Applikationshandbuch. TwinSAFE

Transkript

1 Applikationshandbuch TwinSAFE Version:.8.0 Datum:

2

3 Inhaltsverzeichnis Inhaltsverzeichnis Vorwort 6. Hinweise zur Dokumentation 6.. Zielgruppe 6.. Dokumentenursprung 6..3 Aktualität 6..4 Produkteigenschaften 6..5 Disclaimer 6..6 Marken 6..7 Patente 7..8 Copyright 7..9 Lieferbedingungen 7. Sicherheitshinweise 7.. Auslieferungszustand 7.. Sorgfaltspflicht des Betreibers 7..3 Zweck und Anwendungsbereich 8..4 Erklärung der Sicherheitssymbole 8..5 Erklärung der Begriffe 9..6 Ausgabestände der Dokumentation 0 Schaltungsbeispiele. ESTOP Funktion Variante (Kategorie 3, PL d).. Parameter der sicheren Ein- und Ausgangsklemmen.. Blockbildung und Safety-Loops..3 Berechnung. ESTOP Funktion Variante (Kategorie 3, PL d) 6.. Parameter der sicheren Ein- und Ausgangsklemmen 6.. Blockbildung und Safety-Loops 7..3 Berechnung 7.3 ESTOP-Funktion Variante 3 (Kategorie 4, PL e).3. Parameter der sicheren Ein- und Ausgangsklemmen.3. Blockbildung und Safety-Loops Berechnung 3.4 ESTOP Funktion Variante 4 (Kategorie 4, PL e) 8.4. Parameter der sicheren Ein- und Ausgangsklemmen 8.4. Blockbildung und Safety-Loops Berechnung 9 Applikationshandbuch TwinSAFE - Version.8.0

4 Inhaltsverzeichnis.5 ESTOP Funktion Variante 5 (Kategorie 4, PL e) Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 35.6 ESTOP Funktion Variante 6 (Kategorie 3, PL d) Parameter der sicheren Ein- und Ausgangsklemmen (SIL ) Blockbildung und Safety-Loops Berechnung 4.7 ESTOP Funktion Variante 7 (Kategorie 4, PL e) Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 47.8 Schutztür Funktion Variante (Kategorie 3, PL d) 5.8. Parameter der sicheren Ein- und Ausgangsklemmen 5.8. Blockbildung und Safety-Loops Berechnung 53.9 Schutztür Funktion Variante (Kategorie 4, PL e) Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 59.0 Schutztür Funktion mit Bereichsüberwachung (Kategorie 4, PL e) Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 66. Schutztür Funktion mit Zuhaltung (Kategorie 4, PL e) 7.. Parameter der sicheren Ein- und Ausgangsklemmen 7.. Blockbildung und Safety-Loops 7..3 Berechnung 7. Zweihand-Steuerung (Kategorie 4, PL e) 78.. Parameter der sicheren Ein- und Ausgangsklemmen 78.. Blockbildung und Safety-Loops Berechnung 79.3 Laserscanner (Kategorie 3, PL d) Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 84 Applikationshandbuch TwinSAFE - Version.8.0

5 Inhaltsverzeichnis.4 Lichtgitter (Kategorie 4, PL e) Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 89.5 Sicherheitsschaltmatte / Safety Bumper (Kategorie 4, PL e) Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 94.6 Muting (Kategorie 4, PL e) Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 99.7 Allpolige Abschaltung einer Potentialgruppe mit nachgeschalteten rückwirkungsfreien Standardklemmen (Kategorie 4, PL e) Hinweise zur Verhinderung der Rückspeisung Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 09.8 Einpolige Abschaltung einer Potentialgruppe mit nachgeschalteten rückwirkungsfreien Standardklemmen mit Fehlerausschluss (Kategorie 4, PL e) 4.8. Hinweise zur Verhinderung der Rückspeisung 6.8. Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 9.9 Vernetzte Anlage (Kategorie 4, PL e) 4.9. Parameter der sicheren Ein- und Ausgangsklemmen 5.9. Blockbildung und Safety-Loops Berechnung 6.0 Antriebsoption AX580 mit Stopp-Funktion SS (Kategorie 4, PL e) Parameter der sicheren Ein- und Ausgangsklemmen 3.0. Blockbildung und Safety-Loops Berechnung 3. Antriebsoption AX5805 mit Stopp-Funktion SS (Kategorie 4, PL e) 36.. Parameter der sicheren Ein- und Ausgangsklemmen 36.. Blockbildung und Safety-Loops Berechnung 37 Applikationshandbuch TwinSAFE - Version.8.0 3

6 Inhaltsverzeichnis. Direktes Verdrahten der TwinSAFE-Ausgänge auf TwinSAFE-Eingänge (- kanalig) (Kategorie, PL c) 4.. Parameter der sicheren Ein- und Ausgangsklemmen 4.. Blockbildung und Safety-Loops 4..3 Berechnung 4.3 Direktes Verdrahten der TwinSAFE-Ausgänge auf TwinSAFE-Eingänge (- kanalig) (Kategorie 3, PL d) Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Berechnung 46.4 ESTOP Funktion (Kategorie 3, PL d) Parameter der sicheren Ein- und Ausgangsklemmen (SIL ) Blockbildung und Safety-Loops Berechnung 49.5 Überwachung Drehzahl (Kategorie 3, PL d) Struktur und Diagnose FMEA Parameter der sicheren Ausgangsklemme Blockbildung und Safety-Loops Berechnung 58.6 Überwachung Drehzahl (über IO-Link) (Kategorie 3, PL d) Struktur und Diagnose FMEA Parameter der sicheren Ausgangsklemme Blockbildung und Safety-Loops Berechnung 69.7 STO-Funktion mit EL7x-904 (Kategorie 3, PL d) Parameter der sicheren Ein- und Ausgangsklemmen Blockbildung und Safety-Loops Sicherheitsfunktion Berechnung 77.8 STO-Funktion mit IndraDrive (Kategorie 4, PL e) 8.8. Parameter der sicheren Ein- und Ausgangsklemmen 8.8. Blockbildung und Safety-Loops Sicherheitsfunktion Berechnung Technical Note der Firma Bosch Rexroth AG 87 4 Applikationshandbuch TwinSAFE - Version.8.0

7 Inhaltsverzeichnis.9 Temperaturmessung mit TwinSAFE SC (Kategorie 3, PL d) 9.9. Strukturbild des Aufbaus 9.9. Struktur und Diagnose FMEA Parameter der sicheren Ausgangsklemme Blockbildung und Safety-Loops Berechnung Füllstandsmessung mit TwinSAFE SC (Kategorie 3, PL d) Strukturbild des Aufbaus Struktur und Diagnose FMEA Parameter der sicheren Ausgangsklemme Blockbildung und Safety-Loops Berechnung 04.3 Druckmessung mit TwinSAFE SC (Kategorie 3, PL d).3. Strukturbild des Aufbaus.3. Struktur und Diagnose.3.3 FMEA.3.4 Parameter der sicheren Ausgangsklemme Blockbildung und Safety-Loops Berechnung 4.3 Überwachung Hubgerät (Kategorie 3, PL d).3. Strukturbild Aufbau.3. Struktur und Diagnose.3.3 FMEA Aufbau innerhalb der Logik Parameter der sicheren Ausgangsklemme Blockbildung und Safety-Loops Berechnung 7 3 Technischer Bericht TÜV Süd 34 4 Anhang Beckhoff Support und Service Beckhoff Firmenzentrale 35 Applikationshandbuch TwinSAFE - Version.8.0 5

8 Vorwort Vorwort. Hinweise zur Dokumentation.. Zielgruppe Zur Installation und Inbetriebnahme der Komponenten ist die Beachtung der nachfolgenden Hinweise und Erklärungen unbedingt notwendig. Diese Beschreibung wendet sich ausschließlich an ausgebildetes Fachpersonal der Steuerungs- und Automatisierungstechnik, das mit den geltenden nationalen Normen vertraut ist. Das Fachpersonal hat sicherzustellen, dass die Anwendung bzw. der Einsatz der beschriebenen Produkte alle Sicherheitsanforderungen, einschließlich sämtlicher anwendbaren Gesetze, Vorschriften, Bestimmungen und Normen erfüllt... Dokumentenursprung Diese Dokumentation ist in deutscher Sprache verfasst. Alle weiteren Sprachen werden von dem deutschen Original abgeleitet...3 Aktualität Bitte prüfen Sie, ob Sie die aktuelle und gültige Version des vorliegenden Dokumentes verwenden. Auf der Beckhoff Homepage unter dem Link finden Sie die jeweils aktuelle Version zum Download. Im Zweifelsfall wenden Sie sich bitte an den technischen Support (siehe Kapitel 4. Beckhoff Support und Service)...4 Produkteigenschaften Gültig sind immer nur die Produkteigenschaften, die in der jeweils aktuellen Anwenderdokumentation angegeben sind. Weitere Informationen, die auf den Produktseiten der Beckhoff Homepage, in s oder sonstigen Publikationen angegeben werden, sind nicht maßgeblich...5 Disclaimer Diese Dokumentation wurde sorgfältig erstellt. Die beschriebenen Produkte werden jedoch ständig weiter entwickelt. Deshalb ist die Dokumentation nicht in jedem Fall vollständig auf die Übereinstimmung mit den beschriebenen Leistungsdaten, Normen oder sonstigen Merkmalen geprüft. Falls sie technische oder redaktionelle Fehler enthält, behalten wir uns das Recht vor, Änderungen jederzeit und ohne Ankündigung vorzunehmen. Aus den Angaben, Abbildungen und Beschreibungen in dieser Dokumentation können keine Ansprüche auf Änderung bereits gelieferter Produkte geltend gemacht werden...6 Marken Beckhoff, TwinCAT, EtherCAT, Safety over EtherCAT, TwinSAFE und XFC sind eingetragene und lizenzierte Marken der Beckhoff Automation GmbH. Die Verwendung anderer in dieser Dokumentation enthaltenen Marken oder Kennzeichen durch Dritte kann zu einer Verletzung von Rechten der Inhaber der entsprechenden Bezeichnungen führen. 6 Applikationshandbuch TwinSAFE - Version.8.0

9 Vorwort..7 Patente Die EtherCAT-Technologie ist patentrechtlich geschützt, insbesondere durch folgende Anmeldungen und Patente: EP59097, EP789857, DE , DE mit den entsprechenden Anmeldungen und Eintragungen in verschiedenen anderen Ländern. Die TwinCAT-Technologie ist patentrechtlich geschützt, insbesondere durch folgende Anmeldungen und Patente: EP085348, US66745 mit den entsprechenden Anmeldungen und Eintragungen in verschiedenen anderen Ländern. EtherCAT ist eine eingetragene Marke und patentierte Technologie lizensiert durch die Beckhoff Automation GmbH, Deutschland..8 Copyright Beckhoff Automation GmbH & Co. KG. Weitergabe sowie Vervielfältigung dieses Dokuments, Verwertung und Mitteilung seines Inhalts sind verboten, soweit nicht ausdrücklich gestattet. Zuwiderhandlungen verpflichten zu Schadenersatz. Alle Rechte für den Fall der Patent-, Gebrauchsmuster- oder Geschmacksmustereintragung vorbehalten...9 Lieferbedingungen Es gelten darüber hinaus die allgemeinen Lieferbedingungen der Fa. Beckhoff Automation GmbH & Co. KG.. Sicherheitshinweise.. Auslieferungszustand Die gesamten Komponenten werden je nach Anwendungsbestimmungen in bestimmten Hard- und Software-Konfigurationen ausgeliefert. Änderungen der Hard-, oder Software-Konfiguration, die über die dokumentierten Möglichkeiten hinausgehen sind unzulässig und bewirken den Haftungsausschluss der Beckhoff Automation GmbH & Co. KG... Sorgfaltspflicht des Betreibers Der Betreiber muss sicherstellen, dass die TwinSAFE-Produkte nur bestimmungsgemäß verwendet werden. die TwinSAFE-Produkte nur in einwandfreiem, funktionstüchtigem Zustand betrieben werden. nur ausreichend qualifiziertes und autorisiertes Personal die TwinSAFE-Produkte betreibt. dieses Personal regelmäßig in allen zutreffenden Fragen von Arbeitssicherheit und Umweltschutz unterwiesen wird, sowie die Betriebsanleitung und insbesondere die darin enthaltenen Sicherheitshinweise kennt. die Betriebsanleitung stets in einem leserlichen Zustand und vollständig am Einsatzort der TwinSAFE-Produkte zur Verfügung steht. alle an den TwinSAFE-Produkten angebrachten Sicherheits- und Warnhinweise nicht entfernt werden und leserlich bleiben. Applikationshandbuch TwinSAFE - Version.8.0 7

10 Vorwort..3 Zweck und Anwendungsbereich Das Applikationshandbuch gibt dem Anwender Beispiele für die Berechnung von sicherheitstechnischen Kenngrößen für Sicherheitsfunktionen entsprechend der Normen DIN EN ISO und EN 606 bzw. EN 6508:00 (soweit anwendbar), wie sie typischerweise an Maschinen Verwendung finden. In den Beispielen wird für einen sicheren Eingang exemplarisch eine EL904 bzw. für einen sicheren Ausgang eine EL904 dargestellt. Dies ist nur als Beispiel zu sehen, es können natürlich auch andere sichere Eingänge oder Ausgänge verwendet werden, wie z.b. eine EP908 oder eine EL90. Dafür müssen dann in der Berechnung die passenden Kenngrößen, die der jeweiligen Produktdokumentation entnommen werden können, verwendet werden. Applikationsbeispiele Achtung Diese Beispiele geben dem Anwender exemplarische Berechnungen vor. Sie entbinden Ihn nicht von der Pflicht eine Risiko- und Gefährdungsanalyse durchzuführen und die für die Anwendung zu berücksichtigenden Richtlinien, Normen und Gesetze anzuwenden...4 Erklärung der Sicherheitssymbole In der vorliegenden Betriebsanleitung werden die folgenden Sicherheitssymbole verwendet. Diese Symbole sollen den Leser vor allem auf den Text des nebenstehenden Sicherheitshinweises aufmerksam machen. Akute Verletzungsgefahr! GEFAHR Wenn der Sicherheitshinweis neben diesem Symbol nicht beachtet wird, besteht unmittelbare Gefahr für Leben und Gesundheit von Personen. Vorsicht Verletzungsgefahr! WARNUNG Wenn der Sicherheitshinweis neben diesem Symbol nicht beachtet wird, besteht Gefahr für Leben und Gesundheit von Personen. Schädigung von Personen! VORSICHT Wenn der Sicherheitshinweis neben diesem Symbol nicht beachtet wird, können Personen geschädigt werden. Schädigung von Umwelt oder Geräten Achtung Wenn der Hinweis neben diesem Symbol nicht beachtet wird, können Umwelt oder Geräte geschädigt werden. Tipp oder Fingerzeig Hinweis Dieses Symbol kennzeichnet Informationen, die zum besseren Verständnis beitragen. 8 Applikationshandbuch TwinSAFE - Version.8.0

11 Vorwort..5 Erklärung der Begriffe Bezeichnung B0D CCF dop DCavg hop MTTFD nop PFH PL PLr TZyklus T λd T0D TwinSAFE SC Erklärung Mittlere Anzahl der Zyklen nach der 0% der Bauteile gefährlich ausgefallen sind Ausfälle gemeinsamer Ursache Mittlere Betriebszeit in Tagen pro hr Mittlerer Diagnosedeckungsgrad Mittlere Betriebszeit in Stunden pro Tag Mittlere Zeit bis zum gefährlichen Ausfall Mittlere Anzahl jährlicher Betätigungen Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde Performance Level Erforderlicher Performance Level Mittlere Zeit zwischen zwei aufeinanderfolgende Zyklen des Systems (in den folgenden Beispielen in Minuten angegeben, kann aber auch in Sekunden angegeben werden) Lebenszeit des Gerätes (bei TwinSAFE Geräten typischerweise 0 hre) Gefahrbringende Ausfallrate angegeben in FIT (Ausfallzahl in 0 9 Bauelement- Stunden) Gebrauchsdauer - maximale Betriebszeit für z.b. elektromechanische Bauteile Die TwinSAFE SC Technologie (SC - Single Channel) ermöglicht es ein Signal einer Standard-Klemme in ein FSoE Telegramm zu verpacken und dieses über den Standard Feldbus an die TwinSAFE Logik zu übermitteln. Dadurch können Verfälschungen auf dem Übertragungsweg ausgeschlossen werden. Innerhalb der TwinSAFE Logik wird dieses Signal mit einem weiteren unabhängigen Signal plausibilisiert. Mit diesem Vergleichsergebnis erhält man typischerweise einen Analogwert, der einer Kategorie 3 und PL d entspricht. Diese Technologie unterstützt keine digitalen Eingangssignale und kann auch nicht in einer einkanaligen Struktur (nur einen TwinSAFE SC Kanal) verwendet werden. Applikationshandbuch TwinSAFE - Version.8.0 9

12 Vorwort..6 Ausgabestände der Dokumentation Version Kommentar.8.0 TwinSAFE SC Beispiele hinzugefügt Beispiel zu Bosch Rexroth IndraDrive Antriebsfamilie Bezeichnung SIL Kommunikation durch TwinSAFE SC ersetzt Beispiele.5 und.6 aktualisiert Generelle Überarbeitung aller Kapitel.7.0 Kapitel Direktes Verdrahten der TwinSAFE Ausgänge auf TwinSAFE Eingänge (-kanalig) überarbeitet Vorwort aktualisiert Kapitel Zweck und Anwendungsbereich erweitert Strukturbild Kapitel.5 und.6 aktualisiert Kapitel.7 hinzugefügt Kapitel..3.,.3.3.,.4.3.,.5.3.,.7.3. und konkretisiert (Hinweise zu direktem/indirektem Zurücklesen entfernt) Hinweistexte in Kapitel.9 hinzugefügt.6. Konformitätsbestätigung aktualisiert Grafiken in Kapitel.5 und.6 aktualisiert Zweck und Anwendungsbereich hinzugefügt.6. Kapitel.5 und.6 hinzugefügt.6.0 Kapitel.7 und.8 überarbeitet.5.0 Firmenanschrift geändert.4.0 Kapitel.4 hinzugefügt Ausgabestände der Dokumentation hinzugefügt Dokumentenursprung hinzugefügt Formatierung geändert.3. Überschriften mit Kategorien und Performance Level erweitert Hinweistext Kapitel.6 verschoben.3.0 Lieferbedingungen entfernt..0 Korrektur an Kapitel.6..0 erste freigegebene Version 0 Applikationshandbuch TwinSAFE - Version.8.0

13 Schaltungsbeispiele. ESTOP Funktion Variante (Kategorie 3, PL d) Der Not-Halt-Taster ist mit zwei Öffnerkontakten auf eine sichere Eingangsklemme EL904 verbunden. Die Testung und die Überwachung der Diskrepanz der beiden Signale sind eingeschaltet. Der Restart und das Rückführsignal sind auf Standard-Klemmen verdrahtet und werden über die Standard-SPS an TwinSAFE übergeben. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K K Not-Halt Taster S Restart S Logische Verbindung in der EL6900 K K.. Parameter der sicheren Ein- und Ausgangsklemmen EL904 Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Applikationshandbuch TwinSAFE - Version.8.0

14 .. Blockbildung und Safety-Loops... Sicherheitsfunktion K S EL904 EL6900 EL904 K..3 Berechnung..3. PFH / MTTF D /B0 D e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 0080 (x pro Woche) (7 Tage, 4 Stunden) Lebenszeit (T) 0hre 7500 Stunden..3. Diagnostic Coverage DC Komponente S mit Testung/Plausibilität K/K mit Testung und EDM (Betätigung /Woche) K/K mit Testung und EDM (Betätigung /Schicht) DCavg99% DCavg60% DCavg90%..3.3 Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFD-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Applikationshandbuch TwinSAFE - Version.8.0

15 Eingesetzt ergibt das: S n op , MTTF d ,y h 0,,90 K/K n op , MTTF d ,3y h 0,,90 und der Annahme, dass S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S PFH DC MTTF d 0,99,50E 4566, 8760 K/K Betätigung /Woche PFH 0,60 7,69E , K/K Betätigung /Schicht PFH 0,90,9E , Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S: Laut BIA-Report /008 ist ein Fehlerausschluss bis Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S wie folgt in die Rechnung ein. Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : Applikationshandbuch TwinSAFE - Version.8.0 3

16 PFH ges PFH (S) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: 7,96E + 7,96E PFH ges,5e,e 09,03E 09,5E 09 0% 3,4E 09 bei Betätigung /Woche oder,9e,9e PFH ges,5e,e 09,03E 09,5E 09 0% 3,4E 09 bei Betätigung /Schicht Die Berechnung des MTTFD-es für Block (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) (MTTF d (K)) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) Somit: MTTF d (EL904) MTTF d (EL6900) ( DC(ELxxx)) PFH(ELxxx) ( DC(EL904)) PFH(EL904) ( DC(EL6900)) PFH(EL6900) ( 0,99),E 09 h 8760h y ( 0,99),03E 09 h 8760h y 0,0 9,7E 06 y 0,0 9,0E 06 y 08,8y 08,6y 4 Applikationshandbuch TwinSAFE - Version.8.0

17 MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 333,98y 4566,y 08,8y 08,6y 93,y ,3y DC avg bzw.: DC avg 99% + 99% + 99% + 99% + 60% + 60% 4566, 08,8 08,6 93, , ,3 4566, 08,8 08,6 93, , ,3 99% + 99% + 99% + 99% + 90% + 90% 4566, 08,8 08,6 93, , ,3 4566, 08,8 08,6 93, , ,3 98,96% 98,99% Maßnahmen zum Erreichen der Kategorie 3! VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich, da ein Fehler im Rücklesepfad der Relais unentdeckt sein kann. Um die Kategorie 3 zu erreichen, muss in der Standard- Steuerung zur Erwartungshaltung des Rücklesens alle steigenden und fallenden Flanken zusammen mit der Zeitabhängigkeit ausgewertet werden! Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version.8.0 5

18 . ESTOP Funktion Variante (Kategorie 3, PL d) Der Not-Halt-Taster ist mit zwei Öffnerkontakten auf eine sichere Eingangsklemme EL904 verbunden. Die Testung der beiden Signale ist eingeschaltet. Eine Überprüfung auf Diskrepanz der Signale wird nicht durchgeführt. Der Restart und das Rückführsignal sind auf Standard-Klemmen verdrahtet und werden über die Standard-SPS an TwinSAFE übergeben. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K K Not-Halt Taster S Restart S Logische Verbindung in der EL6900 K K.. Parameter der sicheren Ein- und Ausgangsklemmen EL904 Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv 6 Applikationshandbuch TwinSAFE - Version.8.0

