Hi, Ich habe noch ein wenig Mühe mit dem Umsetzen von ISO13849, im speziellen mit der Einstufung der Kategorie. Wenn ich das richtig interpretiert habe braucht ein PLd mindestens einen redundanten SRP/CS? PLd ist aber auch im Niveau SIL2, wo nur ein SRP/CS notwendig ist. Es geht im Endeffekt um die Umsetzung eines Motorcontrollers, der ein PLd erreichen soll. Es soll ein Sicherheitsmikrocontroller verwendet werden welcher im Fehlerfall einen STO triggert. Der STO stellt die PWM ab, deaktiviert den Gate Treiber und schaltet die Energiezufuhr zum Gate Treiber komplett ab. Der Gate Treiber ist für SIL2/SIL3 ausgelegt und verfügt über die nötigen Diagnosewerkzeuge um Fehler zu melden. Ich möchte eigentlich ungern einen zweiten Sicherheitsmikrocontroller verbauen, und frage lieber nochmals nach, ob evtl. die oben genannten Funktionen bereits reichen und ob für PLd wirklich ein doppeltes SRP/CS implementiert werden muss. Allenfalls würde auch ein zusätzlicher Notstop reichen.
Hallo Bert, ich ordne mal sinngemäß: Du willst eine Sicherheitsfunktion 'STO' (Safe torque off) gem. Prozess der Risikoanalyse/-minderung nach DIN EN ISO 12100 technisch mit einer Sicherheitskette mit Kat.4/PL=d gem. DIN EN ISO 13849 realisieren. 1. Bei der von Dir genannten 'Verquickung' mit SILx gem. IEC 62061 resp. IEC 61508 wäre ich hinsichtlich der vergleichbaren Anforderungen vorsichtig: Eine normative Übersetzung PLx<->SILy existiert [aus Sicht der DIN EN ISO 13849] schon lange nicht mehr. Als inhaltlicher Ersatz gilt folgendes Dokument: https://www.beuth.de/de/technische-regel/din-iso-tr-23849/224683275 2. Kategorie 4 impliziert definitiv eine homogene oder diversitäre Redundanz! 3. Was meinst Du mit einem 'Sicherheitsmikrocontroller'? Ist der als solcher gem. DIN EN ISO 13849 geprüft/zertifiziert? Oder meinst Du eine Safety SPS? 4. Bei Deinem letzten Satz fehlt mir der Faden: STOP Kategorie 0, 1 oder 2 und wie ist diese in die Sicherheitskette integriert? PS.: Wende Dich doch mal, wenn Du mit der Frage geschäftlich unterwegs bist, an "Deine" zuständige Berufsgenossenschaft. Grüße Dirk
Angehängte Dateien:
-
SF1.png
37 KB
Hallo Dirk, Dirk E. schrieb: > Du willst eine Sicherheitsfunktion 'STO' (Safe torque off) gem. Prozess > der Risikoanalyse/-minderung nach DIN EN ISO 12100 technisch mit einer > Sicherheitskette mit Kat.4/PL=d gem. DIN EN ISO 13849 realisieren. Ich will einen STO so realisieren, aber nicht mit Kat.4/PL=d sondern lieber mit Kat.2 oder Kat.3 und PL=d. Aus ISO13849 ergibt sich die Möglichkeit für einen PL=d mit Kat.2, wenn die MTTFd als hoch eingestuft wird, dann wäre die Redundanz in Punkto Mikrocontroller nicht mehr nötigt. Dirk E. schrieb: > 1. Bei der von Dir genannten 'Verquickung' mit SILx gem. IEC 62061 resp. > IEC 61508 wäre ich hinsichtlich der vergleichbaren Anforderungen > vorsichtig: Eine normative Übersetzung PLx<->SILy existiert [aus Sicht > der DIN EN ISO 13849] schon lange nicht mehr. Als inhaltlicher Ersatz > gilt folgendes Dokument: > https://www.beuth.de/de/technische-regel/din-iso-tr-23849/224683275 Danke dir, das mit SIL