Applikationshandbuch TwinSAFE Version: 1.7.0 Datum: 19.09.2016 Inhaltsverzeichnis Inhaltsverzeichnis 1 Vorwort 1.1 1.2 5 Hinweise zur Dokumentation 5 1.1.1 Zielgruppe 5 1.1.2 Dokumentenursprung 5 1.1.3 Aktualität 5 1.1.4 Produkteigenschaften 5 1.1.5 Disclaimer 5 1.1.6 Marken 5 1.1.7 Patente 6 1.1.8 Copyright 6 1.1.9 Lieferbedingungen 6 Sicherheitshinweise 6 1.2.1 Auslieferungszustand 6 1.2.2 Sorgfaltspflicht des Betreibers 6 1.2.3 Zweck und Anwendungsbereich 7 1.2.4 Erklärung der Sicherheitssymbole 7 1.2.5 Erklärung der Begriffe 8 1.2.6 Ausgabestände der Dokumentation 9 2 Schaltungsbeispiele 2.1 2.2 2.3 2.4 2.5 10 ESTOP Funktion Variante 1 (Kategorie 3, PL d) 10 2.1.1 Parameter der sicheren Ein- und Ausgangsklemmen 10 2.1.2 Blockbildung und Safety-Loops 11 2.1.3 Berechnung 11 ESTOP Funktion Variante 2 (Kategorie 3, PL d) 16 2.2.1 Parameter der sicheren Ein- und Ausgangsklemmen 16 2.2.2 Blockbildung und Safety-Loops 17 2.2.3 Berechnung 17 ESTOP-Funktion Variante 3 (Kategorie 4, PL e) 22 2.3.1 Parameter der sicheren Ein- und Ausgangsklemmen 22 2.3.2 Blockbildung und Safety-Loops 23 2.3.3 Berechnung 23 ESTOP Funktion Variante 4 (Kategorie 4, PL e) 28 2.4.1 Parameter der sicheren Ein- und Ausgangsklemmen 28 2.4.2 Blockbildung und Safety-Loops 29 2.4.3 Berechnung 29 ESTOP Funktion Variante 5 (Kategorie 4, PL e) 34 2.5.1 34 Parameter der sicheren Ein- und Ausgangsklemmen Applikationshandbuch TwinSAFE - Version 1.7.0 1 Inhaltsverzeichnis 2.6 2.7 2.8 2.9 2.5.2 Blockbildung und Safety-Loops 35 2.5.3 Berechnung 35 ESTOP Funktion Variante 6 (Kategorie 3, PL d) 40 2.6.1 Parameter der sicheren Ein- und Ausgangsklemmen (SIL 2) 40 2.6.2 Blockbildung und Safety-Loops 41 2.6.3 Berechnung 41 ESTOP Funktion Variante 7 (Kategorie 4, PL e) 46 2.7.1 Parameter der sicheren Ein- und Ausgangsklemmen 46 2.7.2 Blockbildung und Safety-Loops 47 2.7.3 Berechnung 47 Schutztür Funktion Variante 1 (Kategorie 3, PL d) 52 2.8.1 Parameter der sicheren Ein- und Ausgangsklemmen 52 2.8.2 Blockbildung und Safety-Loops 53 2.8.3 Berechnung 53 Schutztür Funktion Variante 2 (Kategorie 4, PL e) 58 2.9.1 Parameter der sicheren Ein- und Ausgangsklemmen 58 2.9.2 Blockbildung und Safety-Loops 59 2.9.3 Berechnung 59 2.10 Schutztür Funktion mit Bereichsüberwachung (Kategorie 4, PL e) 2.10.1 Parameter der sicheren Ein- und Ausgangsklemmen 65 2.10.2 Blockbildung und Safety-Loops 65 2.10.3 Berechnung 66 2.11 Schutztür Funktion mit Zuhaltung (Kategorie 4, PL e) 71 2.11.1 Parameter der sicheren Ein- und Ausgangsklemmen 71 2.11.2 Blockbildung und Safety-Loops 72 2.11.3 Berechnung 72 2.12 Zweihand-Steuerung (Kategorie 4, PL e) 78 2.12.1 Parameter der sicheren Ein- und Ausgangsklemmen 78 2.12.2 Blockbildung und Safety-Loops 79 2.12.3 Berechnung 79 2.13 Laserscanner (Kategorie 3, PL d) 83 2.13.1 Parameter der sicheren Ein- und Ausgangsklemmen 83 2.13.2 Blockbildung und Safety-Loops 84 2.13.3 Berechnung 84 2.14 Lichtgitter (Kategorie 4, PL e) 88 2.14.1 Parameter der sicheren Ein- und Ausgangsklemmen 88 2.14.2 Blockbildung und Safety-Loops 89 2.14.3 Berechnung 89 2.15 Sicherheitsschaltmatte / Safety Bumper (Kategorie 4, PL e) 2 64 93 Applikationshandbuch TwinSAFE - Version 1.7.0 Inhaltsverzeichnis 2.15.1 Parameter der sicheren Ein- und Ausgangsklemmen 93 2.15.2 Blockbildung und Safety-Loops 94 2.15.3 Berechnung 94 2.16 Muting (Kategorie 4, PL e) 98 2.16.1 Parameter der sicheren Ein- und Ausgangsklemmen 98 2.16.2 Blockbildung und Safety-Loops 99 2.16.3 Berechnung 99 2.17 Allpolige Abschaltung einer Potentialgruppe mit nachgeschalteten rückwirkungsfreien Standardklemmen (Kategorie 4, PL e) 104 2.17.1 Hinweise zur Verhinderung der Rückspeisung 106 Parameter der sicheren Ein- und Ausgangsklemmen 108 2.17.2 Blockbildung und Safety-Loops 109 2.17.3 Berechnung 109 2.18 Einpolige Abschaltung einer Potentialgruppe mit nachgeschalteten rückwirkungsfreien Standardklemmen mit Fehlerausschluss (Kategorie 4, PL e) 114 2.18.1 Hinweise zur Verhinderung der Rückspeisung 116 Parameter der sicheren Ein- und Ausgangsklemmen 118 2.18.2 Blockbildung und Safety-Loops 119 2.18.3 Berechnung 119 2.19 Vernetzte Anlage (Kategorie 4, PL e) 124 2.19.1 Parameter der sicheren Ein- und Ausgangsklemmen 125 2.19.2 Blockbildung und Safety-Loops 125 2.19.3 Berechnung 126 2.20 Antriebsoption AX5801 mit Stopp-Funktion SS1 (Kategorie 4, PL e) 130 2.20.1 Parameter der sicheren Ein- und Ausgangsklemmen 131 2.20.2 Blockbildung und Safety-Loops 131 2.20.3 Berechnung 131 2.21 Antriebsoption AX5805 mit Stopp-Funktion SS2 (Kategorie 4, PL e) 136 2.21.1 Parameter der sicheren Ein- und Ausgangsklemmen 136 2.21.2 Blockbildung und Safety-Loops 137 2.21.3 Berechnung 137 2.22 Direktes Verdrahten der TwinSAFE-Ausgänge auf TwinSAFE-Eingänge (1kanalig) (Kategorie 2, PL c) 141 2.22.1 Parameter der sicheren Ein- und Ausgangsklemmen 141 2.22.2 Blockbildung und Safety-Loops 142 2.22.3 Berechnung 142 2.23 Direktes Verdrahten der TwinSAFE-Ausgänge auf TwinSAFE-Eingänge (2kanalig) (Kategorie 3, PL d) 145 2.23.1 Parameter der sicheren Ein- und Ausgangsklemmen 145 2.23.2 Blockbildung und Safety-Loops 145 Applikationshandbuch TwinSAFE - Version 1.7.0 3 Inhaltsverzeichnis 2.23.3 Berechnung 146 2.24 ESTOP Funktion (Kategorie 3, PL d) 148 2.24.1 Parameter der sicheren Ein- und Ausgangsklemmen (SIL 2) 149 2.24.2 Blockbildung und Safety-Loops 149 2.24.3 Berechnung 149 2.25 Überwachung Drehzahl 154 2.25.1 Struktur und Diagnose 156 2.25.2 FMEA 156 2.25.3 Parameter der sicheren Ausgangsklemme 158 2.25.4 Blockbildung und Safety-Loops 158 2.25.5 Berechnung 158 2.26 Überwachung Drehzahl (über IO-Link) 164 2.26.1 Struktur und Diagnose 166 2.26.2 FMEA 166 2.26.3 Parameter der sicheren Ausgangsklemme 168 2.26.4 Blockbildung und Safety-Loops 168 2.26.5 Berechnung 168 2.27 STO-Funktion mit EL72x1-9014 (Kat. 3, PL d) 174 2.27.1 Parameter der sicheren Ein- und Ausgangsklemmen 175 2.27.2 Blockbildung und Safety-Loops 176 2.27.3 Sicherheitsfunktion 1 176 2.27.4 Berechnung 176 3 Technischer Bericht TÜV Süd 180 4 Anhang 181 4 4.1 Beckhoff Support und Service 181 4.2 Beckhoff Firmenzentrale 181 Applikationshandbuch TwinSAFE - Version 1.7.0 Vorwort 1 Vorwort 1.1 Hinweise zur Dokumentation 1.1.1 Zielgruppe Zur Installation und Inbetriebnahme der Komponenten ist die Beachtung der nachfolgenden Hinweise und Erklärungen unbedingt notwendig. Diese Beschreibung wendet sich ausschließlich an ausgebildetes Fachpersonal der Steuerungs- und Automatisierungstechnik, das mit den geltenden nationalen Normen vertraut ist. Das Fachpersonal hat sicherzustellen, dass die Anwendung bzw. der Einsatz der beschriebenen Produkte alle Sicherheitsanforderungen, einschließlich sämtlicher anwendbaren Gesetze, Vorschriften, Bestimmungen und Normen erfüllt. 1.1.2 Dokumentenursprung Diese Dokumentation ist in deutscher Sprache verfasst. Alle weiteren Sprachen werden von dem deutschen Original abgeleitet. 1.1.3 Aktualität Bitte prüfen Sie, ob Sie die aktuelle und gültige Version des vorliegenden Dokumentes verwenden. Auf der Beckhoff Homepage unter dem Link http://www.beckhoff.de/german/download/twinsafe.htm finden Sie die jeweils aktuelle Version zum Download. Im Zweifelsfall wenden Sie sich bitte an den technischen Support (siehe Kapitel 4.1 Beckhoff Support und Service). 1.1.4 Produkteigenschaften Gültig sind immer nur die Produkteigenschaften, die in der jeweils aktuellen Anwenderdokumentation angegeben sind. Weitere Informationen, die auf den Produktseiten der Beckhoff Homepage, in E-Mails oder sonstigen Publikationen angegeben werden, sind nicht maßgeblich. 1.1.5 Disclaimer Diese Dokumentation wurde sorgfältig erstellt. Die beschriebenen Produkte werden jedoch ständig weiter entwickelt. Deshalb ist die Dokumentation nicht in jedem Fall vollständig auf die Übereinstimmung mit den beschriebenen Leistungsdaten, Normen oder sonstigen Merkmalen geprüft. Falls sie technische oder redaktionelle Fehler enthält, behalten wir uns das Recht vor, Änderungen jederzeit und ohne Ankündigung vorzunehmen. Aus den Angaben, Abbildungen und Beschreibungen in dieser Dokumentation können keine Ansprüche auf Änderung bereits gelieferter Produkte geltend gemacht werden. 1.1.6 Marken Beckhoff®, TwinCAT®, EtherCAT®, Safety over EtherCAT®, TwinSAFE® und XFC® sind eingetragene und lizenzierte Marken der Beckhoff Automation GmbH. Die Verwendung anderer in dieser Dokumentation enthaltenen Marken oder Kennzeichen durch Dritte kann zu einer Verletzung von Rechten der Inhaber der entsprechenden Bezeichnungen führen. Applikationshandbuch TwinSAFE - Version 1.7.0 5 Vorwort 1.1.7 Patente Die EtherCAT-Technologie ist patentrechtlich geschützt, insbesondere durch folgende Anmeldungen und Patente: EP1590927, EP1789857, DE102004044764, DE102007017835 mit den entsprechenden Anmeldungen und Eintragungen in verschiedenen anderen Ländern. Die TwinCAT-Technologie ist patentrechtlich geschützt, insbesondere durch folgende Anmeldungen und Patente: EP0851348, US6167425 mit den entsprechenden Anmeldungen und Eintragungen in verschiedenen anderen Ländern. EtherCAT® ist eine eingetragene Marke und patentierte Technologie lizensiert durch die Beckhoff Automation GmbH, Deutschland 1.1.8 Copyright © Beckhoff Automation GmbH & Co. KG. Weitergabe sowie Vervielfältigung dieses Dokuments, Verwertung und Mitteilung seines Inhalts sind verboten, soweit nicht ausdrücklich gestattet. Zuwiderhandlungen verpflichten zu Schadenersatz. Alle Rechte für den Fall der Patent-, Gebrauchsmuster- oder Geschmacksmustereintragung vorbehalten. 1.1.9 Lieferbedingungen Es gelten darüber hinaus die allgemeinen Lieferbedingungen der Fa. Beckhoff Automation GmbH & Co. KG. 1.2 Sicherheitshinweise 1.2.1 Auslieferungszustand Die gesamten Komponenten werden je nach Anwendungsbestimmungen in bestimmten Hard- und Software-Konfigurationen ausgeliefert. Änderungen der Hard-, oder Software-Konfiguration, die über die dokumentierten Möglichkeiten hinausgehen sind unzulässig und bewirken den Haftungsausschluss der Beckhoff Automation GmbH & Co. KG. 1.2.2 Sorgfaltspflicht des Betreibers Der Betreiber muss sicherstellen, dass die TwinSAFE-Produkte nur bestimmungsgemäß verwendet werden. die TwinSAFE-Produkte nur in einwandfreiem, funktionstüchtigem Zustand betrieben werden. nur ausreichend qualifiziertes und autorisiertes Personal die TwinSAFE-Produkte betreibt. dieses Personal regelmäßig in allen zutreffenden Fragen von Arbeitssicherheit und Umweltschutz unterwiesen wird, sowie die Betriebsanleitung und insbesondere die darin enthaltenen Sicherheitshinweise kennt. die Betriebsanleitung stets in einem leserlichen Zustand und vollständig am Einsatzort der TwinSAFE-Produkte zur Verfügung steht. alle an den TwinSAFE-Produkten angebrachten Sicherheits- und Warnhinweise nicht entfernt werden und leserlich bleiben. 6 Applikationshandbuch TwinSAFE - Version 1.7.0 Vorwort 1.2.3 Zweck und Anwendungsbereich Das Applikationshandbuch gibt dem Anwender Beispiele für die Berechnung von sicherheitstechnischen Kenngrößen für Sicherheitsfunktionen entsprechend der Normen DIN EN ISO 13849-1 und EN 62061 bzw. EN 61508:2010 (soweit anwendbar), wie sie typischerweise an Maschinen Verwendung finden. In den Beispielen wird für einen sicheren Eingang exemplarisch eine EL1904 bzw. für einen sicheren Ausgang eine EL2904 dargestellt. Dies ist nur als Beispiel zu sehen, es können natürlich auch andere sichere Eingänge oder Ausgänge verwendet werden, wie z.B. eine EP1908 oder eine EL2902. Dafür müssen dann in der Berechnung die passenden Kenngrößen, die der jeweiligen Produktdokumentation entnommen werden können, verwendet werden. Applikationsbeispiele Achtung 1.2.4 Diese Beispiele geben dem Anwender exemplarische Berechnungen vor. Sie entbinden Ihn nicht von der Pflicht eine Risiko- und Gefährdungsanalyse durchzuführen und die für die Anwendung zu berücksichtigenden Richtlinien, Normen und Gesetze anzuwenden. Erklärung der Sicherheitssymbole In der vorliegenden Betriebsanleitung werden die folgenden Sicherheitssymbole verwendet. Diese Symbole sollen den Leser vor allem auf den Text des nebenstehenden Sicherheitshinweises aufmerksam machen. Akute Verletzungsgefahr! GEFAHR Wenn der Sicherheitshinweis neben diesem Symbol nicht beachtet wird, besteht unmittelbare Gefahr für Leben und Gesundheit von Personen. Vorsicht Verletzungsgefahr! WARNUNG Wenn der Sicherheitshinweis neben diesem Symbol nicht beachtet wird, besteht Gefahr für Leben und Gesundheit von Personen. Schädigung von Personen! VORSICHT Wenn der Sicherheitshinweis neben diesem Symbol nicht beachtet wird, können Personen geschädigt werden. Schädigung von Umwelt oder Geräten Achtung Wenn der Hinweis neben diesem Symbol nicht beachtet wird, können Umwelt oder Geräte geschädigt werden. Tipp oder Fingerzeig Hinweis Dieses Symbol kennzeichnet Informationen, die zum besseren Verständnis beitragen. Applikationshandbuch TwinSAFE - Version 1.7.0 7 Vorwort 1.2.5 Erklärung der Begriffe Bezeichnung Erklärung B10d Mittlere Anzahl der Zyklen nach der 10% der Bauteile gefährlich ausgefallen sind CCF Ausfälle gemeinsamer Ursache dop Mittlere Betriebszeit in Tagen pro Jahr DCavg Mittlerer Diagnosedeckungsgrad hop Mittlere Betriebszeit in Stunden pro Tag MTTFd Mittlere Zeit bis zum gefährlichen Ausfall nop Mittlere Anzahl jährlicher Betätigungen PFH Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde PL Performance Level PLr Erforderlicher Performance Level TZyklus Mittlere Zeit zwischen zwei aufeinanderfolgende Zyklen des Systems (in den folgenden Beispielen in Minuten angegeben, kann aber auch in Sekunden angegeben werden) 8 Applikationshandbuch TwinSAFE - Version 1.7.0 Vorwort 1.2.6 Ausgabestände der Dokumentation Version 1.7.0 Kommentar Kapitel „Direktes Verdrahten der TwinSAFE Ausgänge auf TwinSAFE Eingänge (1-kanalig)“ überarbeitet Vorwort aktualisiert Kapitel Zweck und Anwendungsbereich erweitert Strukturbild Kapitel 2.25 und 2.26 aktualisiert Kapitel 2.27 hinzugefügt Kapitel 2.2.3.2, 2.3.3.2, 2.4.3.2, 2.5.3.2, 2.7.3.2 und 2.19.3.2. konkretisiert (Hinweise zu direktem/indirektem Zurücklesen entfernt) Hinweistexte in Kapitel 2.19 hinzugefügt 1.6.2 Konformitätsbestätigung aktualisiert Grafiken in Kapitel 2.25 und 2.26 aktualisiert Zweck und Anwendungsbereich hinzugefügt 1.6.1 Kapitel 2.25 und 2.26 hinzugefügt 1.6.0 Kapitel 2.17 und 2.18 überarbeitet 1.5.0 Firmenanschrift geändert 1.4.0 Kapitel 2.24 hinzugefügt Ausgabestände der Dokumentation hinzugefügt Dokumentenursprung hinzugefügt Formatierung geändert 1.3.1 Überschriften mit Kategorien und Performance Level erweitert Hinweistext Kapitel 2.6 verschoben 1.3.0 Lieferbedingungen entfernt 1.2.0 Korrektur an Kapitel 2.6 1.1.0 erste freigegebene Version Applikationshandbuch TwinSAFE - Version 1.7.0 9 Schaltungsbeispiele 2 Schaltungsbeispiele 2.1 ESTOP Funktion Variante 1 (Kategorie 3, PL d) Der Not-Halt-Taster ist mit zwei Öffnerkontakten auf eine sichere Eingangsklemme EL1904 verbunden. Die Testung und die Überwachung der Diskrepanz der beiden Signale sind eingeschaltet. Der Restart und das Rückführsignal sind auf Standard-Klemmen verdrahtet und werden über die Standard-SPS an TwinSAFE übergeben. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K1 K2 Not-Halt Taster S1 Restart S2 Logische Verbindung in der EL6900 K1 K2 2.1.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 10 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.1.2 Blockbildung und Safety-Loops 2.1.2.1 Block 1 K1 S1 EL1904 EL6900 EL2904 K2 2.1.3 Berechnung 2.1.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 100.000 S2 – B10d 10.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10080 (1x pro Woche) (7 Tage, 24 Stunden) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.1.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Testung/Plausibilität DCavg=99% K1/K2 mit Testung und EDM (Betätigung 1/Woche) DCavg=60% K1/K2 mit Testung und EDM (Betätigung 1/Schicht) DCavg=90% 2.1.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 11 Schaltungsbeispiele Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 10080 = 21,90 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗21,90 = 45662,1y = 399999120h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 593607,3y = 5199997320h 0,1 ∗ 21,90 und der Annahme, dass S1, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = S1: 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd 1 − 0,99 = 2,50E − 11 45662,1 ∗ 8760 K1/K2: Betätigung 1/Woche 𝑃𝐹𝐻 = 1 − 0,60 = 7,69E − 11 593607,3 ∗ 8760 K1/K2: Betätigung 1/Schicht 𝑃𝐹𝐻 = 1 − 0,90 = 1,92E − 11 593607,3 ∗ 8760 Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S1: Laut BIA-Report 2/2008 ist ein Fehlerausschluss bis 100 000 Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S1 wie folgt in die Rechnung ein. Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β– Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: 12 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele PFHges= PFH(S1) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 + (PFH(K1)* PFH(K2))*T1 Da der Anteil (PFH(K1)* PFH(K2))*T1 um Zehnerpotenzen kleiner ist, als der Rest, wird er als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: PFHges= 2,50E-11 + 1,11E-09 + 1,03E-09 + 1,25E-09 + 10% * (7,96E-11+7,96E-11)/2 = 3,42E09 bei Betätigung 1/Woche oder PFHges= 2,50E-11+1,11E-09 + 1,03E-09 + 1,25E-09 + 10% * (1,92E-11+1,92E-11)/2= 3,42E-09 bei Betätigung 1/Schicht Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 1h ∗ 8760 hy 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108,6y 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 1h ∗ 8760 hy Applikationshandbuch TwinSAFE - Version 1.7.0 13 Schaltungsbeispiele 𝑀𝑇𝑇𝐹𝑑 (EL2904) = MTTFd ges= DCavg= (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿2904)) 0,01 = = = 913,2y 1 h 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 1 1 1 1 1 1 + + + + 45662,1𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 593607,3𝑦 99% 99% 99% 99% 60% 60% + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 1 1 1 1 1 1 + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 = 333,98𝑦 = 98,96% bzw.: 99% 99% 99% 99% 90% 90% + + + + 1028,8 1108,6 913,2 593607,3 593607,3 1 1 1 1 1 + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 DCavg= 45662,1 1 + = 98,99% Maßnahmen zum Erreichen der Kategorie 3! VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich, da ein Fehler im Rücklesepfad der Relais unentdeckt sein kann. Um die Kategorie 3 zu erreichen, muss in der StandardSteuerung zur Erwartungshaltung des Rücklesens alle steigenden und fallenden Flanken zusammen mit der Zeitabhängigkeit ausgewertet werden! Wiederanlaufsperre in der Maschine implementieren! VORSICHT 14 Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 15 Schaltungsbeispiele 2.2 ESTOP Funktion Variante 2 (Kategorie 3, PL d) Der Not-Halt-Taster ist mit zwei Öffnerkontakten auf eine sichere Eingangsklemme EL1904 verbunden. Die Testung der beiden Signale ist eingeschaltet. Eine Überprüfung auf Diskrepanz der Signale wird nicht durchgeführt. Der Restart und das Rückführsignal sind auf Standard-Klemmen verdrahtet und werden über die Standard-SPS an TwinSAFE übergeben. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K1 K2 Not-Halt Taster S1 Restart S2 Logische Verbindung in der EL6900 K1 K2 2.2.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 16 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.2.2 Blockbildung und Safety-Loops 2.2.2.1 Block 1 K1 S1 EL1904 EL6900 EL2904 K2 2.2.3 Berechnung 2.2.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 100.000 S2 – B10d 10.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10080 (1x pro Woche) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.2.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Testung/ ohne Plausibilität DCavg=90% K1/K2 mit Testung und EDM (Betätigung 1/Woche) DCavg=60% K1/K2 mit Testung und EDM (Betätigung 1/Schicht) DCavg=90% 2.2.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: Applikationshandbuch TwinSAFE - Version 1.7.0 17 Schaltungsbeispiele 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 10080 = 21,90 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗21,90 = 45662,1y = 399999120h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 593607,3y = 5199997320h 0,1 ∗ 21,90 und der Annahme, dass S1, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,90 = 2,50E − 10 45662,1 ∗ 8760 K1/K2: Betätigung 1/Woche 𝑃𝐹𝐻 = 1 − 0,60 = 7,69E − 11 593607,3 ∗ 8760 K1/K2: Betätigung 1/Schicht 𝑃𝐹𝐻 = 1 − 0,90 = 1,92E − 11 593607,3 ∗ 8760 Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S1: Laut BIA-Report 2/2008 ist ein Fehlerausschluss bis 100 000 Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S1 wie folgt in die Rechnung ein. Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. 18 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser βFaktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(S1) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 zu: PFHges= 2,50E-10 + 1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (7,96E-11+7,96E-11)/2 = 3,65E09 bei Betätigung 1/Woche und indirektes zurücklesen oder PFHges= 2,50E-10+1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,92E-11+1,92E-11)/2 = 3,65E-09 bei Betätigung 1/Schicht und direktes zurücklesen Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 19 Schaltungsbeispiele Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 1 h 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108,6y 1 h 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913,2y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy MTTFd ges= 1 1 1 1 1 1 + + + + 45662,1𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 593607,3𝑦 90% 99% 99% 99% 60% 60% + + + + 1028,8 1108,6 913,2 593607,3 593607,3 1 1 1 1 1 + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 DCavg= 45662,1 1 + = 333,98𝑦 = 98,89% bzw.: 90% 99% 99% 99% 90% 90% + + + + 1028,8 1108,6 913,2 593607,3 593607,3 1 1 1 1 1 + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 DCavg= 45662,1 1 + = 98,92% Maßnahmen zum Erreichen der Kategorie 3! VORSICHT Diese Struktur ist durch einen möglichen schlafenden Fehler nur bis maximal Kategorie 3 möglich. Um die Kategorie 3 zu erreichen, muss in der Standard-Steuerung zur Erwartungshaltung des Rücklesens alle steigenden und fallenden Flanken zusammen mit der Zeitabhängigkeit ausgewertet werden! Wiederanlaufsperre in der Maschine implementieren! VORSICHT 20 Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 21 Schaltungsbeispiele 2.3 ESTOP-Funktion Variante 3 (Kategorie 4, PL e) Der Not-Halt-Taster ist mit zwei Öffnerkontakten auf eine sichere Eingangsklemme EL1904 verbunden. Die Testung der beiden Signale ist eingeschaltet. Diese Signale werden auf Diskrepanz überprüft. Der Restart und das Rückführsignal sind auf Standard-Klemmen verdrahtet und werden über die StandardSPS an TwinSAFE übergeben. Weiterhin werden der Ausgang des Funktionsbausteins ESTOP und das Rückführsignal auf einen EDM-Baustein verdrahtet. Dieser prüft, dass das Rückführsignal innerhalb der eingestellten Zeiten den gegengesetzten Zustand des ESTOP-Ausgangs einnimmt. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K1 K2 Not-Halt Taster S1 Restart S2 Logische Verbindung in der EL6900 K1 K2 2.3.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 22 Wert Ja Ja Ja Ja Single Logic Single Logic Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 2.3.2 Blockbildung und Safety-Loops 2.3.2.1 Block 1 K1 S1 EL1904 EL6900 EL2904 K2 2.3.3 Berechnung 2.3.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 100.000 S2 – B10d 10.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10080 (1x pro Woche) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.3.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Testung/Plausibilität DCavg=99% K1/K2 mit Testung und EDM (Betätigung 1/Woche) DCavg=90% K1/K2 mit Testung und EDM (Betätigung 1/Schicht) DCavg=99% 2.3.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Applikationshandbuch TwinSAFE - Version 1.7.0 23 Schaltungsbeispiele Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 10080 = 21,90 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗21,90 = 45662,1y = 399999120h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 593607,3y = 5199997320h 0,1 ∗ 21,90 und der Annahme, dass S1, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,99 = 2,50E − 11 45662,1 ∗ 8760 K1/K2: Betätigung 1/Woche 𝑃𝐹𝐻 = 1 − 0,90 = 1,92E − 11 593607,3 ∗ 8760 K1/K2: Betätigung 1/Schicht 𝑃𝐹𝐻 = 24 1 − 0,99 = 1,92E − 12 593607,3 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S1: Laut BIA-Report 2/2008 ist ein Fehlerausschluss bis 100 000 Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S1 wie folgt in die Rechnung ein. Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β– Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(S1) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 zu: PFHges= 2,50E-11+1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,92E-11+1,92E-11)/2 = 3,42E-09 bei Betätigung 1/Woche und indirektes zurücklesen oder PFHges= 2,50E-11+1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,92E-11+1,92E-11)/2 = 3,42E-09 bei Betätigung 1/Schicht und direktes zurücklesen Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 25 Schaltungsbeispiele Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 1 h 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y MTTFd ges= DCavg= 1 1 1 1 1 1 + + + + 45662,1𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 593607,3𝑦 = 333,98𝑦 99% 99% 99% 99% 90% 90% + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 1 1 1 1 1 1 + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 = 98,99% 99% 99% 99% 99% 99% 99% + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 1 1 1 1 1 1 + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 = 99,00% bzw.: DCavg= Maßnahmen zum Erreichen der Kategorie 4! VORSICHT Diese Struktur ist bis maximal Kategorie 4 möglich. Um die Kategorie 4 zu erreichen, muss in der Steuerung zur Erwartungshaltung des Rücklesens alle steigenden und fallenden Flanken zusammen mit der Zeitabhängigkeit ausgewertet werden! Wiederanlaufsperre in der Maschine implementieren! VORSICHT 26 Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 27 Schaltungsbeispiele 2.4 ESTOP Funktion Variante 4 (Kategorie 4, PL e) Der Not-Halt-Taster mit zwei Öffnerkontakten, der Restart und der Rückführkreis sind auf sichere Kanäle einer Eingangsklemme EL1904 verbunden. Die Testung der Signale ist eingeschaltet. Eine Überprüfung auf Diskrepanz der beiden Not-Halt-Signale wird durchgeführt. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. Restart S2 K1 K2 Not-Halt Taster S1 Logische Verbindung in der EL6900 K1 K2 2.4.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 28 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.4.2 Blockbildung und Safety-Loops 2.4.2.1 Block 1 K1 S1 EL1904 EL6900 EL2904 S2 EL1904 K2 2.4.3 Berechnung 2.4.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 100.000 S2 – B10d 10.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10080 (1x pro Woche) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.4.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Testung/Plausibilität DCavg=99% S2 mit Plausibilität DCavg=90% K1/K2 mit Testung und EDM (Betätigung 1/Woche) DCavg=90% K1/K2 mit Testung und EDM (Betätigung 1/Schicht) DCavg=99% 2.4.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: Applikationshandbuch TwinSAFE - Version 1.7.0 29 Schaltungsbeispiele 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 10080 = 21,90 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗21,90 = 45662,1y = 399999120h S2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 10000000 0,1∗21,90 = 4566210,0y = 4E10h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 593607,3y = 5199997320h 0,1 ∗ 21,90 und der Annahme, dass S1, S2, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,99 = 2,50E − 11 45662,1 ∗ 8760 S2: 𝑃𝐹𝐻 = 1 − 0,90 = 2,50E − 12 4566210,0 ∗ 8760 K1/K2: Betätigung 1/Schicht und direktes zurücklesen 𝑃𝐹𝐻 = 30 1 − 0,99 = 1,92E − 12 593607,3 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S1: Laut BIA-Report 2/2008 ist ein Fehlerausschluss bis 100 000 Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S1 wie folgt in die Rechnung ein. Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β– Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(S1) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 + PFH(S2) + PFH(EL1904) zu: PFHges= 2,50E-11+1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,92E-11+1,92E-11)/2 + 2,50E-12 + 1,11E-09 = 4,53E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 1 1 + + + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 𝑀𝑇𝑇𝐹𝑑 (𝑆2) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 31 Schaltungsbeispiele Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 1 h 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913,2y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy MTTFd ges= DCavgs= 1 1 1 1 1 1 1 1 + + + + + + 45662,1𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 593607,3𝑦 4566210,0𝑦 1028,8𝑦 = 252,1𝑦 99% 99% 99% 99% 90% 90% 90% 99% + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 1 1 1 1 1 1 1 1 + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 = 98,99% 99% 99% 99% 99% 99% 99% 90% 99% + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 1 1 1 1 1 1 1 1 + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 = 99,0% bzw.: DCavgs= Kategorie Hinweis 32 Diese Struktur ist bis maximal Kategorie 4 möglich. Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 33 Schaltungsbeispiele 2.5 ESTOP Funktion Variante 5 (Kategorie 4, PL e) Der Not-Halt-Taster mit zwei Öffnerkontakten, der Restart und der Rückführkreis sind auf sichere Kanäle einer Eingangsklemme EL1904 verbunden. Die Testung der Signale ist eingeschaltet. Eine Überprüfung auf Diskrepanz der beiden Not-Halt-Signale wird durchgeführt. Die Schütze K1 und K2 sind auf unterschiedliche Ausgangskanäle verdrahtet. Die Anschlüsse A2 der beiden Schütze sind zusammen auf Masse geführt. Für diese Beschaltung ist die Strommessung der Ausgangskanäle abgeschaltet. Die Testung der Ausgänge ist aktiv. Restart S2 K1 K2 Not-Halt Taster S1 Logische Verbindung in der EL6900 K1 K2 2.5.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Nein Ja 34 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.5.2 Blockbildung und Safety-Loops 2.5.2.1 Block 1 K1 S1 EL1904 EL6900 EL2904 S2 EL1904 K2 2.5.3 Berechnung 2.5.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 100.000 S2 – B10d 10.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10080 (1x pro Woche) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.5.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Testung/Plausibilität DCavg=99% S2 mit Plausibilität DCavg=90% K1/K2 mit Testung und EDM (Betätigung 1/Woche) DCavg=90% K1/K2 mit Testung und EDM (Betätigung 1/Schicht) DCavg=99% 2.5.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 Applikationshandbuch TwinSAFE - Version 1.7.0 35 Schaltungsbeispiele und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 10080 = 21,90 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗21,90 = 45662,1y = 399999120h S2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 10000000 0,1∗21,90 = 4566210,0y = 4E10h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 593607,3y = 5199997320h 0,1 ∗ 21,90 und der Annahme, dass S1, S2, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,99 = 2,50E − 11 45662,1 ∗ 8760 S2: 𝑃𝐹𝐻 = 1 − 0,90 = 2,50E − 12 4566210,0 ∗ 8760 K1/K2: Betätigung 1/Schicht und direktes zurücklesen 𝑃𝐹𝐻 = 36 1 − 0,99 = 1,92E − 12 593607,3 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S1: Laut BIA-Report 2/2008 ist ein Fehlerausschluss bis 100 000 Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S1 wie folgt in die Rechnung ein. Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β– Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(S1) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 + PFH(S2) + PFH(EL1904) zu: PFHges= 2,50E-11+1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,92E-11+1,92E-11)/2 + 2,50E-12 + 1,11E-09 = 4,53E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 1 1 + + + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 𝑀𝑇𝑇𝐹𝑑 (𝑆2) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 37 Schaltungsbeispiele Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 1 h 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108,6y 1 h 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913,2y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy MTTFd ges= 1 1 1 1 1 1 1 1 + + + + + + 45662,1𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 593607,3𝑦 4566210,0𝑦 1028,8𝑦 99% = 252,1𝑦 99% 99% 99% 90% 90% 90% 99% + + + + + + 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 1 1 1 1 1 1 1 + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 = 98,99% 99% 99% 99% 99% 99% 99% 90% 99% + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 1 1 1 1 1 1 1 1 + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 = 99,0% + DCavgs= 45662,1 1 bzw.: DCavgs= Kategorie Hinweis 38 Diese Struktur ist bis maximal Kategorie 4 möglich. Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 39 Schaltungsbeispiele 2.6 ESTOP Funktion Variante 6 (Kategorie 3, PL d) Der Not-Halt-Taster mit zwei Öffnerkontakten, der Restart und der Rückführkreis sind auf sichere Kanäle einer Eingangsklemme EL1904 verbunden. Die Testung der Signale ist eingeschaltet. Eine Überprüfung auf Diskrepanz der beiden Not-Halt-Signale wird durchgeführt. Die Schütze K1 und K2 sind auf unterschiedliche Ausgangskanäle verdrahtet. Die Anschlüsse A2 der beiden Schütze sind zusammen auf Masse geführt. Für diese Beschaltung ist die Strommessung der Ausgangskanäle abgeschaltet. Die Testung der Ausgänge ist nicht aktiv. Restart S2 K1 K2 Not-Halt Taster S1 Logische Verbindung in der EL6900 K1 K2 Kategorie Hinweis 2.6.1 Diese Struktur ist durch einen möglichen schlafenden Fehler nur bis maximal Kategorie 3 möglich. Da bei dieser Anwendung die Klemme EL2904 nur SIL2 hat, hat die gesamte Kette nur SIL2! Parameter der sicheren Ein- und Ausgangsklemmen (SIL 2) EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 40 Wert Ja Ja Ja Ja Single Logic Single Logic Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Nein Nein 2.6.2 Blockbildung und Safety-Loops 2.6.2.1 Block 1 K1 S1 EL1904 EL6900 EL2904 S2 EL1904 K2 2.6.3 Berechnung 2.6.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 100.000 S2 – B10d 10.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10080 (1x pro Woche) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.6.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Testung/Plausibilität DCavg=99% S2 mit Plausibilität DCavg=90% K1/K2 ohne Testung und mit EDM über einen sicheren Eingang DCavg=90% Applikationshandbuch TwinSAFE - Version 1.7.0 41 Schaltungsbeispiele 2.6.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 10080 = 21,90 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗21,90 = 45662,1y = 399999120h S2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = K1/K2: 𝑛𝑜𝑝 = 10000000 0,1∗21,90 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 = 4566210,0y = 4E10h = 21,90 1300000 = 593607,3y = 5199997320h 0,1 ∗ 21,90 und der Annahme, dass S1, S2, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = S1: 𝑃𝐹𝐻 = S2: 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd 1 − 0,99 = 2,50E − 11 45662,1 ∗ 8760 1 − 0,90 = 2,50E − 12 4566210,0 ∗ 8760 K1/K2: Betätigung 1/Schicht und direktes zurücklesen 𝑃𝐹𝐻 = 42 1 − 0,99 = 1,92E − 12 593607,3 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S1: Laut BIA-Report 2/2008 ist ein Fehlerausschluss bis 100 000 Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S1 wie folgt in die Rechnung ein. Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β– Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(S1) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 + PFH(S2) + PFH(EL1904) zu: PFHges= 2,50E-11+1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,92E-11+1,92E-11)/2 + 2,50E-12 + 1,11E-09 = 4,53E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 1 1 + + + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 𝑀𝑇𝑇𝐹𝑑 (𝑆2) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 43 Schaltungsbeispiele Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 1 h 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108,6y 1 h 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y MTTFd ges= DCavgs= 44 1 1 1 1 1 1 1 1 + + + + + + 45662,1𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 593607,3𝑦 4566210,0𝑦 1028,8𝑦 99% 99% 99% 99% 90% 90% 90% 99% + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 1 1 1 1 1 1 1 1 + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 = 252,1𝑦 = 98,99% Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 45 Schaltungsbeispiele 2.7 ESTOP Funktion Variante 7 (Kategorie 4, PL e) Der Not-Halt-Taster mit zwei Öffnerkontakten, der Restart und der Rückführkreis sind auf sichere Kanäle einer Eingangsklemme EL1904 verbunden. Die Testung des Not-Halt-Tasters ist auf beiden Kanälen ausgeschaltet. Der Restart-Taster und der Rückführkreis haben den Sensortest eingeschaltet. Eine Überprüfung auf Diskrepanz der beiden Not-Halt-Signale wird durchgeführt. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. Restart S2 K1 K2 Not-Halt Taster S1 Logische Verbindung in der EL6900 K1 K2 2.7.1 Parameter der sicheren Ein- und Ausgangsklemmen 1. EL1904 Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja nicht verwendet Nein Nein Single Logic Single Logic 2. EL1904 Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert nicht verwendet nicht verwendet Ja nicht verwendet Single Logic Single Logic 46 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 2.7.2 Blockbildung und Safety-Loops 2.7.2.1 Block 1 K1 S1 EL1904 EL6900 EL2904 S2 EL1904 K2 2.7.3 Berechnung 2.7.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 100.000 S2 – B10d 10.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10080 (1x pro Woche) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.7.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Plausibilität DCavg=90% S2 mit Testung DCavg=90% K1/K2 mit Testung und EDM (Betätigung 1/Woche) DCavg=90% K1/K2 mit Testung und EDM (Betätigung 1/Schicht) DCavg=99% Applikationshandbuch TwinSAFE - Version 1.7.0 47 Schaltungsbeispiele 2.7.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 10080 = 21,90 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗21,90 = 45662,1y = 399999120h S2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 10000000 0,1∗21,90 = 4566210,0y = 4E10h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 593607,3y = 5199997320h 0,1 ∗ 21,90 und der Annahme, dass S1, S2, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,90 = 2,50E − 10 45662,1 ∗ 8760 S2: 𝑃𝐹𝐻 = 1 − 0,90 = 2,50E − 12 4566210,0 ∗ 8760 K1/K2: Betätigung 1/Schicht und direktes zurücklesen 𝑃𝐹𝐻 = 48 1 − 0,99 = 1,92E − 12 593607,3 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S1: Laut BIA-Report 2/2008 ist ein Fehlerausschluss bis 100 000 Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S1 wie folgt in die Rechnung ein. Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(S1) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 + PFH(S2) + PFH(EL1904) zu: PFHges= 2,50E-10+1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,92E-11+1,92E-11)/2 + 2,50E-12 + 1,11E-09 = 4,75E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 1 1 + + + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 𝑀𝑇𝑇𝐹𝑑 (𝑆2) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Applikationshandbuch TwinSAFE - Version 1.7.0 49 Schaltungsbeispiele Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 1 h 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108,6y 1 h 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913,2y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy MTTFd ges= 1 1 1 1 1 1 1 1 + + + + + + 45662,1𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 593607,3𝑦 4566210,0𝑦 1028,8𝑦 90% = 252,1𝑦 99% 99% 99% 90% 90% 90% 99% + + + + + + 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 1 1 1 1 1 1 1 + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 = 98,94% 90% 99% 99% 99% 99% 99% 90% 99% + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 1 1 1 1 1 1 1 1 + + + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 4566210,0 1028,8 = 98,95% + DCavgs= 45662,1 1 bzw.: DCavgs= Kategorie Hinweis 50 Diese Struktur ist bis maximal Kategorie 4 möglich. Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 51 Schaltungsbeispiele 2.8 Schutztür Funktion Variante 1 (Kategorie 3, PL d) Die Schutztür verwendet eine Kombination von Öffner und Schließer auf sicheren Eingängen einer EL1904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (200 ms) überprüft. Der Rückführkreis wird über einen Standard-Eingang eingelesen und über die Standard-SPS an TwinSAFE übergeben. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. AUF K1 K2 S1 S2 Zu Logische Verbindung in der EL6900 K1 K2 2.8.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 52 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.8.2 Blockbildung und Safety-Loops 2.8.2.1 Block 1 S1 K1 EL1904 EL6900 EL2904 S2 K2 2.8.3 Berechnung 2.8.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 1.000.000 S2 – B10d 2.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 15 (4x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.8.3.2 Diagnostic Coverage DC Komponente Wert S1/S2 mit Testung/Plausibilität DCavg=99% K1/K2 mit Testung und EDM DCavg=90% 2.8.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 53 Schaltungsbeispiele Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 1000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 679,3y = 5951087h S2: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 2000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 1358,7y = 11902174h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 1 𝑀𝑇𝑇𝐹𝑑 = = 14720 1300000 = 883,2y = 7736413h 0,1 ∗ 14720 und der Annahme, dass S1, S2, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,99 = 1,68E − 9 679,3 ∗ 8760 S2: 𝑃𝐹𝐻 = 1 − 0,99 = 8,4E − 10 1358,7 ∗ 8760 K1/K2: 𝑃𝐹𝐻 = 1 − 0,90 = 1,29E − 8 883,2 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Türschalter S1/S2 werden immer gegenläufig betätigt. Da die Schalter verschiedene Werte haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden Werte (S1) für die Kombination heranziehen! 54 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= β* (PFH(S1)+ PFH(S2))/2 + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 zu: PFHges= 10%* (1,68E-09+1,68E-09)/2 +1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,29E-08+1,29E-08)/2 = 4,85E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Applikationshandbuch TwinSAFE - Version 1.7.0 55 Schaltungsbeispiele Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 1 h 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108,6y 1 h 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913,2y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy MTTFd ges= 99% 1 1 1 1 1 1 + + + + 679,3𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 883,2𝑦 = 179,4𝑦 99% 99% 99% 99% 90% 90% + + + + + 1358,7 1028,8 1108,6 913,2 883,2 883,2 1 1 1 1 1 1 + + + + + + 679,3 1358,7 1028,8 1108,6 913,2 883,2 883,2 + DCavg= 679,3 1 = 96,26% Maßnahmen zum Erreichen der Kategorie 3! VORSICHT 56 Diese Struktur ist durch einen möglichen schlafenden Fehler nur bis maximal Kategorie 3 möglich. Um die Kategorie 3 zu erreichen, muss in der Standard-Steuerung zur Erwartungshaltung des Rücklesens alle steigenden und fallenden Flanken zusammen mit der Zeitabhängigkeit ausgewertet werden! Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 57 Schaltungsbeispiele 2.9 Schutztür Funktion Variante 2 (Kategorie 4, PL e) Die Schutztür verwendet eine Kombination von Öffner und Schließer auf sicheren Eingängen einer EL1904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (200 ms) überprüft. Der Rückführkreis wird über einen sicheren Eingang eingelesen. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. AUF K1 K2 S1 S2 Zu Logische Verbindung in der EL6900 K1 K2 2.9.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 58 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.9.2 Blockbildung und Safety-Loops 2.9.2.1 Block 1 S1 K1 EL1904 EL6900 EL2904 EL1904 S2 K2 2.9.3 Berechnung 2.9.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 1.000.000 S2 – B10d 2.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 15 (4x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.9.3.2 Diagnostic Coverage DC Komponente Wert S1/S2 mit Testung/Plausibilität DCavg=99% K1/K2 mit Testung und EDM DCavg=99% 2.9.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 59 Schaltungsbeispiele Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 1000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 679,3y = 5951087h S2: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 2000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 1358,7y = 11902174h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 15 𝑀𝑇𝑇𝐹𝑑 = = 14720 1300000 = 883,2y = 7736413h 0,1 ∗ 14720 und der Annahme, dass S1, S2, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,99 = 1,68E − 9 679,3 ∗ 8760 S2: 𝑃𝐹𝐻 = 1 − 0,99 = 8,4E − 10 1358,7 ∗ 8760 K1/K2: 𝑃𝐹𝐻 = 60 1 − 0,99 = 1,29E − 09 883,2 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Nun sind folgende Annahmen zu treffen: Die Türschalter S1/S2 werden immer gegenläufig betätigt. Da die Schalter verschiedene Werte haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden Werte (S1) für die Kombination heranziehen! Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= β* (PFH(S1)+ PFH(S2))/2 + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 + PFH(EL1904) zu: PFHges= 10%* (1,68E-09+1,68E-09)/2 +1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,29E-09+1,29E-09)/2 +1,11E-09 = 4,80E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 1 + + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 61 Schaltungsbeispiele 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 1h ∗ 8760 hy 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y MTTFd ges= DCavg= 1 1 1 1 1 1 1 + + + + + 679,3𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 883,2𝑦 1028,8𝑦 99% 99% 99% 99% 99% 99% 99% 99% + + + + + + + 679,3 1358,7 1028,8 1108,6 913,2 883,2 883,2 1028,8 1 1 1 1 1 1 1 1 + + + + + + + 679,3 1358,7 1028,8 1108,6 913,2 883,2 883,2 1028,8 = 152,7𝑦 = 99,0% Kategorie Hinweis 62 Diese Struktur ist maximal bis Kategorie 4 möglich. Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 63 Schaltungsbeispiele 2.10 Schutztür Funktion mit Bereichsüberwachung (Kategorie 4, PL e) Die Schutztür verwendet eine Kombination von Öffner und Schließer auf sicheren Eingängen einer EL1904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (200 ms) überprüft. Der Rückführkreis wird über einen sicheren Eingang eingelesen. Die Näherungssensoren S3 und S4 sind auf sichere Eingänge verdrahtet und stellen fest, dass ein z.B. gefahrbringender Maschinenteil in einer sicheren Position ist, damit die Schutztür bei laufender Maschine geöffnet werden darf. Die Testung dieser Eingänge ist dafür abgeschaltet, damit mit der statischen 24 V Spannung der Sensoren gearbeitet werden kann. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. AUF K1 S1 K2 S2 Zu +24V +24V S3 Logische Verbindung in der EL6900 S4 K1 K2 Näherungssensor S3 Näherungssensor S4 Betätiger Beweglicher Maschinenteil Sichere Position Nicht-sichere Position Schutztür S1, S2 64 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.10.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (obere EL1904 on der Zeichnung) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL1904 (untere EL1904 on der Zeichnung) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Nein Nein Ja Ja Single Logic Single Logic EL2904 (für alle verwendeten EL2904 gültig) Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 2.10.2 Blockbildung und Safety-Loops 2.10.2.1 Block 1 S1 K1 EL1904 EL6900 S2 EL2904 K2 S3 EL1904 S4 Applikationshandbuch TwinSAFE - Version 1.7.0 65 Schaltungsbeispiele 2.10.3 Berechnung 2.10.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 1.000.000 S2 – B10d 2.000.000 S3 – B10d 20.000.000 S4 – B10d 20.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 15 (4x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.10.3.2 Diagnostic Coverage DC Komponente Wert S1/S2 mit Testung/Plausibilität DCavg=99% S3/S4 mit ohne Testung/mit Plausibilität DCavg=90% K1/K2 mit Testung und EDM DCavg=99% 2.10.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 1000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 679,3y = 5951087h 66 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele S2: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 2000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 1358,7y = 11902174h S3: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 20000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 13586,9y = 119021739h S4: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 20000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 13586,9y = 119021739h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 883,2y = 7736413h 0,1 ∗ 21,90 und der Annahme, dass S1, S2, S3, S4, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,99 = 1,68E − 9 679,3 ∗ 8760 S2: 𝑃𝐹𝐻 = 1 − 0,99 = 8,4E − 10 1358,7 ∗ 8760 S3/S4: 𝑃𝐹𝐻 = 1 − 0,90 = 8,4E − 10 13586,9 ∗ 8760 K1/K2: 𝑃𝐹𝐻 = 1 − 0,99 = 1,29E − 9 883,2 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 67 Schaltungsbeispiele Nun sind folgende Annahmen zu treffen: Die Türschalter S1/S2 werden immer gegenläufig betätigt. Da die Schalter verschiedene Werte haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden Werte (S1) für die Kombination heranziehen! Die Näherungssensoren S3/S4 werden auf Plausibilität überwacht (zeitlich/logisch) und sind Typ ASysteme nach EN61508 (nicht komplexe Bauteile, deren Verhalten unter Fehlerbedingungen vollständig bekannt ist). Einmal pro Schicht wird die sichere Position angefahren. Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= β* (PFH(S1|S2| EL1904)+ PFH(S3|S4| EL1904)) /2 + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 mit PFH(S1|S2| EL1904)= β* (PFH(S1)+PFH(S2))/2 + PFH(EL1904) PFH(S3|S4| EL1904)= β* (PFH(S3)+ PFH(S4))/2 + PFH(EL1904) zu: PFH(S1|S2| EL1904) = 10% *(1,68E-09+ 8,4E-10)/2 +1,11E-09 = 1,24E-09 PFH(S3|S4| EL1904) = 10% *(8,4E-10+ 8,4E-10)/2 +1,11E-09 = 1,19E-09 PFHges= 10 % * (1,24E-09+1,19E-09) /2 + 1,03E-09 + 1,25E-09 + 10 % * (1,29E09+1,29E-09) /2 = 2,53E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿2904) 1 + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 68 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S3) = 𝐵10𝑑 (𝑆3) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S4) = 𝐵10𝑑 (𝑆4) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = 1028,8y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108,6y 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 1h ∗ 8760 hy 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913,2y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy MTTFd ges= 99% 1 1 1 1 1 1 + + + + 679,3𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 833,2𝑦 = 177,3𝑦 99% 90% 90% 99% 99% 99% 99% 99% 99% + + + + + + + + 1358,7 13586,9 13586,9 1028,8 1028,8 1108,6 913,2 833,2 833,2 1 1 1 1 1 1 1 1 1 + + + + + + + + + 679,3 1358,7 13586,9 13586,9 1028,8 1028,8 1108,6 913,2 833,2 833,2 + DCavg= 679,3 1 Applikationshandbuch TwinSAFE - Version 1.7.0 = 98,85% 69 Schaltungsbeispiele Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Die Überwachung der Sensoren S3 und S4 muss zeitlich und logisch programmiert sein. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd 70 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.11 Schutztür Funktion mit Zuhaltung (Kategorie 4, PL e) Die Schutztür hat zwei Kontakte „Tür geschlossen“ S1 und „Tür geschlossen und verriegelt“ S2, die auf sichere Eingänge einer EL1904 verdrahtet sind. Die Testung der Eingänge ist aktiv. Eine Überprüfung auf Diskrepanz der Signale kann nicht stattfinden, da es keinen zeitlichen Zusammenhang der Signale gibt. Der Rückführkreis und das Restart-Signal werden über einen sicheren Eingang eingelesen. Auch hier ist die Testung der Eingänge aktiv. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. Die Zuhaltung wird über 2 sichere Eingänge geschaltet bei denen die Testung aktiv ist. Der sichere Ausgang für die Zuhaltung hat die Testung und Strommessung aktiv. AUF S1 K1 K2 Restart Zu S2 Logische Verbindung in der EL6900 K1 Lock K2 Unlock 2.11.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Applikationshandbuch TwinSAFE - Version 1.7.0 Wert Ja Ja Ja Ja Single Logic Single Logic 71 Schaltungsbeispiele EL2904 (für alle verwendeten EL2904 gültig) Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 2.11.2 Blockbildung und Safety-Loops 2.11.2.1 Block 1 S1 EL1904 EL6900 Lock S2 EL2904 Zuhaltung UnLock K1 EL2904 EL1904 Restart K2 2.11.3 Berechnung 2.11.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 2.000.000 S2 – B10d 2.000.000 Restart - B10d 10.000.000 Lock – B10d 100.000 Unlock – B10d 100.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Zuhaltung - B10d 2.000.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 15 (4x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 72 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.11.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Testung DCavg=90% S2 mit Testung und Erwartungshaltung DCavg=99% Lock/Unlock mit Testung/Plausibilität DCavg=99% Restart DCavg=99% K1/K2 mit Testung und EDM DCavg=99% Zuhaltung DCavg=99% 2.11.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 2000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 1358,7y = 11902174h S2: 𝑛𝑜𝑝 = 230∗16∗60 15 𝑀𝑇𝑇𝐹𝑑 = = 14720 2000000 0,1∗14720 = 1358,7y = 11902174h Lock/Unlock: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 67,9y = 595108h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 883,2y = 7736413h 0,1 ∗ 21,90 Applikationshandbuch TwinSAFE - Version 1.7.0 73 Schaltungsbeispiele Restart: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 10000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 6793,5y = 59511060h Zuhaltung: 𝑛𝑜𝑝 = 230∗16∗60 15 = 14720 2000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗14720 = 1358,7y = 11902173h und der Annahme, dass S1, S2, S3, S4, K1, K2 und die Zuhaltung jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,90 = 8,40E − 09 1358,7 ∗ 8760 S2: 𝑃𝐹𝐻 = 1 − 0,99 = 8,40E − 10 1358,7 ∗ 8760 Lock/Unlock: 𝑃𝐹𝐻 = 1 − 0,99 = 1,68E − 08 67,9 ∗ 8760 Restart: 𝑃𝐹𝐻 = 1 − 0,90 = 1,68E − 09 6793,5 ∗ 8760 K1/K2: 𝑃𝐹𝐻 = 1 − 0,99 = 1,29E − 09 883,2 ∗ 8760 Zuhaltung: 𝑃𝐹𝐻 = 74 1 − 0,99 = 8,40E − 10 1358,7 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Nun sind folgende Annahmen zu treffen: Die Türschalter S1/S2 müssen beide betätigt werden. Da die Schalter verschiedene Werte haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden Werte (S1) für die Kombination heranziehen! Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Die Zuhaltung ist mit dem Schalter S2 mechanisch so verbunden, dass ein Trennen der Kopplung ausgeschlossen werden kann. Der Restart wird überwacht, dass ein Signalwechsel erst gültig ist, sobald die Tür geschlossen ist. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= β* (PFH(S2|Lock|UNlock|EL2904|Zuhaltung)+ PFH(S1))/ 2 + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2+PFH(EL1904) + PFH(Restart) mit PFH(S2|Lock|UNlock|EL2904|Zuhaltung) = PFH(S2)+ β* (PFH(Lock)+PFH(Unlock))/2 + PFH (EL2904) + PFH (Zuhaltung) zu: PFH(S2|Lock|UNlock|EL2904|Zuhaltung) = 8,4E-10 + 10%* (1,68E-08+1,68E-08)/2 + 1,25E-09 + 8,40E-10 = 4,61E-09 PFHges= 10 %* (4,61E-09+8,40E-09)/2 + 1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,29E-09+1,29E-09)/2 + 1,11E-09 + 1,68E-09 = 6,96E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 = + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆2|𝐿𝑜𝑐𝑘|𝑈𝑁𝑙𝑜𝑐𝑘|𝐸𝐿2904|𝑍𝑢ℎ𝑎𝑙𝑡𝑢𝑛𝑔) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 1 1 1 + + + 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿2904) (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 1 1 + + (𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿1904)) (𝑀𝑇𝑇𝐹𝑑 (𝑅𝑒𝑠𝑡𝑎𝑟𝑡)) Applikationshandbuch TwinSAFE - Version 1.7.0 75 Schaltungsbeispiele mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (Lock) = 𝐵10𝑑 (𝐿𝑜𝑐𝑘) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (Unlock) = 𝐵10𝑑 (𝑈𝑛𝑙𝑜𝑐𝑘) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (Zuhaltung) = 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝑆4) 0,1 ∗ 𝑛𝑜𝑝 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = 1028,8y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 76 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 𝑀𝑇𝑇𝐹𝑑 (S2|Lock|UNlock|EL2904|Zuhaltung) 1 = 1 1 1 1 + + + 𝑀𝑇𝑇𝐹𝑑 (𝑆2) 𝑀𝑇𝑇𝐹𝑑 (𝐿𝑜𝑐𝑘) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿2904) 𝑀𝑇𝑇𝐹𝑑 (𝑍𝑢ℎ𝑎𝑙𝑡𝑢𝑛𝑔) 1 = = 57,82𝑦 1 1 1 1 + + + 1358,7𝑦 67,9𝑦 913,2𝑦 1358,7𝑦 MTTFd ges= DCavg= 1 1 1 1 1 1 1 + + + + + 57,82𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 883,2𝑦 6793,5𝑦 = 46,42𝑦 99% 99% 99% 99% 99% 99% 99% 99% 99% 99% 99% 99% 90% + + + + + + + + + + + + 57,82 1358,7 67,9 67,9 913,2 1358,7 1028,8 1108,6 913,2 883,2 883,2 1028,8 6793,5 1 1 1 1 1 1 1 1 1 1 1 1 1 + + + + + + + + + + + + 57,82 1358,7 67,9 67,9 913,2 1358,7 1028,8 1108,6 913,2 883,2 883,2 1028,8 6793,5 = 98,98% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 77 Schaltungsbeispiele 2.12 Zweihand-Steuerung (Kategorie 4, PL e) Die Zweihandtaster bestehen jeweils aus einer Kombination von Öffner und Schließer auf sicheren Eingängen einer EL1904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (200 ms) überprüft. Zusätzlich ist die synchrone Betätigung der beiden Taster aktiviert mit einer Überwachungszeit von 500 ms. Der Rückführkreis wird über einen sicheren Eingang eingelesen. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. S1 K1 K2 S2 Logische Verbindung in der EL6900 K1 K2 2.12.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 78 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.12.2 Blockbildung und Safety-Loops 2.12.2.1 Block 1 S1 K1 EL1904 EL6900 EL2904 EL1904 S2 K2 2.12.3 Berechnung 2.12.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 20.000.000 S2 – B10d 20.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 1 (1x pro Minute) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.12.3.2 Diagnostic Coverage DC Komponente Wert S1/S2 mit Testung/Plausibilität DCavg=99% K1/K2 mit Testung und EDM DCavg=99% 2.12.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 79 Schaltungsbeispiele Eingesetzt ergibt das: S1/S2: 𝑛𝑜𝑝 = 230∗16∗60 1 = 220800 20000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗220800 = 905,8y = 7934783h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 1 𝑀𝑇𝑇𝐹𝑑 = = 220800 1300000 = 58,9y = 515760h 0,1 ∗ 220800 und der Annahme, dass S1, S2, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1/S2: 𝑃𝐹𝐻 = 1 − 0,99 = 1,26E − 09 905,8y ∗ 8760 K1/K2: 𝑃𝐹𝐻 = 1 − 0,99 = 1,93E − 8 58,9 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. 80 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= β * (PFH(S1)+PFH(S2))/2 + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β * (PFH(K1)+PFH(K2))/2 +PFH(EL1904) zu: PFHges= 10%* (1,26E-09+1,26E-09) / 2 +1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,93E-08+1,93E-08) / 2 + 1,11E-09 = 6,56E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿2904) 1 1 + + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 1h ∗ 8760 hy 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y Applikationshandbuch TwinSAFE - Version 1.7.0 81 Schaltungsbeispiele 𝑀𝑇𝑇𝐹𝑑 (EL2904) = MTTFd ges= DCavg= (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913,2y 1 h 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 1 1 1 1 1 1 1 + + + + + 905,8𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 58,9𝑦 1028,8𝑦 99% 99% 99% 99% 99% 99% 99% 99% + + + + + + + 905,8 905,8 1028,8 1108,6 913,2 58,9 58,9 1028,8 1 1 1 1 1 1 1 1 + + + + + + + 905,8 905,8 1028,8 1108,6 913,2 58,9 58,9 1028,8 = 45,4𝑦 = 99,0% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd 82 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.13 Laserscanner (Kategorie 3, PL d) Der Laser-Scanner hat zwei OSSD-Ausgänge (Output-Signal-Switching-Device) die auf sichere Eingänge einer EL1904 verdrahtet sind. Die Testung der Eingänge ist nicht aktiv, da die OSSD-Ausgänge eine eigene Testung durchführen. Weiterhin werden die Signale auf Diskrepanz (200 ms) überprüft. Der Rückführkreis wird über einen sicheren Eingang eingelesen. Für diesen Eingang ist die Testung aktiv. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K1 K2 OSSD 1 OSSD 2 K1 K2 Logische Verbindung in der EL6900 2.13.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Nein Nein Ja Ja OSSD beliebige Pulsarten Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja Applikationshandbuch TwinSAFE - Version 1.7.0 83 Schaltungsbeispiele 2.13.2 Blockbildung und Safety-Loops 2.13.2.1 Block 1 K1 Scanner EL1904 EL6900 EL2904 K2 2.13.3 Berechnung 2.13.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 Laserscanner – PFHd 7,67E-08 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10 (6x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.13.3.2 Diagnostic Coverage DC Komponente Wert OSSD1/2 mit Testung(durch Scanner)/Plausibilität DCavg=90% K1/K2 mit Testung und EDM DCavg=99% 2.13.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 84 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Eingesetzt ergibt das: K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10 𝑀𝑇𝑇𝐹𝑑 = = 22080 1300000 = 588,7y = 5157012h 0,1 ∗ 22080 und der Annahme, dass K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd K1/K2: 𝑃𝐹𝐻 = 1 − 0,99 = 1,94E − 9 588,7 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(Scanner) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 zu: PFHges= 7,67E-08 +1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,94E-09+1,94E-09)/2= 8,03E-08 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 Applikationshandbuch TwinSAFE - Version 1.7.0 85 Schaltungsbeispiele als: 1 1 1 1 = + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆𝑐𝑎𝑛𝑛𝑒𝑟) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 1 1 + + 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿2904) (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) mit: 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = 1028.8y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (Scanner) = (1 − 0,90) (1 − 𝐷𝐶(𝑆𝑐𝑎𝑛𝑛𝑒𝑟)) 0,1 = = 148,8y 1 h = 𝑃𝐹𝐻(𝑆𝑐𝑎𝑛𝑛𝑒𝑟) 6,72E − 04 1y 7,67E − 08 h ∗ 8760 y MTTFd ges= DCavg= 86 1 1 1 1 1 1 + + + + 148,8𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 588,7𝑦 90% 99% 99% 99% 99% 99% + + + + + 148,8 1028,8 1108,6 913,2 588,7 588,7 1 1 1 1 1 1 + + + + + 148,8 1028,8 1108,6 913,2 588,7 588,7 = 87,8𝑦 = 94,38% Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Kategorie Hinweis Diese Struktur ist durch den Einsatz des Typ3 (Kategorie 3) Laserscanners maximal bis Kategorie 3 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 87 Schaltungsbeispiele 2.14 Lichtgitter (Kategorie 4, PL e) Das Lichtgitter hat zwei OSSD-Ausgänge (Output-Signal-Switching-Device) die auf sichere Eingänge einer EL1904 verdrahtet sind. Die Testung der Eingänge ist nicht aktiv, da die OSSD-Ausgänge eine eigene Testung durchführen. Weiterhin werden die Signale auf Diskrepanz (200 ms) überprüft. Der Rückführkreis wird über einen sicheren Eingang eingelesen. Für diesen Eingang ist die Testung aktiv. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K1 K2 OSSD 1 OSSD 2 K1 K2 Logische Verbindung in der EL6900 2.14.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Nein Nein Ja Ja Asynchrone Auswertung OSSD Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 88 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.14.2 Blockbildung und Safety-Loops 2.14.2.1 Block 1 K1 LichtEL1904 vorhang EL6900 EL2904 K2 2.14.3 Berechnung 2.14.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 Lichtvorhang – PFHd 1,50E-08 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 5 (12x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.14.3.2 Diagnostic Coverage DC Komponente Wert OSSD1/2 mit Testung(durch Lichtvorhang)/ Plausibilität DCavg=99% K1/K2 mit Testung und EDM DCavg=99% 2.14.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 89 Schaltungsbeispiele Eingesetzt ergibt das: K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 5 𝑀𝑇𝑇𝐹𝑑 = = 44160 1300000 = 294,4y = 2578944h 0,1 ∗ 44160 und der Annahme, dass K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd K1/K2: 𝑃𝐹𝐻 = 1 − 0,99 = 3,88E − 9 294,4 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(Lichtvorhang) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 zu: PFHges= 1,50E-08 +1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (3,88E-09+3,88E-09)/2 = 1,88E-08 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 90 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele als: 1 1 1 1 = + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝐿𝑖𝑐ℎ𝑡𝑣𝑜𝑟ℎ𝑎𝑛𝑔) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 1 1 + + 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿2904) (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) mit: 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = 1028.8y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (Lichtvorhang) = = MTTFd ges= DCavg= (1 − 0,99) (1 − 𝐷𝐶(𝐿𝑖𝑐ℎ𝑡𝑣𝑜𝑟ℎ𝑎𝑛𝑔)) = 𝑃𝐹𝐻(𝐿𝑖𝑐ℎ𝑡𝑣𝑜𝑟ℎ𝑎𝑛𝑔) 1,50E − 08 1h ∗ 8760 hy 0,01 = 76,1y 1,31E − 04 1y 1 1 1 1 1 1 + + + + 76,1𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 294,4𝑦 99% 99% 99% 99% 99% 99% + + + + + 76,1 1028,8 1108,6 913,2 588,7 294,4 1 1 1 1 1 1 + + + + + 76,1 1028,8 1108,6 913,2 588,7 294,4 = 51,3𝑦 = 99,0% Applikationshandbuch TwinSAFE - Version 1.7.0 91 Schaltungsbeispiele Kategorie Hinweis Diese Struktur ist durch den Einsatz des Typ4 (Kategorie 4) Lichtvorhangs maximal bis Kategorie 4 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd 92 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.15 Sicherheitsschaltmatte / Safety Bumper (Kategorie 4, PL e) Sicherheitsschaltmatten oder Safety Bumper arbeiten nach dem Prinzip des Querschlusses. Die Kontaktflächen des Gerätes werden auf sichere Eingänge einer EL1904 verdrahtet. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (200 ms) überprüft. Sobald ein Querschluss (Schaltmatte wird betreten) zwischen den Signalen erkannt wird, wird eine logische 0 von der Eingangsklemme EL1904 gemeldet. Ist der Querschluss nicht mehr vorhanden wird eine logische 1 gemeldet. Der Rückführkreis wird über einen sicheren Eingang eingelesen. Auch hier ist die Testung des Einganges aktiv. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K1 K2 K1 K2 Logische Verbindung in der EL6900 2.15.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Querschluss ist kein Modulfehler Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja Applikationshandbuch TwinSAFE - Version 1.7.0 93 Schaltungsbeispiele 2.15.2 Blockbildung und Safety-Loops 2.15.2.1 Block 1 K1 SchaltEL1904 matte EL6900 EL2904 K2 2.15.3 Berechnung 2.15.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 Schaltmatte – B10d 6,00E06 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 1 (1x pro Minute) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.15.3.2 Diagnostic Coverage DC Komponente Wert Schaltausgänge (Matte) mit Testung/Plausibilität DCavg=99% K1/K2 mit Testung und EDM DCavg=99% 2.15.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 94 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Eingesetzt ergibt das: K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 1 𝑀𝑇𝑇𝐹𝑑 = = 220800 1300000 = 58,9y = 515761h 0,1 ∗ 220800 Schaltmatte: 𝑛𝑜𝑝 = 230∗16∗60 1 𝑀𝑇𝑇𝐹𝑑 = = 220800 6,00E06 = 271,7y = 2380434h 0,1 ∗ 220800 und der Annahme, dass K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd K1/K2: 𝑃𝐹𝐻 = 1 − 0,99 = 1,94E − 08 58,9 ∗ 8760 Schaltmatte: 𝑃𝐹𝐻 = 1 − 0,99 = 4,20E − 09 271,7 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(Schaltmatte) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 Applikationshandbuch TwinSAFE - Version 1.7.0 95 Schaltungsbeispiele zu: PFHges= 4,20E-09+1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,94E-08+1,94E-08)/2 = 9,53E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 = + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆𝑐ℎ𝑎𝑙𝑡𝑚𝑎𝑡𝑡𝑒) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 1 1 + + 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿2904) (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) mit: 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = 1028.8y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y MTTFd ges= DCavg= 96 1 1 1 1 1 1 + + + + 271,7𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 58,9𝑦 99% 99% 99% 99% 99% 99% + + + + + 271,7 1028,8 1108,6 913,2 58,9 58,9 1 1 1 1 1 1 + + + + + 271,7 1028,8 1108,6 913,2 58,9 58,9 = 42,3𝑦 = 99,0% Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Kategorie Hinweis Durch die Struktur der Schaltung ist Kategorie 4 erreichbar. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 97 Schaltungsbeispiele 2.16 Muting (Kategorie 4, PL e) Das Lichtgitter hat zwei OSSD Ausgänge (Output-Signal-Switching-Device) die auf sichere Eingänge einer EL1904 verdrahtet sind. Die Testung der Eingänge ist nicht aktiv, da die OSSD Ausgänge eine eigene Testung durchführen. Weiterhin werden die Signale auf Diskrepanz (200 ms) überprüft. Der Rückführkreis wird über einen sicheren Eingang eingelesen. Die Muting-Schalter und der Enable-Schalter sind ebenfalls auf sichere Eingänge verdrahtet. Für diese Eingänge ist die Testung aktiv. An einem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Die Muting-Lampe ist ebenfalls auf einen sicheren Ausgang verdrahtet. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. OSSD 1 OSSD 2 K1 K1 K2 S1 K2 Logische Verbindung in der EL6900 MS1 MS2 MS3 MS4 2.16.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (obere Klemme in der Zeichnung) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Nein Nein Ja Ja Asynchrone Auswertung OSSD Single Logic EL1904 (untere Klemme in der Zeichnung) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic 98 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 2.16.2 Blockbildung und Safety-Loops 2.16.2.1 Block 1 K1 MS K2 MS Licht- vorhang EL1904 EL6900 EL2904 MS EL1904 S1 MS 2.16.3 Berechnung 2.16.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 100.000 Lichtvorhang – PFHd 1,50E-08 MS1 – B10d 100.000 MS2 – B10d 100.000 MS3 – B10d 100.000 MS4 – B10d 100.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 60 (1x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden Applikationshandbuch TwinSAFE - Version 1.7.0 99 Schaltungsbeispiele 2.16.3.2 Diagnostic Coverage DC Komponente Wert OSSD1/2 mit Testung(durch Lichtvorhang)/ Plausibilität DCavg=99% MS1/2/3/4 mit Testung/Plausibilität DCavg=90% K1/K2 mit Testung und EDM DCavg=99% S1 mit Testung DCavg=90% 2.16.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗8∗60 60 = 1840 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗1840 = 543,5y = 4761060h K1/K2: 𝑛𝑜𝑝 = 230∗8∗60 60 𝑀𝑇𝑇𝐹𝑑 = = 1840 1300000 = 7065,2 = 61891152h 0,1 ∗ 1840 MS1/MS2/MS3/S4: 𝑛𝑜𝑝 = 230∗8∗60 60 𝑀𝑇𝑇𝐹𝑑 = = 1840 100000 = 543,5y = 4761060h 0,1 ∗ 1840 und der Annahme, dass S1, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 100 1 𝜆𝑑 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,90 = 2,10E − 8 543,5 ∗ 8760 K1/K2: 𝑃𝐹𝐻 = 1 − 0,99 = 1,62E − 10 7065,2 ∗ 8760 MS1/MS2/MS3/S4: 𝑃𝐹𝐻 = 1 − 0,90 = 2,10E − 8 543,5 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(Lichtvorhang) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+PFH(K2))/2 + β* (PFH(MS1)+PFH(MS2))/2 + β* (PFH(MS3)+PFH(MS4))/2 + PFH(EL1904) + PFH(S1) zu: PFHges= 1,50E-08 +1,11E-09 + 1,03E-09 + 1,25E-09 + 10%*(1,62E-10+1,62E-10) / 2 + 10%*(2,10E-08+2,10E-08) / 2 + 10%*(2,10E-08+2,10E-08) / 2 +1,11E-09 + 2,10E-08 = 4,47E-08 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 Applikationshandbuch TwinSAFE - Version 1.7.0 101 Schaltungsbeispiele als: 1 1 1 1 = + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝐿𝑖𝑐ℎ𝑡𝑣𝑜𝑟ℎ𝑎𝑛𝑔) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 1 1 1 1 + + + + 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿2904) (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) (𝑀𝑇𝑇𝐹𝑑 (𝑀𝑆1)) (𝑀𝑇𝑇𝐹𝑑 (𝑀𝑆3)) 1 1 + + 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹 𝑑 (𝑆1) mit: 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = 1028.8y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (Lichtvorhang) = = (1 − 0,99) (1 − 𝐷𝐶(𝐿𝑖𝑐ℎ𝑡𝑣𝑜𝑟ℎ𝑎𝑛𝑔)) = 𝑃𝐹𝐻(𝐿𝑖𝑐ℎ𝑡𝑣𝑜𝑟ℎ𝑎𝑛𝑔) 1,50E − 08 1h ∗ 8760 hy 0,01 = 76,1y 1,31E − 04 1y (1 − 0,90) (1 − 𝐷𝐶(𝑀𝑆1/𝑀𝑆3)) 0,1 = 1 h = 𝑃𝐹𝐻(𝑀𝑆1/𝑀𝑆3) 1,84E − 04 1y 2,10E − 8 h ∗ 8760 y = 543,6y 𝑀𝑇𝑇𝐹𝑑 (MS1/MS3) = 102 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd ges= DCavg= 1 1 1 1 1 1 1 1 1 1 + + + + + + + + 76,1𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 7065,2𝑦 543,6𝑦 543,6𝑦 1028,8𝑦 543,5𝑦 = 44,0𝑦 99% 99% 99% 99% 99% 99% 90% 90% 90% 90% 99% 99% + + + + + + + + + + + 76,1 1028,8 1108,6 913,2 7065,2 7065,2 543,6 543,6 543,6 543,6 1028,8 543,5 1 1 1 1 1 1 1 1 1 1 1 1 + + + + + + + + + + + 76,1 1028,8 1108,6 913,2 7065,2 7065,2 543,6 543,6 543,6 543,6 1028,8 543,5 = 96,51% Kategorie Hinweis Diese Struktur ist durch den Einsatz des Typ4 (Kategorie 4) Lichtvorhangs maximal bis Kategorie 4 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 103 Schaltungsbeispiele 2.17 Allpolige Abschaltung einer Potentialgruppe mit nachgeschalteten rückwirkungsfreien Standardklemmen (Kategorie 4, PL e) Die Schutztür verwendet eine Kombination von Öffner und Schließer auf sicheren Eingängen einer EL1904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (200 ms) überprüft. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. Die Diagnose Information der KL/EL9110 (24 V liegen an den Powerkontakten an) wird negiert und zusammen mit den Rückführsignalen der Schütze K1, K2, K3 und K4 UND verknüpft auf den EDM Eingang gelegt. Mit den Arbeitskontakten der Schütze K1 und K2 wird die Versorgung der Powerkontakte (24 V und auch 0 V) der Potentialgruppe abgeschaltet. Die 0 V Potentiale der verwendeten Last (hier: K3 und K4) müssen immer auf die Potentialgruppe zurückgeführt werden. Sicherheitsbetrachtung Hinweis Die verwendeten Klemmen EL/KL9110 und EL/KL2xxx sind kein aktiver Teil der Sicherheitssteuerung. Dementsprechend ist der erreichte Sicherheitslevel nur durch die überlagerte Sicherheitssteuerung definiert. Die Standardklemmen werden nicht in die Berechnung mit einbezogen. Die externe Beschaltung der Standardklemmen kann zu Einschränkungen des maximal erreichbaren Sicherheitslevels führen. Voraussetzungen Netzteil Hinweis Zur Versorgung der Standardklemmen mit 24 V muss ein SELV/PELV Netzteil mit einer ausgangsseitigen Spannungsbegrenzung auf Umax=60 V im Fehlerfall verwendet werden. Verhinderung der Rückspeisung Achtung Die Rückspeisung kann durch unterschiedliche Maßnahmen verhindert werden (siehe weitere Hinweise untenstehend): 104 Kein Schalten von Lasten mit separater Spannungsversorgung Masserückführung und allpolige Abschaltung (hier im Beispiel verwendet) oder Fehlerausschluss Leitungskurzschluss (separate Mantelleitung, Verdrahtung nur Schaltschrank-intern, eigene Erdverbindung pro Leiter) Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Maximal erreichbare Sicherheitslevel Achtung Rückspeisung durch Masserückführung und allpolige Abschaltung vermieden: DIN EN ISO 13849-1: max. Kat. 4 PL e IEC 61508: max. SIL3 EN 62061: max. SIL3 AUF K1 S1 K2 S2 Zu Logische Verbindung in der EL6900 K1 K2 K3 K4 24V 0V K1 I/O RUN BK9000 BECKHOFF I/O ERR K2 KL2xx2 KL2xx2 KL9xxx KL2xx2 KL2xx2 KL9010 BECKHOFF BECKHOFF BECKHOFF BECKHOFF BECKHOFF BECKHOFF K3 Applikationshandbuch TwinSAFE - Version 1.7.0 K4 105 Schaltungsbeispiele 2.17.1 Hinweise zur Verhinderung der Rückspeisung 2.17.1.1 Kein Schalten von Lasten mit separater Spannungsversorgung Es dürfen keine Lasten durch Standardklemmen geschaltet werden, die über eine eigene Spannungsversorgung verfügen, da hier eine Rückspeisung durch die Last nicht ausgeschlossen werden kann. Externe Versorgung Sichere Abs chaltung (zweikanalig, allpolig) 1 1 5 5 Last 230V ~ 24V = 24V 0V SELV/PELV Netzteil 2 6 2 6 3 7 3 7 4 8 4 8 Standardklemme Einspeiseklemme Ausnahmen von der allgemeinen Anforderung sind nur erlaubt, wenn der Hersteller der angeschlossenen Last garantiert, dass es zu keiner Rückspeisung auf den Ansteuereingang kommen kann. 2.17.1.2 Option 1: Masserückführung und allpolige Abschaltung (hier im Beispiel verwendet) Die Masseverbindung der angeschlossenen Last muss auf die sicher geschaltete Masse der jeweiligen Ausgangsklemme bzw. Potentialgruppe zurückgeführt werden. (Hier: K1 - richtige Verdrahtung, K2 falsche Verdrahtung) Sichere Abs chaltung (zweikanalig, allpolig) 230V ~ 24V = SELV/PELV Netzteil 24V 0V 1 5 1 5 2 6 2 6 K1 3 7 3 7 4 8 4 8 Einspeiseklemme 106 K2 Stand ardklemme Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.17.1.3 Option 2: Fehlerausschluss Leitungskurzschluss Ist die Option 1 aus Kapitel 2.17.1.2 nicht umsetzbar kann auch auf die Masserückführung und allpolige Abschaltung verzichtet werden, wenn die Gefahr der Rückspeisung aufgrund eines Leitungskurzschlusses durch weitere Maßnahmen ausgeschlossen werden kann. Die folgenden Maßnahmen können alternativ umgesetzt werden. Sichere Abs chaltung (zweikanalig, einpolig) 230V ~ 24V = SELV/PELV Netzteil 24V 0V 1 5 1 5 2 6 2 6 3 7 3 7 4 8 4 8 Einspeiseklemme Alternative1: geschütz te Leitungsverlegung K1 K2 Stand ardklemme Lastanschluss durch separate Mantelleitungen Das nicht sicher geschaltete Potential der Standardklemme darf nicht zusammen mit anderen potentialführenden Leitungen in derselben Mantelleitung geführt werden Alternative2: Verdrahtung nur Schaltschrank-intern Alle an die nicht sicheren Standardklemmen angeschlossenen Lasten müssen sich im selben Schaltschrank wie die Klemmen befinden. Die Leitungsverlegung verbleibt vollkommen innerhalb des Schaltschrankes. Alternative3: Eigene Erdverbindung pro Leiter Alle an die nicht sicheren Standardklemmen angeschlossenen Leiter sind durch eine eigene Erdverbindung geschützt. Applikationshandbuch TwinSAFE - Version 1.7.0 107 Schaltungsbeispiele Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 108 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.17.2 Blockbildung und Safety-Loops 2.17.2.1 Block 1 S1 K1 EL1904 EL6900 EL/KL2xxx K3 ... EL2904 S2 K2 Nicht betrachtet, da rückwirkungsfrei K4 2.17.3 Berechnung 2.17.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 1.000.000 S2 – B10d 2.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 K3 – B10d 1.300.000 K4 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 15 (4x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.17.3.2 Diagnostic Coverage DC Komponente Wert S1/S2 mit Testung/Plausibilität DCavg=99% K1/K2 mit Testung und EDM DCavg=99% K3/K4 mit EDM DCavg=90% Applikationshandbuch TwinSAFE - Version 1.7.0 109 Schaltungsbeispiele 2.17.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗8∗60 15 = 7360 1000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗7360 = 1358,7y = 11902212h S2: 𝑛𝑜𝑝 = 230∗8∗60 15 = 7360 2000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗7360 = 2717,4y = 23804424h K1/K2/K3/K4: 𝑛𝑜𝑝 = 230∗8∗60 15 𝑀𝑇𝑇𝐹𝑑 = = 7360 1300000 = 1766,3y = 15472788h 0,1 ∗ 7360 und der Annahme, dass S1, S2, K1, K2, K3 und K4 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = S1: 𝑃𝐹𝐻 = 110 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd 1 − 0,99 = 8,40E − 10 1358,7 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele S2: 𝑃𝐹𝐻 = K1/K2: 𝑃𝐹𝐻 = K3/K4: 𝑃𝐹𝐻 = 1 − 0,99 = 4,20E − 10 2717,4 ∗ 8760 1 − 0,99 = 6,46E − 10 1766,3 ∗ 8760 1 − 0,90 = 6,46E − 9 1766,3 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Türschalter S1/S2 werden immer gegenläufig betätigt. Da die Schalter verschiedene Werte haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden Werte (S1) für die Kombination heranziehen! Die Schütze K1, K2, K3 und K4 sind alle an der Sicherheitsfunktion angeschlossen. Ein NichtFunktionieren eines Schützes führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1, K2, K3 und K4 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Schütz-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: 𝑃𝐹𝐻(𝑆1) + 𝑃𝐹𝐻(𝑆2) + 𝑃𝐹𝐻(𝐸𝐿1904) + 𝑃𝐹𝐻(𝐸𝐿6900) + 𝑃𝐹𝐻(𝐸𝐿2904) 2 𝑃𝐹𝐻(𝐾1) + 𝑃𝐹𝐻(𝐾2) 𝑃𝐹𝐻(𝐾3) + 𝑃𝐹𝐻(𝐾4) +𝛽∗ +𝛽∗ 2 2 𝑃𝐹𝐻𝑔𝑒𝑠 = 𝛽 ∗ zu: 8,40𝐸 − 10 + 4,20𝐸 − 10 + 1,11𝐸 − 9 + 1,03𝐸 − 9 + 1,25𝐸 − 9 2 6,46𝐸 − 10 + 6,46𝐸 − 10 6,46𝐸 − 9 + 6,46𝐸 − 9 + 10% ∗ + 10% ∗ = 4,1636𝐸 − 9 2 2 𝑃𝐹𝐻𝑔𝑒𝑠 = 10% ∗ Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: Applikationshandbuch TwinSAFE - Version 1.7.0 111 Schaltungsbeispiele 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 1 + + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 𝑀𝑇𝑇𝐹 𝑑 (𝐾3) Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 1h ∗ 8760 hy 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108,6y 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 1h ∗ 8760 hy 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑𝑔𝑒𝑠 = 1 1 1 1 𝐷𝐶 𝐷𝐶 𝑀𝑇𝑇𝐹𝑑 (𝑆1) + 𝑀𝑇𝑇𝐹 𝑑 (𝑆2) + 𝑀𝑇𝑇𝐹 1 𝐷𝐶 1 𝑀𝑇𝑇𝐹𝑑 (𝑆1) + 𝑀𝑇𝑇𝐹 𝑑 (𝑆2) 0,99 1 0,99 1 1 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿1904) 1 + 𝑀𝑇𝑇𝐹 + + 𝑀𝑇𝑇𝐹 𝐷𝐶 𝐷𝐶 𝑑 (𝐸𝐿2904) + 𝑀𝑇𝑇𝐹 𝑑 (𝐾4) 1 1 + 𝑀𝑇𝑇𝐹 (𝐸𝐿2904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑑 1 1 𝑑 (𝐾3) + 𝑀𝑇𝑇𝐹 𝑑 (𝐾4) 0,99 0,99 0,90 0,90 + 1766,3 + 1766,3 + 1766,3 + 1766,3 1 1 1 1 1 + 2717,4 + 1028,8 + 1108,6 + 913,2 1358,7 + 𝑑 (𝐾3) + 𝑀𝑇𝑇𝐹 𝑑 (𝐾2) 0,99 𝐷𝐶 𝐷𝐶 𝑑 (𝐸𝐿6900) + 𝑀𝑇𝑇𝐹 𝑑 (𝐾2) 0,99 + 𝑀𝑇𝑇𝐹 = 206,7𝑦 + 2717,4 + 1028,8 + 1108,6 + 913,2 0,99 112 + 𝑀𝑇𝑇𝐹 + 𝑑 (𝐾1) 1358,7 𝐷𝐶 𝐷𝐶 𝑑 (𝐾1) + 𝑀𝑇𝑇𝐹 𝐷𝐶𝑎𝑣𝑔𝑠 = 1 𝑑 (𝐸𝐿1904) + 𝑀𝑇𝑇𝐹 𝐷𝐶𝑎𝑣𝑔𝑠 = 1 + 1028,8𝑦 + 1108,6𝑦 + 913,2𝑦 + 1766,3𝑦 + 1766,3𝑦 1358,7𝑦 1 1766,3 + 1 1766,3 + 1 1766,3 + = 0,9739 = 97,39% 1 1766,3 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Sicherheits-Integritätslevel entspr. Tab. 3 EN62061 Sicherheits-Integritätslevel Warscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFHD) 3 ≥ 10-8 bis < 10-7 2 ≥ 10-7 bis < 10-6 1 ≥ 10-6 bis < 10-5 Applikationshandbuch TwinSAFE - Version 1.7.0 113 Schaltungsbeispiele 2.18 Einpolige Abschaltung einer Potentialgruppe mit nachgeschalteten rückwirkungsfreien Standardklemmen mit Fehlerausschluss (Kategorie 4, PL e) Die Schutztür verwendet eine Kombination von Öffner und Schließer auf sicheren Eingängen einer EL1904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (200 ms) überprüft. An dem sicheren Ausgang werden die Schütze K1 und K2 parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. Die Diagnoseinformation der KL/EL9110 (24 V liegen an den Powerkontakten an) wird negiert und zusammen mit den Rückführsignalen der Schütze K1, K2, K3 und K4 UND verknüpft auf den EDMEingang gelegt. Mit den Arbeitskontakten der Schütze K1 und K2 wird nur die 24 V Versorgung der Powerkontakte der Potentialgruppe abgeschaltet. Der 0 V Anschluss der Powerkontakte wird direkt auf die 0 V der Spannungsversorgung zurückgeführt. Die 0 V Potentiale der verwendeten Last (hier: K3 und K4) können auf die Potentialgruppe zurückgeführt werden. Sicherheitsbetrachtung Hinweis Die verwendeten Klemmen EL/KL9110 und EL/KL2xxx sind kein aktiver Teil der Sicherheitssteuerung. Dementsprechend ist der erreichte Sicherheitslevel nur durch die überlagerte Sicherheitssteuerung definiert. Die Standardklemmen werden nicht in die Berechnung mit einbezogen. Die externe Beschaltung der Standardklemmen kann zu Einschränkungen des maximal erreichbaren Sicherheitslevels führen. Voraussetzungen Netzteil Hinweis Zur Versorgung der Standardklemmen mit 24V muss ein SELV/PELV Netzteil mit einer ausgangsseitigen Spannungsbegrenzung auf Umax=60V im Fehlerfall verwendet werden. Verhinderung der Rückspeisung Achtung Die Rückspeisung kann durch unterschiedliche Maßnahmen verhindert werden (siehe weitere Hinweise untenstehend): 114 Kein Schalten von Lasten mit separater Spannungsversorgung Masserückführung und allpolige Abschaltung oder Fehlerausschluss Leitungskurzschluss (separate Mantelleitung, Verdrahtung nur Schaltschrank-intern, eigene Erdverbindung pro Leiter) (hier im Beispiel verwendet) Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Maximal erreichbare Sicherheitslevel Achtung Rückspeisung durch Fehlerausschluss Leitungskurzschluss vermieden: DIN EN ISO 13849-1: max. Kat. 4 PL e IEC 61508: max. SIL3 EN 62061: max. SIL2 AUF K1 S1 K2 S2 Zu Logische Verbindung in der EL6900 K1 K2 K3 K4 24V 0V K1 I/O RUN BK9000 BECKHOFF I/O ERR K2 KL2xx2 KL2xx2 KL9xxx KL2xx2 KL2xx2 KL9010 BECKHOFF BECKHOFF BECKHOFF BECKHOFF BECKHOFF BECKHOFF Geschützte Leitungsverlegung K3 Applikationshandbuch TwinSAFE - Version 1.7.0 K4 115 Schaltungsbeispiele 2.18.1 Hinweise zur Verhinderung der Rückspeisung 2.18.1.1 Kein Schalten von Lasten mit separater Spannungsversorgung Es dürfen keine Lasten durch Standardklemmen geschaltet werden, die über eine eigene Spannungsversorgung verfügen, da hier eine Rückspeisung durch die Last nicht ausgeschlossen werden kann. Externe Versorgung Sichere Abs chaltung (zweikanalig, allpolig) 1 1 5 5 Last 230V ~ 24V = 24V 0V SELV/PELV Netzteil 2 6 2 6 3 7 3 7 4 8 4 8 Standardklemme Einspeiseklemme Ausnahmen von der allgemeinen Anforderung sind nur erlaubt, wenn der Hersteller der angeschlossenen Last garantiert, dass es zu keiner Rückspeisung auf den Ansteuereingang kommen kann. 2.18.1.2 Option 1: Masserückführung und allpolige Abschaltung Die Masseverbindung der angeschlossenen Last muss auf die sicher geschaltete Masse der jeweiligen Ausgangsklemme bzw. Potentialgruppe zurückgeführt werden. (Hier: K1 - richtige Verdrahtung, K2 falsche Verdrahtung) Sichere Abs chaltung (zweikanalig, allpolig) 230V ~ 24V = SELV/PELV Netzteil 24V 0V 1 5 1 5 2 6 2 6 K1 3 7 3 7 4 8 4 8 Einspeiseklemme 116 K2 Stand ardklemme Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.18.1.3 Option 2: Fehlerausschluss Leitungskurzschluss (hier im Beispiel verwendet) Ist die Option 1 aus Kapitel 2.18.1.2 nicht umsetzbar kann auch auf die Masserückführung und allpolige Abschaltung verzichtet werden, wenn die Gefahr der Rückspeisung aufgrund eines Leitungskurzschlusses durch weitere Maßnahmen ausgeschlossen werden kann. Die folgenden Maßnahmen können alternativ umgesetzt werden. Sichere Abs chaltung (zweikanalig, einpolig) 230V ~ 24V = 24V 0V SELV/PELV Netzteil 1 5 1 5 2 6 2 6 3 7 3 7 4 8 4 8 Einspeiseklemme Alternative1: geschütz te Leitungsverlegung K1 K2 Stand ardklemme Lastanschluss durch separate Mantelleitungen Das nicht sicher geschaltete Potential der Standardklemme darf nicht zusammen mit anderen potentialführenden Leitungen in derselben Mantelleitung geführt werden Alternative2: Verdrahtung nur Schaltschrank-intern Alle an die nicht sicheren Standardklemmen angeschlossenen Lasten müssen sich im selben Schaltschrank wie die Klemmen befinden. Die Leitungsverlegung verbleibt vollkommen innerhalb des Schaltschrankes. Alternative3: Eigene Erdverbindung pro Leiter Alle an die nicht sicheren Standardklemmen angeschlossenen Leiter sind durch eine eigene Erdverbindung geschützt. Fehlerausschluss VORSICHT Für die korrekte Ausführung und Bewertung der angewendeten Alternativen ist der Maschinenbauer bzw. Anwender allein verantwortlich. Applikationshandbuch TwinSAFE - Version 1.7.0 117 Schaltungsbeispiele Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 118 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.18.2 Blockbildung und Safety-Loops 2.18.2.1 Block 1 S1 K1 EL1904 EL6900 EL/KL2xxx K3 ... EL2904 S2 K2 Nicht betrachtet, da rückwirkungsfrei K4 2.18.3 Berechnung 2.18.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 1.000.000 S2 – B10d 2.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 K3 – B10d 1.300.000 K4 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 15 (4x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.18.3.2 Diagnostic Coverage DC Komponente Wert S1/S2 mit Testung/Plausibilität DCavg=99% K1/K2 mit Testung und EDM DCavg=99% K3/K4 mit EDM DCavg=90% Applikationshandbuch TwinSAFE - Version 1.7.0 119 Schaltungsbeispiele 2.18.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗8∗60 15 = 7360 1000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗7360 = 1358,7y = 11902212h S2: 𝑛𝑜𝑝 = 230∗8∗60 15 = 7360 2000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗7360 = 2717,4y = 23804424h K1/K2/K3/K4: 𝑛𝑜𝑝 = 230∗8∗60 15 𝑀𝑇𝑇𝐹𝑑 = = 7360 1300000 = 1766,3y = 15472788h 0,1 ∗ 7360 und der Annahme, dass S1, S2, K1, K2, K3 und K4 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = S1: 𝑃𝐹𝐻 = 120 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd 1 − 0,99 = 8,40E − 10 1358,7 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele S2: 𝑃𝐹𝐻 = K1/K2: 𝑃𝐹𝐻 = K3/K4: 𝑃𝐹𝐻 = 1 − 0,99 = 4,20E − 10 2717,4 ∗ 8760 1 − 0,99 = 6,46E − 10 1766,3 ∗ 8760 1 − 0,90 = 6,46E − 9 1766,3 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Türschalter S1/S2 werden immer gegenläufig betätigt. Da die Schalter verschiedene Werte haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden Werte (S1) für die Kombination heranziehen! Die Schütze K1, K2, K3 und K4 sind alle an der Sicherheitsfunktion angeschlossen. Ein NichtFunktionieren eines Schützes führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1, K2, K3 und K4 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Schütz-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: 𝑃𝐹𝐻(𝑆1) + 𝑃𝐹𝐻(𝑆2) + 𝑃𝐹𝐻(𝐸𝐿1904) + 𝑃𝐹𝐻(𝐸𝐿6900) + 𝑃𝐹𝐻(𝐸𝐿2904) 2 𝑃𝐹𝐻(𝐾1) + 𝑃𝐹𝐻(𝐾2) 𝑃𝐹𝐻(𝐾3) + 𝑃𝐹𝐻(𝐾4) +𝛽∗ +𝛽∗ 2 2 𝑃𝐹𝐻𝑔𝑒𝑠 = 𝛽 ∗ zu: 8,40𝐸 − 10 + 4,20𝐸 − 10 + 1,11𝐸 − 9 + 1,03𝐸 − 9 + 1,25𝐸 − 9 2 6,46𝐸 − 10 + 6,46𝐸 − 10 6,46𝐸 − 9 + 6,46𝐸 − 9 + 10% ∗ + 10% ∗ = 4,1636𝐸 − 9 2 2 𝑃𝐹𝐻𝑔𝑒𝑠 = 10% ∗ Applikationshandbuch TwinSAFE - Version 1.7.0 121 Schaltungsbeispiele Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 1 + + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 𝑀𝑇𝑇𝐹 𝑑 (𝐾3) Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = 1028,8y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑𝑔𝑒𝑠 = 1 1 1 𝐷𝐶 𝐷𝐶 + 𝑀𝑇𝑇𝐹 𝑑 (𝑆2) 𝐷𝐶 1 𝐷𝐶 𝑑 (𝐸𝐿1904) 𝐷𝐶 + 𝑀𝑇𝑇𝐹 + 𝑀𝑇𝑇𝐹 1 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 1 𝑑 (𝐾1) + 𝑀𝑇𝑇𝐹 𝑑 (𝑆2) + 𝑀𝑇𝑇𝐹 + 1 + 𝑀𝑇𝑇𝐹 𝑑 (𝐾1) 122 1 1 + 1028,8𝑦 + 1108,6𝑦 + 913,2𝑦 + 1766,3𝑦 + 1766,3𝑦 1358,7𝑦 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝐷𝐶𝑎𝑣𝑔𝑠 = 1 + = 206,7𝑦 𝐷𝐶 𝐷𝐶 + 𝑀𝑇𝑇𝐹 (𝐸𝐿2904) (𝐸𝐿6900) 𝑑 𝑑 𝐷𝐶 + 𝑀𝑇𝑇𝐹 𝐷𝐶 + 𝑀𝑇𝑇𝐹𝑑 (𝐾3) 𝑀𝑇𝑇𝐹𝑑 (𝐾4) 𝑑 (𝐾2) 1 1 1 + 𝑀𝑇𝑇𝐹 (𝐸𝐿6900) + 𝑀𝑇𝑇𝐹 (𝐸𝐿2904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿1904) 𝑑 𝑑 1 1 1 + 𝑀𝑇𝑇𝐹 𝑑 (𝐾2) + 𝑀𝑇𝑇𝐹 𝑑 (𝐾3) + 𝑀𝑇𝑇𝐹 𝑑 (𝐾4) Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 0,99 0,99 1358,7 0,99 0,99 0,99 + 2717,4 + 1028,8 + 1108,6 + 913,2 0,99 0,99 0,90 0,90 + 1766,3 + 1766,3 + 1766,3 + 1766,3 𝐷𝐶𝑎𝑣𝑔𝑠 = 1 1 1 1 1 + 2717,4 + 1028,8 + 1108,6 + 913,2 1358,7 1 1 1 = 0,9739 = 97,39% 1 + 1766,3 + 1766,3 + 1766,3 + 1766,3 Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Sicherheits-Integritätslevel entspr. Tab. 3 EN62061 Sicherheits-Integritätslevel Warscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFHD) 3 ≥ 10-8 bis < 10-7 2 (*) ≥ 10-7 bis < 10-6 1 ≥ 10-6 bis < 10-5 (*) Entprechend der EN62061 Kapitel 6.7.7.2 ist für ein Teilsystem, das eine HFT von 0 besitzt und für das Fehlerausschlüsse zu Fehlern, die zu einem gefahrbringenden Ausfall führen können, angewendet worden sind, die SILCL in Bezug auf strukturelle Einschränkungen für das Teilsystem auf ein Maximum von SIL2 beschränkt. Applikationshandbuch TwinSAFE - Version 1.7.0 123 Schaltungsbeispiele 2.19 Vernetzte Anlage (Kategorie 4, PL e) Hier werden 2 Anlagen über Ethernet verbunden. Die Strecke kann auch durch eine Wireless Ethernet Verbindung realisiert sein. Jede Station schaltet die Ausgänge K1 / K2 nur ein, wenn auch die zweite Maschine keinen Not-Halt meldet. Die Signale des Not-Halt-Tasters, des Restart und des Rückführkreises sind auf sichere Eingänge verdrahtet. Der Ausgang des ESTOP-Bausteins wird auf einen UND Baustein verknüpft und zusätzlich über das Netzwerk der anderen Maschine mitgeteilt. Der ESTOP-Ausgang der jeweils anderen Maschine wird auf den UND Baustein verknüpft und der Ausgang des UND schaltet dann die Schütze auf der sicheren Ausgangsklemme. Die Testung und die Prüfung auf Diskrepanz sind für die Eingangssignale eingeschaltet. Die Testung der Ausgänge ist ebenfalls aktiv. Maschine 1 Maschine 2 RT Ethernet oder auch Wireless Ethernet K2 Not-Halt Taster S1 K1 Restart S2 K1 Restart S2 K2 Not-Halt Taster S1 Logische Verknüpfung Logische Verknüpfung K1 K2 K1 K2 Start / Wiederanlauf Hinweis 124 Wo eine Maschine mehr als eine Bedienstation hat, müssen Maßnahmen vorgesehen werden, um sicherzustellen, dass die Einleitung von Kommandos von verschiedenen Bedienstationen nicht zu einer Gefährdungssituation führt. Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Schützüberwachung Hinweis Sollte das Ergebnis der Risiko- und Gefährdungsanalyse ergeben, dass beim Schalten der Schütze der jeweils entfernten Steuerung eine Schützkontrolle notwendig ist, ist diese über die Verwendung eines EDM Bausteins zu realisieren. 2.19.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 2.19.2 Blockbildung und Safety-Loops 2.19.2.1 Block 1 K1 S1 (1) (1) K2 Safety-overS2 EL1904 EL6900 EL2904 (1) (1) (1) (1) EtherCAT (1) Applikationshandbuch TwinSAFE - Version 1.7.0 S1 EL1904 EL6900 (2) (2) (2) 125 Schaltungsbeispiele 2.19.3 Berechnung 2.19.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 Safety-over-EtherCAT 1,00E-09 S1 – B10d 1.000.000 S2 – B10d 2.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 15 (4x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.19.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Testung/Plausibilität DCavg=99% S2 mit Plausibilität DCavg=90% K1/K2 mit Testung und EDM (Betätigung 1/Schicht) DCavg=99% 2.19.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗8∗60 15 = 7360 1000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗7360 = 1358,7y = 11902212h 126 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele S2: 𝑛𝑜𝑝 = 230∗8∗60 15 = 7360 2000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗7360 = 2717,4y = 23804424h K1/K2: 𝑛𝑜𝑝 = 230∗8∗60 15 𝑀𝑇𝑇𝐹𝑑 = = 7360 1300000 = 1766,3y = 15472788h 0,1 ∗ 7360 und der Annahme, dass S1, S2, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = S1: 𝑃𝐹𝐻 = S2: 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd 1 − 0,99 = 8,40E − 10 1358,7 ∗ 8760 1 − 0,90 = 4,20E − 09 2717,4 ∗ 8760 K1/K2: Betätigung 1/Schicht und direktes zurücklesen 𝑃𝐹𝐻 = 1 − 0,99 = 6,46E − 10 1766,3 ∗ 8760 Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S1: Laut BIA-Report 2/2008 ist ein Fehlerausschluss bis 100000 Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S1 wie folgt in die Rechnung ein. Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: Applikationshandbuch TwinSAFE - Version 1.7.0 127 Schaltungsbeispiele PFHges= PFH(S1) + β* (PFH(K1)+ PFH(K2))/2 + PFH(S2) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + PFH (S-o-E) + PFH(S1) + PFH(EL1904) + PFH(EL6900) zu: PFHges= 8,40E-10+ 10%*(6,46E-10+6,46E-10) / 2 + 4,20E-09+1,11E-09 + 1,03E-09 + 1,25E-09 + 1,00E-09 + 8,40E-10+ 1,11E-09 + 1,03E-09= 1,25E-08 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 𝑀𝑇𝑇𝐹𝑑 (𝑆2) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 1 1 1 1 + + + + 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹𝑑 (𝑆 − 𝑜 − 𝐸) 1 1 + + 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = 1028,8y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 128 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913,2y 1 h 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y (1 − 𝐷𝐶(𝑆 − 𝑜 − 𝐸)) (1 − 0,99) 0,01 = = 1 h 𝑃𝐹𝐻(𝑆 − 𝑜 − 𝐸) 8,76E − 06 1y 1,00E − 09 h ∗ 8760 y = 1141,6y 𝑀𝑇𝑇𝐹𝑑 (S − o − E) = MTTFd ges= DCavg= 1 1 1 1 1 1 1 1 1 1 1 + + + + + + + + + 1358,7y 1766,3y 2717,4𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 1358,7𝑦 1028,8𝑦 1028,8𝑦 1108,6𝑦 99% 99% 99% 90% 99% 99% 99% 99% 99% 99% 99% + + + + + + + + + + 1358,7 1766,3 1766,3 2717,4 1028,8 1108,6 913,2 1358,7 1028,8 1028,8 1108,6 1 1 1 1 1 1 1 1 1 1 1 + + + + + + + + + + 1358,7 1766,3 1766,3 2717,4 1028,8 1108,6 913,2 1358,7 1028,8 1028,8 1108,6 = 121,6𝑦 = 98,62% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 129 Schaltungsbeispiele 2.20 Antriebsoption AX5801 mit Stopp-Funktion SS1 (Kategorie 4, PL e) Durch das Betätigen des Not-Halt-Tasters werden die Eingänge EStopIn1 und EStopIn2 vom FB ESTOP in den Zustand „0“ gebracht und dadurch werden die Ausgänge EStopOut vom FB ESTOP in den Zustand „0“ gebracht. Dies hat zur Folge, dass die PLC und damit via EtherCAT der AX5000 den Befehl zum Schnellstopp bekommt. Der Ausgang EStopDelOut vom FB ESTOP sorgt dafür, dass nach Ablauf einer vorgegebenen Verzögerungszeit (hier z.B. 1000 ms) die 24 V Versorgung der Safety-Option AX5801 unterbrochen wird und somit die internen Relais der AX5801 abfallen. Über die internen Abschaltpfade der AX5000 werden beide Kanäle (Motoren) drehmomentfrei geschaltet. Die Testung und die Prüfung auf Diskrepanz sind für die Eingangssignale eingeschaltet. Die Testung der Ausgänge ist ebenfalls aktiv. Die Relais der 4 AX5801 Optionskarten werden parallel auf einen sicheren Ausgang der EL2904 verdrahtet. Die Rückführkreise werden in Reihe geschaltet auf einen sicheren Eingang verdrahtet. Das Restart-Signal ist auf einen nicht-sicheren Eingang verdrahtet. Logische Verbindung Restart S2 SPS / NC Not-Halt Taster S1 Rückführkreis EDM 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 3 3 3 3 3 3 3 3 4 4 4 4 4 4 4 4 5 6 AX5801 AX5000 130 5 6 AX5801 AX5000 5 6 AX5801 AX5000 5 6 AX5801 AX5000 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.20.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 2.20.2 Blockbildung und Safety-Loops 2.20.2.1 Block 1 S1 EL1904 EL6900 AX5801 EL2904 AX5801 EL2904 AX5801 EL2904 AX5801 EL2904 AX5801 EL2904 AX5801 EL2904 AX5801 EL2904 AX5801 EL2904 EL2904 2.20.3 Berechnung 2.20.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 AX5801 – B10d 780.000 S1 – B10d 100.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 60 (1x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden Applikationshandbuch TwinSAFE - Version 1.7.0 131 Schaltungsbeispiele 2.20.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Testung/Plausibilität DCavg=99% AX5801 DCavg=99% 2.20.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗8∗60 60 = 1840 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗1840 = 543,5y = 4761060h AX5801: 𝑛𝑜𝑝 = 230∗8∗60 60 𝑀𝑇𝑇𝐹𝑑 = = 1840 780000 = 4239,1y = 37134516h 0,1 ∗ 1840 und der Annahme, dass S1 einkanalig ist: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,99 = 2,10E − 9 543,5 ∗ 8760 AX5801: 𝑃𝐹𝐻 = 132 1 − 0,99 = 2,70E − 10 4239,1 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S1: Laut BIA-Report 2/2008 ist ein Fehlerausschluss bis 100 000 Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S1 wie folgt in die Rechnung ein. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(S1)+ PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (4*PFH(AX5801)+ 4*PFH(AX5801))/2 zu: PFHges = 2,10E-09 +1,11E-09 + 1,03E-09 + 1,25E-09 + 10%*(4*2,70E-10 + 4*2,70E-10)/2 = 5,60E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿2904) 1 1 1 + + + 𝑀𝑇𝑇𝐹 𝑑 (𝐴𝑋5801) 𝑀𝑇𝑇𝐹 𝑑 (𝐴𝑋5801) 𝑀𝑇𝑇𝐹 𝑑 (𝐴𝑋5801) 1 + 𝑀𝑇𝑇𝐹 𝑑 (𝐴𝑋5801) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (AX5801) = 𝐵10𝑑 (𝐴𝑋5801) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Applikationshandbuch TwinSAFE - Version 1.7.0 133 Schaltungsbeispiele Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 1 h 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108,6y 1 h 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913,2y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy MTTFd ges= 99% 1 1 1 1 1 1 1 1 1 + + + + + + + 543,5𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 4239,1𝑦 4239,1𝑦 4239,1𝑦 4239,1𝑦 = 173,8𝑦 99% 99% 99% 99% 99% 99% 99% 99% 99% 99% 99% + + + + + + + + + + 1028,8 1108,6 913,2 4239,1 4239,1 4239,1 4239,1 4239,1 4239,1 4239,1 4239,1 1 1 1 1 1 1 1 1 1 1 1 + + + + + + + + + + + 543,5 1028,8 1108,6 913,2 4239,1 4239,1 4239,1 4239,1 4239,1 4239,1 4239,1 4239,1 + DCavg= 543,5 1 = 99,0% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Wiederanlaufsperre in der Maschine implementieren! VORSICHT 134 Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 135 Schaltungsbeispiele 2.21 Antriebsoption AX5805 mit Stopp-Funktion SS2 (Kategorie 4, PL e) Die Schutztür ist mit einer eine Kombination von Öffner und Schließer auf eine sichere Eingangsklemme EL1904 verbunden. Die Testung und die Prüfung auf Diskrepanz sind für die Eingangssignale eingeschaltet. Der Ausgang ist auf die AX5805 verknüpft. Die Rückführsignale werden über das von der Antriebsoption zurückgemeldete Control- und Statuswort überprüft. AUF Logische Verbindung in der EL6900 S1 S2 Control-/Statuswort Zu AX5805 AX5000 AX5805 AX5000 AX5805 AX5000 AX5805 AX5000 2.21.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 136 Wert Ja Ja Ja Ja Single Logic Single Logic Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele AX5805 Parameter - Wert 2.21.2 Blockbildung und Safety-Loops 2.21.2.1 Block 1 S1 EL1904 EL6900 EL2904 AX5805 AX5805 AX5805 AX5805 S2 2.21.3 Berechnung 2.21.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL6900 – PFH 1,03E-09 AX5805 – PFH 5,15E-09 S1 – B10d 1.000.000 S2 – B10d 2.000.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 60 (1x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.21.3.2 Diagnostic Coverage DC Komponente Wert S1/S2 mit Testung/Plausibilität DCavg=99% 2.21.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 137 Schaltungsbeispiele Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗8∗60 60 = 1840 1000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗1840 = 5434,8y = 47608848h S2: 𝑛𝑜𝑝 = 230∗8∗60 60 = 1840 2000000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗1840 = 10869,6y = 95217696h und der Annahme, dass S1 und S2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,99 = 2,10E − 10 5434,8 ∗ 8760 S2: 𝑃𝐹𝐻 = 1 − 0,99 = 1,05E − 10 10869,6 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Türschalter S1/S2 werden immer gegenläufig betätigt. Da die Schalter verschiedene Werte haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden Werte (S1) für die Kombination heranziehen! Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= β* (PFH(S1)+ PFH(S2))/2 + PFH(EL1904) + PFH(EL6900) + PFH(AX5805) + PFH(AX5805) + PFH(AX5805) + PFH(AX5805) zu: PFHges= 10%* (2,10E-10+1,05E-10) / 2 +1,11E-09 + 1,03E-09 + 5,15E-09 + 5,15E-09 + 5,15E-09 + 5,15E-09 = 2,28E-08 138 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (𝐴𝑋5805) 1 1 1 + + + 𝑀𝑇𝑇𝐹𝑑 (𝐴𝑋5805) 𝑀𝑇𝑇𝐹 𝑑 (𝐴𝑋5805) 𝑀𝑇𝑇𝐹 𝑑 (𝐴𝑋5805) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = 1028,8y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (AX5805) = (1 − 𝐷𝐶(AX5805)) (1 − 0,99) 0,01 = = 221,7y 1 h = 𝑃𝐹𝐻(AX5805) 4,51E − 05 1y 5,15E − 09 h ∗ 8760 y MTTFd ges= 1 1 1 1 1 1 1 1 + + + + + + 5434,8𝑦 1028,8𝑦 1108,6𝑦 221,7𝑦 221,7𝑦 221,7𝑦 221,7𝑦 Applikationshandbuch TwinSAFE - Version 1.7.0 = 49,8𝑦 139 Schaltungsbeispiele DCavg= 99% 99% 99% 99% 99% 99% 99% 99% + + + + + + + 5434,8 1358,7 1028,8 1108,6 221,7 221,7 221,7 221,7 1 1 1 1 1 1 1 1 + + + + + + + 5434,8 1358,7 1028,8 1108,6 221,7 221,7 221,7 221,7 = 99,0% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd 140 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.22 Direktes Verdrahten der TwinSAFE-Ausgänge auf TwinSAFE-Eingänge (1-kanalig) (Kategorie 2, PL c) Der Ausgang einer EL2904 wird direkt auf einen sicheren Eingang EL1904 verdrahtet, dabei werden die Testpulse und Strommessung der Ausgänge und der Sensortest der Eingänge abgeschaltet. Somit sind keine zyklischen Prüfungen für Querschluss und Fremdeinspeisung auf der Leitung möglich. Die EL2904 und EL1904 sind aufgrund ihrer hohen internen Diagnose als einzelne Komponente mit Kategorie 2, SIL2 und PL d zu bewerten, da extern nur eine einkanalige Struktur verwendet wird. Der Gesamtperformance Level von Ausgang und Eingang ist aufgrund von Kapitel 6.2.5 DIN EN ISO 13849-1:2016-06 mit maximal PL c zu bewerten. Die für Kategorie 2 erforderliche Testeinrichtung ist in der EL2904 integriert. Beim Einschalten des Ausgangs der EL2904 wird überprüft, ob auch tatsächlich 24 V zurückgelesen werden. Beim Ausschalten wird überprüft, dass auch tatsächlich 0 V zurückgelesen werden. Wird dabei ein Fehler festgestellt, geht die EL2904 in den Zustand Fehler, der auch an die überlagerte Sicherheitssteuerung gemeldet wird. Dieser Modulfehler der EL2904 muss in der Maschinensteuerung ausgewertet werden. Hierzu ist für die Connection zu der EL2904 der Parameter ModuleFault is ComError einzuschalten, was dazu führt, dass die TwinSAFE Gruppe bei einem Modulfehler in den sicheren Zustand wechselt und einen ComError meldet. Cat.2, PL c EL2904 EL1904 2.22.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Applikationshandbuch TwinSAFE - Version 1.7.0 Wert Nein Nein Nein Nein Single Logic Single Logic 141 Schaltungsbeispiele EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Nein Nein 2.22.2 Blockbildung und Safety-Loops 2.22.2.1 Block 1 EL6900 EL2904 EL2904 EL1904 2.22.3 Berechnung 2.22.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 60 (1x pro Stunde) Lebenszeit (T1) 20 Jahre = 175200 Stunden 2.22.3.2 Diagnostic Coverage DC Komponente Wert EL1904/EL2904 DCavg=60% Aufgrund der internen Diagnose der Klemmen (wie Überwachung der Feldspannung, Temperatur usw.) und der Prüfung der EL2904 auf die Korrektheit des geschalteten Ausgangs jeweils beim Wechsel des Signalzustands 2.22.3.3 Berechnung Block 1 Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(EL1904) + PFH(EL2904) zu: PFHges= 1,11E-09 + 1,25E-09 = 2,36E-09 142 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 = + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿2904) Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,60) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,4 = = 41152 y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,60) 0,4 = = = 36364 y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy MTTFd ges= 60% 1 1 1 + 41152𝑦 36364𝑦 60% 36364 1 + 41152 36364 DCavg= 41152 1 + = 19305 𝑦 = 60% Applikationshandbuch TwinSAFE - Version 1.7.0 143 Schaltungsbeispiele Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 2 möglich. Erlangung des Sicherheitslevels Achtung Zur Erlangung des Sicherheitslevels muss der Anwender sicherstellen, dass eine Testung der Verdrahtung in seiner Applikation realisiert wird und 100 Mal häufiger durchgeführt wird, als die Sicherheitsfunktion angefordert wird. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd 144 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.23 Direktes Verdrahten der TwinSAFE-Ausgänge auf TwinSAFE-Eingänge (2-kanalig) (Kategorie 3, PL d) Zwei Ausgänge einer EL2904 werden direkt auf zwei sichere Eingänge einer EL1904 verdrahtet, dabei werden die Testpulse und Strommessung der Ausgänge und der Sensortest der Eingänge abgeschaltet. Auf der Eingangsseite werden die beiden Signale auf Diskrepanz innerhalb der TwinSAFE Logik überprüft. Es werden somit die beiden Signale auf ihren Wert überprüft, jedoch sind keine Testungen auf der Leitung aktiv, sodass mögliche Fremdeinspeisungen beim Schalten der Ausgänge detektiert werden. 2.23.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Nein Nein Nein Nein Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Nein Nein 2.23.2 Blockbildung und Safety-Loops 2.23.2.1 Block 1 EL6900 EL2904 EL2904 EL1904 EL2904 EL1904 Applikationshandbuch TwinSAFE - Version 1.7.0 145 Schaltungsbeispiele 2.23.3 Berechnung 2.23.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 60 (1x pro Stunde) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.23.3.2 Diagnostic Coverage DC Komponente Wert EL1904/EL2904 DCavg=90% 2.23.3.3 Berechnung Block 1 Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(EL1904) + PFH(EL2904) zu: PFHges= 1,11E-09 + 1,25E-09 = 2,36E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 = + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿2904) Sind für EL1904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: (1 − 0,9) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,1 = 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y = 10288,1y 𝑀𝑇𝑇𝐹𝑑 (EL1904) = 146 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 𝑀𝑇𝑇𝐹𝑑 (EL2904) = MTTFd ges= DCavg= (1 − 0,9) (1 − 𝐷𝐶(𝐸𝐿2904)) 0,1 = = = 9090,9y 1 h 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 1 1 1 + 10288,1𝑦 9090,9𝑦 = 4826,3𝑦 90% 90% 90% 90% + + + 10288,1 10288,1 9090,9 9090,9 1 1 1 1 + + + 10288,1 10288,1 9090,9 9090,9 = 90% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 3 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 147 Schaltungsbeispiele 2.24 ESTOP Funktion (Kategorie 3, PL d) Der Not-Halt-Taster ist mit zwei Öffnerkontakten auf eine sichere Eingangsklemme EL1904 verbunden. Die Testung der beiden Signale ist ausgeschaltet. Diese Signale werden innerhalb des ESTOP Bausteins auf Diskrepanz überprüft. Der Restart und das Rückführsignal der Schütze K1 und K2 sind auf StandardKlemmen verdrahtet und werden über die Standard-SPS an TwinSAFE übergeben. Weiterhin werden der Ausgang des Funktionsbausteins ESTOP und das Rückführsignal auf einen EDM-Baustein verdrahtet. Dieser prüft, dass das Rückführsignal innerhalb der eingestellten Zeiten den gegengesetzten Zustand des ESTOP-Ausgangs einnimmt. Die Schütze K1 und K2 sind auf unterschiedliche Ausgangskanäle verdrahtet. Die Anschlüsse A2 der beiden Schütze sind auf die EL2904 zurückgeführt. Für diese Beschaltung ist die Strommessung der Ausgangskanäle abgeschaltet. Die Testung der Ausgänge ist ebenfalls nicht aktiv. K1 K2 Not-Halt Taster S1 Restart S2 Logische Verbindung in der EL6900 K1 K2 148 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.24.1 Parameter der sicheren Ein- und Ausgangsklemmen (SIL 2) EL1904 (für alle verwendeten EL1904 gültig) Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Nein Nein Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Nein Nein 2.24.2 Blockbildung und Safety-Loops 2.24.2.1 Block 1 K1 S1 EL1904 EL6900 EL2904 K2 2.24.3 Berechnung 2.24.3.