19 .. Blockbildung und Safety-Loops... Sicherheitsfunktion K S EL904 EL6900 EL904 K..3 Berechnung..3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 0080 (x pro Woche) Lebenszeit (T) 0hre 7500 Stunden..3. Diagnostic Coverage DC Komponente S mit Testung/ ohne Plausibilität K/K mit Testung und EDM (Betätigung /Woche) K/K mit Testung und EDM (Betätigung /Schicht) DCavg90% DCavg60% DCavg90%..3.3 Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: Applikationshandbuch TwinSAFE - Version.8.0 7

20 MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op ,90 MTTF d ,y h 0,,90 K/K: n op ,90 MTTF d ,3y h 0,,90 und der Annahme, dass S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: PFH DC MTTF d 0,90,50E , 8760 K/K: Betätigung /Woche PFH 0,60 7,69E , K/K: Betätigung /Schicht PFH 0,90,9E , Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S: Laut BIA-Report /008 ist ein Fehlerausschluss bis Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S wie folgt in die Rechnung ein. Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. 8 Applikationshandbuch TwinSAFE - Version.8.0

21 Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β- Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (S) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: 7,96E + 7,96E PFH ges,5e 0,E 09,03E 09,5E 09 0% 3,65E 09 bei Betätigung /Woche oder,9e,9e PFH ges,5e 0,E 09,03E 09,5E 09 0% 3,65E 09 bei Betätigung /Schicht Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Applikationshandbuch TwinSAFE - Version.8.0 9

22 Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) Somit: MTTF d (EL904) ( DC(ELxxx)) PFH(ELxxx) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 4566,y 08,8y 08,6y 93,y ,3y 333,98y DC avg bzw.: DC avg 90% + 99% + 99% + 99% + 60% + 60% 4566, 08,8 08,6 93, , ,3 4566, 08,8 08,6 93, , ,3 90% + 99% + 99% + 99% + 90% + 90% 4566, 08,8 08,6 93, , ,3 4566, 08,8 08,6 93, , ,3 98,89% 98,9% 0 Applikationshandbuch TwinSAFE - Version.8.0

23 Maßnahmen zum Erreichen der Kategorie 3! VORSICHT Diese Struktur ist durch einen möglichen schlafenden Fehler nur bis maximal Kategorie 3 möglich. Um die Kategorie 3 zu erreichen, muss in der Standard-Steuerung zur Erwartungshaltung des Rücklesens alle steigenden und fallenden Flanken zusammen mit der Zeitabhängigkeit ausgewertet werden! Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version.8.0

24 .3 ESTOP-Funktion Variante 3 (Kategorie 4, PL e) Der Not-Halt-Taster ist mit zwei Öffnerkontakten auf eine sichere Eingangsklemme EL904 verbunden. Die Testung der beiden Signale ist eingeschaltet. Diese Signale werden auf Diskrepanz überprüft. Der Restart und das Rückführsignal sind auf Standard-Klemmen verdrahtet und werden über die Standard- SPS an TwinSAFE übergeben. Weiterhin werden der Ausgang des Funktionsbausteins ESTOP und das Rückführsignal auf einen EDM-Baustein verdrahtet. Dieser prüft, dass das Rückführsignal innerhalb der eingestellten Zeiten den gegengesetzten Zustand des ESTOP-Ausgangs einnimmt. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K K Not-Halt Taster S Restart S Logische Verbindung in der EL6900 K K.3. Parameter der sicheren Ein- und Ausgangsklemmen EL904 Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic Applikationshandbuch TwinSAFE - Version.8.0

25 EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv.3. Blockbildung und Safety-Loops.3.. Sicherheitsfunktion K S EL904 EL6900 EL904 K.3.3 Berechnung.3.3. PFH / MTTF d /B0 d e Komponente EL904 PFH EL904 PFH EL6900 PFH,E-09,5E-09,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 0080 (x pro Woche) 0hre 7500 Stunden.3.3. Diagnostic Coverage DC Komponente S mit Testung/Plausibilität K/K mit Testung und EDM (Betätigung /Woche) K/K mit Testung und EDM (Betätigung /Schicht) DCavg99% DCavg90% DCavg99% Applikationshandbuch TwinSAFE - Version.8.0 3

26 Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op ,90 MTTF d ,y h 0,,90 K/K: n op ,90 MTTF d ,3y h 0,,90 und der Annahme, dass S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: PFH DC MTTF d 0,99,50E 4566, 8760 K/K: Betätigung /Woche PFH 0,90,9E , K/K: Betätigung /Schicht PFH 0,99,9E , Applikationshandbuch TwinSAFE - Version.8.0

27 Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S: Laut BIA-Report /008 ist ein Fehlerausschluss bis Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S wie folgt in die Rechnung ein. Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (S) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,9e,9e PFH ges,5e,e 09,03E 09,5E 09 0% 3,4E 09 bei Betätigung /Woche oder,9e,9e PFH ges,5e,e 09,03E 09,5E 09 0% 3,4E 09 bei Betätigung /Schicht Applikationshandbuch TwinSAFE - Version.8.0 5

28 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 4566,y 08,8y 08,6y 93,y ,3y 333,98y DC avg bzw.: DC avg 99% + 99% + 99% + 99% + 90% + 90% 4566, 08,8 08,6 93, , ,3 4566, 08,8 08,6 93, , ,3 99% + 99% + 99% + 99% + 99% + 99% 4566, 08,8 08,6 93, , ,3 4566, 08,8 08,6 93, , ,3 98,99% 99,00% 6 Applikationshandbuch TwinSAFE - Version.8.0

29 Maßnahmen zum Erreichen der Kategorie 4! VORSICHT Diese Struktur ist bis maximal Kategorie 4 möglich. Um die Kategorie 4 zu erreichen, muss in der Steuerung zur Erwartungshaltung des Rücklesens alle steigenden und fallenden Flanken zusammen mit der Zeitabhängigkeit ausgewertet werden! Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version.8.0 7

30 .4 ESTOP Funktion Variante 4 (Kategorie 4, PL e) Der Not-Halt-Taster mit zwei Öffnerkontakten, der Restart und der Rückführkreis sind auf sichere Kanäle einer Eingangsklemme EL904 verbunden. Die Testung der Signale ist eingeschaltet. Eine Überprüfung auf Diskrepanz der beiden Not-Halt-Signale wird durchgeführt. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. Restart S K K Not-Halt Taster S Logische Verbindung in der EL6900 K K.4. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv 8 Applikationshandbuch TwinSAFE - Version.8.0

31 .4. Blockbildung und Safety-Loops.4.. Sicherheitsfunktion K S EL904 EL6900 EL904 S EL904 K.4.3 Berechnung.4.3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 0080 (x pro Woche) Lebenszeit (T) 0hre 7500 Stunden.4.3. Diagnostic Coverage DC Komponente S mit Testung/Plausibilität S mit Plausibilität K/K mit Testung und EDM (Betätigung /Schicht) DCavg99% DCavg90% DCavg99% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Applikationshandbuch TwinSAFE - Version.8.0 9

32 Eingesetzt ergibt das: S: n op ,90 MTTF d ,y h 0,,90 S: n op ,90 MTTF d ,0y 4E0h 0,,90 K/K: n op ,90 MTTF d ,3y h 0,,90 und der Annahme, dass S, S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: PFH S: PFH DC MTTF d 0,99,50E 4566, ,90,50E 45660, K/K: Betätigung /Schicht PFH 0,99,9E , Applikationshandbuch TwinSAFE - Version.8.0

33 Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S: Laut BIA-Report /008 ist ein Fehlerausschluss bis Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S wie folgt in die Rechnung ein. Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (S) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + PFH (S) + PFH (EL904) Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,9e,9e PFH ges,5e,e 09,03E 09,5E 09 0% +,5E,E 09 4,53E 09 bei Betätigung /Schicht Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) + MTTF d (S) MTTF d (EL904) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Applikationshandbuch TwinSAFE - Version.8.0 3

34 Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 5,y 4566,y 08,8y 08,6y 93,y ,3y 45660,0y 08,8y DC avg bzw.: DC avg 99% + 99% + 99% + 99% + 90% + 90% + 90% + 99% 4566, 08,8 08,6 93, , , ,0 08,8 4566, 08,8 08,6 93, , , ,0 08,8 99% + 99% + 99% + 99% + 99% + 99% + 90% + 99% 4566, 08,8 08,6 93, , , ,0 08,8 4566, 08,8 08,6 93, , , ,0 08,8 98,99% 99,0% 3 Applikationshandbuch TwinSAFE - Version.8.0

35 Kategorie Hinweis Diese Struktur ist bis maximal Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

36 .5 ESTOP Funktion Variante 5 (Kategorie 4, PL e) Der Not-Halt-Taster mit zwei Öffnerkontakten, der Restart und der Rückführkreis sind auf sichere Kanäle einer Eingangsklemme EL904 verbunden. Die Testung der Signale ist eingeschaltet. Eine Überprüfung auf Diskrepanz der beiden Not-Halt-Signale wird durchgeführt. Die Schütze K und K sind auf unterschiedliche Ausgangskanäle verdrahtet. Die Anschlüsse A der beiden Schütze sind zusammen auf Masse geführt. Für diese Beschaltung ist die Strommessung der Ausgangskanäle abgeschaltet. Die Testung der Ausgänge ist aktiv. Restart S K K Not-Halt Taster S Logische Verbindung in der EL6900 K K.5. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein 34 Applikationshandbuch TwinSAFE - Version.8.0

37 .5. Blockbildung und Safety-Loops.5.. Sicherheitsfunktion K S EL904 EL6900 EL904 S EL904 K.5.3 Berechnung.5.3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 0080 (x pro Woche) Lebenszeit (T) 0hre 7500 Stunden.5.3. Diagnostic Coverage DC Komponente S mit Testung/Plausibilität S mit Plausibilität K/K mit Testung und EDM (Betätigung /Schicht) DCavg99% DCavg90% DCavg99% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Applikationshandbuch TwinSAFE - Version

38 Eingesetzt ergibt das: S: n op ,90 MTTF d ,y h 0,,90 S: n op ,90 MTTF d ,0y 4E0h 0,,90 K/K: n op ,90 MTTF d ,3y h 0,,90 und der Annahme, dass S, S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: PFH S: PFH DC MTTF d 0,99,50E 4566, ,90,50E 45660, K/K: Betätigung /Schicht PFH 0,99,9E , Applikationshandbuch TwinSAFE - Version.8.0

39 Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S: Laut BIA-Report /008 ist ein Fehlerausschluss bis Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S wie folgt in die Rechnung ein. Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (S) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + PFH (S) + PFH (EL904) Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,9e,9e PFH ges,5e,e 09,03E 09,5E 09 0% +,5E,E 09 4,53E 09 bei Betätigung /Schicht Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) + MTTF d (S) MTTF d (EL904) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Applikationshandbuch TwinSAFE - Version

40 Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) Somit: MTTF d (EL904) ( DC(ELxxx)) PFH(ELxxx) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 5,y 4566,y 08,8y 08,6y 93,y ,3y 45660,0y 08,8y DC avg bzw.: DC avg 99% + 99% + 99% + 99% + 90% + 90% + 90% + 99% 4566, 08,8 08,6 93, , , ,0 08,8 4566, 08,8 08,6 93, , , ,0 08,8 99% + 99% + 99% + 99% + 99% + 99% + 90% + 99% 4566, 08,8 08,6 93, , , ,0 08,8 4566, 08,8 08,6 93, , , ,0 08,8 98,99% 99,0% 38 Applikationshandbuch TwinSAFE - Version.8.0

41 Kategorie Hinweis Diese Struktur ist bis maximal Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

42 .6 ESTOP Funktion Variante 6 (Kategorie 3, PL d) Der Not-Halt-Taster mit zwei Öffnerkontakten, der Restart und der Rückführkreis sind auf sichere Kanäle einer Eingangsklemme EL904 verbunden. Die Testung der Signale ist eingeschaltet. Eine Überprüfung auf Diskrepanz der beiden Not-Halt-Signale wird durchgeführt. Die Schütze K und K sind auf unterschiedliche Ausgangskanäle verdrahtet. Die Anschlüsse A der beiden Schütze sind zusammen auf Masse geführt. Für diese Beschaltung ist die Strommessung der Ausgangskanäle abgeschaltet. Die Testung der Ausgänge ist nicht aktiv. Restart S K K Not-Halt Taster S Logische Verbindung in der EL6900 K K Kategorie Hinweis Diese Struktur ist durch einen möglichen schlafenden Fehler nur bis maximal Kategorie 3 möglich. Da bei dieser Anwendung die Klemme EL904 nur SIL hat, hat die gesamte Kette nur SIL!.6. Parameter der sicheren Ein- und Ausgangsklemmen (SIL ) EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic 40 Applikationshandbuch TwinSAFE - Version.8.0

43 EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein Nein.6. Blockbildung und Safety-Loops.6.. Sicherheitsfunktion K S EL904 EL6900 EL904 S EL904 K.6.3 Berechnung.6.3. PFH / MTTF d /B0 d e Komponente EL904 PFH EL904 PFH EL6900 PFH,E-09,5E-09,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 0080 (x pro Woche) 0 hre 7500 Stunden.6.3. Diagnostic Coverage DC Komponente S mit Testung/Plausibilität S mit Plausibilität K/K ohne Testung und mit EDM über einen sicheren Eingang DCavg99% DCavg90% DCavg90% Applikationshandbuch TwinSAFE - Version.8.0 4

44 Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op ,90 MTTF d ,y h 0,,90 S: n op ,90 MTTF d ,0y 4E0h 0,,90 K/K n op , MTTF d ,3y h 0,,90 und der Annahme, dass S, S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: PFH S: PFH DC MTTF d 0,99,50E 4566, ,90,50E 45660, K/K: Betätigung /Schicht PFH 0,99,9E , Applikationshandbuch TwinSAFE - Version.8.0

45 Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S: Laut BIA-Report /008 ist ein Fehlerausschluss bis Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S wie folgt in die Rechnung ein. Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (S) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + PFH (S) + PFH (EL904) Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,9e,9e PFH ges,5e,e 09,03E 09,5E 09 0% +,5E,E 09 4,53E 09 bei Betätigung /Schicht Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) + MTTF d (S) MTTF d (EL904) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Applikationshandbuch TwinSAFE - Version

46 Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 5,y 4566,y 08,8y 08,6y 93,y ,3y 45660,0y 08,8y DC avg 99% + 99% + 99% + 99% + 90% + 90% + 90% + 99% 4566, 08,8 08,6 93, , , ,0 08,8 4566, 08,8 08,6 93, , , ,0 08,8 98,99% 44 Applikationshandbuch TwinSAFE - Version.8.0

47 Kategorie Hinweis Diese Struktur ist durch einen möglichen schlafenden Fehler nur bis maximal Kategorie 3 möglich. Da bei dieser Anwendung die Klemme EL904 nur SIL hat, hat die gesamte Kette nur SIL! Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

48 .7 ESTOP Funktion Variante 7 (Kategorie 4, PL e) Der Not-Halt-Taster mit zwei Öffnerkontakten, der Restart und der Rückführkreis sind auf sichere Kanäle einer Eingangsklemme EL904 verbunden. Die Testung des Not-Halt-Tasters ist auf beiden Kanälen ausgeschaltet. Der Restart-Taster und der Rückführkreis haben den Sensortest eingeschaltet. Eine Überprüfung auf Diskrepanz der beiden Not-Halt-Signale wird durchgeführt. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. Restart S K K Not-Halt Taster S Logische Verbindung in der EL6900 K K.7. Parameter der sicheren Ein- und Ausgangsklemmen. EL904 Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 nicht verwendet Nein Nein Single Logic Single Logic. EL904 Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 nicht verwendet nicht verwendet nicht verwendet Single Logic Single Logic 46 Applikationshandbuch TwinSAFE - Version.8.0

49 EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv.7. Blockbildung und Safety-Loops.7.. Sicherheitsfunktion K S EL904 EL6900 EL904 S EL904 K.7.3 Berechnung.7.3. PFH / MTTF d /B0 d e Komponente EL904 PFH EL904 PFH EL6900 PFH,E-09,5E-09,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 0080 (x pro Woche) 0hre 7500 Stunden.7.3. Diagnostic Coverage DC Komponente S mit Plausibilität S mit Testung K/K mit Testung und EDM (Betätigung /Schicht) DCavg90% DCavg90% DCavg99% Applikationshandbuch TwinSAFE - Version

50 Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op ,90 MTTF d ,y h 0,,90 S: n op ,90 MTTF d ,0y 4E0h 0,,90 K/K: n op ,90 MTTF d ,3y h 0,,90 und der Annahme, dass S, S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: PFH DC MTTF d 0,90,50E , 8760 S: PFH 0,90,50E 45660, K/K: Betätigung /Schicht PFH 0,99,9E , Applikationshandbuch TwinSAFE - Version.8.0

51 Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S: Laut BIA-Report /008 ist ein Fehlerausschluss bis Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S wie folgt in die Rechnung ein. Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (S) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + PFH (S) + PFH (EL904) Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,9e,9e PFH ges,5e 0,E 09,03E 09,5E 09 0% +,5E,E 09 4,75E 09 bei Betätigung /Schicht Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) + MTTF d (S) MTTF d (EL904) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Applikationshandbuch TwinSAFE - Version

52 Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) Somit: MTTF d (EL904) ( DC(ELxxx)) PFH(ELxxx) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 5,y 4566,y 08,8y 08,6y 93,y ,3y 45660,0y 08,8y DC avg bzw.: DC avg 90% + 99% + 99% + 99% + 90% + 90% + 90% + 99% 4566, 08,8 08,6 93, , , ,0 08,8 4566, 08,8 08,6 93, , , ,0 08,8 90% + 99% + 99% + 99% + 99% + 99% + 90% + 99% 4566, 08,8 08,6 93, , , ,0 08,8 4566, 08,8 08,6 93, , , ,0 08,8 98,94% 98,95% 50 Applikationshandbuch TwinSAFE - Version.8.0

53 Kategorie Hinweis Diese Struktur ist bis maximal Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version.8.0 5

54 .8 Schutztür Funktion Variante (Kategorie 3, PL d) Die Schutztür verwendet eine Kombination von Öffner und Schließer auf sicheren Eingängen einer EL904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (00 ms) überprüft. Der Rückführkreis wird über einen Standard-Eingang eingelesen und über die Standard-SPS an TwinSAFE übergeben. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. AUF S K K Zu S Logische Verbindung in der EL6900 K K.8. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv 5 Applikationshandbuch TwinSAFE - Version.8.0

55 .8. Blockbildung und Safety-Loops.8.. Sicherheitsfunktion S K EL904 EL6900 EL904 S K.8.3 Berechnung.8.3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 5 (4x pro Stunde) Lebenszeit (T) 0hre 7500 Stunden.8.3. Diagnostic Coverage DC Komponente S/S mit Testung/Plausibilität K/K mit Testung und EDM DCavg99% DCavg90% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: Applikationshandbuch TwinSAFE - Version

56 S: n op MTTF d ,3y h 0, 470 S: n op MTTF d ,7y 9074h 0, 470 K/K: n op MTTF d ,y h 0, 470 und der Annahme, dass S, S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: DC MTTF d PFH 0,99 679,3 8760,68E 9 S: PFH 0,99 8,4E 0 358, K/K: PFH 0,90 883, 8760,9E 8 Nun sind folgende Annahmen zu treffen: Die Türschalter S/S werden immer gegenläufig betätigt. Da die Schalter verschiedene e haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden e (S) für die Kombination heranziehen! Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin 54 Applikationshandbuch TwinSAFE - Version.8.0

57 sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges β PFH (S) + PFH (S) + ( β) (PFH (S) PFH (S) ) T + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da die Anteile ( β) (PFH (S) PFH (S) ) T und ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,68e 09,68E 09 PFH ges 0%,E 09,03E 09,5E 09 0%,9E 08,9E 08 4,85E 09 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Applikationshandbuch TwinSAFE - Version

58 Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) Somit: MTTF d (EL904) ( DC(ELxxx)) PFH(ELxxx) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 679,3y 08,8y 08,6y 93,y 79,4y 883,y 99% + 99% + 99% + 99% + 99% + 90% + 90% 679,3 358,7 08,8 08,6 93, 883, 883, DC avg 679,3 358,7 08,8 08,6 93, 883, 883, 96,6% 56 Applikationshandbuch TwinSAFE - Version.8.0

59 Maßnahmen zum Erreichen der Kategorie 3! VORSICHT Diese Struktur ist durch einen möglichen schlafenden Fehler nur bis maximal Kategorie 3 möglich. Um die Kategorie 3 zu erreichen, muss in der Standard-Steuerung zur Erwartungshaltung des Rücklesens alle steigenden und fallenden Flanken zusammen mit der Zeitabhängigkeit ausgewertet werden! Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

60 .9 Schutztür Funktion Variante (Kategorie 4, PL e) Die Schutztür verwendet eine Kombination von Öffner und Schließer auf sicheren Eingängen einer EL904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (00 ms) überprüft. Der Rückführkreis wird über einen sicheren Eingang eingelesen. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. AUF S K K Zu S Logische Verbindung in der EL6900 K K.9. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv 58 Applikationshandbuch TwinSAFE - Version.8.0

61 .9. Blockbildung und Safety-Loops.9.. Sicherheitsfunktion S K EL904 EL6900 EL904 EL904 S K.9.3 Berechnung.9.3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 5 (4x pro Stunde) Lebenszeit (T) 0hre 7500 Stunden.9.3. Diagnostic Coverage DC Komponente S/S mit Testung/Plausibilität K/K mit Testung und EDM DCavg99% DCavg99% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Applikationshandbuch TwinSAFE - Version

62 Eingesetzt ergibt das: S: n op MTTF d ,3y h 0, 470 S: n op MTTF d ,7y 9074h 0, 470 K/K: n op MTTF d ,y h 0, 470 und der Annahme, dass S, S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: DC MTTF d PFH 0,99 679,3 8760,68E 9 S: PFH 0,99 8,4E 0 358, K/K: PFH 0,99,9E , Applikationshandbuch TwinSAFE - Version.8.0

63 Nun sind folgende Annahmen zu treffen: Die Türschalter S/S werden immer gegenläufig betätigt. Da die Schalter verschiedene e haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden e (S) für die Kombination heranziehen! Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges β PFH (S) + PFH (S) + ( β) (PFH (S) PFH (S) ) T + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + PFH (EL904) Da die Anteile ( β) (PFH (S) PFH (S) ) T und ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,68e 09,68E 09 PFH ges 0%,E 09,03E 09,5E 09 0%,9E 09,9E 09,E 09 4,80E 09 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) + MTTF d (EL904) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Applikationshandbuch TwinSAFE - Version.8.0 6