habe ich mir schon gedacht. Dirk E. schrieb: > 2. Kategorie 4 impliziert definitiv eine homogene oder diversitäre > Redundanz! Daher eben Kat.2 oder Kat.3 Dirk E. schrieb: > 3. Was meinst Du mit einem 'Sicherheitsmikrocontroller'? Ist der als > solcher gem. DIN EN ISO 13849 geprüft/zertifiziert? Oder meinst Du eine > Safety SPS? Im Endeffekt ist es ein STM32F7 mit integrierten Sicherheitsfunktionen (functional safety) gemäss STM: https://www.st.com/content/st_com/en/ecosystems/functionalsafety.html Dirk E. schrieb: > 4. Bei Deinem letzten Satz fehlt mir der Faden: STOP Kategorie 0, 1 oder > 2 und wie ist diese in die Sicherheitskette integriert? Das mit dem Notstop (Kategorie 0) hat ja sowieso nichts mit dem STO zu tun und muss unabhängig an jeder Maschine sein. Ich habe im Anhang mal eine grobe Übersicht über den STO erstellt und wie das aussehen soll von der Ansteuerung. Das Problem ist in diesem Fall, dass der STO nicht von außen getriggert werden kann und eigentlich nur zum Einsatz kommen soll, wenn am Motorcontroller ein schwerer Fehler auftritt (Überstrom, Überspannung, Kurzschluss etc.). Ich finde duzende Anwendungen, wo ein Sicherheitsrelais von außen triggert, aber irgendwie nicht wirklich was, wo ein STO getriggert werden muss, wenn der uC den einen Fehler entdeckt.
Hallo Bert, Bert S. schrieb: > Ich will einen STO so realisieren, aber nicht mit Kat.4/PL=d sondern > lieber mit Kat.2 oder Kat.3 und PL=d. Aus ISO13849 ergibt sich die > Möglichkeit für einen PL=d mit Kat.2, wenn die MTTFd als hoch eingestuft > wird, dann wäre die Redundanz in Punkto Mikrocontroller nicht mehr > nötigt. Na, dann hast Du ja Bild 5 schon gesehen ;). O.k., also eine einkanalig geteste oder eine 'schwache' zweikanalige Struktur: Du hast die Wahl. Nun ist PL=d nicht sooo schwer zu realisieren, Du realisierst ja die Sifu in Hard- und Software. Must halt seitens der ausgewählten Bauelemente hohe MTTF[d]-Werte (nachweislich) erreichen können. Baust Du alles 'diskret' auf oder möchtest Du Fertiges zukaufen? Richte Dir ggf. schon mal darauf ein vom Hersteller entsprechende 'reliability datas' anzufordern. Bert S. schrieb: > Im Endeffekt ist es ein STM32F7 mit integrierten Sicherheitsfunktionen > (functional safety) gemäss STM: > https://www.st.com/content/st_com/en/ecosystems/functionalsafety.html Na ja, da ist seitens STM schon eine gehörige Portion Marketing dabei ;). Zumal ein Gutteil der Software-Anforderungen gem. IEC 61508 im Abschnitt 4ff der DIN EN ISO 13849 zu finden sind. Und 'triviale' HW-Module (Watchdog, POR/BOR etc.) als 'safety' zu bewerben.., nun ja :I Bert S. schrieb: > Das mit dem Notstop (Kategorie 0) hat ja sowieso nichts mit dem STO zu > tun und muss unabhängig an jeder Maschine sein. Richtg, das ist eine separat zu betrachtende Sifu. Bert S. schrieb: > Ich habe im Anhang mal eine grobe Übersicht über den STO erstellt und > wie das aussehen soll von der Ansteuerung. Das Problem ist in diesem > Fall, dass der STO nicht von außen getriggert werden kann und eigentlich > nur zum Einsatz kommen soll, wenn am Motorcontroller ein schwerer