort und deine Lösungsvorschläge.
    Nun es ist so, dass wir schon einige Ideen haben, die auch plausibel erscheinen. Auch haben wir einige Möglichkeiten die Greifer plausibel abzufragen, damit ein Drahtbruch nicht zu einen Worst Case führen kann. Technisch sehe ich da keine Probleme.
    Hat aber alles keinen Sinn weil unserer SiFa hier anderer Meinung ist.


    Ich würde den Bewegungsraum des Roboters betrachten. Kann der irgendwen erreichen? Damit meine ich nicht nur mittels Arm, aus einer Bewegung heraus, sondern auch mit einem Werkzeug oder einem Werkstück. Das verlängert den Bewegungsradius. Ist das Ding eingezäunt? Ob jetzt rein mechanisch oder elektrisch, egal. Wird dieser Schutzzaun verletzt, wie macht euer Robi seine Vollbremsung? Hat er evtl. solche Massen zu stoppen, dass er sich dann selber zerlegt? Können die Teile sicher aufgefangen werden?


    Wie schon geschrieben kommt ein sicherer Roboter zum Einsatz und es müssen verschiedene Greiferräume berücksichtigt werden. Der Grund, der Roboter könnte im Worst Case mit einem seiner Greifer den Schutzzaun durchschlagen und den Werker treffen der dahinter arbeitet.
    Das steht ja schon von vorn hinein fest, dass wir so eine Absicherung brauchen! Sonst hätten wir ja nicht für tausende Euros diese sichere Option bestellt.


    Habe mal folgendes Bild aus dem bgi5123.pdf hier angehängt:


    Es geht hier um den rot eingezeichneten Arbeitsplatz der mit der Sicheren SW zu schützen ist.


    – ein ausreichender Abstand des Roboters zur Umzäunung,
    [Leider nicht vorhanden]


    – mechanische Anschläge (Puffer),
    [Nein, weil nur schwer möglich und außerdem durch Sichere SW ersetzt]


    – eine ausreichende Festigkeit der Umzäunung,
    [Nein, im Regelfall nicht gegeben]


    – eine sicher überwachte Robotersteuerung,
    [Ja, kommt zum Einsatz]


    – sichere kontaktbehaftete oder elektronische Achsnocken,
    [Nein, weil nur schwer möglich und außerdem durch Sichere SW ersetzt]


    – innen angeordnete Lichtschranken bzw. -vorhänge.
    [Nein, weil durch Sichere SW ersetzt, wäre aber auch eine der Lösungen]


    Nur ich kann mir nicht vorstellen, dass es erlaubt ist in einem durchdachten sicheren System, sicherheitsrelevante Information unsicher zu verarbeiten.
    Wie haben zum Beispiel zwei Greiferräume die abgesichert werden müssen. Der eine Greifer baut zur einen Seite mehr als einen Meter auf als der andere.
    Wenn es nun zu einem Drahtbruch in der unsicheren Kodierung kommt kann doch die Sicherheit dieses Arbeitsplatzes nicht mehr gewährleistet werden, weil dann ein völlig anderer Greiferraum in der Sicherheits-SW aktiviert werden würde. Also ich kann mir das nicht vorstellen.


    In einem anderen Forum wurde geschrieben, dass hier die DIN EN ISO 10218-2 anzuwenden sei. Aber gibt es konkrete Richtlinien bei der die Verwendung von unsicheren Signalen in einem sicheren System zulässig sind?



    Gruß, Martin

    Einmal editiert, zuletzt von Angst Hase ()

  • Hallo Martin


    Für die Greiferabfrage einer Codierung durch eine Sicherheits SPS maßlos übertrieben.


    1. Code über die vorhandene SPS abfragen
    2. Als Redundanz 1 Lebend Byt abfragen
    fertig.


    Den Rest sollte die Steuerung des Roboters machen. (Sicherheitsraum, Bremsentest der Achsen, Synchroabfrage usw.)
    Ein Schutzzaun soll nicht den Roboter aufhalten sondern Mitarbeiter vor unbedachten zutritt schützen. Aber es ist wie immer, die Roboterzelle wird zu klein geplant. (Planungssoftware z.B. von KUKA benutzen)
    Also Sicherheits SPS an der Stelle übertrieben.