64 Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 5,7y 679,3y 08,8y 08,6y 93,y 883,y 08,8y 99% + 99% + 99% + 99% + 99% + 99% + 99% + 99% 679,3 358,7 08,8 08,6 93, 883, 883, 08,8 DC avg 679,3 358,7 08,8 08,6 93, 883, 883, 08,8 99,0% 6 Applikationshandbuch TwinSAFE - Version.8.0

65 Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

66 .0 Schutztür Funktion mit Bereichsüberwachung (Kategorie 4, PL e) Die Schutztür verwendet eine Kombination von Öffner und Schließer auf sicheren Eingängen einer EL904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (00 ms) überprüft. Der Rückführkreis wird über einen sicheren Eingang eingelesen. Die Näherungssensoren S3 und S4 sind auf sichere Eingänge verdrahtet und stellen fest, dass ein z.b. gefahrbringender Maschinenteil in einer sicheren Position ist, damit die Schutztür bei laufender Maschine geöffnet werden darf. Die Testung dieser Eingänge ist dafür abgeschaltet, damit mit der statischen 4 V Spannung der Sensoren gearbeitet werden kann. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. AUF S K K Zu S +4V +4V S3 S4 Logische Verbindung in der EL6900 K K Näherungssensor S3 Näherungssensor S4 Betätiger Beweglicher Maschinenteil Sichere Position Nicht-sichere Position Schutztür S, S 64 Applikationshandbuch TwinSAFE - Version.8.0

67 .0. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (obere EL904 on der Zeichnung) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 (untere EL904 on der Zeichnung) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Nein Nein Single Logic Single Logic EL904 (für alle verwendeten EL904 gültig) Parameter Strommessung aktiv Testpulse des Ausgangs aktiv.0. Blockbildung und Safety-Loops.0.. Sicherheitsfunktion S K EL904 EL6900 EL904 S K S3 EL904 S4 Applikationshandbuch TwinSAFE - Version

68 .0.3 Berechnung.0.3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 S B0d S B0d S3 B0d S4 B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 5 (4x pro Stunde) Lebenszeit (T) 0hre 7500 Stunden.0.3. Diagnostic Coverage DC Komponente S/S mit Testung/Plausibilität S3/S4 mit ohne Testung/mit Plausibilität K/K mit Testung und EDM DCavg99% DCavg90% DCavg99% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op MTTF d ,3y h 0, Applikationshandbuch TwinSAFE - Version.8.0

69 S: n op MTTF d ,7y 9074h 0, 470 S3: n op MTTF d ,9y 90739h 0, 470 S4: n op MTTF d ,9y 90739h 0, 470 K/K: n op MTTF d ,y h 0,,90 und der Annahme, dass S, S, S3, S4, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: DC MTTF d PFH 0,99 679,3 8760,68E 9 S: PFH S3/S4: PFH 0,99 8,4E 0 358, ,90 8,4E , K/K: PFH 0,99 883, 8760,9E 9 Applikationshandbuch TwinSAFE - Version

70 Nun sind folgende Annahmen zu treffen: Die Türschalter S/S werden immer gegenläufig betätigt. Da die Schalter verschiedene e haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden e (S) für die Kombination heranziehen! Die Näherungssensoren S3/S4 werden auf Plausibilität überwacht (zeitlich/logisch) und sind Typ A- Systeme nach EN 6508 (nicht komplexe Bauteile, deren Verhalten unter Fehlerbedingungen vollständig bekannt ist). Einmal pro Schicht wird die sichere Position angefahren. Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges β PFH (S\S\EL904) + PFH (S3\S4\EL904) + ( β) (PFH (S\S\EL904) PFH (S3\S4\EL904) ) T + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da die Anteile ( β) (PFH (S\S\EL904) PFH (S3\S4\EL904) ) T und ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: PFH (S\S\EL904) β PFH (S) + PFH (S) + PFH (EL904) 0%, 4E 09,68E ,4E 0,E 09 PFH (S3\S4\EL904) β PFH (S3) + PFH (S4) + PFH (EL904) 0%, 9E 09 8,4E 0 + 8,4E 0,E 09,4E 09,9E 09 PFH ges 0%, 53E 09,9E 09,9E 09,03E 09,5E 09 0% 68 Applikationshandbuch TwinSAFE - Version.8.0

71 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op MTTF d (S3) B0 d(s3) 0, n op MTTF d (S4) B0 d(s4) 0, n op MTTF d (K) B0 d(k) 0, n op Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y Applikationshandbuch TwinSAFE - Version

72 MTTF Dges 77,3y 679,3y 08,8y 08,6y 93,y 833,y DC avg 99% + 99% + 90% + 90% + 99% + 99% + 99% + 99% + 99% + 99% 679,3 358,7 3586,9 3586,9 08,8 08,8 08,6 93, 833, 833, 679,3 358,7 3586,9 3586,9 08,8 08,8 08,6 93, 833, 833, 98,85% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Die Überwachung der Sensoren S3 und S4 muss zeitlich und logisch programmiert sein. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e 70 Applikationshandbuch TwinSAFE - Version.8.0

73 . Schutztür Funktion mit Zuhaltung (Kategorie 4, PL e) Die Schutztür hat zwei Kontakte Tür geschlossen S und Tür geschlossen und verriegelt S, die auf sichere Eingänge einer EL904 verdrahtet sind. Die Testung der Eingänge ist aktiv. Eine Überprüfung auf Diskrepanz der Signale kann nicht stattfinden, da es keinen zeitlichen Zusammenhang der Signale gibt. Der Rückführkreis und das Restart-Signal werden über einen sicheren Eingang eingelesen. Auch hier ist die Testung der Eingänge aktiv. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. Die Zuhaltung wird über sichere Eingänge geschaltet bei denen die Testung aktiv ist. Der sichere Ausgang für die Zuhaltung hat die Testung und Strommessung aktiv. AUF S K K Zu Restart S Logische Verbindung in der EL6900 K Lock K Unlock.. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic Applikationshandbuch TwinSAFE - Version.8.0 7

74 EL904 (für alle verwendeten EL904 gültig) Parameter Strommessung aktiv Testpulse des Ausgangs aktiv.. Blockbildung und Safety-Loops... Sicherheitsfunktion S Lock EL904 EL6900 S EL904 Zuhaltung UnLock K EL904 EL904 Restart K..3 Berechnung..3. PFH / MTTF d /B0 d e Komponente EL904 PFH EL904 PFH EL6900 PFH,E-09,5E-09,03E-09 S B0d S B0d Restart - B0d Lock B0d Unlock B0d K B0d K B0d Zuhaltung - B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 5 (4x pro Stunde) 0hre 7500 Stunden 7 Applikationshandbuch TwinSAFE - Version.8.0

75 ..3. Diagnostic Coverage DC Komponente S mit Testung S mit Testung und Erwartungshaltung Lock/Unlock mit Testung/Plausibilität Restart K/K mit Testung und EDM Zuhaltung DCavg90% DCavg99% DCavg99% DCavg99% DCavg99% DCavg99%..3.3 Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op MTTF d ,7y 9074h 0, 470 S: n op MTTF d ,7y 9074h 0, 470 Lock/Unlock: n op MTTF d ,9y 59508h 0, 470 K/K: n op MTTF d ,y h 0,,90 Applikationshandbuch TwinSAFE - Version

76 Restart: n op MTTF d ,5y h 0, 470 Zuhaltung: n op MTTF d ,7y 9073h 0, 470 und der Annahme, dass S, S, S3, S4, K, K und die Zuhaltung jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: PFH S: PFH Lock/Unlock: DC MTTF d 0,90 8,40E , ,99 8,40E 0 358, PFH 0,99,68E 08 67, Restart: PFH 0,90,68E , K/K: PFH 0,99,9E , 8760 Zuhaltung: PFH 0,99 8,40E 0 358, Applikationshandbuch TwinSAFE - Version.8.0

77 Nun sind folgende Annahmen zu treffen: Die Türschalter S/S müssen beide betätigt werden. Da die Schalter verschiedene e haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden e (S) für die Kombination heranziehen! Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Die Zuhaltung ist mit dem Schalter S mechanisch so verbunden, dass ein Trennen der Kopplung ausgeschlossen werden kann. Der Restart wird überwacht, dass ein Signalwechsel erst gültig ist, sobald die Tür geschlossen ist. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges β PFH (S\Lock\Unlock\EL904\Zuhaltung) + PFH (S) + ( β) (PFH (S\Lock\Unlock\EL904\Zuhaltung) PFH (S) ) T + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + PFH (EL904) + PFH (Restart) Da die Anteile ( β) (PFH (x) PFH (y) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: PFH (S\Lock\Unlock\EL904\Zuhaltung) PFH (S) + β PFH (Lock) + PFH (Unlock) + PFH (EL904) + PFH (Zuhaltung),68E 08,68E 08 8,4E 0 0%,5E ,4E 0 4, 6E 09 4,6E ,4E 09 PFH ges 0%,E 09,03E 09,5E 09 0%,9E 09,9E 09,E 09,68E 09 6, 96E 09 Applikationshandbuch TwinSAFE - Version

78 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S Lock Unlock EL904 Zuhaltung) MTTF d (EL904) MTTF d (EL6900) + MTTF d (EL904) MTTF d (K) MTTF d (EL904) MTTF d (Restart) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op MTTF d (Lock) B0 d(lock) 0, n op MTTF d (Unlock) B0 d(unlock) 0, n op MTTF d (Zuhaltung) B0 d(zuhaltung) 0, n op MTTF d (K) B0 d(k) 0, n op Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) Somit: MTTF d (EL904) ( DC(ELxxx)) PFH(ELxxx) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y 76 Applikationshandbuch TwinSAFE - Version.8.0

79 MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF d (S Lock UNlock EL904 Zuhaltung) 358,7y 67,9y 93,y 358,7y MTTF d (S) MTTF d (Lock) MTTF d (EL904) MTTF d (Zuhaltung) 57,8y MTTF Dges 44,4y 57,8y 08,8y 08,6y 93,y 883,y 08,8y 6793,5y DC avg 99% + 99% + 99% + 99% + 99% + 99% + 99% + 99% + 99% + 99% + 99% + 99% + 90% 57,8 358,7 67,9 67,9 93, 358,7 08,8 08,6 93, 883, 883, 08,8 57,8 358,7 67,9 67,9 93, 358,7 08,8 08,6 93, 883, 883, 08,8 98,98% 6793,5 6793,5 Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

80 . Zweihand-Steuerung (Kategorie 4, PL e) Die Zweihandtaster bestehen jeweils aus einer Kombination von Öffner und Schließer auf sicheren Eingängen einer EL904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (00 ms) überprüft. Zusätzlich ist die synchrone Betätigung der beiden Taster aktiviert mit einer Überwachungszeit von 500 ms. Der Rückführkreis wird über einen sicheren Eingang eingelesen. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. S K K S K Logische Verbindung in der EL6900 K.. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv 78 Applikationshandbuch TwinSAFE - Version.8.0

81 .. Blockbildung und Safety-Loops... Sicherheitsfunktion S K EL904 EL6900 EL904 EL904 S K..3 Berechnung..3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) (x pro Minute) Lebenszeit (T) 0hre 7500 Stunden..3. Diagnostic Coverage DC Komponente S/S mit Testung/Plausibilität K/K mit Testung und EDM DCavg99% DCavg99%..3.3 Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Applikationshandbuch TwinSAFE - Version

82 Eingesetzt ergibt das: S/S: n op MTTF d ,8y h 0, 0800 K/K: n op MTTF d ,9y 55760h 0, 0800 und der Annahme, dass S, S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d DC MTTF d S/S: PFH 0,99,6E ,8y 8760 K/K: PFH 0,99 58,9 8760,93E 8 Nun sind folgende Annahmen zu treffen: Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. 80 Applikationshandbuch TwinSAFE - Version.8.0

83 Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges β PFH (S) + PFH (S) + ( β) (PFH (S) PFH (S) ) T + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + PFH (EL904) Da die Anteile ( β) (PFH (S) PFH (S) ) T und ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,6e 09,6E 09 PFH ges 0%,E 09,03E 09,5E 09 0%,93E 08,93E 08,E 09 6,56E 09 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) + MTTF d (EL904) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y Applikationshandbuch TwinSAFE - Version.8.0 8

84 MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 905,8y 08,8y 08,6y 93,y 58,9y 08,8y 45,4y DC avg 99% + 99% + 99% + 99% + 99% + 99% + 99% + 99% 905,8 905,8 08,8 08,6 93, 58,9 58,9 08,8 905,8 905,8 08,8 08,6 93, 58,9 58,9 08,8 99,0% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e 8 Applikationshandbuch TwinSAFE - Version.8.0

85 .3 Laserscanner (Kategorie 3, PL d) Der Laser-Scanner hat zwei OSSD-Ausgänge (Output-Signal-Switching-Device) die auf sichere Eingänge einer EL904 verdrahtet sind. Die Testung der Eingänge ist nicht aktiv, da die OSSD-Ausgänge eine eigene Testung durchführen. Weiterhin werden die Signale auf Diskrepanz (00 ms) überprüft. Der Rückführkreis wird über einen sicheren Eingang eingelesen. Für diesen Eingang ist die Testung aktiv. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K K OSSD OSSD K K Logische Verbindung in der EL Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Nein Nein OSSD beliebige Pulsarten Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Applikationshandbuch TwinSAFE - Version

86 .3. Blockbildung und Safety-Loops.3.. Sicherheitsfunktion K Scanner EL904 EL6900 EL904 K.3.3 Berechnung.3.3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 Laserscanner PFHd 7,67E-08 K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 0 (6x pro Stunde) Lebenszeit (T) 0hre 7500 Stunden.3.3. Diagnostic Coverage DC Komponente OSSD/ mit Testung(durch Scanner)/Plausibilität K/K mit Testung und EDM DCavg90% DCavg99% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op 84 Applikationshandbuch TwinSAFE - Version.8.0

87 Eingesetzt ergibt das: K/K: n op MTTF d ,7y 5570h 0, 080 und der Annahme, dass K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d DC MTTF d K/K: PFH 0,99 588,7 8760,94E 9 Nun sind folgende Annahmen zu treffen: Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (Scanner) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: PFH ges 7,67E 08,E 09,03E 09,5E 09 0%,94E 09,94E 09 8,03E 08 Applikationshandbuch TwinSAFE - Version

88 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (Scanner) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) mit: MTTF d (K) B0 d(k) 0, n op Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08.8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF d (Scanner) ( DC(Scanner)) PFH(Scanner) ( 0,90) 7,67E 08 h 8760h y 0, 6,7E 04 y 48,8y MTTF Dges 87,8y 48,8y 08,8y 08,6y 93,y 588,7y DC avg 90% + 99% + 99% + 99% + 99% + 99% 48,8 08,8 08,6 93, 588,7 588,7 48,8 08,8 08,6 93, 588,7 588,7 94,38% 86 Applikationshandbuch TwinSAFE - Version.8.0

89 Kategorie Hinweis Diese Struktur ist durch den Einsatz des Typ3 (Kategorie 3) Laserscanners maximal bis Kategorie 3 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

90 .4 Lichtgitter (Kategorie 4, PL e) Das Lichtgitter hat zwei OSSD-Ausgänge (Output-Signal-Switching-Device) die auf sichere Eingänge einer EL904 verdrahtet sind. Die Testung der Eingänge ist nicht aktiv, da die OSSD-Ausgänge eine eigene Testung durchführen. Weiterhin werden die Signale auf Diskrepanz (00 ms) überprüft. Der Rückführkreis wird über einen sicheren Eingang eingelesen. Für diesen Eingang ist die Testung aktiv. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K K OSSD OSSD K K Logische Verbindung in der EL Parameter der sicheren Ein- und Ausgangsklemmen EL904 Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Nein Nein Asynchrone Auswertung OSSD Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv 88 Applikationshandbuch TwinSAFE - Version.8.0

91 .4. Blockbildung und Safety-Loops.4.. Sicherheitsfunktion Licht- gitter EL904 EL6900 EL904 K K.4.3 Berechnung.4.3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 Lichtgitter PFHd,50E-08 K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 5 (x pro Stunde) Lebenszeit (T) 0hre 7500 Stunden.4.3. Diagnostic Coverage DC Komponente OSSD/ mit Testung(durch Lichtvorhang)/ Plausibilität K/K mit Testung und EDM DCavg99% DCavg99% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Applikationshandbuch TwinSAFE - Version

92 Eingesetzt ergibt das: K/K: n op MTTF d ,4y h 0, 4460 und der Annahme, dass K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d DC MTTF d K/K: PFH 0,99 94, ,88E 9 Nun sind folgende Annahmen zu treffen: Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (Lichtgitter) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: PFH ges,50e 08,E 09,03E 09,5E 09 0% 3,88E ,88E 09, 88E Applikationshandbuch TwinSAFE - Version.8.0

93 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (Lichtgitter) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) + MTTF d (K) mit: MTTF d (K) B0 d(k) 0, n op Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) Somit: MTTF d (EL904) ( DC(ELxxx)) PFH(ELxxx) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08.8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF d (Lichtgitter) ( DC(Lichtgitter)) PFH(Lichtgitter) ( 0,99),50E 08 h 8760h y 0,0,3E 04 y 76,y MTTF Dges 5,3y 76,y 08,8y 08,6y 93,y 94,4y DC avg 99% + 99% + 99% + 99% + 99% + 99% 76, 08,8 08,6 93, 588,7 94,4 76, 08,8 08,6 93, 588,7 94,4 99,0% Applikationshandbuch TwinSAFE - Version.8.0 9

94 Kategorie Hinweis Diese Struktur ist durch den Einsatz des Typ4 (Kategorie 4) Lichtvorhangs maximal bis Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e 9 Applikationshandbuch TwinSAFE - Version.8.0

95 .5 Sicherheitsschaltmatte / Safety Bumper (Kategorie 4, PL e) Sicherheitsschaltmatten oder Safety Bumper arbeiten nach dem Prinzip des Querschlusses. Die Kontaktflächen des Gerätes werden auf sichere Eingänge einer EL904 verdrahtet. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (00 ms) überprüft. Sobald ein Querschluss (Schaltmatte wird betreten) zwischen den Signalen erkannt wird, wird eine logische 0 von der Eingangsklemme EL904 gemeldet. Ist der Querschluss nicht mehr vorhanden wird eine logische gemeldet. Der Rückführkreis wird über einen sicheren Eingang eingelesen. Auch hier ist die Testung des Einganges aktiv. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. K K K K Logische Verbindung in der EL Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Querschluss ist kein Modulfehler Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Applikationshandbuch TwinSAFE - Version

96 .5. Blockbildung und Safety-Loops.5.. Sicherheitsfunktion Schaltmatte EL904 EL6900 EL904 K K.5.3 Berechnung.5.3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 Schaltmatte B0d 6,00E06 K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) (x pro Minute) Lebenszeit (T) 0hre 7500 Stunden.5.3. Diagnostic Coverage DC Komponente Schaltausgänge (Matte) mit Testung/Plausibilität K/K mit Testung und EDM DCavg99% DCavg99% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op 94 Applikationshandbuch TwinSAFE - Version.8.0

97 Eingesetzt ergibt das: K/K: n op MTTF d ,9y 5576h 0, 0800 Schaltmatte: n op MTTF d 6,00E06 7,7y h 0, 0800 und der Annahme, dass K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d DC MTTF d K/K: PFH 0,99,94E 08 58, Schaltmatte: PFH 0,99 4,0E 09 7, Nun sind folgende Annahmen zu treffen: Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (Schaltmatte) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Applikationshandbuch TwinSAFE - Version

98 Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,94e 08,94E 08 PFH ges 4,0E 09,E 09,03E 09,5E 09 0% 9, 53E 09 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (Schaltmatte) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) + MTTF d (K) mit: MTTF d (K) B0 d(k) 0, n op Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08.8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y MTTF Dges 4,3y 7,7y 08,8y 08,6y 93,y 58,9y 0,0,E 05 y 93,y DC avg 99% + 99% + 99% + 99% + 99% + 99% 7,7 08,8 08,6 93, 58,9 58,9 7,7 08,8 08,6 93, 58,9 58,9 99,0% 96 Applikationshandbuch TwinSAFE - Version.8.0

99 Kategorie Hinweis Durch die Struktur der Schaltung ist Kategorie 4 erreichbar. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

100 .6 Muting (Kategorie 4, PL e) Das Lichtgitter hat zwei OSSD Ausgänge (Output-Signal-Switching-Device) die auf sichere Eingänge einer EL904 verdrahtet sind. Die Testung der Eingänge ist nicht aktiv, da die OSSD Ausgänge eine eigene Testung durchführen. Weiterhin werden die Signale auf Diskrepanz (00 ms) überprüft. Der Rückführkreis wird über einen sicheren Eingang eingelesen. Die Muting-Schalter und der Enable-Schalter sind ebenfalls auf sichere Eingänge verdrahtet. Für diese Eingänge ist die Testung aktiv. An einem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Die Muting-Lampe ist ebenfalls auf einen sicheren Ausgang verdrahtet. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. OSSD OSSD K K K S K MS MS Logische Verbindung in der EL6900 MS3 MS4.6. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (obere Klemme in der Zeichnung) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Nein Nein Asynchrone Auswertung OSSD Single Logic EL904 (untere Klemme in der Zeichnung) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 EL904 Parameter Single Logic Single Logic 98 Applikationshandbuch TwinSAFE - Version.8.0

101 Strommessung aktiv Testpulse des Ausgangs aktiv.6. Blockbildung und Safety-Loops.6.. Sicherheitsfunktion Licht- vorhang EL904 EL6900 EL904 K K MS MS MS EL904 S MS.6.3 Berechnung.6.3. PFH / MTTF d /B0 d e Komponente EL904 PFH EL904 PFH EL6900 PFH,E-09,5E-09,03E-09 S B0d Lichtvorhang PFHd,50E-08 MS B0d MS B0d MS3 B0d MS4 B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 60 (x pro Stunde) 0hre 7500 Stunden Applikationshandbuch TwinSAFE - Version

102 .6.3. Diagnostic Coverage DC Komponente OSSD/ mit Testung(durch Lichtvorhang)/ Plausibilität MS//3/4 mit Testung/Plausibilität K/K mit Testung und EDM S mit Testung DCavg99% DCavg90% DCavg99% DCavg90% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op MTTF d ,5y h 0, 840 K/K: n op MTTF d ,y 6895h 0, 840 MS/MS/MS3/S4: n op MTTF d ,5y h 0, 840 und der Annahme, dass S, K und K jeweils einkanalig sind: MTTF d λ d 00 Applikationshandbuch TwinSAFE - Version.8.0