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 S1 – B10d 100.000 S2 – B10d 10.000.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10080 (1x pro Woche) Lebenszeit (T1) 20Jahre = 175200 Stunden Applikationshandbuch TwinSAFE - Version 1.7.0 149 Schaltungsbeispiele 2.24.3.2 Diagnostic Coverage DC Komponente Wert S1 mit Plausibilität DCavg=90% K1/K2 mit EDM Überwachung (Betätigung 1/Woche und Auswertung aller steigenden und fallenden Flanken mit zeitlicher Überwachung) ohne Testung der einzelnen Kanäle DCavg=90% 2.24.3.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 10080 = 21,90 100000 𝑀𝑇𝑇𝐹𝑑 = 0,1∗21,90 = 45662,1y = 399999120h K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 593607,3y = 5199997320h 0,1 ∗ 21,90 und der Annahme, dass S1, K1 und K2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,90 = 2,50E − 10 45662,1 ∗ 8760 K1/K2: Betätigung 1/Woche und indirektes zurücklesen 𝑃𝐹𝐻 = 150 1 − 0,90 = 1,92E − 11 593607,3 ∗ 8760 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S1: Laut BIA-Report 2/2008 ist ein Fehlerausschluss bis 100 000 Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S1 wie folgt in die Rechnung ein. Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β– Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(S1) + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 zu: PFHges= 2,50E-10+1,11E-09 + 1,03E-09 + 1,25E-09 + 10%* (1,92E-11+1,92E-11)/2 = 3,64E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) 1 + (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) = 45662,1y 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (K1) = 𝐵10𝑑 (𝐾1) = 593607,3y 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904, EL2904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Applikationshandbuch TwinSAFE - Version 1.7.0 151 Schaltungsbeispiele Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = = 1028,8y 1 h 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108,6y 1 h 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913,2y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy MTTFd ges= 1 1 1 1 1 1 + + + + 45662,1𝑦 1028,8𝑦 1108,6𝑦 913,2𝑦 593607,3𝑦 90% 99% 99% 99% 90% 90% + + + + 1028,8 1108,6 913,2 593607,3 593607,3 1 1 1 1 1 + + + + + 45662,1 1028,8 1108,6 913,2 593607,3 593607,3 + DCavgs= 45662,1 1 = 334,1𝑦 = 98,92% Kategorie VORSICHT Diese Struktur ist durch einen möglichen schlafenden Fehler nur bis maximal Kategorie 3 möglich. Da bei dieser Anwendung die Klemme EL2904 nur SIL2 hat, hat die gesamte Kette nur SIL2! Weitere Maßnahmen zum Erreichen der Kategorie 3! VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich. Um die Kategorie 3 zu erreichen, muss in der Steuerung zur Erwartungshaltung des Rücklesens alle steigenden und fallenden Flanken zusammen mit der Zeitabhängigkeit ausgewertet werden! Dies wird über den implementierten EDM Baustein realisiert. Wiederanlaufsperre in der Maschine implementieren! VORSICHT 152 Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 153 Schaltungsbeispiele 2.25 Überwachung Drehzahl Die Drehzahl eines Antriebes soll überwacht werden. Dieser Antrieb hat eine Sicherheitsfunktion (hier z.B. STO), welcher über einen entsprechenden Eingang aktiviert wird. Dieser Eingang wird über jeweils einen Arbeitskontakt zweier Schütze geführt. Die Positions- und Geschwindigkeitssignale werden über 2 unterschiedliche Kommunikationswege zur Logik EL6910 übertragen und dort entsprechend der dargestellten Logik verarbeitet. Der Sin/Cos Encoder wird auf eine EL5021 verdrahtet und die Positionsinformation wird über eine SIL2 Kommunikation über EtherCAT übermittelt. Die Geschwindigkeit des Antriebs wird über die Standard PROFINET-Kommunikation und die Standard SPS ebenfalls an die Logik EL6910 übergeben. Innerhalb der sicherheitsgerichteten Logik EL6910 wird aus dem Positionswert eine Geschwindigkeit (FB Speed) berechnet. Die Geschwindigkeit des Antriebs wird über den FB Scale skaliert, so dass der Wert zu der berechneten Geschwindigkeit passt. Diese beiden Geschwindigkeitswerte werden über einen FB Compare auf Gleichheit überprüft und über einen FB Limit auf einen Maximalwert überwacht. Da die beiden Geschwindigkeitswerte (einmal direkt und einmal in der sicherheitsgerichteten Logik EL6910 berechnet) zu keiner Zeit eine hundertprozentige Gleichheit aufweisen, muss die Differenz der beiden Geschwindigkeitswerte innerhalb des Toleranzbandes von 10% liegen, um die Bedingung der Gleichheit noch zu erfüllen. Ist der aktuelle Geschwindigkeitswert unterhalb der im FB Limit festgelegten Grenze, wird der STO Ausgang auf logisch 1 gesetzt und der Antrieb kann drehen. Ist die Grenze überschritten oder schlägt der Vergleich fehlt, wird der Ausgang auf logisch 0 gesetzt und der Antrieb wird momentenfrei geschaltet bzw. die im Antrieb integrierte Sicherheitsfunktion aktiviert. Die gesamte Berechnung und Skalierung wird in der sicherheitsgerichteten Logik EL6910 auf dem Sicherheitsniveau SIL3 / PL e durchgeführt. Mit dieser Methode wird aus zwei nicht sicherheitsgerichteten Signalen ein sicherheitsgerichtetes Ergebnis erzeugt. Über einen ESTOP Baustein wird zusätzlich eine Nothalt-Funktion implementiert (der Übersichtlichkeit halber nicht in der Graphik dargestellt), welche den Wiederanlauf verhindert und auch die Schützkontrolle für K1 und K2 übernimmt. Aufbau 24Vdc PC Steuerung Feldbus z.B. PROFInet K2 STO Speed Feldbus z.B. EtherCAT Standard Kommunikation Speed EL6910 K1 K1 K2 Antrieb Logik siehe unten SIL2 Kommunikation EL5021 Positionswert Motor 154 Encoder Sin/Cos 1Vss Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Strukturbild Aufbau Encoder Motor EL5021 PC BlackChannel Encodersignal Motorwelle Antrieb EL6910 EL2904 Aktor Standard Feldbus Ist-Geschwindigkeit Motorleitung Logik SIL2 Communication – Position value STO - Drive Standard Communication Speed x y z Restart Estop In1 Estop In2 STO - Antrieb K1/K2 Rückführung K1/K2 500 1500 Applikationshandbuch TwinSAFE - Version 1.7.0 155 Schaltungsbeispiele 2.25.1 Struktur und Diagnose Die eingelesenen Signale vom Antrieb und vom Geber sind Standard Signale, die dynamisch und unterschiedlich sind. Der Antrieb liefert einen Geschwindigkeitswert, der Encoder liefert ein sin/cos Signal, welches von einer Standardklemme ausgewertet wird und in ein sicheres Telegramm (FSoE mit geändertem Polynom) verpackt und übertragen wird. Diese Klemme (EL5021) liefert einen Positionswert, der innerhalb der sicheren Logik auf einen Geschwindigkeitswert umgerechnet wird und dann skaliert und mit dem Geschwindigkeitswert des Antriebs verglichen wird. Gleichheit bedeutet in diesem Fall, dass das Differenzsignal in dem Toleranzfenster von 10% liegt. Die Übermittlung des Encoder Signals über den Standard-Feldbus wird über das Black-Channel Prinzip durchgeführt. Dieser Wert wird mit der Antriebsgeschwindigkeit, die über den Standard-Feldbus übermittelt wird, plausibilisiert. Fehler in einem der beiden Kanäle werden über den Vergleich der beiden diversitären Geschwindigkeits- bzw. Positionssignale innerhalb der sicheren Logik erkannt und führen zur Aktivierung von STO des Antriebs. 2.25.2 FMEA Fehlerannahme Geschwindigkeitswert über PROFINET oder PROFINET selbst friert ein Geschwindigkeitswert über EtherCAT und SIL2 Kommunikation friert ein Geschwindigkeitswerte werden in der Standard SPS aufeinander kopiert Geschwindigkeitswert über PROFINET wird verfälscht Verbindung zwischen Motor und Encoder ist nicht mehr gegeben Encoder liefert falschen Positionswert Antrieb liefert falschen Geschwindigkeitswert Kommunikationsfehler 61784-3 für Standard-Kommunikation: Verfälschung 156 Erwartungshaltung Wird über den zweiten Wert und die Plausibilisierung in der EL6910 erkannt (anderer Feldbus und SIL2 Kommunikation zwischen EL5021 und EL6910). Zusätzlich sollte für die Drehzahl 0 der StandardKommunikations-Watchdog aktiviert sein. Wird über den Watchdog innerhalb der SIL2 Kommunikation erkannt. Plausibilitätsprüfung: Wenn der Motor gestartet wird, werden auch dynamische Geschwindigkeitswerte erwartet. Ein verfälschter Wert innerhalb der SIL 2 Kommunikation führt zu einer ungültigen CRC innerhalb des Telegramms und damit zur sofortigen Abschaltung der Gruppe und der Ausgänge Die Datentypen der beiden Geschwindigkeitswerte haben eine unterschiedliche Länge (z.B. 4 Byte und 11 Byte) Wird über den zweiten Wert und die Plausibilisierung in der EL6910 erkannt (anderer Feldbus und SIL2 Kommunikation zwischen EL5021 und EL6910) Wird über die Plausibilisierung mit dem Geschwindigkeitswert des Antriebs innerhalb der EL6910 erkannt. Plausibilitätsprüfung: Wenn der Motor gestartet wird, werden auch dynamische Geschwindigkeitswerte erwartet. Wird über die Plausibilisierung mit dem Geschwindigkeitswert des Antriebs innerhalb der EL6910 erkannt Wird über den zweiten Wert und die Plausibilisierung in der EL6910 erkannt (anderer Feldbus und SIL2 Kommunikation zwischen EL5021 und EL6910) Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt Überprüft Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Fehlerannahme Kommunikationsfehler 61784-3 für Standard-Kommunikation: Unbeabsichtigte Wiederholung Kommunikationsfehler 61784-3 für Standard-Kommunikation: Falsche Abfolge Kommunikationsfehler 61784-3 für Standard-Kommunikation: Verlust Kommunikationsfehler 61784-3 für Standard-Kommunikation: Inakzeptable Verzögerung Kommunikationsfehler 61784-3 für Standard-Kommunikation: Einfügung Kommunikationsfehler 61784-3 für Standard-Kommunikation: Maskerade Kommunikationsfehler 61784-3 für Standard-Kommunikation: Adressierung Kommunikationsfehler für Standard-Kommunikation: Wiederkehrende Speicherfehler in Switches Erwartungshaltung Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt. Zusätzlich sollte für die Drehzahl 0 der Standard-Kommunikations-Watchdog aktiviert sein. Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt Überprüft Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt. Zusätzlich sollte für die Drehzahl 0 der Standard-Kommunikations-Watchdog aktiviert sein. Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt nicht relevant für Standard, sondern nur für Safety Kommunikation. Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt 2.25.2.1 Anmerkung SIL2 Kommunikation: Die SIL2 Kommunikation verwendet die identischen Mechanismen zur Fehleraufdeckung, wie die Safetyover-EtherCAT Kommunikation mit dem Unterschied, dass zur Berechnung der Prüfsumme eine anderes Polynom verwendet wird, welches hinreichend unabhängig von dem bisher für Safety-over-EtherCAT verwendetem Polynom ist. Es sind die identischen Mechanismen aktiv, wie z.B. Black-Channel Prinzip (Bitfehlerwahrscheinlichkeit 10-2). Die Qualität der Datenübertragung ist nicht entscheidend, da letztendlich über den Vergleich in der sicheren Logik alle Übertragungsfehler aufgedeckt werden, da diese zur Ungleichheit führen würden. Applikationshandbuch TwinSAFE - Version 1.7.0 157 Schaltungsbeispiele 2.25.3 Parameter der sicheren Ausgangsklemme EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 2.25.4 Blockbildung und Safety-Loops 2.25.4.1 Sicherheitsfunktion 1 Antrieb K1 EL6910 Encoder EL2904 EL5021 K2 2.25.5 Berechnung 2.25.5.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 Antrieb – MTBF 516.840 (59a) Encoder – MTTF 549.149 EL5021 - MTBF (55°C) 1.205.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10080 (1x pro Woche) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.25.5.2 Diagnostic Coverage DC Komponente Wert Antrieb und Encoder mit EL5021 und Plausibilität innerhalb der Logik DCavg=90% (Alternativ in Berechnung: 99%) K1/K2 mit EDM Überwachung (Betätigung 1/Woche und Auswertung aller steigenden und fallenden Flanken mit zeitlicher Überwachung) mit Testung der einzelnen Kanäle DCavg=99% 158 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.25.5.3 Berechnung Sicherheitsfunktion 1 Zur Verdeutlichung wird der Sicherheitskennwert sowohl nach EN62061 als auch nach EN 13849 berechnet. In der Praxis ist die Berechnung nach einer Norm ausreichend. Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Berechnung der PFH-/ und MTTFd-Werte aus den MTBF-Werten: Anmerkung: Reparaturzeiten können vernachlässigt werden, daher gilt: 𝑀𝑇𝑇𝐹𝑑 = 2 ∗ 𝑀𝑇𝐵𝐹 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 mit 𝜆𝑑 ≈ 0,1 ∗ 𝑛𝑜𝑝 0,1 = 𝑇10𝑑 𝐵10𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd Eingesetzt ergibt das: Antrieb: 𝑀𝑇𝑇𝐹𝑑 = 2 ∗ 𝑀𝑇𝐵𝐹 = 2 ∗ 59 = 1.033.680 ℎ = 118𝑦 𝑃𝐹𝐻 = 1 − DC 1 − 0,9 = = 9,67E − 08 MTTFd 1.033.680 ℎ Encoder: 𝑀𝑇𝑇𝐹𝑑 = 2 ∗ 𝑀𝑇𝑇𝐹 = 2 ∗ 549149 = 1.098.298 ℎ = 125𝑦 𝑃𝐹𝐻 = 1 − DC 1 − 0,9 = = 9,10E − 08 MTTFd 1.098.298 ℎ EL5021: 𝑀𝑇𝑇𝐹𝑑 = 2 ∗ 𝑀𝑇𝐵𝐹 = 2 ∗ 1.205.000 ℎ = 2.410.000 ℎ = 275𝑦 𝑃𝐹𝐻 = 1 − DC 1 − 0,9 = = 4,15E − 08 MTTFd 2.410.000 ℎ Applikationshandbuch TwinSAFE - Version 1.7.0 159 Schaltungsbeispiele K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 593607y = 5.199.997.320h 0,1 ∗ 21,90 und der Annahme, dass K1 und K2 jeweils einkanalig sind: K1/K2: Betätigung 1/Woche und direktes zurücklesen 𝑃𝐹𝐻 = 1 − 0,99 = 1,92E − 12 593607,3 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β– Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(Encoder) + PFH(EL5021) + PFH(Antrieb) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 + (PFH(K1)* PFH(K2))*T1 Da der Anteil (PFH(K1)* PFH(K2))*T1 um Zehnerpotenzen kleiner ist, als der Rest, wird er als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: PFHges= 9,10E-08 + 4,15E-08 + 10%*(1,92E-12+1,92E-12)/2 = 2,315E-07 9,67E-08 + 1,03E-09 + 1,25E-09 + Gemäß EN 62061 Tab. 3 entspricht dieser Wert SIL2. Alternative Berechnung des MTTFd-Wertes nach EN13849 für Sicherheitsfunktion 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 = + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝐸𝑛𝑐𝑜𝑑𝑒𝑟) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿5021) 𝑀𝑇𝑇𝐹 𝑑 (𝐴𝑛𝑡𝑟𝑖𝑒𝑏) 1 1 1 + + + 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) mit: 160 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Sind für EL1904, EL2904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108y 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 1h ∗ 8760 hy 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy 1 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 = 𝐷𝐶𝑎𝑣𝑔𝑠 = 1 1 1 1 1 + 275 + 118 + 1108 + 913 + 593607 125 = 45𝑦 𝐷𝐶 𝐷𝐶 𝐷𝐶 𝐷𝐶 𝐷𝐶 𝐷𝐶 𝐷𝐶 + + + + + + 𝑀𝑇𝑇𝐹𝑑 (𝐸𝑛𝑐𝑜𝑑𝑒𝑟) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿5021) 𝑀𝑇𝑇𝐹𝑑 (𝐴𝑛𝑡𝑟𝑖𝑒𝑏) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿2904) 𝑀𝑇𝑇𝐹𝑑 (𝐾1) 𝑀𝑇𝑇𝐹𝑑 (𝐾2) 1 1 1 1 1 1 1 + + + + + + 𝑀𝑇𝑇𝐹𝑑 (𝐸𝑛𝑐𝑜𝑑𝑒𝑟) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿5021) 𝑀𝑇𝑇𝐹𝑑 (𝐴𝑛𝑡𝑟𝑖𝑒𝑏) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿2904) 𝑀𝑇𝑇𝐹𝑑 (𝐾1) 𝑀𝑇𝑇𝐹𝑑 (𝐾2) 0,9 𝐷𝐶𝑎𝑣𝑔𝑠 = 1 125 1 125 + + 0,9 275 1 + 275 + 0,9 118 1 + 118 + 0,99 1108 1 + 1108 + 0,99 913 1 913 + + 0,99 593607 1 593607 + + 0,99 593607 1 = 593607 0,02 = 90,9% 0,022 Alternativ mit DC=99% 0,99 𝐷𝐶𝑎𝑣𝑔𝑠 = 125 1 125 + + 0,99 275 1 275 + + 0,99 118 1 118 + + 0,99 1108 1 1108 + + 0,99 913 1 913 + + 0,99 593607 1 593607 + + 0,99 593607 1 593607 = 0,0219 = 99,5% 0,022 Kategorie Diese Struktur ist bis maximal Kategorie 3 möglich. VORSICHT Stillstand WARNUNG Im Stillstand des Motors wird ein Fehler, wie z.B. das Einfrieren eines EncoderSignales erst mit Anforderung einer Bewegung detektiert. Dies muss durch den Maschinenbauer bzw. Anwender berücksichtigt werden. Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Applikationshandbuch TwinSAFE - Version 1.7.0 161 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Alternative mit DC=99% für das Eingangs-Subsystem: MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd 162 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Sicherheits-Integritätslevel entspr. Tab. 3 EN62061 Sicherheits-Integritätslevel Warscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFHD) 3 ≥ 10-8 bis < 10-7 2 ≥ 10-7 bis < 10-6 1 ≥ 10-6 bis < 10-5 Applikationshandbuch TwinSAFE - Version 1.7.0 163 Schaltungsbeispiele 2.26 Überwachung Drehzahl (über IO-Link) Die Drehzahl eines Antriebes soll überwacht werden. Dieser Antrieb hat eine Sicherheitsfunktion (hier z.B. STO), welcher über einen entsprechenden Eingang aktiviert wird. Dieser Eingang wird über jeweils einen Arbeitskontakt zweier Schütze geführt. Die Geschwindigkeitssignale werden über 2 unterschiedliche Arten zur Logik EL6910 übertragen und dort entsprechend der dargestellten Logik verarbeitet. Der IO-Link Encoder wird auf eine EL6224 verdrahtet und die Geschwindigkeitsinformation wird über eine SIL2 Kommunikation über z.B. PROFINET übermittelt. Die Geschwindigkeit des Antriebs wird über die Standard PROFINET Kommunikation und die Standard SPS ebenfalls an die Logik EL6910 übergeben. Innerhalb der sicherheitsgerichteten Logik EL6910 werden die beiden Geschwindigkeiten über den FB Scale skaliert, so dass die Werte zueinander passen. Diese beiden Geschwindigkeitswerte werden über einen FB Compare auf Gleichheit überprüft und über einen FB Limit auf einen Maximalwert überwacht. Da die beiden Geschwindigkeitswerte zu keiner Zeit eine 100 prozentige Gleichheit aufweisen, muss die Differenz der beiden Geschwindigkeitswerte innerhalb des Toleranzbandes von 10% liegen, um die Bedingung der Gleichheit noch zu erfüllen. Ist der aktuelle Geschwindigkeitswert unterhalb der im FB Limit festgelegten Grenze, wird der STO Ausgang auf logisch 1 gesetzt und der Antrieb kann drehen. Ist die Grenze überschritten oder schlägt der Vergleich fehlt, wird der Ausgang auf logisch 0 gesetzt und der Antrieb wird momentenfrei geschaltet bzw. die im Antrieb integrierte Sicherheitsfunktion aktiviert. Die gesamte Berechnung und Skalierung wird in der sicherheitsgerichteten Logik EL6910 auf dem Sicherheitsniveau SIL3 / PL e durchgeführt. Mit dieser Methode wird aus zwei nicht sicherheitsgerichteten Signalen ein sicherheitsgerichtetes Ergebnis erzeugt. Über einen ESTOP Baustein wird zusätzlich eine Nothalt-Funktion implementiert (der Übersichtlichkeit halber nicht in der Graphik dargestellt), welche den Wiederanlauf verhindert und auch die Schützkontrolle für K1 und K2 übernimmt. Aufbau IO-Link 24Vdc PC Steuerung Feldbus z.B. PROFInet K2 STO Speed Feldbus z.B. EtherCAT Standard Kommunikation Speed SIL2 Kommunikation – Speed EL6224 IO-Link Master Antrieb EL6910 K1 K1 K2 Logik siehe unten Standard Kommunikation – Speed über IO-link Motor 164 Encoder Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Strukturbild Aufbau Encoder Motor EL6224 PC BlackChannel Geschwindigkeit Motorwelle Antrieb EL6910 EL2904 Aktor Standard Feldbus Ist-Geschwindigkeit Motorleitung Logik IO-link SIL2 Communication – Speed STO - Drive Standard Communication Speed x y z Restart Estop In1 Estop In2 STO - Antrieb K1/K2 Rückführung K1/K2 500 1500 Applikationshandbuch TwinSAFE - Version 1.7.0 165 Schaltungsbeispiele 2.26.1 Struktur und Diagnose Die eingelesenen Signale vom Antrieb und vom Geber sind Standard Signale, die jedoch sehr unterschiedlich sind. Der Antrieb liefert einen Geschwindigkeitswert, der Encoder liefert ein IO-Link Signal, welches von einer Standardklemme ausgewertet wird und in ein sicheres Telegramm (FSoE mit geändertem Polynom) verpackt und übertragen wird. Diese Klemme (EL6224) liefert einen Geschwindigkeitswert, der innerhalb der sicheren Logik skaliert wird und mit dem Geschwindigkeitswert des Antriebs verglichen wird. Gleichheit bedeutet in diesem Fall, dass das Differenzsignal in dem Toleranzfenster von 10% liegt. Die Übermittlung des IO-Link Encoder Signals über den Standard-Feldbus wird über das Black-Channel Prinzip durchgeführt. Dieser Wert wird mit der Antriebsgeschwindigkeit, die über den Standard-Feldbus übermittelt wird plausibilisiert. Fehler in einem der beiden Kanäle werden sofort innerhalb der sicheren Logik erkannt und führen zur Aktivierung von STO des Antriebs. 