    Grüße aus dem Rheinland


    Erwin

  • Für die Greiferabfrage einer Codierung durch eine Sicherheits SPS maßlos übertrieben.


    Die Kodierung geht normaler Weise auch direkt in die normale SPS. Doch die Sichere Robotersteuerung kann mit dieser nicht kommunizieren.
    Man kann die Kodierung bei manchen Systemen auch direkt in die Sichere Robotersteuerung verdrahten, aber das geht nur mit sicheren Signalen.
    Die SSPS ist bei allen unseren Anlagen gesetzt, und wenn es nur eine kleine Piltz ist.

  • ANZEIGE
  • Hallo Martin,


    was sagt denn die TAP der zuständigen BG?
    Vielleicht 1x anrufen, Fall schildern und Lösungsvorschlag erbitten?

    .
    .
    .
    ... viele Grüße vom Waldmann.





    "Et kütt, wie et kütt."
    (kölsche Zuversicht)

  • Ich würde in die Codierung wenigstens ein Prüfbit einbauen. Besser wäre natürlich eine fehlerredundante Codierung. So wie es beschrieben ist halte ich das System für nicht sicher. Seid ihr selbst der Hersteller der Anlage?

    Zur besseren Lesbarkeit verwende ich in meinen Beiträgen das generische Maskulinum. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

  • Hallo Martin,


    ohne genauere Kenntnisse der Arbeitsabläufe, räumlichen Gegebenheiten, etc. kann man nur mutmaßen weshalb Deine Sicherheitsfachkraft die Auffassung vertritt, eine SSPS wäre nicht notwendig.
    Für die SPS-spezifischen Belange wollte ich Dich auf das SPS-Forum verweisen, aber da hast Du ja bereits gepostet und auch 2-3 gute Hinweise bezgl. Raum bekommen. :thumbup:
    Grundsätzlich zu der Sicherheitsproblematik: Die von Safety genannte Norm DIN EN ISO 10218 ist schon richtig.Solltet ihr als Hersteller auftreten, müsst ihr die Anwendung dieser Norm bestätigen.
    Afaik wird dort und in der DGUV-Information 209-074 (ehemals BGI 5123) aber nicht explizit auf das von Dir genannte Problem eingegangen. Für Dein Problem sollte die Risikobeurteilung das Maß aller Dinge sein.
    Wenn die Risikobeurteilung die geplante Vorgehensweise hergibt, ist das so. Gib Deine Bedenken wie geplant zu Protokoll, mehr kannst Du imo nicht tun.


    Gruß
    Stephan

    Respekt, Verständnis, Akzeptanz, Wertschätzung und Mitgefühl

  • Moin Angst Hase,


    wie ist eigentlich Eure interne Orga aufgebaut? :D


    SiFa
    |
    Vorgesetzter
    |
    Geschäftsführer


    oder


    Vorgesetzter
    |
    SiFa
    |
    Geschäftsführer


    oder wie ich es aus den meisten Betrieben kenne:


    Der Chef hat das Sagen - die Vorgesetzten haben gegenüber den Werkern das Sagen, und die SiFa berät und betreut? Letztendlich steht nicht die SiFa in der Hauptverantwortung, sondern die Verantwortungsträger des Betriebes. Denen solltest Du Deine Bedenken schildern. Selbst wenn sich die SiFa auf den Kopf stellt; wenn der Chef die Bedenken teilt, dann kann die SiFa nackt und laut schreiend durch den Betrieb laufen, dann wird sein Vorschlag nicht zum Tragen kommen. Trotz allem sollte man immer das Gespräch suchen. Er beurteilt Gefährdung, Eintrittswahrscheinlichkeit und Schadensausmaß. Da er anders als Du zu einem anderen Ergebnis kommt (bei Dir wird der Schutzzaun durchschlagen, während es bei ihm nur materiellen Flurschaden gibt), leitet ihr natürlich andere Maßnahmen ab. Da liegt Euer Problem.