103 ergibt sich für PFH 0, n op ( DC) B0 d S: DC MTTF d PFH 0,90 543,5 8760,0E 8 K/K: PFH 0,99,6E , 8760 MS/MS/MS3/S4: PFH 0,90 543,5 8760,0E 8 Nun sind folgende Annahmen zu treffen: Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (Lichtvorhang) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + β PFH (MS) + PFH (MS) + ( β) (PFH (MS) PFH (MS) ) T + β PFH (MS3) + PFH (MS4) + ( β) (PFH (MS3) PFH (MS4) ) T + PFH (EL904) + PFH (S) Da die Anteile ( β) (PFH (x) PFH (y) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,6e 0,6E 0 PFH ges,50e 08,E 09,03E 09,5E 09 0% 0%,0E 08 +,0E 08,0E 08 +,0E 08 0%,E 09 +,0E 08 4, 47E 08 Applikationshandbuch TwinSAFE - Version.8.0 0

104 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (Lichtvorhang) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) + MTTF d (K) MTTF d (MS) MTTF d (MS3) MTTF d (EL904) MTTF d (S) mit: MTTF d (K) B0 d(k) 0, n op Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08.8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF d (Lichtvorhang) ( DC(Lichtvorhang)) PFH(Lichtvorhang) ( 0,99),50E 08 h 8760h y 0,0,3E 04 y 76,y MTTF d (MS/MS3) ( DC(MS/MS3)) PFH(MS/MS3) ( 0,90),0E 8 h 8760h y 0,,84E 04 y 543,6y MTTF Dges 76,y 08,8y 08,6y 93,y 7065,y 543,6y 543,6y 08,8y 543,5y 44,0y DC avg 99% + 99% + 99% + 99% + 99% + 99% + 90% + 90% + 90% + 90% + 99% + 99% 76, 08,8 08,6 93, 7065, 7065, 543,6 543,6 543,6 543,6 08,8 76, 08,8 08,6 93, 7065, 7065, 543,6 543,6 543,6 543,6 08,8 543,5 543,5 96,5% 0 Applikationshandbuch TwinSAFE - Version.8.0

105 Kategorie Hinweis Diese Struktur ist durch den Einsatz des Typ4 (Kategorie 4) Lichtvorhangs maximal bis Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

106 .7 Allpolige Abschaltung einer Potentialgruppe mit nachgeschalteten rückwirkungsfreien Standardklemmen (Kategorie 4, PL e) Die Schutztür verwendet eine Kombination von Öffner und Schließer auf sicheren Eingängen einer EL904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (00 ms) überprüft. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. Die Diagnose Information der KL/EL90 (4 V liegen an den Powerkontakten an) wird negiert und zusammen mit den Rückführsignalen der Schütze K, K, K3 und K4 UND verknüpft auf den EDM Eingang gelegt. Mit den Arbeitskontakten der Schütze K und K wird die Versorgung der Powerkontakte (4 V und auch 0 V) der Potentialgruppe abgeschaltet. Die 0 V Potentiale der verwendeten Last (hier: K3 und K4) müssen immer auf die Potentialgruppe zurückgeführt werden. Sicherheitsbetrachtung Hinweis Die verwendeten Klemmen EL/KL90 und EL/KLxxx sind kein aktiver Teil der Sicherheitssteuerung. Dementsprechend ist der erreichte Sicherheitslevel nur durch die überlagerte Sicherheitssteuerung definiert. Die Standardklemmen werden nicht in die Berechnung mit einbezogen. Die externe Beschaltung der Standardklemmen kann zu Einschränkungen des maximal erreichbaren Sicherheitslevels führen. Voraussetzungen Netzteil Hinweis Zur Versorgung der Standardklemmen mit 4 V muss ein SELV/PELV Netzteil mit einer ausgangsseitigen Spannungsbegrenzung auf Umax60 V im Fehlerfall verwendet werden. Verhinderung der Rückspeisung Achtung Die Rückspeisung kann durch unterschiedliche Maßnahmen verhindert werden (siehe weitere Hinweise untenstehend): Kein Schalten von Lasten mit separater Spannungsversorgung Masserückführung und allpolige Abschaltung (hier im Beispiel verwendet) oder Fehlerausschluss Leitungskurzschluss (separate Mantelleitung, Verdrahtung nur Schaltschrank-intern, eigene Erdverbindung pro Leiter) Rückwirkungsfreie Busklemmen Hinweis Eine Liste der rückwirkungsfreien Busklemmen finden Sie im Beckhoff Information System unter 04 Applikationshandbuch TwinSAFE - Version.8.0

107 Maximal erreichbare Sicherheitslevel Achtung Rückspeisung durch Masserückführung und allpolige Abschaltung vermieden: DIN EN ISO 3849-: max. Kat. 4 PL e IEC 6508: max. SIL3 EN 606: max. SIL3 AUF S K K Zu S Logische Verbindung in der EL6900 K K K3 K4 4V 0V K I/O RUN K I/O ERR BECKHOFF BK9000 KLxx BECKHOFF KLxx BECKHOFF KL9xxx BECKHOFF KLxx BECKHOFF KLxx BECKHOFF KL900 BECKHOFF K3 K4 Applikationshandbuch TwinSAFE - Version

108 .7. Hinweise zur Verhinderung der Rückspeisung.7.. Kein Schalten von Lasten mit separater Spannungsversorgung Es dürfen keine Lasten durch Standardklemmen geschaltet werden, die über eine eigene Spannungsversorgung verfügen, da hier eine Rückspeisung durch die Last nicht ausgeschlossen werden kann. Externe Versorgung Sichere Abschaltung (zweikanalig, allpolig) 5 5 Last 30V ~ 4V 6 6 4V 0V SELV/PELV Netzteil Ausnahmen von der allgemeinen Anforderung sind nur erlaubt, wenn der Hersteller der angeschlossenen Last garantiert, dass es zu keiner Rückspeisung auf den Ansteuereingang kommen kann..7.. Option : Masserückführung und allpolige Abschaltung (hier im Beispiel verwendet) Die Masseverbindung der angeschlossenen Last muss auf die sicher geschaltete Masse der jeweiligen Ausgangsklemme bzw. Potentialgruppe zurückgeführt werden. (Hier: K - richtige Verdrahtung, K - falsche Verdrahtung) Sichere Abschaltung (zweikanalig, allpolig) V ~ 4V 4V 0V K K SELV/PELV Netzteil Standardklemme Einspeiseklemme Standardklemme Einspeiseklemme 06 Applikationshandbuch TwinSAFE - Version.8.0

109 .7..3 Option : Fehlerausschluss Leitungskurzschluss Ist die Option aus Kapitel.7.. nicht umsetzbar kann auch auf die Masserückführung und allpolige Abschaltung verzichtet werden, wenn die Gefahr der Rückspeisung aufgrund eines Leitungskurzschlusses durch weitere Maßnahmen ausgeschlossen werden kann. Die folgenden Maßnahmen können alternativ umgesetzt werden. Sichere Abschaltung (zweikanalig, einpolig) 5 5 geschützte Leitungsverlegung 30V ~ 4V 6 6 4V 0V K K SELV/PELV Netzteil Standardklemme Einspeiseklemme Alternative: Lastanschluss durch separate Mantelleitungen Das nicht sicher geschaltete Potential der Standardklemme darf nicht zusammen mit anderen potentialführenden Leitungen in derselben Mantelleitung geführt werden Alternative: Verdrahtung nur Schaltschrank-intern Alle an die nicht sicheren Standardklemmen angeschlossenen Lasten müssen sich im selben Schaltschrank wie die Klemmen befinden. Die Leitungsverlegung verbleibt vollkommen innerhalb des Schaltschrankes. Alternative3: Eigene Erdverbindung pro Leiter Alle an die nicht sicheren Standardklemmen angeschlossenen Leiter sind durch eine eigene Erdverbindung geschützt. Applikationshandbuch TwinSAFE - Version

110 .7. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv 08 Applikationshandbuch TwinSAFE - Version.8.0

111 .7.3 Blockbildung und Safety-Loops.7.3. Sicherheitsfunktion S EL904 EL6900 EL904 K EL/KLxxx... K3 S K Nicht betrachtet, da rückwirkungsfrei K4.7.4 Berechnung.7.4. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 S B0d S B0d K B0d K B0d K3 B0d K4 B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 5 (4x pro Stunde) Lebenszeit (T) 0hre 7500 Stunden.7.4. Diagnostic Coverage DC Komponente S/S mit Testung/Plausibilität K/K mit Testung und EDM K3/K4 mit EDM DCavg99% DCavg99% DCavg90% Applikationshandbuch TwinSAFE - Version

112 Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op MTTF d ,7y 90h 0, 7360 S: n op MTTF d ,4y h 0, 7360 K/K/K3/K4: n op MTTF d ,3y h 0, 7360 und der Annahme, dass S, S, K, K, K3 und K4 jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d DC MTTF d S PFH 0,99 8,40E 0 358, Applikationshandbuch TwinSAFE - Version.8.0

113 S PFH 0,99 4,0E 0 77, K/K PFH 0,99 6,46E 0 766, K3/K4 PFH 0,90 766, ,46E 9 Nun sind folgende Annahmen zu treffen: Die Türschalter S/S werden immer gegenläufig betätigt. Da die Schalter verschiedene e haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden e (S) für die Kombination heranziehen! Die Schütze K, K, K3 und K4 sind alle an der Sicherheitsfunktion angeschlossen. Ein Nicht- Funktionieren eines Schützes führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K, K, K3 und K4 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Schütz-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges β PFH (S) + PFH (S) + ( β) (PFH (S) PFH (S) ) T + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + β PFH (K3) + PFH (K4) + ( β) (PFH (K3) PFH (K4) ) T Da die Anteile ( β) (PFH (x) PFH (y) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: 8,40E 0 + 4,0E 0 PFH ges 0%,E 9,03E 9,5E 9 6,46E 0 + 6,46E 0 6,46E 9 + 6,46E 9 0% 0% 4, 6E 9 Applikationshandbuch TwinSAFE - Version.8.0

114 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) + MTTF d (K3) Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF dges 06,7y 358,7y 08,8y 08,6y 93,y 766,3y 766,3y DC avgs DC + DC + DC + DC + DC MTTF d (S) MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) DC + + DC + DC + DC MTTF d (K) MTTF d (K) MTTF d (K3) MTTF d (K4) MTTF d (S) MTTF d (S) MTTF d (EL904) MTTF d (EL6900) + MTTF d (EL904) MTTF d (K) MTTF d (K) MTTF d (K3) MTTF d (K4) DC avgs 0,99 + 0,99 + 0,99 + 0,99 + 0,99 358,7 77,4 08,8 08,6 93, + 0,99 + 0,99 + 0,90 + 0,90 766,3 766,3 766,3 766,3 358,7 77,4 08,8 08,6 93, 766,3 766,3 766,3 766,3 0, ,39% Applikationshandbuch TwinSAFE - Version.8.0

115 Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Sicherheits-Integritätslevel entspr. Tab. 3 EN606 Sicherheits-Integritätslevel Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH D) bis < bis < bis < 0-5 Applikationshandbuch TwinSAFE - Version.8.0 3

116 .8 Einpolige Abschaltung einer Potentialgruppe mit nachgeschalteten rückwirkungsfreien Standardklemmen mit Fehlerausschluss (Kategorie 4, PL e) Die Schutztür verwendet eine Kombination von Öffner und Schließer auf sicheren Eingängen einer EL904. Die Testung der Eingänge ist aktiv und die Signale werden auf Diskrepanz (00 ms) überprüft. An dem sicheren Ausgang werden die Schütze K und K parallel angeschlossen. Für diese Beschaltung sind die Strommessung und die Testung des Ausgangs aktiv. Die Diagnoseinformation der KL/EL90 (4 V liegen an den Powerkontakten an) wird negiert und zusammen mit den Rückführsignalen der Schütze K, K, K3 und K4 UND verknüpft auf den EDM- Eingang gelegt. Mit den Arbeitskontakten der Schütze K und K wird nur die 4 V Versorgung der Powerkontakte der Potentialgruppe abgeschaltet. Der 0 V Anschluss der Powerkontakte wird direkt auf die 0 V der Spannungsversorgung zurückgeführt. Die 0 V Potentiale der verwendeten Last (hier: K3 und K4) können auf die Potentialgruppe zurückgeführt werden. Sicherheitsbetrachtung Hinweis Die verwendeten Klemmen EL/KL90 und EL/KLxxx sind kein aktiver Teil der Sicherheitssteuerung. Dementsprechend ist der erreichte Sicherheitslevel nur durch die überlagerte Sicherheitssteuerung definiert. Die Standardklemmen werden nicht in die Berechnung mit einbezogen. Die externe Beschaltung der Standardklemmen kann zu Einschränkungen des maximal erreichbaren Sicherheitslevels führen. Voraussetzungen Netzteil Hinweis Zur Versorgung der Standardklemmen mit 4V muss ein SELV/PELV Netzteil mit einer ausgangsseitigen Spannungsbegrenzung auf Umax60V im Fehlerfall verwendet werden. Verhinderung der Rückspeisung Achtung Die Rückspeisung kann durch unterschiedliche Maßnahmen verhindert werden (siehe weitere Hinweise untenstehend): Kein Schalten von Lasten mit separater Spannungsversorgung Masserückführung und allpolige Abschaltung oder Fehlerausschluss Leitungskurzschluss (separate Mantelleitung, Verdrahtung nur Schaltschrank-intern, eigene Erdverbindung pro Leiter) (hier im Beispiel verwendet) Rückwirkungsfreie Busklemmen Hinweis Eine Liste der rückwirkungsfreien Busklemmen finden Sie im Beckhoff Information System unter 4 Applikationshandbuch TwinSAFE - Version.8.0

117 Maximal erreichbare Sicherheitslevel Achtung Rückspeisung durch Fehlerausschluss Leitungskurzschluss vermieden: DIN EN ISO 3849-: max. Kat. 4 PL e IEC 6508: max. SIL3 EN 606: max. SIL AUF S K K Zu S Logische Verbindung in der EL6900 K K K3 K4 4V 0V K I/O RUN K I/O ERR BECKHOFF BK9000 KLxx BECKHOFF KLxx BECKHOFF KL9xxx BECKHOFF KLxx BECKHOFF KLxx BECKHOFF KL900 BECKHOFF Geschützte Leitungsverlegung K3 K4 Applikationshandbuch TwinSAFE - Version.8.0 5

118 .8. Hinweise zur Verhinderung der Rückspeisung.8.. Kein Schalten von Lasten mit separater Spannungsversorgung Es dürfen keine Lasten durch Standardklemmen geschaltet werden, die über eine eigene Spannungsversorgung verfügen, da hier eine Rückspeisung durch die Last nicht ausgeschlossen werden kann. Externe Versorgung Sichere Abschaltung (zweikanalig, allpolig) 5 5 Last 30V ~ 4V 6 6 4V 0V SELV/PELV Netzteil Ausnahmen von der allgemeinen Anforderung sind nur erlaubt, wenn der Hersteller der angeschlossenen Last garantiert, dass es zu keiner Rückspeisung auf den Ansteuereingang kommen kann..8.. Option : Masserückführung und allpolige Abschaltung Die Masseverbindung der angeschlossenen Last muss auf die sicher geschaltete Masse der jeweiligen Ausgangsklemme bzw. Potentialgruppe zurückgeführt werden. (Hier: K - richtige Verdrahtung, K - falsche Verdrahtung) Sichere Abschaltung (zweikanalig, allpolig) V ~ 4V 4V 0V K K SELV/PELV Netzteil Standardklemme Einspeiseklemme Standardklemme Einspeiseklemme 6 Applikationshandbuch TwinSAFE - Version.8.0

119 .8..3 Option : Fehlerausschluss Leitungskurzschluss (hier im Beispiel verwendet) Ist die Option aus Kapitel.8.. nicht umsetzbar kann auch auf die Masserückführung und allpolige Abschaltung verzichtet werden, wenn die Gefahr der Rückspeisung aufgrund eines Leitungskurzschlusses durch weitere Maßnahmen ausgeschlossen werden kann. Die folgenden Maßnahmen können alternativ umgesetzt werden. Sichere Abschaltung (zweikanalig, einpolig) 5 5 geschützte Leitungsverlegung 30V ~ 4V 6 6 4V 0V K K SELV/PELV Netzteil Standardklemme Einspeiseklemme Alternative: Lastanschluss durch separate Mantelleitungen Das nicht sicher geschaltete Potential der Standardklemme darf nicht zusammen mit anderen potentialführenden Leitungen in derselben Mantelleitung geführt werden Alternative: Verdrahtung nur Schaltschrank-intern Alle an die nicht sicheren Standardklemmen angeschlossenen Lasten müssen sich im selben Schaltschrank wie die Klemmen befinden. Die Leitungsverlegung verbleibt vollkommen innerhalb des Schaltschrankes. Alternative3: Eigene Erdverbindung pro Leiter Alle an die nicht sicheren Standardklemmen angeschlossenen Leiter sind durch eine eigene Erdverbindung geschützt. Fehlerausschluss VORSICHT Für die korrekte Ausführung und Bewertung der angewendeten Alternativen ist der Maschinenbauer bzw. Anwender allein verantwortlich. Applikationshandbuch TwinSAFE - Version.8.0 7

120 .8. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv 8 Applikationshandbuch TwinSAFE - Version.8.0

121 .8.3 Blockbildung und Safety-Loops.8.3. Sicherheitsfunktion S EL904 EL6900 EL904 K EL/KLxxx... K3 S K Nicht betrachtet, da rückwirkungsfrei K4.8.4 Berechnung.8.4. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 S B0d S B0d K B0d K B0d K3 B0d K4 B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 5 (4x pro Stunde) Lebenszeit (T) 0hre 7500 Stunden.8.4. Diagnostic Coverage DC Komponente S/S mit Testung/Plausibilität K/K mit Testung und EDM K3/K4 mit EDM DCavg99% DCavg99% DCavg90% Applikationshandbuch TwinSAFE - Version.8.0 9

122 Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op MTTF d ,7y 90h 0, 7360 S: n op MTTF d ,4y h 0, 7360 K/K/K3/K4: n op MTTF d ,3y h 0, 7360 und der Annahme, dass S, S, K, K, K3 und K4 jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d DC MTTF d S: PFH 0,99 8,40E 0 358, Applikationshandbuch TwinSAFE - Version.8.0

123 S: PFH 0,99 4,0E 0 77, K/K: PFH 0,99 6,46E 0 766, K3/K4: PFH 0,90 766, ,46E 9 Nun sind folgende Annahmen zu treffen: Die Türschalter S/S werden immer gegenläufig betätigt. Da die Schalter verschiedene e haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden e (S) für die Kombination heranziehen! Die Schütze K, K, K3 und K4 sind alle an der Sicherheitsfunktion angeschlossen. Ein Nicht- Funktionieren eines Schützes führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K, K, K3 und K4 identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Schütz-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges β PFH (S) + PFH (S) + ( β) (PFH (S) PFH (S) ) T + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + β PFH (K3) + PFH (K4) + ( β) (PFH (K3) PFH (K4) ) T Da die Anteile ( β) (PFH (x) PFH (y) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: 8,40E 0 + 4,0E 0 PFH ges 0%,E 9,03E 9,5E 9 6,46E 0 + 6,46E 0 6,46E 9 + 6,46E 9 0% 0% 4, 6E 9 Applikationshandbuch TwinSAFE - Version.8.0

124 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) + MTTF d (K3) Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF dges 358,7y 08,8y 08,6y 93,y 766,3y 766,3y 06,7y DC avgs DC + DC + DC + DC + DC MTTF d (S) MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) DC + + DC + DC + DC MTTF d (K) MTTF d (K) MTTF d (K3) MTTF d (K4) MTTF d (S) MTTF d (S) MTTF d (EL904) MTTF d (EL6900) + MTTF d (EL904) MTTF d (K) MTTF d (K) MTTF d (K3) MTTF d (K4) DC avgs 0,99 + 0,99 + 0,99 + 0,99 + 0,99 358,7 77,4 08,8 08,6 93, + 0,99 + 0,99 + 0,90 + 0,90 766,3 766,3 766,3 766,3 358,7 77,4 08,8 08,6 93, 766,3 766,3 766,3 766,3 0, ,39% Applikationshandbuch TwinSAFE - Version.8.0

125 Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Sicherheits-Integritätslevel entspr. Tab. 3 EN606 Sicherheits-Integritätslevel Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH D) bis < 0-7 (*) 0-7 bis < bis < 0-5 ( * ) Entprechend der EN606 Kapitel ist für ein Teilsystem, das eine HFT von 0 besitzt und für das Fehlerausschlüsse zu Fehlern, die zu einem gefahrbringenden Ausfall führen können, angewendet worden sind, die SILCL in Bezug auf strukturelle Einschränkungen für das Teilsystem auf ein Maximum von SIL beschränkt. Applikationshandbuch TwinSAFE - Version.8.0 3

126 .9 Vernetzte Anlage (Kategorie 4, PL e) Hier werden Anlagen über Ethernet verbunden. Die Strecke kann auch durch eine Wireless Ethernet Verbindung realisiert sein. Jede Station schaltet die Ausgänge K / K nur ein, wenn auch die zweite Maschine keinen Not-Halt meldet. Die Signale des Not-Halt-Tasters, des Restart und des Rückführkreises sind auf sichere Eingänge verdrahtet. Der Ausgang des ESTOP-Bausteins wird auf einen UND Baustein verknüpft und zusätzlich über das Netzwerk der anderen Maschine mitgeteilt. Der ESTOP-Ausgang der jeweils anderen Maschine wird auf den UND Baustein verknüpft und der Ausgang des UND schaltet dann die Schütze auf der sicheren Ausgangsklemme. Die Testung und die Prüfung auf Diskrepanz sind für die Eingangssignale eingeschaltet. Die Testung der Ausgänge ist ebenfalls aktiv. Maschine Maschine RT Ethernet oder auch Wireless Ethernet Restart S Not-Halt Taster S K K Restart S Not-Halt Taster S K K Logische Verknüpfung Logische Verknüpfung K K K K Start / Wiederanlauf Hinweis Wo eine Maschine mehr als eine Bedienstation hat, müssen Maßnahmen vorgesehen werden, um sicherzustellen, dass die Einleitung von Kommandos von verschiedenen Bedienstationen nicht zu einer Gefährdungssituation führt. 4 Applikationshandbuch TwinSAFE - Version.8.0