2.26.2 FMEA Fehlerannahme Geschwindigkeitswert über PROFINET oder PROFINET selbst friert ein Geschwindigkeitswert über EtherCAT und SIL2 Kommunikation friert ein Geschwindigkeitswerte werden in der Standard SPS aufeinander kopiert Geschwindigkeitswert über PROFINET wird verfälscht Verbindung zwischen Motor und Encoder ist nicht mehr gegeben Encoder liefert falschen Positionswert Antrieb liefert falschen Geschwindigkeitswert Kommunikationsfehler 61784-3 für Standard-Kommunikation: Verfälschung 166 Erwartungshaltung Wird über den zweiten Wert und die Plausibilisierung in der EL6910 erkannt (SIL2 Kommunikation zwischen EL6224 und EL6910). Zusätzlich sollte für die Drehzahl 0 der StandardKommunikations-Watchdog aktiviert sein. Wird über den Watchdog innerhalb der SIL2 Kommunikation erkannt. Plausibilitätsprüfung: Wenn der Motor gestartet wird, werden auch dynamische Geschwindigkeitswerte erwartet. Ein verfälschter Wert innerhalb der SIL 2 Kommunikation führt zu einer ungültigen CRC innerhalb des Telegramms und damit zur sofortigen Abschaltung der Gruppe und der Ausgänge Die Datentypen der beiden Geschwindigkeitswerte haben eine unterschiedliche Länge (z.B. 4 Byte und 11 Byte) Wird über den zweiten Wert und die Plausibilisierung in der EL6910 erkannt (SIL2 Kommunikation zwischen EL6224 und EL6910) Wird über die Plausibilisierung mit dem Geschwindigkeitswert des Antriebs innerhalb der EL6910 erkannt Plausibilitätsprüfung: Wenn der Motor gestartet wird, werden auch dynamische Geschwindigkeitswerte erwartet. Wird über die Plausibilisierung mit dem Geschwindigkeitswert des Antriebs innerhalb der EL6910 erkannt Wird über den zweiten Wert und die Plausibilisierung in der EL6910 erkannt (SIL2 Kommunikation zwischen EL6224 und EL6910) Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt Überprüft Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Fehlerannahme Kommunikationsfehler 61784-3 für Standard-Kommunikation: Unbeabsichtigte Wiederholung Kommunikationsfehler 61784-3 für Standard-Kommunikation: Falsche Abfolge Kommunikationsfehler 61784-3 für Standard-Kommunikation: Verlust Kommunikationsfehler 61784-3 für Standard-Kommunikation: Inakzeptable Verzögerung Kommunikationsfehler 61784-3 für Standard-Kommunikation: Einfügung Kommunikationsfehler 61784-3 für Standard-Kommunikation: Maskerade Kommunikationsfehler 61784-3 für Standard-Kommunikation: Adressierung Kommunikationsfehler für Standard-Kommunikation: Wiederkehrende Speicherfehler in Switches Erwartungshaltung Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt. Zusätzlich sollte für die Drehzahl 0 der Standard-Kommunikations-Watchdog aktiviert sein. Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt Überprüft Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt. Zusätzlich sollte für die Drehzahl 0 der Standard-Kommunikations-Watchdog aktiviert sein. Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt nicht relevant für Standard-, sondern nur für SafetyKommunikation. Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte mit der SIL2 Kommunikation innerhalb der EL6910 erkannt 2.26.2.1 Anmerkung SIL2 Kommunikation: Die SIL2 Kommunikation verwendet die identischen Mechanismen zur Fehleraufdeckung, wie die Safetyover-EtherCAT Kommunikation mit dem Unterschied, dass zur Berechnung der Prüfsumme eine anderes Polynom verwendet wird, welches hinreichend unabhängig von dem bisher für Safety-over-EtherCAT verwendetem Polynom ist. Es sind die identischen Mechanismen aktiv, wie z.B. Black-Channel Prinzip (Bitfehlerwahrscheinlichkeit 10-2). Die Qualität der Datenübertragung ist nicht entscheidend, da letztendlich über den Vergleich in der sicheren Logik alle Übertragungsfehler aufgedeckt werden, da diese zur Ungleichheit führen würden. Applikationshandbuch TwinSAFE - Version 1.7.0 167 Schaltungsbeispiele 2.26.3 Parameter der sicheren Ausgangsklemme EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Ja Ja 2.26.4 Blockbildung und Safety-Loops 2.26.4.1 Sicherheitsfunktion 1 Antrieb K1 EL6910 Encoder EL2904 EL6224 K2 2.26.5 Berechnung 2.26.5.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 Antrieb – MTBF 516.840 (59y) Encoder – MTTF 1.208.880 (138y) EL6224 - MTBF (55°C) 1.200.000 K1 – B10d 1.300.000 K2 – B10d 1.300.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 10080 (1x pro Woche) Lebenszeit (T1) 20Jahre = 175200 Stunden 2.26.5.2 Diagnostic Coverage DC Komponente Wert Antrieb und Encoder mit EL6224 und Plausibilität innerhalb der Logik DCavg=90% (Alternativ in Berechnung: 99%) K1/K2 mit EDM Überwachung (Betätigung 1/Woche und Auswertung aller steigenden und fallenden Flanken mit zeitlicher Überwachung) mit Testung der einzelnen Kanäle DCavg=99% 168 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele 2.26.5.3 Berechnung Sicherheitsfunktion 1 Zur Verdeutlichung wird der Sicherheitskennwert sowohl nach EN62061 als auch nach EN 13849 berechnet. In der Praxis ist die Berechnung nach einer Norm ausreichend. Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: Aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Berechnung der PFH-/ und MTTFd-Werte aus den MTBF-Werten: Anmerkung: Reparaturzeiten können vernachlässigt werden, daher gilt: 𝑀𝑇𝑇𝐹𝑑 = 2 ∗ 𝑀𝑇𝐵𝐹 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 mit 𝜆𝑑 ≈ 0,1 ∗ 𝑛𝑜𝑝 0,1 = 𝑇10𝑑 𝐵10𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd Eingesetzt ergibt das: Antrieb: 𝑀𝑇𝑇𝐹𝑑 = 2 ∗ 𝑀𝑇𝐵𝐹 = 2 ∗ 59 = 1.033.680 ℎ = 118𝑦 𝑃𝐹𝐻 = 1 − DC 1 − 0,9 = = 9,67E − 08 MTTFd 1.033.680 ℎ Encoder: 𝑀𝑇𝑇𝐹𝑑 = 2 ∗ 𝑀𝑇𝑇𝐹 = 2 ∗ 549149 = 1.208.880ℎ = 138𝑦 𝑃𝐹𝐻 = 1 − DC 1 − 0,9 = = 8,27E − 08 MTTFd 1.208.880 ℎ EL6224: 𝑀𝑇𝑇𝐹𝑑 = 2 ∗ 𝑀𝑇𝐵𝐹 = 2 ∗ 1.200.000 ℎ = 2.400.000 ℎ = 273𝑦 𝑃𝐹𝐻 = 1 − DC 1 − 0,9 = = 4,17E − 08 MTTFd 2.400.000 ℎ Applikationshandbuch TwinSAFE - Version 1.7.0 169 Schaltungsbeispiele K1/K2: 𝑛𝑜𝑝 = 230∗16∗60 10080 𝑀𝑇𝑇𝐹𝑑 = = 21,90 1300000 = 593607y = 5.199.997.320h 0,1 ∗ 21,90 und der Annahme, dass K1 und K2 jeweils einkanalig sind: K1/K2: Betätigung 1/Woche und direktes zurücklesen 𝑃𝐹𝐻 = 1 − 0,99 = 1,92E − 12 593607,3 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Relais K1 und K2 sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B10d-Werte für K1 und K2 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β– Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= PFH(Encoder) + PFH(EL6224) + PFH(Antrieb) + PFH(EL6900) + PFH(EL2904) + β* (PFH(K1)+ PFH(K2))/2 + (PFH(K1)* PFH(K2))*T1 Da der Anteil (PFH(K1)* PFH(K2))*T1 um Zehnerpotenzen kleiner ist, als der Rest, wird er als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: PFHges= 8,27E-08 + 4,17E-08 + 10%*(1,92E-12+1,92E-12)/2 = 2,234E-07 9,67E-08 + 1,03E-09 + 1,25E-09 + Gemäß EN 62061 Tab. 3 entspricht dieser Wert SIL2. Alternative Berechnung des MTTFd-Wertes nach EN13849 für Sicherheitsfunktion 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝐸𝑛𝑐𝑜𝑑𝑒𝑟) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿6224) 𝑀𝑇𝑇𝐹 𝑑 (𝐴𝑛𝑡𝑟𝑖𝑒𝑏) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 1 1 + + 𝑀𝑇𝑇𝐹 𝑑 (2904) (𝑀𝑇𝑇𝐹𝑑 (𝐾1)) 170 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele mit: Sind für EL1904, EL2904 und EL6900 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = = 1108y 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 1h ∗ 8760 hy 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = = 913y 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 1h ∗ 8760 hy 1 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 = 𝐷𝐶𝑎𝑣𝑔𝑠 = 1 1 1 1 1 + 273 + 118 + 1108 + 913 + 593607 138 = 46𝑦 𝐷𝐶 𝐷𝐶 𝐷𝐶 𝐷𝐶 𝐷𝐶 𝐷𝐶 𝐷𝐶 + + + + + + 𝑀𝑇𝑇𝐹𝑑 (𝐸𝑛𝑐𝑜𝑑𝑒𝑟) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6224) 𝑀𝑇𝑇𝐹𝑑 (𝐴𝑛𝑡𝑟𝑖𝑒𝑏) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿2904) 𝑀𝑇𝑇𝐹𝑑 (𝐾1) 𝑀𝑇𝑇𝐹𝑑 (𝐾2) 1 1 1 1 1 1 1 + + + + + + 𝑀𝑇𝑇𝐹𝑑 (𝐸𝑛𝑐𝑜𝑑𝑒𝑟) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6224) 𝑀𝑇𝑇𝐹𝑑 (𝐴𝑛𝑡𝑟𝑖𝑒𝑏) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿2904) 𝑀𝑇𝑇𝐹𝑑 (𝐾1) 𝑀𝑇𝑇𝐹𝑑 (𝐾2) 0,9 𝐷𝐶𝑎𝑣𝑔𝑠 = 1 138 1 138 + + 0,9 273 1 + 273 + 0,9 118 1 + 118 + 0,99 1108 1 + 1108 + 0,99 913 1 913 + + 0,99 593607 1 593607 + + 0,99 593607 1 = 593607 0,0194 = 90,65% 0,0214 Alternativ mit DC=99% 0,99 𝐷𝐶𝑎𝑣𝑔𝑠 = 138 1 138 + + 0,99 273 1 273 + + 0,99 118 1 118 + + 0,99 1108 1 1108 + + 0,99 913 1 913 + + 0,99 593607 1 593607 + + 0,99 593607 1 593607 = 0,0212 = 99,07% 0,0214 Kategorie Diese Struktur ist bis maximal Kategorie 3 möglich. VORSICHT Stillstand WARNUNG Im Stillstand des Motors wird ein Fehler, wie z.B. das Einfrieren eines EncoderSignales erst mit Anforderung einer Bewegung detektiert. Dies muss durch den Maschinenbauer bzw. Anwender berücksichtigt werden. Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Applikationshandbuch TwinSAFE - Version 1.7.0 171 Schaltungsbeispiele MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Alternative mit DC=99% für das Eingangs-Subsystem: MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung Bereich kein DC < 60 % niedrig 60 % ≤ DC < 90 % mittel 90 % ≤ DC < 99 % hoch 99 % ≤ DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd 172 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Sicherheits-Integritätslevel entspr. Tab. 3 EN62061 Sicherheits-Integritätslevel Warscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFHD) 3 ≥ 10-8 bis < 10-7 2 ≥ 10-7 bis < 10-6 1 ≥ 10-6 bis < 10-5 Applikationshandbuch TwinSAFE - Version 1.7.0 173 Schaltungsbeispiele 2.27 STO-Funktion mit EL72x1-9014 (Kat. 3, PL d) Das folgende Applikationsbeispiel zeigt wie die EL72x1-9014 zusammen mit einer EL2904 beschaltet werden kann, um eine STO Funktion nach EN 61800-5-2 zu realisieren. Eine Schutztür (S1 und S2) und ein Restart Signal (S3) werden logisch auf einen ESTOP Baustein verknüpft. Das EStopOut Signal wird an die NC Steuerung übergeben, mit der z.B. das Enable Signal der EL72x1-9014 geschaltet werden kann. Über den verzögerten Ausgang EStopDelOut wird der STOEingang der EL72x1-9014 bedient. Die EL72x1-9014 liefert über die Standard-Steuerung eine Information, dass die STO Funktion aktiv ist. Diese Information wird an den EDM Eingang des ESTOP Bausteins und zusätzlich an den EDM Baustein übergeben, um eine Erwartungshaltung für dieses Signal zu generieren. Steuerung PLC / NC logische Verknüpfung in der PLC / NC Restart S3 logische Verknüpfung in der EL69xx Opened S1 STO active -> EDM S2 EStopOut -> NC Closed EStopDelOut -> STO NC -> Drive Disable Feedback M 3~ EL2904 EL72x1-9014 STO-Signal 174 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Liefert die Risikoanalyse das Ergebnis, dass ein Wiederanlauf in der Sicherheitssteuerung zu realisieren ist, muss der Restart auch auf einen sicheren Eingang gelegt werden. Verdrahtung nur Schaltschrank-intern WARNUNG Die Verdrahtung zwischen der EL2904 und dem STO-Eingang der EL72x1-9014 muss sich im selben Schaltschrank befinden, um einen Fehlerausschluss für den Querschluss bzw. Fremdeinspeisung der Verdrahtung zwischen EL2904 und EL72x19014 annehmen zu dürfen. Die Bewertung dieser Verdrahtung und die Bewertung, ob der Fehlerausschluss zulässig ist, muss durch den Maschinenbauer bzw. Anwender erfolgen. Berechnung EL72x1-9014 Hinweis In der Berechnung des Performance Levels DIN EN ISO 13849-1 wird die EL72x19014 nicht berücksichtigt, da sie sich rückwirkungsfrei gegenüber der Sicherheitsfunktion verhält. In der Berechnung nach der EN 62061 geht der PFH Wert mit einem Wert von 0 ein. 2.27.1 Parameter der sicheren Ein- und Ausgangsklemmen EL1904 Parameter Sensortest Kanal 1 aktiv Sensortest Kanal 2 aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal 1 und 2 Logik Kanal 3 und 4 Wert Ja Ja Ja Ja Single Logic Single Logic EL2904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Wert Nein Ja Applikationshandbuch TwinSAFE - Version 1.7.0 175 Schaltungsbeispiele 2.27.2 Blockbildung und Safety-Loops 2.27.3 Sicherheitsfunktion 1 S1 EL72x1-9014 EL1904 EL6900 EL2904 S2 rückwirkungsfrei 2.27.4 Berechnung 2.27.4.1 PFH / MTTFd /B10d – Werte Komponente Wert EL1904 – PFH 1,11E-09 EL2904 – PFH 1,25E-09 EL6900 – PFH 1,03E-09 EL72x1-9014 - PFH 0,00 S1 – B10d 1.000.000 S2 – B10d 2.000.000 Arbeitstage (dop) 230 Arbeitsstunden / Tag (hop) 16 Zykluszeit (Minuten) (Tzyklus) 15 (4x pro Stunde) Lebenszeit (T1) 20 Jahre = 175200 Stunden 2.27.4.2 Diagnostic Coverage DC Komponente Wert S1/S2 mit Testung/Plausibilität DCavg=99% EL2904 mit Testung DCavg=99% 2.27.4.3 Berechnung Block 1 Berechnung der PFH-/ und MTTFd-Werte aus den B10d-Werten: aus: 𝑛𝑜𝑝 = 𝑑𝑜𝑝 ∗ℎ𝑜𝑝 ∗60 𝑇𝑍𝑦𝑘𝑙𝑢𝑠 und: 𝑀𝑇𝑇𝐹𝑑 = 176 𝐵10𝑑 0,1 ∗ 𝑛𝑜𝑝 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Eingesetzt ergibt das: S1: 𝑛𝑜𝑝 = 230∗16∗60 15 𝑀𝑇𝑇𝐹𝑑 = = 14720 1000000 0,1∗14720 = 679,3y = 5951087h S2: 𝑛𝑜𝑝 = 230∗16∗60 15 𝑀𝑇𝑇𝐹𝑑 = = 14720 2000000 0,1∗14720 = 1358,7y = 11902174h und der Annahme, dass S1 und S2 jeweils einkanalig sind: 𝑀𝑇𝑇𝐹𝑑 = 1 𝜆𝑑 ergibt sich für 𝑃𝐹𝐻 = 0,1 ∗ 𝑛𝑜𝑝 ∗ (1 − 𝐷𝐶) 1 − DC = 𝐵10𝑑 MTTFd S1: 𝑃𝐹𝐻 = 1 − 0,99 = 1,68E − 9 679,3 ∗ 8760 S2: 𝑃𝐹𝐻 = 1 − 0,99 = 8,4E − 10 1358,7 ∗ 8760 Nun sind folgende Annahmen zu treffen: Die Türschalter S1/S2 werden immer gegenläufig betätigt. Da die Schalter verschiedene Werte haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden Werte (S1) für die Kombination heranziehen! Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β =10% angenommen. Die EN 62061 enthält eine Tabelle, mit der dieser β–Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.B. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Applikationshandbuch TwinSAFE - Version 1.7.0 177 Schaltungsbeispiele Daraus folgt für die Berechnung des PFH-Wertes für Block 1: PFHges= β* (PFH(S1)+ PFH(S2))/2 + PFH(EL1904) + PFH(EL6900) + PFH(EL2904) + PFH(EL7201-9014) zu: PFHges= 10%* (1,68E-09+1,68E-09)/2 +1,11E-09 + 1,03E-09 + 1,25E-09 + 0,00 = 3,558E-09 Die Berechnung des MTTFd-Wertes für Block 1 (unter der gleichen Annahme) berechnet sich mit: 𝑛 1 1 =∑ 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹 𝑑 𝑛 𝑖=1 als: 1 1 1 1 1 = + + + 𝑀𝑇𝑇𝐹𝑑 𝑔𝑒𝑠 𝑀𝑇𝑇𝐹𝑑 (𝑆1) 𝑀𝑇𝑇𝐹 𝑑 (𝐸𝐿1904) 𝑀𝑇𝑇𝐹𝑑 (𝐸𝐿6900) 𝑀𝑇𝑇𝐹 𝑑 (2904) mit: 𝑀𝑇𝑇𝐹𝑑 (S1) = 𝐵10𝑑 (𝑆1) 0,1 ∗ 𝑛𝑜𝑝 𝑀𝑇𝑇𝐹𝑑 (S2) = 𝐵10𝑑 (𝑆2) 0,1 ∗ 𝑛𝑜𝑝 Sind für EL1904, EL6900 und EL2904 nur PFH Werte vorhanden, gilt folgende Abschätzung: 𝑀𝑇𝑇𝐹𝑑 (ELxxxx) = (1 − 𝐷𝐶(𝐸𝐿𝑥𝑥𝑥)) 𝑃𝐹𝐻(𝐸𝐿𝑥𝑥𝑥) Somit: 𝑀𝑇𝑇𝐹𝑑 (EL1904) = (1 − 0,99) (1 − 𝐷𝐶(𝐸𝐿1904)) 0,01 = = 1028,8y 1 h = 𝑃𝐹𝐻(𝐸𝐿1904) 9,72E − 06 1y 1,11E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL6900) = (1 − 𝐷𝐶(𝐸𝐿6900)) (1 − 0,99) 0,01 = = 1108,6y 1 h = 𝑃𝐹𝐻(𝐸𝐿6900) 9,02E − 06 1y 1,03E − 09 h ∗ 8760 y 𝑀𝑇𝑇𝐹𝑑 (EL2904) = (1 − 𝐷𝐶(𝐸𝐿2904)) (1 − 0,99) 0,01 = = 913,2y 1 h = 𝑃𝐹𝐻(𝐸𝐿2904) 1,1E − 05 1y 1,25E − 09 h ∗ 8760 y 1 𝑀𝑇𝑇𝐹𝑑𝑔𝑒𝑠 = 1 679,3𝑦 99% 𝐷𝐶𝑎𝑣𝑔 = 679,3 1 679,3 178 + + + 1 1028,8𝑦 99% 1358,7 1 1358,7 + + + 99% 1028,8 1 1028,8 1 1108,6𝑦 + + + 99% 1108,6 1 1108,6 1 = 225,2𝑦 913,2𝑦 + + 99% 913,2 1 = 99,00% 913,2 Applikationshandbuch TwinSAFE - Version 1.7.0 Schaltungsbeispiele Kategorie VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich. MTTFd Bezeichnung für jeden Kanal niedrig mittel hoch Bereich für jeden Kanal 3 Jahre ≤ MTTFd < 10 Jahre 10 Jahre ≤ MTTFd < 30 Jahre 30 Jahre ≤ MTTFd ≤ 100 Jahre DCavg Bezeichnung kein niedrig mittel hoch Kategorie Bereich DC < 60 % 60 % ≤ DC < 90 % 90 % ≤ DC < 99 % 99 % ≤ DC B 1 2 2 3 3 4 kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e DC MTTFd Applikationshandbuch TwinSAFE - Version 1.7.0 179 Technischer Bericht TÜV Süd 3 Technischer Bericht TÜV Süd 180 Applikationshandbuch TwinSAFE - Version 1.7.0 Anhang 4 Anhang 4.1 Beckhoff Support und Service Beckhoff und seine weltweiten Partnerfirmen bieten einen umfassenden Support und Service, der eine schnelle und kompetente Unterstützung bei allen Fragen zu Beckhoff Produkten und Systemlösungen zur Verfügung stellt. Der Beckhoff Support und Service steht ihnen weltweit zur Verfügung und ist über Telefon, Fax oder EMail erreichbar. Die Kontaktadressen ihres Landes entnehmen Sie bitte der Liste der Beckhoff Niederlassungen und Partnerfirmen. Beckhoff Support Der Support bietet Ihnen einen umfangreichen technischen Support, der Sie nicht nur bei dem Einsatz einzelner Beckhoff Produkte, sondern auch bei weiteren umfassenden Dienstleistungen unterstützt: weltweiter Support Planung, Programmierung und Inbetriebnahme komplexer Automatisierungssysteme umfangreiches Schulungsprogramm für Beckhoff Systemkomponenten Hotline: Fax: E-Mail: + 49 (0) 5246/963-157 + 49 (0) 5246/963-9157 [email protected] Beckhoff Service Das Beckhoff Service Center unterstützt Sie rund um den After-Sales-Service: Vor-Ort-Service Reparaturservice Ersatzteilservice Hotline-Service Hotline: Fax: E-Mail: + 49 (0) 5246/963-460 + 49 (0) 5246/963-479 [email protected] 4.2 Beckhoff Firmenzentrale Beckhoff Automation GmbH & Co. KG Hülshorstweg 20 33415 Verl Germany Telefon: Fax: E-Mail: Web: + 49 (0) 5246/963-0 + 49 (0) 5246/963-198 [email protected] www.beckhoff.de Weitere Support- und Service-Adressen entnehmen Sie bitte unseren Internetseiten unter http://www.beckhoff.de. Dort finden Sie auch weitere Dokumentationen zu Beckhoff Komponenten. Applikationshandbuch TwinSAFE - Version 1.7.0 181
© Copyright 2024 ExpyDoc