    Keine Ahnung wie teuer der Spaß werden würde, aber gebt Eurem Robbi doch mal den "falschen" Greifer via Code und schaut Euch an, was mit dem Schutzzaun passiert (wenn diees kleine Experiment natürlich einen Schaden von mehreren tausend Euro nach sich zieht, würde ich es mir zweimal überlegten, so etwas vorzuschlagen :whistling: ). Die Verantwortlichen mit ins Boot und alle an einen Tisch holen, das wäre meine Handlungsempfehlung.


    Gruß Frank

    Ich stelle die Schuhe nur hin. Ich ziehe sie niemandem an.

  • ANZEIGE
  • Ich bin ja echt interessiert und verfolge das Thema seit heute Nachmittag ;)


    Ich habe jetzt mal eine Frage. Seit wann werden denn wieder "Hobbybausätze" zur derartigen Übermittlung eingesetzt? 8|


    Solche Systeme besitzen i. d. R. einen Ruhestrom und erkennen einen Drahtbruch.
    Bsp: Ruhespannung 5V, Signal <2V=0, Signal >7V=1, Signal 5V oder Nüscht= Fehlermeldung= Prozessabbruch


    Zu einer Kontrolle könnte man zusätzlich auch das Komplement des Signals übertragen, was dann über die Steuerung verglichen/ addiert wird und prüft, ob eine logische 0 herauskommt.


    Alternativ wäre auch ein Lesekopf und Tags aus dem RFID-Bereich denkbar. Ich denke mal, dass dieses auch dem Stand der Technik entspricht. :thumbup:


    Gruß


    Jens

    "... das kannste schon so machen aber dann ist es halt kacke!"


    "Wenn das die Lösung ist, dann will ich mein Problem zurück!" (Rockband Haudegen)

  • Hallo Jens,


    danke für dein Posting.
    Die Kodierung ist normaler Weiße nur zur Maschinensicherheit. Die 16Bit gehen auf die konventionelle SPS. Es sind in der Regel nur Drahtbrücken die mit Kontakten an der Greiferdkupplung abgefragt werden. Sieht ungefähr so aus:
    Greiferkupplung
    Diese werden in der Regel aber auch gegengecheckt. Entweder muss der Werker ein Programm vorwählen, diese wird dann mit der Kodierung verglichen. Erst wenn beides übereinstimmet wird das Programm an den Robbi freigeben.
    Oder wenn eine Spritzgussmaschine in der Zelle ist, wird die Werkzeugkodierung gegengecheckt, wenn es denn eine gibt.
    Und das ist ja was unserer SiFa wahrscheinlich meint. Für ihn ist das eine ausreichende Sicherheit, obwohl die Information nicht auf der "safety" Seite ausgewertet wird, sondern nur in der konventionelle SPS.
    Dies zusätzlich plausibel mit der SSPS auszuwerten hält er für eine "absolut überzogene Sicherheitsspirale".


    Eine Kabelbruch-Erkennung für solche Kodierungen setzten wir nicht ein.



    Gruß, Martin

    Einmal editiert, zuletzt von Angst Hase ()

  • Dies zusätzlich plausibel mit der SSPS auszuwerten hält er für eine "absolut überzogene Sicherheitsspirale".


    Ok....? Ist er UVV-Prüfer für Maschinensicherheit? ?(
    Ich kann jetzt derzeit in einem Programmieraufwand keine "überzogene Maßnahme" erkennen, die ein höheres Maß an Sicherheit schafft aber egal.
    Bei mir ist der Industriemeister E-Technik/ Kommunikationstechnik schon >10 Jahre her und mein E-Technikstudium hab ich auch nicht vollendet, was aber an privaten Dingen gelegen hat. Kinder gehen eben vor ;)
    Das einzige was ich ihm "vorwerfen" könnte, wäre, dass er diese Option ausschließt. Diese Bewertung trifft normalerweise nicht er, sondern der Verantwortliche. Der Kollege hat nur die Aufgabe, die Optionen aufzuzeigen. Mehr nicht.
    Das finde ich jetzt etwas befremdlich 8|


    Gruß


    Jens

    "... das kannste schon so machen aber dann ist es halt kacke!"