127 Schützüberwachung Hinweis Sollte das Ergebnis der Risiko- und Gefährdungsanalyse ergeben, dass beim Schalten der Schütze der jeweils entfernten Steuerung eine Schützkontrolle notwendig ist, ist diese über die Verwendung eines EDM Bausteins zu realisieren..9. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv.9. Blockbildung und Safety-Loops.9.. Sicherheitsfunktion K S S EL904 EL6900 EL904 Safety-over- EtherCAT K S EL904 EL6900 Applikationshandbuch TwinSAFE - Version.8.0 5

128 .9.3 Berechnung.9.3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 Safety-over-EtherCAT (FSoE),00E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 5 (4x pro Stunde) Lebenszeit (T) 0 hre 7500 Stunden.9.3. Diagnostic Coverage DC Komponente S mit Testung/Plausibilität S mit Plausibilität K/K mit Testung und EDM (Betätigung /Schicht) DCavg99% DCavg90% DCavg99% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op MTTF d ,7y 90h 0, Applikationshandbuch TwinSAFE - Version.8.0

129 S: n op MTTF d ,4y h 0, 7360 K/K: n op MTTF d ,3y h 0, 7360 und der Annahme, dass S, S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: PFH S: PFH DC MTTF d 0,99 8,40E 0 358, ,90 4,0E 09 77, K/K: Betätigung /Schicht und direktes zurücklesen PFH 0,99 6,46E 0 766, Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S: Laut BIA-Report /008 ist ein Fehlerausschluss bis Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S wie folgt in die Rechnung ein. Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Applikationshandbuch TwinSAFE - Version.8.0 7

130 Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (S) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T + PFH (S) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + PFH (FSoE) + PFH (S) + PFH (EL904) + PFH (EL6900) Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: 6,46E 0 + 6,46E 0 PFH ges 8,40E 0 0% + 4,0E 09,E 09,03E 09,5E 09,00E 9 + 8,40E 0,E 09,03E 09, 5E 08 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (K) MTTF d (S) MTTF d (EL904) MTTF d (EL6900) + MTTF d (EL904) MTTF d (S) MTTF d (FSoE) MTTF d (EL904) MTTF d (EL6900) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op MTTF d (K) B0 d(k) 0, n op Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) Somit: MTTF d (EL904) ( DC(ELxxx)) PFH(ELxxx) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y 8 Applikationshandbuch TwinSAFE - Version.8.0

131 MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF d (FSoE) ( DC(FSoE)) PFH(FSoE) ( 0,99),00E 09 h 8760h y 0,0 8,76E 06 y 4,6y MTTF Dges 358,7y 766,3y 77,4y 08,8y 08,6y 93,y 358,7y 4,6y 08,8y 08,6y 3,y DC avg 99% + 99% + 99% + 90% + 99% + 99% + 99% + 99% + 99% + 99% + 99% 358,7 766,3 766,3 77,4 08,8 08,6 93, 358,7 4,6 08,8 08,6 358,7 766,3 766,3 77,4 08,8 08,6 93, 358,7 4,6 08,8 08,6 98,99% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version.8.0 9

132 .0 Antriebsoption AX580 mit Stopp-Funktion SS (Kategorie 4, PL e) Durch das Betätigen des Not-Halt-Tasters werden die Eingänge EStopIn und EStopIn vom FB ESTOP in den Zustand 0 gebracht und dadurch werden die Ausgänge EStopOut vom FB ESTOP in den Zustand 0 gebracht. Dies hat zur Folge, dass die PLC und damit via EtherCAT der AX5000 den Befehl zum Schnellstopp bekommt. Der Ausgang EStopDelOut vom FB ESTOP sorgt dafür, dass nach Ablauf einer vorgegebenen Verzögerungszeit (hier z.b. 000 ms) die 4 V Versorgung der Safety-Option AX580 unterbrochen wird und somit die internen Relais der AX580 abfallen. Über die internen Abschaltpfade der AX5000 werden beide Kanäle (Motoren) drehmomentfrei geschaltet. Die Testung und die Prüfung auf Diskrepanz sind für die Eingangssignale eingeschaltet. Die Testung der Ausgänge ist ebenfalls aktiv. Die Relais der 4 AX580 Optionskarten werden parallel auf einen sicheren Ausgang der EL904 verdrahtet. Die Rückführkreise werden in Reihe geschaltet auf einen sicheren Eingang verdrahtet. Das Restart-Signal ist auf einen nicht-sicheren Eingang verdrahtet. Restart S Logische Verbindung SPS / NC Not-Halt Taster S Rückführkreis EDM AX580 AX580 AX580 AX580 AX5000 AX5000 AX5000 AX Applikationshandbuch TwinSAFE - Version.8.0

133 .0. Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv.0. Blockbildung und Safety-Loops.0.. Sicherheitsfunktion EL904 AX580 EL904 AX580 EL904 AX580 EL904 AX580 S EL904 EL6900 EL904 EL904 AX580 EL904 AX580 EL904 AX580 EL904 AX Berechnung.0.3. PFH / MTTF d /B0 d e Komponente EL904 PFH EL904 PFH EL6900 PFH,E-09,5E-09,03E-09 AX580 B0d S B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 60 (x pro Stunde) 0 hre 7500 Stunden Applikationshandbuch TwinSAFE - Version.8.0 3

134 .0.3. Diagnostic Coverage DC Komponente S mit Testung/Plausibilität AX580 DCavg99% DCavg99% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op y MTTF d ,5y h 0, 840 AX580: n op y MTTF d , y h 0, 840 T 0D B0 D n op y y und der Annahme, dass S einkanalig ist: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: DC MTTF d PFH 0,99 543,5 8760,0E 9 3 Applikationshandbuch TwinSAFE - Version.8.0

135 AX580: PFH 0,99,70E 0 439, 8760 Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S: Laut BIA-Report /008 ist ein Fehlerausschluss bis Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S wie folgt in die Rechnung ein. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (S) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β 4 PFH (AX580) + 4 PFH (AX580) + 4 ( β) (PFH (AX580) PFH (AX580) ) T Da der Anteil ( β) (PFH (x) PFH (y) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: 4,70E 0 + 4,70E 0 PFH ges,0e 09,E 09,03E 09,5E 09 0% 5, 60E 09 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (AX580) + MTTF d (AX580) MTTF d (AX580) MTTF d (AX580) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (AX580) B0 d(ax580) 0, n op Applikationshandbuch TwinSAFE - Version

136 Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 73,8y 543,5y 08,8y 08,6y 93,y 439,y 439,y 439,y 439,y DC avg 99% 543,5 + 99% 08,8 + 99% 08,6 + 99% 93, + 99% 439, + 99% 439, + 99% 439, + 99% 439, + 99% 439, + 99% 439, + 99% 439, + 99% 439, 543,5 08,8 08,6 93, 439, 439, 439, 439, 439, 439, 439, 439, 99,0% 34 Applikationshandbuch TwinSAFE - Version.8.0

137 Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

138 . Antriebsoption AX5805 mit Stopp-Funktion SS (Kategorie 4, PL e) Die Schutztür ist mit einer eine Kombination von Öffner und Schließer auf eine sichere Eingangsklemme EL904 verbunden. Die Testung und die Prüfung auf Diskrepanz sind für die Eingangssignale eingeschaltet. Der Ausgang ist auf die AX5805 verknüpft. Die Rückführsignale werden über das von der Antriebsoption zurückgemeldete Control- und Statuswort überprüft. AUF Logische Verbindung in der EL6900 S Zu S Control-/Statuswort AX5805 AX5805 AX5805 AX5805 AX5000 AX5000 AX5000 AX Parameter der sicheren Ein- und Ausgangsklemmen EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic 36 Applikationshandbuch TwinSAFE - Version.8.0

139 AX5805 Parameter -.. Blockbildung und Safety-Loops... Sicherheitsfunktion S EL904 EL6900 EL904 AX5805 AX5805 AX5805 AX5805 S..3 Berechnung..3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL6900 PFH,03E-09 AX5805 PFH 5,5E-09 (siehe Liste der freigegebenen Motoren) S B0d S B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 60 (x pro Stunde) Lebenszeit (T) 0 hre 7500 Stunden..3. Diagnostic Coverage DC Komponente S/S mit Testung/Plausibilität DCavg99%..3.3 Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Applikationshandbuch TwinSAFE - Version

140 Eingesetzt ergibt das: S: n op MTTF d ,8y h 0, 840 S: n op MTTF d ,6y h 0, 840 und der Annahme, dass S und S jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: PFH S: PFH DC MTTF d 0,99,0E , ,99,05E , Nun sind folgende Annahmen zu treffen: Die Türschalter S/S werden immer gegenläufig betätigt. Da die Schalter verschiedene e haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden e (S) für die Kombination heranziehen! Es gibt einen Kopplungsfaktor zwischen den Komponenten, die Zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges β PFH (S) + PFH (S) + ( β) (PFH (S) PFH (S) ) T + PFH (EL904) + PFH (EL6900) + PFH (AX5805) + PFH (AX5805) + PFH (AX5805) + PFH (AX5805) Da der Anteil ( β) (PFH (x) PFH (y) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: 38 Applikationshandbuch TwinSAFE - Version.8.0

141 PFH ges 0%,0E 0,05E 0,E 09,03E (5,5E 09), 8E 08 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (AX5805) MTTF d (AX5805) + MTTF d (AX5805) MTTF d (AX5805) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op Sind für EL904, AX5805 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (AX5805) ( DC(AX5805)) PFH(AX5805) ( 0,99) 5,5E 09 h 8760h y 0,0 4,5E 05 y,7y Applikationshandbuch TwinSAFE - Version

142 MTTF Dges 49,8y 5434,8y 08,8y 08,6y,7y,7y,7y,7y DC avg 99% + 99% + 99% + 99% + 99% + 99% + 99% + 99% 5434,8 0869,6 08,8 08,6,7,7,7,7 5434,8 0869,6 08,8 08,6,7,7,7,7 99,0% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e 40 Applikationshandbuch TwinSAFE - Version.8.0

143 . Direktes Verdrahten der TwinSAFE-Ausgänge auf TwinSAFE-Eingänge (-kanalig) (Kategorie, PL c) Der Ausgang einer EL904 wird direkt auf einen sicheren Eingang EL904 verdrahtet, dabei werden die Testpulse und Strommessung der Ausgänge und der Sensortest der Eingänge abgeschaltet. Somit sind keine zyklischen Prüfungen für Querschluss und Fremdeinspeisung auf der Leitung möglich. Die EL904 und EL904 sind aufgrund ihrer hohen internen Diagnose als einzelne Komponente mit Kategorie, SIL und PL d zu bewerten, da extern nur eine einkanalige Struktur verwendet wird. Der Gesamtperformance Level von Ausgang und Eingang ist aufgrund von Kapitel 6..5 DIN EN ISO 3849-:06-06 mit maximal PL c zu bewerten. Die für Kategorie erforderliche Testeinrichtung ist in der EL904 integriert. Beim Einschalten des Ausgangs der EL904 wird überprüft, ob auch tatsächlich 4 V zurückgelesen werden. Beim Ausschalten wird überprüft, dass auch tatsächlich 0 V zurückgelesen werden. Wird dabei ein Fehler festgestellt, geht die EL904 in den Zustand Fehler, der auch an die überlagerte Sicherheitssteuerung gemeldet wird. Dieser Modulfehler der EL904 muss in der Maschinensteuerung ausgewertet werden. Hierzu ist für die Connection zu der EL904 der Parameter ModuleFault is ComError einzuschalten, was dazu führt, dass die TwinSAFE Gruppe bei einem Modulfehler in den sicheren Zustand wechselt und einen ComError meldet. Cat., PL c EL904 EL904.. Parameter der sicheren Ein- und Ausgangsklemmen EL904 Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Nein Nein Nein Nein Single Logic Single Logic Applikationshandbuch TwinSAFE - Version.8.0 4

144 EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein Nein.. Blockbildung und Safety-Loops... Sicherheitsfunktion EL6900 EL904 EL904 EL Berechnung..3. PFH / MTTF d /B0 d e Komponente EL904 PFH EL904 PFH,E-09,5E-09 Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 60 (x pro Stunde) 0 hre 7500 Stunden..3. Diagnostic Coverage DC Komponente EL904/EL904 Aufgrund der internen Diagnose der Klemmen (wie Überwachung der Feldspannung, Temperatur usw.) und der Prüfung der EL904 auf die Korrektheit des geschalteten Ausgangs jeweils beim Wechsel des Signalzustands DCavg60%..3.3 Berechnung Sicherheitsfunktion Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (EL904) + PFH (EL904) zu: PFH ges,e 09,5E 09, 36E 09 4 Applikationshandbuch TwinSAFE - Version.8.0

145 Die Berechnung des MTTFd-es für Sicherheitsfunktion berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (EL904) MTTF d (EL904) Sind für EL904 und EL904 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,60),E 09 h 8760h y 0,4 9,7E 06 y 45 y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,60),5E 09 h 8760h y 0,4,E 05 y y MTTF Dges 45y 36364y 9305 y DC avg 60% + 60% % Applikationshandbuch TwinSAFE - Version

146 Kategorie Hinweis Diese Struktur ist maximal bis Kategorie möglich. Erlangung des Sicherheitslevels Achtung Zur Erlangung des Sicherheitslevels muss der Anwender sicherstellen, dass eine Testung der Verdrahtung in seiner Applikation realisiert wird und 00 Mal häufiger durchgeführt wird, als die Sicherheitsfunktion angefordert wird. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e 44 Applikationshandbuch TwinSAFE - Version.8.0

147 .3 Direktes Verdrahten der TwinSAFE-Ausgänge auf TwinSAFE-Eingänge (-kanalig) (Kategorie 3, PL d) Zwei Ausgänge einer EL904 werden direkt auf zwei sichere Eingänge einer EL904 verdrahtet, dabei werden die Testpulse und Strommessung der Ausgänge und der Sensortest der Eingänge abgeschaltet. Auf der Eingangsseite werden die beiden Signale auf Diskrepanz innerhalb der TwinSAFE Logik überprüft. Es werden somit die beiden Signale auf ihren überprüft, jedoch sind keine Testungen auf der Leitung aktiv, sodass mögliche Fremdeinspeisungen beim Schalten der Ausgänge detektiert werden..3. Parameter der sicheren Ein- und Ausgangsklemmen EL904 Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Nein Nein Nein Nein Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein Nein.3. Blockbildung und Safety-Loops.3.. Sicherheitsfunktion EL6900 EL904 EL904 EL904 EL904 EL904 Applikationshandbuch TwinSAFE - Version

148 .3.3 Berechnung.3.3. PFH / MTTF d /B0 d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 8 Zykluszeit (Minuten) (Tzyklus) 60 (x pro Stunde) Lebenszeit (T) 0hre 7500 Stunden.3.3. Diagnostic Coverage DC Komponente EL904/EL904 DCavg90% Berechnung Sicherheitsfunktion Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (EL904) + PFH (EL904) zu: PFH ges,e 09,5E 09, 36E 09 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (EL904) MTTF d (EL904) Sind für EL904 und EL904 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( DC(EL904)) PFH(EL904) ( 0,9),E 09 h 8760h y ( 0,9),5E 09 h 8760h y 0, 9,7E 06 y 0,,E 05 y 088,y 9090,9y 46 Applikationshandbuch TwinSAFE - Version.8.0

149 MTTF Dges 088,y 9090,9y 486,3y DC avg 90% + 90% + 90% + 90% 088, 088, 9090,9 9090,9 088, 088, 9090,9 9090,9 90% Kategorie Hinweis Diese Struktur ist maximal bis Kategorie 3 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

150 .4 ESTOP Funktion (Kategorie 3, PL d) Der Not-Halt-Taster ist mit zwei Öffnerkontakten auf eine sichere Eingangsklemme EL904 verbunden. Die Testung der beiden Signale ist ausgeschaltet. Diese Signale werden innerhalb des ESTOP Bausteins auf Diskrepanz überprüft. Der Restart und das Rückführsignal der Schütze K und K sind auf Standard- Klemmen verdrahtet und werden über die Standard-SPS an TwinSAFE übergeben. Weiterhin werden der Ausgang des Funktionsbausteins ESTOP und das Rückführsignal auf einen EDM-Baustein verdrahtet. Dieser prüft, dass das Rückführsignal innerhalb der eingestellten Zeiten den gegengesetzten Zustand des ESTOP-Ausgangs einnimmt. Die Schütze K und K sind auf unterschiedliche Ausgangskanäle verdrahtet. Die Anschlüsse A der beiden Schütze sind auf die EL904 zurückgeführt. Für diese Beschaltung ist die Strommessung der Ausgangskanäle abgeschaltet. Die Testung der Ausgänge ist ebenfalls nicht aktiv. K K Not-Halt Taster S Restart S Logische Verbindung in der EL6900 K K 48 Applikationshandbuch TwinSAFE - Version.8.0

151 .4. Parameter der sicheren Ein- und Ausgangsklemmen (SIL ) EL904 (für alle verwendeten EL904 gültig) Parameter Sensortest Kanal aktiv - Sensortest Kanal aktiv - Sensortest Kanal 3 aktiv Nein Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Nein Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein Nein.4. Blockbildung und Safety-Loops.4.. Sicherheitsfunktion K S EL904 EL6900 EL904 K.4.3 Berechnung.4.3. PFH / MTTFd /B0d e Komponente EL904 PFH EL904 PFH EL6900 PFH,E-09,5E-09,03E-09 S B0d S B0d K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 0080 (x pro Woche) 0hre 7500 Stunden Applikationshandbuch TwinSAFE - Version

152 .4.3. Diagnostic Coverage DC Komponente S mit Plausibilität K/K mit EDM Überwachung (Betätigung /Woche und Auswertung aller steigenden und fallenden Flanken mit zeitlicher Überwachung) ohne Testung der einzelnen Kanäle DCavg90% DCavg90% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: Aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Eingesetzt ergibt das: S: n op ,90 MTTF d ,y h 0,,90 K/K: n op ,90 MTTF d ,3y h 0,,90 und der Annahme, dass S, K und K jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d S: PFH DC MTTF d 0,90,50E , 8760 K/K: Betätigung /Woche und indirektes zurücklesen PFH 0,90,9E , Applikationshandbuch TwinSAFE - Version.8.0

153 Nun sind folgende Annahmen zu treffen: Der Sicherheitsschalter S: Laut BIA-Report /008 ist ein Fehlerausschluss bis Zyklen möglich, sofern eine Herstellerbestätigung vorliegt. Liegt dieser nicht vor, geht S wie folgt in die Rechnung ein. Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges PFH (S) + PFH (EL904) + PFH (EL6900) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da der Anteil ( β) (PFH (K) PFH (K) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,9e,9e PFH ges,5e 0,E 09,03E 09,5E 09 0% 3, 64E 09 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) MTTF d (K) mit: MTTF d (S) B0 d(s) 0, n op 4566,y MTTF d (K) B0 d(k) 0, n op ,3y Applikationshandbuch TwinSAFE - Version.8.0 5

154 Sind für EL904, EL904 und EL6900 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 334,y 4566,y 08,8y 08,6y 93,y ,3y DC avg 90% + 99% + 99% + 99% + 90% + 90% 4566, 08,8 08,6 93, , ,3 4566, 08,8 08,6 93, , ,3 98,9% 5 Applikationshandbuch TwinSAFE - Version.8.0

155 Kategorie VORSICHT Diese Struktur ist durch einen möglichen schlafenden Fehler nur bis maximal Kategorie 3 möglich. Da bei dieser Anwendung die Klemme EL904 nur SIL hat, hat die gesamte Kette nur SIL! Weitere Maßnahmen zum Erreichen der Kategorie 3! VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich. Um die Kategorie 3 zu erreichen, muss in der Steuerung zur Erwartungshaltung des Rücklesens alle steigenden und fallenden Flanken zusammen mit der Zeitabhängigkeit ausgewertet werden! Dies wird über den implementierten EDM Baustein realisiert. Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

156 EL690 Schaltungsbeispiele.5 Überwachung Drehzahl (Kategorie 3, PL d) Die Drehzahl eines Antriebes soll überwacht werden. Dieser Antrieb hat eine Sicherheitsfunktion (hier z.b. STO), welcher über einen entsprechenden Eingang aktiviert wird. Dieser Eingang wird über jeweils einen Arbeitskontakt zweier Schütze geführt. Die Positions- und Geschwindigkeitssignale werden über unterschiedliche Kommunikationswege zur TwinSAFE Logik EL690 übertragen und dort entsprechend der dargestellten Logik verarbeitet. Der Sin/Cos Encoder wird auf eine EL verdrahtet und die Positionsinformation wird über eine TwinSAFE SC Kommunikation über EtherCAT übermittelt. Die Geschwindigkeit des Antriebs wird über die Standard PROFINET-Kommunikation (es ist auch jeder andere Feldbus möglich) und die Standard SPS ebenfalls an die TwinSAFE Logik EL690 übergeben. Innerhalb der sicherheitsgerichteten Logik EL690 wird aus dem Positionswert eine Geschwindigkeit (FB Speed) berechnet. Die Geschwindigkeit des Antriebs wird über den FB Scale skaliert, so dass der zu der berechneten Geschwindigkeit passt. Diese beiden Geschwindigkeitswerte werden über einen FB Compare auf Gleichheit überprüft und über einen FB Limit auf einen Maximalwert überwacht. Da die beiden Geschwindigkeitswerte (einmal direkt und einmal in der sicherheitsgerichteten Logik EL690 berechnet) zu keiner Zeit eine hundertprozentige Gleichheit aufweisen, muss die Differenz der beiden Geschwindigkeitswerte innerhalb des Toleranzbandes von 0% liegen, um die Bedingung der Gleichheit noch zu erfüllen. Ist der aktuelle Geschwindigkeitswert unterhalb der im FB Limit festgelegten Grenze, wird der STO Ausgang auf logisch gesetzt und der Antrieb kann drehen. Ist die Grenze überschritten oder der Vergleich ungültig, wird der Ausgang auf logisch 0 gesetzt und der Antrieb wird momentenfrei geschaltet bzw. die im Antrieb integrierte Sicherheitsfunktion aktiviert. Die gesamte Berechnung und Skalierung wird in der sicherheitsgerichteten Logik EL690 auf dem Sicherheitsniveau SIL3 / PL e durchgeführt. Mit dieser Methode wird aus zwei nicht sicherheitsgerichteten Signalen ein sicherheitsgerichtetes Ergebnis erzeugt. Über einen ESTOP Baustein wird zusätzlich eine Nothalt-Funktion implementiert (der Übersichtlichkeit halber nicht in der Graphik dargestellt), welche den Wiederanlauf verhindert und auch die Schützkontrolle für K und K übernimmt. Das IsValid Signal des Compare-Bausteins muss zur Abschaltung im Fehlerfall verwendet werden. Aufbau 4Vdc PC Steuerung K K Feldbus z.b. PROFInet Feldbus z.b. EtherCAT STO Speed Standard Kommunikation - Speed K K Antrieb TwinSAFE SC - Positionswert Logik siehe unten EL Motor Encoder Sin/Cos Vss 54 Applikationshandbuch TwinSAFE - Version.8.0