Fehler > auftritt (Überstrom, Überspannung, Kurzschluss etc.). Ich finde duzende > Anwendungen, wo ein Sicherheitsrelais von außen triggert, aber irgendwie > nicht wirklich was, wo ein STO getriggert werden muss, wenn der uC den > einen Fehler entdeckt. Leider ist Deine Grafik im Detail schlecht zu erkennen (meine Augen haben halt schon ein paar Jahre auf dem Buckel 8)). Generell gilt: Es ist sicherzustellen, daß 1. die Sifu sicher angefordert werden kann, z.B. durch eine übergeornete Steuerung und 2. eine sichere 'Abschaltung' ggf. durch den Testkanal (bei Kat.2*) bzw. durch den zweiten fuktionsfähigen Kanal (bei Kat.3) gewährleistet sein muß. *PS.: Wobei eine 'einfache' Testung in Deinem Anwendungsfall ggf. nicht ganz einfach zu realisieren ist. Die technische Realisierung der Sifu muss in gewissen Umfang in der Lage sein Fehler in der Sicherheitskette selbst zu erkennen (diagnostic coverage, DC) und entsprechend darauf sicher zu reagieren (i.d.R. Ausfall in sichere Richtung). Grüße Dirk
Angehängte Dateien:
-
SF1.png
42 KB
Hallo Dirk, Danke für deine ausführliche Antwort. Ich habe anbei noch ein scharfes Bild, irgendwie hat es mir das letzte runterskaliert. Dirk E. schrieb: > Na, dann hast Du ja Bild 5 schon gesehen ;). O.k., also eine einkanalig > geteste oder eine 'schwache' zweikanalige Struktur: Du hast die Wahl. > Nun ist PL=d nicht sooo schwer zu realisieren, Du realisierst ja die > Sifu in Hard- und Software. Must halt seitens der ausgewählten > Bauelemente hohe MTTF[d]-Werte (nachweislich) erreichen können. Baust Du > alles 'diskret' auf oder möchtest Du Fertiges zukaufen? Richte Dir ggf. > schon mal darauf ein vom Hersteller entsprechende 'reliability datas' > anzufordern. Die ausgewählten Bauteile haben die hohen MTTFd Werte, von daher wäre das sicher kein Problem. Ich möchte alles selber aufbauen und so wenig wie möglich zu Fertigen Teilen greifen. Dirk E. schrieb: > Na ja, da ist seitens STM schon eine gehörige Portion Marketing dabei > ;). Gut zu wissen :) Dirk E. schrieb: > 1. die Sifu sicher angefordert werden kann, z.B. durch eine übergeornete > Steuerung und Das habe ich soweit vorgesehen, dass ein externer Mikrocontroller über CAN einen STO anfordert. Dirk E. schrieb: > *PS.: Wobei eine 'einfache' Testung in Deinem Anwendungsfall ggf. nicht > ganz einfach zu realisieren ist. > Die technische Realisierung der Sifu muss in gewissen Umfang in der Lage > sein Fehler in der Sicherheitskette selbst zu erkennen (diagnostic > coverage, DC) und entsprechend darauf sicher zu reagieren (i.d.R. > Ausfall in sichere Richtung). > Grüße Dirk Ich denke das sollte machbar sein. Als Gatetreiber will ich folgenden verwenden: https://www.ti.com/lit/ds/symlink/drv8350f.pdf?ts=1624356870941&ref_url=https%253A%252F%252Fwww.mouser.fr%252F Dieser hat einen Diagnosekanal, wo beim Abschalten (Ladungspumpenspannung zu niedrig oder auch Enable Pin inaktiv) auf Low geht. Somit kann der uC neben dem Abschalten der PWM, Enable Pin auf Low auch gleich noch die Gate Spannung unterbrechen.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.