    "Wenn das die Lösung ist, dann will ich mein Problem zurück!" (Rockband Haudegen)

  • ...Entweder muss der Werker ein Programm vorwählen, diese wird dann mit der Kodierung verglichen. ...Oder wenn eine Spritzgussmaschine in der Zelle ist, wird die Werkzeugkodierung gegengecheckt, wenn es denn eine gibt....


    Aha, es findet doch noch eine Prüfung statt, interessant. Jetzt müsste man nur wissen, ob diese Prüfung stattfindet bevor sich der Roboter in Gang setzt und möglicherweise Schaden anrichten kann, oder nicht? Sofern die Gegenprüfung vor der Bewegung stattfindet ist ja schon mal eine gewisse Sicherheit gegeben. Jetzt stellt sich mir noch die Frage nach der Anzahl der verschiedenen Greifer. Mit 16 Bit dürften das ja eine ganze Menge sein, wenn man nicht mal mehr ein Bit zur Prüfsummenbildung übrig hat, ansonsten würde ich die nicht benötigten Bit entsprechend verwenden.
    Ansonsten würde ich diese Fragestellung, wie in der PN bereits erwähnt, demjenigen unterbreiten der die CE Konformität bestätigt, denn der hält dann auch seinen Kopf dafür hin und müsste die Normvorgaben kennen.

    Zur besseren Lesbarkeit verwende ich in meinen Beiträgen das generische Maskulinum. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

  • ANZEIGE
  • Aha, es findet doch noch eine Prüfung statt, interessant. Jetzt müsste man nur wissen, ob diese Prüfung stattfindet bevor sich der Roboter in Gang setzt und möglicherweise Schaden anrichten kann, oder nicht?


    Ja es findet eine Prüfung statt, aber eben nicht auf der "sicheren" Seite. Diese Prüfung findet statt bevor sich der Roboter in Gang setzt.


    Da ist schon mal eine gewisse Sicherheit gegeben, das stimmt. Allerdings muss die SSPS die aktiven Werkzeugräume zum Roboter schalten. Wenn sie dazu aber die einfache Kodierung zyklisch auswertet, würde bei einem Drahtbruch sofort der falsche Werkzeugraum im Roboter aktiviert, auch während der Roboter sich bewegt!
    Die SSPS ist ja ein eigenes System welches die Zustände Überwachen soll, sie sollte den Roboter bei Gefahr stoppen! In diesem Fall würde sie aber blind durchschalten ohne Kontrolle und die Gefahr auslösen. Das will mir nicht in den Kopf! Klar, auch das könnte man wieder konventionell absichern.
    Aber ich weiß es ja nicht, bin ja kein SiFa.

    2 Mal editiert, zuletzt von Angst Hase ()

  • Hallo und guten Morgen,


    ich habe leider noch nicht so richtig verstanden, warum die SIFa zusätzliche Sicherungsmaßnahmen für eine "absolut überzogene Sicerhungsspirale" beurteilt. Entstehen dadurch unzumutbare zusätzliche Kosten? Ist der Programmieraufwand zu hoch? Vor Allem, was hat die SIFa damit zu tun? Letztendlich entscheiden die Verantwortlichen (Unternehmer, Produktionsleiter etc.). Was ist Deine Rolle dabei? Wo liegt Deine Verantwortung? Was hat die Geschäftleitung zu dieser Fragestellung entschieden?

    Man(n) ist erst dann ein Superheld, wenn man sich selbst für Super hält!
    (unbekannt)
                                                                                                                                                              
    „Freiheit ist nicht, das zu tun, was Du liebst, sondern, das zu lieben, was Du tust.“
    (Leo Tolstoi)

    *S&E* Glück auf


    Gruß Mick