157 Strukturbild Aufbau Motor Motorwelle Encoder sin/cos EL BlackChannel Encodersignal PC EL690 EL904 Aktor Motorleitung Antrieb Standard Feldbus Ist-Geschwindigkeit Logik TwinSAFE SC Communication Position value EStopInx STO - Drive Standard Communication - Speed Restart Estop In Estop In STO - Antrieb K/K Rückführung K/K Applikationshandbuch TwinSAFE - Version

158 .5. Struktur und Diagnose Die eingelesenen Signale vom Antrieb und vom Geber sind Standard Signale, die dynamisch und unterschiedlich sind. Der Antrieb liefert einen Geschwindigkeitswert, der Encoder liefert ein sin/cos Signal, welches von einer Standardklemme ausgewertet wird und in ein sicheres Telegramm (FSoE mit geändertem Polynom - TwinSAFE SC) verpackt und übertragen wird. Diese Klemme (EL ) liefert einen Positionswert, der innerhalb der sicheren Logik auf einen Geschwindigkeitswert umgerechnet wird und dann skaliert und mit dem Geschwindigkeitswert des Antriebs verglichen wird. Gleichheit bedeutet in diesem Fall, dass das Differenzsignal in dem Toleranzfenster von 0% liegt. Die Übermittlung des Encoder Signals über den Standard-Feldbus wird über das Black-Channel Prinzip durchgeführt. Dieser wird mit der Antriebsgeschwindigkeit, die über den Standard-Feldbus übermittelt wird, plausibilisiert. Fehler in einem der beiden Kanäle werden über den Vergleich der beiden diversitären Geschwindigkeits- bzw. Positionssignale innerhalb der sicheren Logik erkannt und führen zur Aktivierung von STO des Antriebs..5. FMEA Fehlerannahme Erwartungshaltung Überprüft Geschwindigkeitswert über z.b. PROFINET selbst friert ein Geschwindigkeitswert über EtherCAT und TwinSAFE SC Kommunikation friert ein Geschwindigkeitswerte werden in der Standard SPS aufeinander kopiert Geschwindigkeitswert über z.b. PROFINET wird verfälscht Verbindung zwischen Motor und Encoder ist nicht mehr gegeben Encoder liefert falschen Positionswert Antrieb liefert falschen Geschwindigkeitswert Wird über den zweiten und die Plausibilisierung in der EL690 erkannt (anderer Feldbus und TwinSAFE SC Kommunikation zwischen EL und EL690). Zusätzlich sollte für die Drehzahl 0 der Standard- Kommunikations-Watchdog aktiviert sein. Wird über den Watchdog innerhalb der TwinSAFE SC Kommunikation erkannt. Plausibilitätsprüfung: Wenn der Motor gestartet wird, werden auch dynamische Geschwindigkeitswerte erwartet. Ein verfälschter innerhalb der TwinSAFE SC Kommunikation führt zu einer ungültigen CRC innerhalb des Telegramms und damit zur sofortigen Abschaltung der Gruppe und der Ausgänge. Die Datentypen der beiden Geschwindigkeitswerte haben eine unterschiedliche Länge (z.b. 4 Byte und Byte) Wird über den zweiten und die Plausibilisierung in der EL690 erkannt (anderer Feldbus und TwinSAFE SC Kommunikation zwischen EL und EL690) Wird über die Plausibilisierung mit dem Geschwindigkeitswert des Antriebs innerhalb der EL690 erkannt. Plausibilitätsprüfung: Wenn der Motor gestartet wird, werden auch dynamische Geschwindigkeitswerte erwartet. Wird über die Plausibilisierung mit dem Geschwindigkeitswert des Antriebs innerhalb der EL690 erkannt Wird über den zweiten und die Plausibilisierung in der EL690 erkannt (anderer Feldbus und TwinSAFE SC Kommunikation zwischen EL und EL690) 56 Applikationshandbuch TwinSAFE - Version.8.0

159 Fehlerannahme Erwartungshaltung Überprüft Kommunikationsfehler für Standard-Kommunikation: Verfälschung Kommunikationsfehler für Standard-Kommunikation: Unbeabsichtigte Wiederholung Kommunikationsfehler für Standard-Kommunikation: Falsche Abfolge Kommunikationsfehler für Standard-Kommunikation: Verlust Kommunikationsfehler für Standard-Kommunikation: Inakzeptable Verzögerung Kommunikationsfehler für Standard-Kommunikation: Einfügung Kommunikationsfehler für Standard-Kommunikation: Maskerade Kommunikationsfehler für Standard-Kommunikation: Adressierung Kommunikationsfehler für Standard-Kommunikation: Wiederkehrende Speicherfehler in Switches Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt. Zusätzlich sollte für die Drehzahl 0 der Standard- Kommunikations-Watchdog aktiviert sein. Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt. Zusätzlich sollte für die Drehzahl 0 der Standard- Kommunikations-Watchdog aktiviert sein. Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt nicht relevant für Standard, sondern nur für Safety Kommunikation. Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt.5.. Anmerkung TwinSAFE SC Kommunikation: Die TwinSAFE SC Kommunikation verwendet die identischen Mechanismen zur Fehleraufdeckung, wie die Safety-over-EtherCAT Kommunikation mit dem Unterschied, dass zur Berechnung der Prüfsumme eine anderes Polynom verwendet wird, welches hinreichend unabhängig von dem bisher für Safety-over- EtherCAT verwendetem Polynom ist. Es sind die identischen Mechanismen aktiv, wie z.b. Black-Channel Prinzip (Bitfehlerwahrscheinlichkeit 0 - ). Die Qualität der Datenübertragung ist nicht entscheidend, da letztendlich über den Vergleich in der sicheren Logik alle Übertragungsfehler aufgedeckt werden, da diese zur Ungleichheit führen würden. Applikationshandbuch TwinSAFE - Version

160 .5.3 Parameter der sicheren Ausgangsklemme EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv.5.4 Blockbildung und Safety-Loops.5.4. Sicherheitsfunktion Input Encoder Antrieb EL EL690 EL904 K K.5.5 Berechnung.5.5. PFH / MTTF d /B0 d e Komponente EL904 PFH EL904 PFH EL690 PFH Antrieb MTBF,E-09,5E-09,79E (59a) Encoder MTTF EL MTBF K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 0080 (x pro Woche) 0hre 7500 Stunden 58 Applikationshandbuch TwinSAFE - Version.8.0

161 .5.5. Diagnostic Coverage DC Komponente Antrieb und Encoder mit EL und Plausibilität innerhalb der Logik K/K mit EDM Überwachung (Betätigung /Woche und Auswertung aller steigenden und fallenden Flanken mit zeitlicher Überwachung) mit Testung der einzelnen Kanäle DCavg90% (Alternativ in Berechnung: 99%) DCavg99% Berechnung Sicherheitsfunktion Zur Verdeutlichung wird der Sicherheitskennwert sowohl nach EN 606 als auch nach EN 3849 berechnet. In der Praxis ist die Berechnung nach einer Norm ausreichend. Berechnung der PFH-/ und MTTFD-e aus den B0D-en: Aus: n op d op h op 60 T Zyklus und: MTTF D B0 D 0, n op Berechnung der PFH-/ und MTTFD-e aus den MTBF-en: Anmerkung: Reparaturzeiten können vernachlässigt werden, daher gilt: MTTF D MTBF MTTF D λ d mit λ d 0, T 0d 0, n op B0 D ergibt sich für PFH 0, n op ( DC) B0 D DC MTTF D Eingesetzt ergibt das: Antrieb MTTF D MTBF h 8y PFH DC 0,9 9,67E 08 MTTF D h Encoder MTTF D MTTF h 5y PFH DC 0,9 9,0E 08 MTTF D h Applikationshandbuch TwinSAFE - Version

162 EL MTTF d MTBF h h 75 y PFH DC 0,9 4,5E 08 MTTF D h Eingangs-Subsystem PFH (Input) PFH (Encoder) + PFH (EL ) 9,0E ,5E 08 3,5E 08 K/K: n op ,90 MTTF D y h 0,,90 und der Annahme, dass K und K jeweils einkanalig sind: K/K: Betätigung /Woche und direktes zurücklesen PFH 0,99,9E , Nun sind folgende Annahmen zu treffen: Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0d-e für K und K identisch. Die Eingangssignale aus Encoder mit EL und Antrieb haben unterschiedliche Messverfahren, liefern unterschiedlich skalierte e und sind beide an der Sicherheitsfunktion beteiligt. Ein- Nichtfunktionieren eines Kanals führt nicht zu einer gefährlichen Situation, sondern wird über den Vergleich der beiden e in der TwinSAFE Logik erkannt und führt zur Abschaltung. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält Tabellen (Tabelle F.-Kriterien zur Bestimmung des CCF und Tabelle F.-Abschätzung des CCF-Faktors(β)), mit der dieser β Faktor genau bestimmt werden kann. Für das Eingangssubsystem kann bei entsprechender Bearbeitung der Tabelle zur Berechnung des β-faktors ein von schätzungsweise % erreicht werden. In der folgenden Berechnung wird der Worst-Case mit 0% angenommen. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. 60 Applikationshandbuch TwinSAFE - Version.8.0

163 Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion PFH ges β (PFH (Input) + PFH (Antrieb) ) + ( β) (PFH (Input) PFH (Antrieb) ) T + PFH (EL690) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da die Anteile ( β) (PFH (K) PFH (K) ) T und ( β) (PFH (Input) PFH (Antrieb) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. 3,5E ,67E 08,9E,9E PFH ges 0%,79E 9,5E 9 0%,46E 08,79E 09,5E 9,9E 3 PFH ges, 45E 08 EN 606 Hinweis Entsprechend der EN 606 wird das Eingangssubsystem mit einer SFF bzw. einem DC von 90% bewertet. Dies schränkt den erreichbaren SIL gemäß Tabelle 5 der EN 606 auf maximal SIL ein. Alternative Berechnung des MTTFD-es nach EN3849 für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n n i Aus dem Eingangssubsystem, wird der schlechtere genommen (hier Kombination Encoder und EL ): MTTF d ges MTTF d (Encoder) MTTF d (EL ) MTTF d (EL690) MTTF d (EL904) + MTTF d (K) mit: Sind für EL904 und EL690 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF D (ELxxxx) ( DC (ELxxx)) PFH (ELxxx) Somit: MTTF D (EL690) ( DC (EL690)) PFH (EL690) MTTF D (EL904) ( DC (EL904)) PFH (EL904) ( 0,99),79E 09 h 8760h y ( 0,99),5E 09 h 8760h y 0,0 5,68E 06 y 0,0,E 05 y 637 y 93 y Applikationshandbuch TwinSAFE - Version.8.0 6

164 MTTF D ges 69,9 y DC avgs DC MTTF d (Encoder) + DC MTTF d (EL ) + DC MTTF d (Antrieb) + DC MTTF d (EL690) + DC MTTF d (EL904) + DC MTTF d (K) + DC MTTF d (K) MTTF d (Encoder) MTTF d (EL ) MTTF d (Antrieb) MTTF d (EL690) MTTF d (EL904) MTTF d (K) MTTF d (K) DC avgs 0,9 + 0,9 + 0,9 + 0,99 + 0,99 + 0,99 + 0, Alternativ mit DC99% DC avgs 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0, ,007 0,08 90,78% 0,06 0,08 99,% 6 Applikationshandbuch TwinSAFE - Version.8.0

165 Kategorie VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich. Stillstand WARNUNG Im Stillstand des Motors wird ein Fehler, wie z.b. das Einfrieren eines Encoder- Signales erst mit Anforderung einer Bewegung detektiert. Dies muss durch den Maschinenbauer bzw. Anwender berücksichtigt werden. Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Bezeichnung für jeden Kanal niedrig mittel hoch MTTF D Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

166 Alternative mit DC99% für das Eingangs-Subsystem: Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Sicherheits-Integritätslevel (Tabelle 3 EN 606) Sicherheits-Integritätslevel Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH D) bis < bis < bis < Applikationshandbuch TwinSAFE - Version.8.0

167 EL690 Schaltungsbeispiele.6 Überwachung Drehzahl (über IO-Link) (Kategorie 3, PL d) Die Drehzahl eines Antriebes soll überwacht werden. Dieser Antrieb hat eine Sicherheitsfunktion (hier z.b. STO), welcher über einen entsprechenden Eingang aktiviert wird. Dieser Eingang wird über jeweils einen Arbeitskontakt zweier Schütze geführt. Die Geschwindigkeitssignale werden über unterschiedliche Arten zur TwinSAFE Logik EL690 übertragen und dort entsprechend der dargestellten Logik verarbeitet. Der IO-Link Encoder wird auf eine EL verdrahtet und die Geschwindigkeitsinformation wird über eine TwinSAFE SC Kommunikation über z.b. PROFINET übermittelt. Die Geschwindigkeit des Antriebs wird über die Standard PROFINET Kommunikation (es ist auch jeder andere Feldbus möglich) und die Standard SPS ebenfalls an die TwinSAFE Logik EL690 übergeben. Innerhalb der sicherheitsgerichteten Logik EL690 werden die beiden Geschwindigkeiten über den FB Scale skaliert, so dass die e zueinander passen. Diese beiden Geschwindigkeitswerte werden über einen FB Compare auf Gleichheit überprüft und über einen FB Limit auf einen Maximalwert überwacht. Da die beiden Geschwindigkeitswerte zu keiner Zeit eine 00 prozentige Gleichheit aufweisen, muss die Differenz der beiden Geschwindigkeitswerte innerhalb des Toleranzbandes von 0% liegen, um die Bedingung der Gleichheit noch zu erfüllen. Ist der aktuelle Geschwindigkeitswert unterhalb der im FB Limit festgelegten Grenze, wird der STO Ausgang auf logisch gesetzt und der Antrieb kann drehen. Ist die Grenze überschritten oder der Vergleich ungültig, wird der Ausgang auf logisch 0 gesetzt und der Antrieb wird momentenfrei geschaltet bzw. die im Antrieb integrierte Sicherheitsfunktion aktiviert. Die gesamte Berechnung und Skalierung wird in der sicherheitsgerichteten Logik EL690 auf dem Sicherheitsniveau SIL3 / PL e durchgeführt. Mit dieser Methode wird aus zwei nicht sicherheitsgerichteten Signalen ein sicherheitsgerichtetes Ergebnis erzeugt. Über einen ESTOP Baustein wird zusätzlich eine Nothalt-Funktion implementiert (der Übersichtlichkeit halber nicht in der Graphik dargestellt), welche den Wiederanlauf verhindert und auch die Schützkontrolle für K und K übernimmt. Das IsValid Signal des Compare-Bausteins muss zur Abschaltung im Fehlerfall verwendet werden. Aufbau IO-Link 4Vdc PC Steuerung K K Feldbus z.b. PROFInet Feldbus z.b. EtherCAT STO Speed Standard Kommunikation - Speed TwinSAFE SC Speed K K Antrieb EL IO-Link Master Logik siehe unten Standard Kommunikation Speed über IO-link Motor Encoder Applikationshandbuch TwinSAFE - Version

168 Strukturbild Aufbau Motor Motorwelle Encoder IO-Link EL BlackChannel Geschwindigkeit PC EL690 EL904 Aktor Motorleitung Antrieb Standard Feldbus Ist-Geschwindigkeit Logik EStopInx TwinSAFE SC Communication Speed STO - Drive Standard Communication - Speed Restart Estop In Estop In STO - Antrieb K/K Rückführung K/K Applikationshandbuch TwinSAFE - Version.8.0

169 .6. Struktur und Diagnose Die eingelesenen Signale vom Antrieb und vom Geber sind Standard Signale, die jedoch sehr unterschiedlich sind. Der Antrieb liefert einen Geschwindigkeitswert, der Encoder liefert ein IO-Link Signal, welches von einer Standardklemme ausgewertet wird und in ein sicheres Telegramm (FSoE mit geändertem Polynom - TwinSAFE SC) verpackt und übertragen wird. Diese Klemme (EL ) liefert einen Geschwindigkeitswert, der innerhalb der sicheren Logik skaliert wird und mit dem Geschwindigkeitswert des Antriebs verglichen wird. Gleichheit bedeutet in diesem Fall, dass das Differenzsignal in dem Toleranzfenster von 0% liegt. Die Übermittlung des IO-Link Encoder Signals über den Standard-Feldbus wird über das Black-Channel Prinzip durchgeführt. Dieser wird mit der Antriebsgeschwindigkeit, die über den Standard-Feldbus übermittelt wird, plausibilisiert. Fehler in einem der beiden Kanäle werden über den Vergleich der beiden diversitären Geschwindigkeitssignale innerhalb der sicheren Logik erkannt und führen zur Aktivierung von STO des Antriebs..6. FMEA Fehlerannahme Erwartungshaltung Überprüft Geschwindigkeitswert z.b. über PROFINET selbst friert ein Geschwindigkeitswert über EtherCAT und TwinSAFE SC Kommunikation friert ein Geschwindigkeitswerte werden in der Standard SPS aufeinander kopiert Geschwindigkeitswert über z.b. PROFINET wird verfälscht Verbindung zwischen Motor und Encoder ist nicht mehr gegeben Encoder liefert falschen Positionswert Antrieb liefert falschen Geschwindigkeitswert Kommunikationsfehler für Standard-Kommunikation: Verfälschung Wird über den zweiten und die Plausibilisierung in der EL690 erkannt (TwinSAFE SC Kommunikation zwischen EL und EL690). Zusätzlich sollte für die Drehzahl 0 der Standard- Kommunikations-Watchdog aktiviert sein. Wird über den Watchdog innerhalb der TwinSAFE SC Kommunikation erkannt. Plausibilitätsprüfung: Wenn der Motor gestartet wird, werden auch dynamische Geschwindigkeitswerte erwartet. Ein verfälschter innerhalb der TwinSAFE SC Kommunikation führt zu einer ungültigen CRC innerhalb des Telegramms und damit zur sofortigen Abschaltung der Gruppe und der Ausgänge Die Datentypen der beiden Geschwindigkeitswerte haben eine unterschiedliche Länge (z.b. 4 Byte und Byte) Wird über den zweiten und die Plausibilisierung in der EL690 erkannt (TwinSAFE SC Kommunikation zwischen EL und EL690) Wird über die Plausibilisierung mit dem Geschwindigkeitswert des Antriebs innerhalb der EL690 erkannt Plausibilitätsprüfung: Wenn der Motor gestartet wird, werden auch dynamische Geschwindigkeitswerte erwartet. Wird über die Plausibilisierung mit dem Geschwindigkeitswert des Antriebs innerhalb der EL690 erkannt Wird über den zweiten und die Plausibilisierung in der EL690 erkannt (TwinSAFE SC Kommunikation zwischen EL und EL690) Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Applikationshandbuch TwinSAFE - Version

170 Fehlerannahme Erwartungshaltung Überprüft Kommunikationsfehler für Standard-Kommunikation: Unbeabsichtigte Wiederholung Kommunikationsfehler für Standard-Kommunikation: Falsche Abfolge Kommunikationsfehler für Standard-Kommunikation: Verlust Kommunikationsfehler für Standard-Kommunikation: Inakzeptable Verzögerung Kommunikationsfehler für Standard-Kommunikation: Einfügung Kommunikationsfehler für Standard-Kommunikation: Maskerade Kommunikationsfehler für Standard-Kommunikation: Adressierung Kommunikationsfehler für Standard-Kommunikation: Wiederkehrende Speicherfehler in Switches Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt. Zusätzlich sollte für die Drehzahl 0 der Standard- Kommunikations-Watchdog aktiviert sein. Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt. Zusätzlich sollte für die Drehzahl 0 der Standard- Kommunikations-Watchdog aktiviert sein. Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt nicht relevant für Standard-, sondern nur für Safety- Kommunikation. Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Geschwindigkeitswerte zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt.6.. Anmerkung TwinSAFE SC Kommunikation: Die TwinSAFE SC Kommunikation verwendet die identischen Mechanismen zur Fehleraufdeckung, wie die Safety-over-EtherCAT Kommunikation mit dem Unterschied, dass zur Berechnung der Prüfsumme eine anderes Polynom verwendet wird, welches hinreichend unabhängig von dem bisher für Safety-over- EtherCAT verwendetem Polynom ist. Es sind die identischen Mechanismen aktiv, wie z.b. Black-Channel Prinzip (Bitfehlerwahrscheinlichkeit 0 - ). Die Qualität der Datenübertragung ist nicht entscheidend, da letztendlich über den Vergleich in der sicheren Logik alle Übertragungsfehler aufgedeckt werden, da diese zur Ungleichheit führen würden. 68 Applikationshandbuch TwinSAFE - Version.8.0

171 .6.3 Parameter der sicheren Ausgangsklemme EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv.6.4 Blockbildung und Safety-Loops.6.4. Sicherheitsfunktion Input Encoder Antrieb EL EL690 EL904 K K.6.5 Berechnung.6.5. PFH / MTTF D /B0 D e Komponente EL904 PFH EL904 PFH EL690 PFH Antrieb MTBF Encoder MTTF,E-09,5E-09,79E (59y) (38y) EL MTBF K B0d K B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 0080 (x pro Woche) 0 hre 7500 Stunden Applikationshandbuch TwinSAFE - Version

172 .6.5. Diagnostic Coverage DC Komponente Antrieb und Encoder mit EL und Plausibilität innerhalb der Logik K/K mit EDM Überwachung (Betätigung /Woche und Auswertung aller steigenden und fallenden Flanken mit zeitlicher Überwachung) mit Testung der einzelnen Kanäle DCavg90% (Alternativ in Berechnung: 99%) DCavg99% Berechnung Sicherheitsfunktion Zur Verdeutlichung wird der Sicherheitskennwert sowohl nach EN 606 als auch nach EN 3849 berechnet. In der Praxis ist die Berechnung nach einer Norm ausreichend. Berechnung der PFH-/ und MTTFD-e aus den B0D-en: Aus: n op d op h op 60 T Zyklus und: MTTF D B0 D 0, n op Berechnung der PFH-/ und MTTFD-e aus den MTBF-en: Anmerkung: Reparaturzeiten können vernachlässigt werden, daher gilt: MTTF D MTBF MTTF D λ d mit λ d 0, T 0d 0, n op B0 D ergibt sich für PFH 0, n op ( DC) B0 D Eingesetzt ergibt das: DC MTTF D Antrieb MTTF D MTBF h 8y PFH DC 0,9 9,67E 08 MTTF D h Encoder MTTF D MTTF h 38y PFH DC 0,9 8,7E 08 MTTF D h 70 Applikationshandbuch TwinSAFE - Version.8.0

173 EL MTTF D MTBF h h 73y PFH DC 0,9 4,7E 08 MTTF D h Eingangssystem PFH (Input) PFH (Encoder) + PFH (EL ) 8,7E ,7E 08,44E 08 K/K: n op ,90 MTTF D y h 0,,90 und der Annahme, dass K und K jeweils einkanalig sind: K/K: Betätigung /Woche PFH 0,99,9E , Nun sind folgende Annahmen zu treffen: Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0D-e für K und K identisch. Die Eingangssignale aus Encoder mit EL und Antrieb haben unterschiedliche Messverfahren, liefern unterschiedlich skalierte e und sind beide an der Sicherheitsfunktion beteiligt. Ein- Nichtfunktionieren eines Kanals führt nicht zu einer gefährlichen Situation, sondern wird über den Vergleich der beiden e in der TwinSAFE Logik erkannt und führt zur Abschaltung. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält Tabellen (Tabelle F.-Kriterien zur Bestimmung des CCF und Tabelle F.-Abschätzung des CCF-Faktors(β)), mit der dieser β Faktor genau bestimmt werden kann. Für das Eingangssubsystem kann bei entsprechender Bearbeitung der Tabelle zur Berechnung des β-faktors ein von schätzungsweise % erreicht werden. In der folgenden Berechnung wird der Worst-Case mit 0% angenommen. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion PFH ges β (PFH (Input) + PFH (Antrieb) ) + ( β) (PFH (Input) PFH (Antrieb) ) T + PFH (EL690) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da die Anteile ( β) (PFH (K) PFH (K) ) T und ( β) (PFH (Input) PFH (Antrieb) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. Applikationshandbuch TwinSAFE - Version.8.0 7

174 ,44E ,67E 08,9E,9E PFH ges 0%,79E 9,5E 9 0%,06E 08,79E 09,5E 9,9E 3 PFH ges, 4E 08 EN 606 Hinweis Entsprechend der EN 606 wird das Eingangssubsystem mit einer SFF bzw. einem DC von 90% bewertet. Dies schränkt den erreichbaren SIL gemäß Tabelle 5 der EN 606 auf maximal SIL ein. Alternative Berechnung des MTTFd-es nach EN 3849 für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n n i Aus dem Eingangssubsystem, wird der schlechtere genommen (hier Kombination Encoder und EL ): MTTF d ges MTTF d (Encoder) MTTF d (EL ) MTTF d (EL690) MTTF d (EL904) + MTTF d (K) mit: Sind für EL904 und EL690 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF D (ELxxxx) ( DC (ELxxx)) PFH (ELxxx) Somit: MTTF D (EL690) ( DC (EL690)) PFH (EL690) MTTF D (EL904) ( DC (EL904)) PFH (EL904) ( 0,99),79E 09 h 8760h y ( 0,99),5E 09 h 8760h y 0,0 5,68E 06 y 0,0,E 05 y 637 y 93 y MTTF d ges DC avgs ,65 y DC MTTF d (Encoder) + DC MTTF d (EL64) + DC MTTF d (Antrieb) + DC MTTF d (EL690) + DC MTTF d (EL904) + DC MTTF d (K) + DC MTTF d (K) MTTF d (Encoder) MTTF d (EL64) MTTF d (Antrieb) MTTF d (EL690) MTTF d (EL904) MTTF d (K) MTTF d (K) DC avgs 0,9 + 0,9 + 0,9 + 0,99 + 0,99 + 0,99 + 0, Alternativ mit DC99% DC avgs 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0, ,000 0,00 90,90% 0,08 0,00 99,09% 7 Applikationshandbuch TwinSAFE - Version.8.0

175 Kategorie VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich. Stillstand WARNUNG Im Stillstand des Motors wird ein Fehler, wie z.b. das Einfrieren eines Encoder- Signales erst mit Anforderung einer Bewegung detektiert. Dies muss durch den Maschinenbauer bzw. Anwender berücksichtigt werden. Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Bezeichnung für jeden Kanal niedrig mittel hoch MTTF D Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

176 Alternative mit DC99% für das Eingangs-Subsystem: Bezeichnung für jeden Kanal niedrig mittel hoch MTTF D Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Sicherheits-Integritätslevel (Tabelle 3 EN 606) Sicherheits-Integritätslevel Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH D) bis < bis < bis < Applikationshandbuch TwinSAFE - Version.8.0

177 .7 STO-Funktion mit EL7x-904 (Kategorie 3, PL d) Das folgende Applikationsbeispiel zeigt wie die EL7x-904 zusammen mit einer EL904 beschaltet werden kann, um eine STO Funktion nach EN zu realisieren. Eine Schutztür (S und S) und ein Restart Signal (S3) werden logisch auf einen ESTOP Baustein verknüpft. Das EStopOut Signal wird an die NC Steuerung übergeben, mit der z.b. das Enable Signal der EL7x-904 geschaltet werden kann. Über den verzögerten Ausgang EStopDelOut wird der STO- Eingang der EL7x-904 bedient. Die EL7x-904 liefert über die Standard-Steuerung eine Information, dass die STO Funktion aktiv ist. Diese Information wird an den EDM Eingang des ESTOP Bausteins und zusätzlich an den EDM Baustein übergeben, um eine Erwartungshaltung für dieses Signal zu generieren. Steuerung PLC / NC Restart S3 logische Verknüpfung in der PLC / NC logische Verknüpfung in der EL69xx Opened S S EStopOut -> NC STO active -> EDM Closed EStopDelOut -> STO NC -> Drive Disable Feedback M 3~ EL904 EL7x-904 STO-Signal Applikationshandbuch TwinSAFE - Version

178 Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Liefert die Risikoanalyse das Ergebnis, dass ein Wiederanlauf in der Sicherheitssteuerung zu realisieren ist, muss der Restart auch auf einen sicheren Eingang gelegt werden. Verdrahtung nur Schaltschrank-intern WARNUNG Die Verdrahtung zwischen der EL904 und dem STO-Eingang der EL7x-904 muss sich im selben Schaltschrank befinden, um einen Fehlerausschluss für den Querschluss bzw. Fremdeinspeisung der Verdrahtung zwischen EL904 und EL7x- 904 annehmen zu dürfen. Die Bewertung dieser Verdrahtung und die Bewertung, ob der Fehlerausschluss zulässig ist, muss durch den Maschinenbauer bzw. Anwender erfolgen. Berechnung EL7x-904 Hinweis In der Berechnung des Performance Levels nach DIN EN ISO wird die EL7x-904 nicht berücksichtigt, da sie sich rückwirkungsfrei gegenüber der Sicherheitsfunktion verhält. In der Berechnung nach der EN 606 geht der PFH mit einem von 0 ein..7. Parameter der sicheren Ein- und Ausgangsklemmen EL904 Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein 76 Applikationshandbuch TwinSAFE - Version.8.0

179 .7. Blockbildung und Safety-Loops.7.3 Sicherheitsfunktion S EL904 EL6900 EL904 EL7x-904 S rückwirkungsfrei.7.4 Berechnung.7.4. PFH / MTTFd /B0d e Komponente EL904 PFH,E-09 EL904 PFH,5E-09 EL6900 PFH,03E-09 EL7x PFH 0,00 S B0d S B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 5 (4x pro Stunde) Lebenszeit (T) 0 hre 7500 Stunden.7.4. Diagnostic Coverage DC Komponente S/S mit Testung/Plausibilität EL904 mit Testung DCavg99% DCavg99% Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFd-e aus den B0d-en: aus: n op d op h op 60 T Zyklus und: MTTF d B0 d 0, n op Applikationshandbuch TwinSAFE - Version

180 Eingesetzt ergibt das: S: n op MTTF d ,3y h 0, 470 S: n op MTTF d ,7y 9074h 0, 470 und der Annahme, dass S und S jeweils einkanalig sind: MTTF d λ d ergibt sich für PFH 0, n op ( DC) B0 d DC MTTF d S: PFH 0,99 679,3 8760,68E 9 S: PFH 0,99 8,4E 0 358, Nun sind folgende Annahmen zu treffen: Die Türschalter S/S werden immer gegenläufig betätigt. Da die Schalter verschiedene e haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden e (S) für die Kombination heranziehen! Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-Case-Abschätzung mit β 0% angenommen. Die EN 606 enthält eine Tabelle, mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. 78 Applikationshandbuch TwinSAFE - Version.8.0

181 Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges β PFH (S) + PFH (S) + ( β) (PFH (S) PFH (S) ) T + PFH (EL904) + PFH (EL6900) + PFH (EL904) + PFH (EL70 904) Da der Anteil ( β) (PFH (S) PFH (S) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: PFH ges 0%,68E 09,68E 09,E 09,03E 09,5E ,00 3, 558E 09 Die Berechnung des MTTFd-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF d ges MTTF d n als: n i MTTF d ges MTTF d (S) MTTF d (EL904) MTTF d (EL6900) MTTF d (EL904) mit: MTTF d (S) B0 d(s) 0, n op MTTF d (S) B0 d(s) 0, n op Sind für EL904, EL6900 und EL904 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF d (ELxxxx) ( DC(ELxxx)) PFH(ELxxx) Somit: MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),E 09 h 8760h y 0,0 9,7E 06 y 08,8y MTTF d (EL6900) ( DC(EL6900)) PFH(EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF d (EL904) ( DC(EL904)) PFH(EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y Applikationshandbuch TwinSAFE - Version

182 MTTF dges 5,y 679,3y 08,8y 08,6y 93,y DC avg 99% + 99% + 99% + 99% + 99% 679,3 358,7 08,8 08,6 93, 679,3 358,7 08,8 08,6 93, 99,00% Kategorie VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF d Bereich für jeden Kanal 3 hre MTTFd < 0 hre 0 hre MTTFd < 30 hre 30 hre MTTFd 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e 80 Applikationshandbuch TwinSAFE - Version.8.0

183 .8 STO-Funktion mit IndraDrive (Kategorie 4, PL e) Das folgende Beispiel zeigt die Verwendung der sicheren Ausgänge der EL904 zusammen mit einem BOSCH Rexroth IndraDrive Antrieb, um eine STO Funktion auf diesem zu realisieren. Beispielhaft wird eine Schutztür zweikanalig auf einen sicheren Eingang (hier EL904) zusammen mit einem Restart Signal verdrahtet. Innerhalb der TwinSAFE Logik werden diese Signale an einem ESTOP Baustein verwendet. Der verzögert schaltende Ausgang des ESTOP Bausteins wird für die beiden sicheren Ausgänge der EL904 verwendet. Der Ausgang EStopOut kann verwendet werden, um über die NC Steuerung den Antrieb elektrisch zu stoppen. Jeweils ein Ausgang der EL904 wird auf die STO Eingänge X49. und X49.3 des Bosch Rexroth IndraDrive verdrahtet. Der zugehörige GND Anschluss (X49.) wird hier beispielhaft auf die EL904 zurückgeführt, um zu zeigen, dass die EL904 und der IndraDrive identisches Masse-Potential der 4V- Versorgung verwenden. Opened S logische Verknüpfung in der EL69xx Closed S Restart Wiederanlaufsperre in der Maschine implementieren! VORSICHT Die Wiederanlaufsperre ist NICHT Teil der Sicherheitskette und muss in der Maschine implementiert werden! Applikationshandbuch TwinSAFE - Version.8.0 8

184 .8. Parameter der sicheren Ein- und Ausgangsklemmen EL904 Parameter Sensortest Kanal aktiv Sensortest Kanal aktiv Sensortest Kanal 3 aktiv Sensortest Kanal 4 aktiv Logik Kanal und Logik Kanal 3 und 4 Single Logic Single Logic EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein.8. Blockbildung und Safety-Loops.8.3 Sicherheitsfunktion S EL904 EL6900 EL904 IndraDrive S.8.4 Berechnung.8.4. PFH / MTTFd /B0d e Komponente EL904 PFH EL904 PFH EL6900 PFH Bosch Rexroth IndraDrive ) - PFH Bosch Rexroth IndraDrive ) - MTTFD,E-09,5E-09,03E-09 0,50E-09 > 00 hre S B0d S B0d Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) 5 (4x pro Stunde) Lebenszeit (T) 0 hre 7500 Stunden ) Bitte beachten Sie die Informationen der Bosch Rexroth Anwenderdokumentation 8 Applikationshandbuch TwinSAFE - Version.8.0

185 .8.4. Diagnostic Coverage DC Komponente S/S mit Testung/Plausibilität DCavg99% EL904 mit Testung DCavg99% Bosch Rexroth IndraDrive ) DCavg99% ) Bitte beachten Sie die Informationen der Bosch Rexroth Anwenderdokumentation Berechnung Sicherheitsfunktion Berechnung der PFH-/ und MTTFD-e aus den B0d-en: aus: n op d op h op 60 T Zyklus und: MTTF D B0 d 0, n op Eingesetzt ergibt das: S: n op MTTF D ,3 y h 0, 470 S: n op MTTF D ,7 y 9074 h 0, 470 und der Annahme, dass S und S jeweils einkanalig sind: MTTF D λ d ergibt sich für PFH 0, n op ( DC) B0 d DC MTTF D Applikationshandbuch TwinSAFE - Version

186 S: PFH 0,99 679,3 8760,68E 9 S: PFH 0,99 8,4E 0 358, Nun sind folgende Annahmen zu treffen: Die Türschalter S/S werden immer gegenläufig betätigt. Da die Schalter verschiedene e haben, der vollständige Schutztürschalter aber aus einer Kombination von Öffner und Schließer besteht und beide Schalter funktionieren müssen, kann man den schlechteren der beiden e (S) für die Kombination heranziehen! Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält Tabellen (Tabelle F.-Kriterien zur Bestimmung des CCF und Tabelle F.-Abschätzung des CCF-Faktors(β)), mit der dieser β Faktor genau bestimmt werden kann. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion : PFH ges β PFH (S) + PFH (S) +( β) (PFH (S) PFH (S) ) T + PFH (EL904) + PFH (EL6900) + PFH (EL904) + PFH (IndraDrive) Da der Anteil ( β) (PFH (S) PFH (S) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: PFH ges 0% PFH ges 4, 06E 09,68E ,40E 0,E 9,03E 9,5E 9 + 0,50E 9 Berechnung nach EN 606 Hinweis Gemäß EN 606 Tab. 3 entspricht dieser einem SIL3. 84 Applikationshandbuch TwinSAFE - Version.8.0

187 Die Berechnung des MTTFD-es für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit: MTTF D ges MTTF D n als: n i MTTF D ges MTTF D (S) MTTF D (EL904) MTTF D (EL6900) MTTF D (EL904) MTTF D (IndraDrive) mit: MTTF D (S) B0 d(s) 0, n op 679,3 y MTTF D (IndraDrive) 00 y Sind für EL904, EL6900 und EL904 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF D (ELxxxx) ( DC (ELxxxx)) PFH (ELxxxx) Somit: MTTF D (EL904) ( DC (EL904)) ( 0,99) 0,0 PFH (EL904),E 09 08,8y h 8760h 9,7E 06 y y MTTF D (EL6900) ( DC (EL6900)) PFH (EL6900) ( 0,99),03E 09 h 8760h y 0,0 9,0E 06 y 08,6y MTTF D (EL904) ( DC (EL904)) PFH (EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93,y MTTF Dges 679,3y 08,8y 08,6y 93,y 00y 05,9 y DC avg 99% + 99% + 99% + 99% + 99% + 99% 679,3 358,7 08,8 08,6 93, ,3 358,7 08,8 08,6 93, 00 99,00% Applikationshandbuch TwinSAFE - Version

188 Kategorie Hinweis Diese Struktur ist bis maximal Kategorie 4 möglich. Bezeichnung für jeden Kanal niedrig mittel hoch MTTF D Bereich für jeden Kanal 3 hre MTTFD < 0 hre 0 hre MTTFD < 30 hre 30 hre MTTFD 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Kategorie B DC MTTF D kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Sicherheits-Integritätslevel (Tabelle 3 EN 606) Sicherheits-Integritätslevel Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH D) bis < bis < bis < Applikationshandbuch TwinSAFE - Version.8.0

189 .8.5 Technical Note der Firma Bosch Rexroth AG Applikationshandbuch TwinSAFE - Version

190 88 Applikationshandbuch TwinSAFE - Version.8.0

191 Applikationshandbuch TwinSAFE - Version

192 90 Applikationshandbuch TwinSAFE - Version.8.0

193 .9 Temperaturmessung mit TwinSAFE SC (Kategorie 3, PL d) In diesem Beispiel soll gezeigt werden, wie eine Temperaturmessung mit der TwinSAFE SC Technologie realisiert werden kann. Hierzu werden Messstellen mit Temperatursensoren ausgestattet, zum einen mit einem Thermoelement vom Typ K, welches auf eine Standard EtherCAT-Klemme EL33 verdrahtet ist und zum anderen ein PT000 - Messwiderstand, der auf eine TwinSAFE SC EtherCAT Klemme EL verdrahtet ist. Innerhalb der sicheren TwinSAFE Logik EL690 werden diese beiden Signale mittels Compare-Baustein verglichen bzw. plausibilisiert. Anschließend wird das Signal über den FB Limit überprüft. Das Ergebnis des FB Limit und der Ausgang IsValid des Compare Bausteins wird zur Abschaltung der Schütze K und K über den Baustein Mon verwendet. Die Schützkontrolle wird in diesem Beispiel der Übersichtlichkeit halber nicht dargestellt, ist jedoch durch den Anwender zu berücksichtigen. Restart Thermo-Element Typ K PT000 K K Nothalt / Schützkontrolle VORSICHT Neben der oben gezeigten Funktion, muss eine Schützkontrolle, z.b. über einen EDM Baustein für K und K und ggf. eine Nothalt-Funktion durch den Anwender realisiert werden! Applikationshandbuch TwinSAFE - Version.8.0 9

194 .9. Strukturbild des Aufbaus PT000 EL BlackChannel Temperatur PC EL690 EL904 Aktor Thermoelement Typ K EL33 Standard Feldbus Temperatur.9. Struktur und Diagnose Die eingelesenen Signale von den beiden Messstellen sind Standard Signale, die eine unterschiedliche Technologie verwenden. Mindestens ein Signal wird über die TwinSAFE SC Technologie an die sichere TwinSAFE Logik übermittelt, so dass Verfälschungen dieses Signals im PC oder auf dem Übertragungsweg erkannt werden. Die Prüfung auf Gleichheit dieser beiden Signale, innerhalb der zulässigen Toleranzen, wird in der sicheren TwinSAFE Logik durchgeführt. Die einzelnen Fehlerannahmen und zugehörigen Erwartungshaltungen werden in folgender FMEA Tabelle aufgelistet..9.3 FMEA Fehlerannahme Erwartungshaltung Überprüft Temperaturwert über den Standard-Feldbus friert ein Wird über den zweiten und die Plausibilisierung in der EL690 erkannt. Temperaturwert über die TwinSAFE SC Kommunikation friert ein Temperaturwerte werden in der Standard SPS aufeinander kopiert Temperaturwert über den Standard-Feldbus wird verfälscht Verbindung zwischen Sensor und EtherCAT-Klemme ist nicht mehr gegeben PT000 liefert falschen Temperaturwert Wird über den Watchdog innerhalb der TwinSAFE SC Kommunikation und über die Plausibilisierung in der EL690 erkannt. Ein verfälschter innerhalb der TwinSAFE SC Kommunikation führt zu einer ungültigen CRC innerhalb des Telegramms und damit zur sofortigen Abschaltung der Gruppe und der Ausgänge. Wird über den zweiten und die Plausibilisierung in der EL690 erkannt. Wird über die Plausibilisierung mit dem zweiten Temperaturwert innerhalb der EL690 erkannt. Wird über die Plausibilisierung mit dem zweiten Temperaturwert innerhalb der EL690 erkannt. Thermoelement liefert falschen Temperaturwert Wird über die Plausibilisierung mit dem zweiten Temperaturwert innerhalb der EL690 erkannt. 9 Applikationshandbuch TwinSAFE - Version.8.0

195 Fehlerannahme Erwartungshaltung Überprüft Kommunikationsfehler für Standard-Kommunikation: Verfälschung Kommunikationsfehler für Standard-Kommunikation: Unbeabsichtigte Wiederholung Kommunikationsfehler für Standard-Kommunikation: Falsche Abfolge Kommunikationsfehler für Standard-Kommunikation: Verlust Kommunikationsfehler für Standard-Kommunikation: Inakzeptable Verzögerung Kommunikationsfehler für Standard-Kommunikation: Einfügung Kommunikationsfehler für Standard-Kommunikation: Maskerade Kommunikationsfehler für Standard-Kommunikation: Adressierung Kommunikationsfehler für Standard-Kommunikation: Wiederkehrende Speicherfehler in Switches Wird über die Plausibilisierung der Temperaturwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Temperaturwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Temperaturwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Temperaturwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Temperaturwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Temperaturwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt nicht relevant für Standard, sondern nur für Safety Kommunikation. Wird über die Plausibilisierung der Temperaturwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Temperaturwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt.9.3. Anmerkung TwinSAFE SC Kommunikation: Die TwinSAFE SC Kommunikation verwendet die identischen Mechanismen zur Fehleraufdeckung, wie die Safety-over-EtherCAT Kommunikation mit dem Unterschied, dass zur Berechnung der Prüfsumme eine anderes Polynom verwendet wird, welches hinreichend unabhängig von dem bisher für Safety-over- EtherCAT verwendetem Polynom ist. Es sind die identischen Mechanismen aktiv, wie z.b. Black-Channel Prinzip (Bitfehlerwahrscheinlichkeit 0 - ). Die Qualität der Datenübertragung ist nicht entscheidend, da letztendlich über den Vergleich in der sicheren TwinSAFE Logik alle Übertragungsfehler aufgedeckt werden, da diese zur Ungleichheit führen würden. Applikationshandbuch TwinSAFE - Version

196 .9.4 Parameter der sicheren Ausgangsklemme EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein.9.5 Blockbildung und Safety-Loops.9.5. Sicherheitsfunktion Input Input PT000 Thermo couple type K EL EL33 EL690 EL904 K K.9.6 Berechnung.9.6. PFH / MTTF D /B0 D e Komponente EL904 PFH EL690 PFH,5E-09,79E-09 PT000 MTTFD 7.68 a (nach Tabelle C.5 EN ISO 3849-:05) Thermoelement Type K FIT 900 (Fehleranzahl in 0 9 Stunden) EL MTBF EL33 - MTBF K B0D K B0D Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 0080 (x pro Woche) 0 hre 7500 Stunden 94 Applikationshandbuch TwinSAFE - Version.8.0

197 .9.6. Diagnostic Coverage DC Komponente Temperaturwerte über TwinSAFE SC und Plausibilität innerhalb der Logik K/K mit EDM Überwachung (Betätigung /Woche und Auswertung aller steigenden und fallenden Flanken mit zeitlicher Überwachung) mit Testung der einzelnen Kanäle DCavg90% (Alternativ in Berechnung: 99%) DCavg99% Berechnung Sicherheitsfunktion Zur Verdeutlichung wird der Sicherheitskennwert sowohl nach EN 606 als auch nach EN 3849 berechnet. In der Praxis ist die Berechnung nach einer Norm ausreichend. Berechnung der PFH-/ und MTTFD-e aus den B0D-en: Aus: n op d op h op 60 T Zyklus und: MTTF D B0 D 0, n op Berechnung der PFH-/ und MTTFD-e aus den MTBF-en: Anmerkung: Reparaturzeiten können vernachlässigt werden, daher gilt: MTTF D MTBF MTTF D λ D mit λ D 0, T 0D 0, n op B0 D ergibt sich für PFH 0, n op ( DC) B0 D DC MTTF D Applikationshandbuch TwinSAFE - Version

198 Eingesetzt ergibt das: PT000 MTTF D 768 y h PFH DC 0,9,50E 09 MTTF D h EL MTTF D MTBF h h 03 y PFH DC 0,9 5,6E 08 MTTF D h Eingangssystem PFH (Input) PFH (PT000) + PFH (EL ),5E ,6E 08 5,77E 08 Thermoelement MTTF D λ D 900 FIT 09 h h 60 y PFH DC 0,9 9,0E 08 MTTF D h EL33 MTTF D MTBF h h 379 y PFH DC 0,9 3,0E 08 MTTF D h Eingangssystem PFH (Input) PFH (Thermocouple) + PFH (EL33) 9,0E ,0E 08,0E 08 K/K n op , MTTF D y h 0,,90 und der Annahme, dass K und K jeweils einkanalig sind: K/K: Betätigung /Woche und direktes zurücklesen PFH 0,99,9E , Applikationshandbuch TwinSAFE - Version.8.0

199 Nun sind folgende Annahmen zu treffen: Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0D-e für K und K identisch. Die Eingangssignale aus PT000 mit EL und Thermoelement mit EL33 haben unterschiedliche Messverfahren, liefern beide einen Temperaturwert und sind beide an der Sicherheitsfunktion beteiligt. Ein-Nichtfunktionieren eines Kanals führt nicht zu einer gefährlichen Situation, sondern wird über den Vergleich der beiden e in der TwinSAFE Logik erkannt und führt zur Abschaltung. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält Tabellen (Tabelle F.-Kriterien zur Bestimmung des CCF und Tabelle F.-Abschätzung des CCF-Faktors(β)), mit der dieser β Faktor genau bestimmt werden kann. Für das Eingangssubsystem kann bei entsprechender Bearbeitung der Tabelle zur Berechnung des β-faktors ein von schätzungsweise % erreicht werden. In der folgenden Berechnung wird der Worst-Case mit 0% angenommen. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion PFH ges β (PFH (Input) + PFH (Input) ) + ( β) (PFH (Input) PFH (Input) ) T + PFH (EL690) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da die Anteile ( β) (PFH (K) PFH (K) ) T und ( β) (PFH (Input) PFH (Input) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: 5,77E 08 +,0E 08,9E,9E PFH ges 0%,79E 9,5E 9 0%,3885E 08,79E 09,5E 9,9E 3 PFH ges, 693E 08 EN 606 Hinweis Entsprechend der EN 606 wird das Eingangssubsystem mit einer SFF bzw. einem DC von 90% bewertet. Dies schränkt den erreichbaren SIL gemäß Tabelle 5 der EN 606 auf maximal SIL ein. Applikationshandbuch TwinSAFE - Version

200 Alternative Berechnung des MTTFD-es nach EN 3849 für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit MTTF D ges MTTF D n n i Aus dem Eingangssubsystem, wird der schlechtere genommen: MTTF D ges MTTF D (Thermocouple) + MTTF D (EL33) + MTTF D (EL690) + MTTF D (EL904) + MTTF D (K) Sind für die EL904 und EL690 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF D (ELxxxx) ( DC (ELxxx)) PFH (ELxxx) Somit: MTTF D (EL690) ( DC (EL690)) PFH (EL690) ( 0,99),79E 09 h 8760h y 0,0 5,68E 06 y 637 y MTTF D (EL904) ( DC (EL904)) PFH (EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93 y MTTF D ges ,5 y DC avg DC MTTF D (PT000) MTTF D (PT000) + + DC MTTF D (EL34) MTTF D (EL34) + + DC MTTF D (TC) MTTF D (TC) + + DC MTTF D (EL33) MTTF D (EL33) + + DC MTTF D (EL690) MTTF D (EL690) + + DC MTTF D (EL904) MTTF D (EL904) + + DC MTTF D (K) MTTF D (K) + + DC MTTF D (K) MTTF D (K) Eingesetzt mit DC90% DC avg 0,9 + 0,9 + 0,9 + 0,9 + 0,99 + 0,99 + 0,99 + 0, Alternativ mit DC99% DC avg 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0, ,046 0,070 9,% 0,068 0,070 99,6% 98 Applikationshandbuch TwinSAFE - Version.8.0

201 Kategorie VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich. DC90% für das Eingangs-Subsystem Bezeichnung für jeden Kanal niedrig mittel hoch MTTF D Bereich für jeden Kanal 3 hre MTTFD < 0 hre 0 hre MTTFD < 30 hre 30 hre MTTFD 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

202 Alternative mit DC99% für das Eingangs-Subsystem Bezeichnung für jeden Kanal niedrig mittel hoch MTTF D Bereich für jeden Kanal 3 hre MTTFD < 0 hre 0 hre MTTFD < 30 hre 30 hre MTTFD 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Sicherheits-Integritätslevel (Tabelle 3 EN 606) Sicherheits-Integritätslevel Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH D) bis < bis < bis < Applikationshandbuch TwinSAFE - Version.8.0

203 .30 Füllstandsmessung mit TwinSAFE SC (Kategorie 3, PL d) In diesem Beispiel soll gezeigt werden, wie eine Füllstandsmessung eines Behälters mit der TwinSAFE SC Technologie realisiert werden kann. Hierzu werden unterschiedliche Mess-Methoden verwendet. Zum einen wird ein Ultraschall-Sensor mit einer 0-0 V Schnittstelle, welcher auf eine TwinSAFE SC EtherCAT-Box EP verdrahtet ist, verwendet und zum anderen eine Pegelsonde mit einer 4-0 ma Schnittstelle, die auf eine Standard EtherCAT Klemme EL35 verdrahtet ist. Innerhalb der sicheren TwinSAFE Logik EL690 werden diese beiden Signale mittels Compare-Baustein verglichen bzw. plausibilisiert. Das Signal von der EP wird vorher noch über den Scale Baustein skaliert, so dass die beiden Signale einen identischen ebereich haben. Anschließend wird das Signal über den FB Limit überprüft. Das Ergebnis des FB Limit und der Ausgang IsValid des Compare Bausteins wird zur Abschaltung der Schütze K und K über den Baustein Mon verwendet. Zusätzlich kann auch noch der StuckAtError Ausgang des Scale Bausteins auf einen Mon-Eingang gelegt werden. Damit kann ein Einfrieren des Signals erkannt werden. Die Schützkontrolle wird in diesem Beispiel der Übersichtlichkeit halber nicht dargestellt, ist jedoch durch den Anwender zu berücksichtigen. Restart 0..0 V 4..0 ma K K Nothalt / Schützkontrolle VORSICHT Neben der oben gezeigten Funktion, muss eine Schützkontrolle, z.b. über einen EDM Baustein für K und K und ggf. eine Nothalt-Funktion durch den Anwender realisiert werden! Applikationshandbuch TwinSAFE - Version.8.0 0

204 .30. Strukturbild des Aufbaus Ultraschall- Sensor 0..0 V EP BlackChannel Füllstand PC EL690 EL904 Aktor Pegelsonde 4..0 ma EL35 Standard Feldbus Füllstand.30. Struktur und Diagnose Die eingelesenen Signale von den beiden Messstellen sind Standard Signale, die eine unterschiedliche Technologie verwenden. Mindestens ein Signal wird über die TwinSAFE SC Technologie an die sichere TwinSAFE Logik übermittelt, so dass Verfälschungen dieses Signals im PC oder auf dem Übertragungsweg erkannt werden. Die Prüfung auf Gleichheit dieser beiden Signale, innerhalb der zulässigen Toleranzen, wird in der sicheren TwinSAFE Logik durchgeführt. Die einzelnen Fehlerannahmen und zugehörigen Erwartungshaltungen werden in folgender FMEA Tabelle aufgelistet FMEA Fehlerannahme Erwartungshaltung Überprüft Füllstandswert über den Standard-Feldbus friert ein Wird über den zweiten und die Plausibilisierung in der EL690 erkannt. Füllstandswert über die TwinSAFE SC Kommunikation friert ein Füllstandswerte werden in der Standard SPS aufeinander kopiert Füllstandswert über den Standard-Feldbus wird verfälscht Verbindung zwischen Sensor und EtherCAT-Klemme ist nicht mehr gegeben Ultraschallsensor liefert falschen Füllstandswert Wird über den Watchdog innerhalb der TwinSAFE SC Kommunikation und über die Plausibilisierung in der EL690 erkannt. Ein verfälschter innerhalb der TwinSAFE SC Kommunikation führt zu einer ungültigen CRC innerhalb des Telegramms und damit zur sofortigen Abschaltung der Gruppe und der Ausgänge. Wird über den zweiten und die Plausibilisierung in der EL690 erkannt. Wird über die Plausibilisierung mit dem zweiten Füllstandswert innerhalb der EL690 erkannt. Wird über die Plausibilisierung mit dem zweiten Füllstandswert innerhalb der EL690 erkannt. Pegelsonde liefert falschen Füllstandswert Wird über die Plausibilisierung mit dem zweiten Füllstandswert innerhalb der EL690 erkannt. 0 Applikationshandbuch TwinSAFE - Version.8.0

205 Fehlerannahme Erwartungshaltung Überprüft Kommunikationsfehler für Standard-Kommunikation: Verfälschung Kommunikationsfehler für Standard-Kommunikation: Unbeabsichtigte Wiederholung Kommunikationsfehler für Standard-Kommunikation: Falsche Abfolge Kommunikationsfehler für Standard-Kommunikation: Verlust Kommunikationsfehler für Standard-Kommunikation: Inakzeptable Verzögerung Kommunikationsfehler für Standard-Kommunikation: Einfügung Kommunikationsfehler für Standard-Kommunikation: Maskerade Kommunikationsfehler für Standard-Kommunikation: Adressierung Kommunikationsfehler für Standard-Kommunikation: Wiederkehrende Speicherfehler in Switches Wird über die Plausibilisierung der Füllstandswerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Füllstandswerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Füllstandswerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Füllstandswerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Füllstandswerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Füllstandswerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt nicht relevant für Standard, sondern nur für Safety Kommunikation. Wird über die Plausibilisierung der Füllstandswerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Füllstandswerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Anmerkung TwinSAFE SC Kommunikation: Die TwinSAFE SC Kommunikation verwendet die identischen Mechanismen zur Fehleraufdeckung, wie die Safety-over-EtherCAT Kommunikation mit dem Unterschied, dass zur Berechnung der Prüfsumme eine anderes Polynom verwendet wird, welches hinreichend unabhängig von dem bisher für Safety-over- EtherCAT verwendetem Polynom ist. Es sind die identischen Mechanismen aktiv, wie z.b. Black-Channel Prinzip (Bitfehlerwahrscheinlichkeit 0 - ). Die Qualität der Datenübertragung ist nicht entscheidend, da letztendlich über den Vergleich in der sicheren TwinSAFE Logik alle Übertragungsfehler aufgedeckt werden, da diese zur Ungleichheit führen würden. Applikationshandbuch TwinSAFE - Version

206 .30.4 Parameter der sicheren Ausgangsklemme EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein.30.5 Blockbildung und Safety-Loops Sicherheitsfunktion Input Input Ultrasonic sensor level probe EP EL35 EL690 EL904 K K.30.6 Berechnung PFH / MTTF D /B0 D e Komponente EL904 PFH EL690 PFH,5E-09,79E-09 Ultraschallsensor MTBF 95 a ( h) Pegelsonde MTTF 73 a ( h) EP MTBF EL35 - MTBF K B0D K B0D h h h h Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 0080 (x pro Woche) 0 hre 7500 Stunden 04 Applikationshandbuch TwinSAFE - Version.8.0

207 Diagnostic Coverage DC Komponente Füllstandswerte über TwinSAFE SC und Plausibilität innerhalb der Logik K/K mit EDM Überwachung (Betätigung /Woche und Auswertung aller steigenden und fallenden Flanken mit zeitlicher Überwachung) mit Testung der einzelnen Kanäle DCavg90% (Alternativ in Berechnung: 99%) DCavg99% Berechnung Sicherheitsfunktion Zur Verdeutlichung wird der Sicherheitskennwert sowohl nach EN 606 als auch nach EN 3849 berechnet. In der Praxis ist die Berechnung nach einer Norm ausreichend. Berechnung der PFH-/ und MTTFD-e aus den B0D-en: Aus: n op d op h op 60 T Zyklus und: MTTF D B0 D 0, n op Berechnung der PFH-/ und MTTFD-e aus den MTBF-en: Anmerkung: Reparaturzeiten können vernachlässigt werden, daher gilt: MTTF D MTBF MTTF D λ D mit λ D 0, T 0D 0, n op B0 D ergibt sich für PFH 0, n op ( DC) B0 D DC MTTF D Applikationshandbuch TwinSAFE - Version

208 Eingesetzt ergibt das: Ultraschallsensor MTTF D MTBF 95 y 390 y h PFH DC 0,9,93E 08 MTTF D h EP MTTF D MTBF h h 36 y PFH DC 0,9 8,33E 08 MTTF D h Eingangssystem PFH (Input) PFH (Ultrasonic) + PFH (EP ),93E ,33E 08,6E 08 Pegelsonde MTTF D MTTF 73 y.464 y h PFH DC 0,9 7,79E 09 MTTF D h EL35 MTTF D MTBF h h 57 y PFH DC 0,9,99E 08 MTTF D h Eingangssystem PFH (Input) PFH (level probe) + PFH (EL35) 7,79E 09,99E 08,77E 08 K/K n op , MTTF D y h 0,,90 und der Annahme, dass K und K jeweils einkanalig sind: K/K: Betätigung /Woche und direktes zurücklesen PFH 0,99,9E , Applikationshandbuch TwinSAFE - Version.8.0

209 Nun sind folgende Annahmen zu treffen: Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0D-e für K und K identisch. Die Eingangssignale aus Ultraschallsensor mit EP und Pegelsonde mit EL35 haben unterschiedliche Messverfahren, liefern beide einen Füllstand und sind beide an der Sicherheitsfunktion beteiligt. Ein-Nichtfunktionieren eines Kanals führt nicht zu einer gefährlichen Situation, sondern wird über den Vergleich der beiden e in der TwinSAFE Logik erkannt und führt zur Abschaltung. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält Tabellen (Tabelle F.-Kriterien zur Bestimmung des CCF und Tabelle F.-Abschätzung des CCF-Faktors(β)), mit der dieser β Faktor genau bestimmt werden kann. Für das Eingangssubsystem kann bei entsprechender Bearbeitung der Tabelle zur Berechnung des β-faktors ein von schätzungsweise % erreicht werden. In der folgenden Berechnung wird der Worst-Case mit 0% angenommen. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion PFH ges β (PFH (Input) + PFH (Input) ) + ( β) (PFH (Input) PFH (Input) ) T + PFH (EL690) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da die Anteile ( β) (PFH (K) PFH (K) ) T und ( β) (PFH (Input) PFH (Input) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu:,6e 08 +,77E 08,9E,9E PFH ges 0%,79E 9,5E 9 0% 7,05E 09,79E 09,5E 9,9E 3 PFH ges, 005E 08 EN 606 Hinweis Entsprechend der EN 606 wird das Eingangssubsystem mit einer SFF bzw. einem DC von 90% bewertet. Dies schränkt den erreichbaren SIL gemäß Tabelle 5 der EN 606 auf maximal SIL ein. Applikationshandbuch TwinSAFE - Version

210 Alternative Berechnung des MTTFD-es nach EN 3849 für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit MTTF D ges MTTF D n n i Aus dem Eingangssubsystem, wird der schlechtere genommen: MTTF D ges MTTF D (Ultrasonic sensor) + MTTF D (EP ) + MTTF D (EL690) + MTTF D (EL904) + MTTF D (K) Sind für die EL904 und EL690 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF D (ELxxxx) ( DC (ELxxx)) PFH (ELxxx) Somit: MTTF D (EL690) ( DC (EL690)) PFH (EL690) ( 0,99),79E 09 h 8760h y 0,0 5,68E 06 y 637 y MTTF D (EL904) ( DC (EL904)) PFH (EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93 y MTTF D ges ,46 y DC avg DC DC DC DC DC DC DC DC MTTF D(UltraSonic) MTTF D(EP374) MTTF D(level probe) MTTF D(EL35) MTTF D(EL690) MTTF D(EL904) MTTF D(K) MTTF D(K) MTTF D(UltraSonic) MTTF D(EP374) MTTF D(level probe) MTTF D(EL35) MTTF D(EL690) MTTF D(EL904) MTTF D(K) MTTF D(K) Eingesetzt mit DC90% DC avg 0,9 + 0,9 + 0,9 + 0,9 + 0,99 + 0,99 + 0,99 + 0, Alternativ mit DC99% DC avg 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0, ,037 0,050 9,33% 0,0486 0,050 99,06% 08 Applikationshandbuch TwinSAFE - Version.8.0

211 Kategorie VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich. DC90% für das Eingangs-Subsystem Bezeichnung für jeden Kanal niedrig mittel hoch MTTF D Bereich für jeden Kanal 3 hre MTTFD < 0 hre 0 hre MTTFD < 30 hre 30 hre MTTFD 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version

212 Alternative mit DC99% für das Eingangs-Subsystem Bezeichnung für jeden Kanal niedrig mittel hoch MTTF D Bereich für jeden Kanal 3 hre MTTFD < 0 hre 0 hre MTTFD < 30 hre 30 hre MTTFD 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Sicherheits-Integritätslevel (Tabelle 3 EN 606) Sicherheits-Integritätslevel Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH D) bis < bis < bis < Applikationshandbuch TwinSAFE - Version.8.0

213 .3 Druckmessung mit TwinSAFE SC (Kategorie 3, PL d) In diesem Beispiel soll gezeigt werden, wie eine Druckmessung eines Behälters mit der TwinSAFE SC Technologie realisiert werden kann. Hierzu werden Messstellen mit Drucksensoren ausgestattet, zum einen mit einem Drucksensor mit IO-Link Schnittstelle, welcher auf eine Standard EtherCAT-Klemme EL64 verdrahtet ist und zum anderen ein Drucksensor mit 4..0 ma Schnittstelle, der auf eine TwinSAFE SC EtherCAT Klemme EL verdrahtet ist. Innerhalb der sicheren TwinSAFE Logik EL690 werden diese beiden Signale mittels Compare-Baustein verglichen bzw. plausibilisiert. Das Signal von der EL64 wird vorher noch über den Scale Baustein skaliert, so dass die beiden Signale einen identischen ebereich haben. Anschließend wird das Signal über den FB Limit überprüft. Das Ergebnis des FB Limit und der Ausgang IsValid des Compare Bausteins wird zur Abschaltung der Schütze K und K über den Baustein Mon verwendet. Zusätzlich kann auch noch der StuckAtError Ausgang des Scale Bausteins auf einen Mon-Eingang gelegt werden. Damit kann ein Einfrieren des Signals erkannt werden. Die Schützkontrolle wird in diesem Beispiel der Übersichtlichkeit halber nicht dargestellt, ist jedoch durch den Anwender zu berücksichtigen. Restart IO-Link Pressure-Signal 4..0 ma Pressure-Signal K K Sicherheitsventil (PSV - Pressure Safety Valve) WARNUNG Die oben gezeigte Applikation kann nicht als Ersatz für ein Sicherheitsventil entsprechend der EG Druckgeräterichtlinie verwendet werden. Nothalt / Schützkontrolle VORSICHT Neben der oben gezeigten Funktion, muss eine Schützkontrolle, z.b. über einen EDM Baustein für K und K und ggf. eine Nothalt-Funktion durch den Anwender realisiert werden! Applikationshandbuch TwinSAFE - Version.8.0

214 .3. Strukturbild des Aufbaus Druck-Sensor 4..0 ma EL BlackChannel Druck PC EL690 EL904 Aktor Druck-Sensor IO-Link EL64 Standard Feldbus Druck.3. Struktur und Diagnose Die eingelesenen Signale von den beiden Messstellen sind Standard Signale, die eine unterschiedliche Technologie verwenden. Mindestens ein Signal wird über die TwinSAFE SC Technologie an die sichere TwinSAFE Logik übermittelt, so dass Verfälschungen dieses Signals im PC oder auf dem Übertragungsweg erkannt werden. Die Prüfung auf Gleichheit dieser beiden Signale, innerhalb der zulässigen Toleranzen, wird in der sicheren TwinSAFE Logik durchgeführt. Die einzelnen Fehlerannahmen und zugehörigen Erwartungshaltungen werden in folgender FMEA Tabelle aufgelistet..3.3 FMEA Fehlerannahme Erwartungshaltung Überprüft Druckwert über den Standard- Feldbus friert ein Wird über den zweiten und die Plausibilisierung in der EL690 erkannt. Druckwert über die TwinSAFE SC Kommunikation friert ein Druckwerte werden in der Standard SPS aufeinander kopiert Druckwert über den Standard- Feldbus wird verfälscht Verbindung zwischen Sensor und EtherCAT-Klemme ist nicht mehr gegeben Drucksensor (4..0mA) liefert falschen Druckwert Wird über den Watchdog innerhalb der TwinSAFE SC Kommunikation und über die Plausibilisierung in der EL690 erkannt. Ein verfälschter innerhalb der TwinSAFE SC Kommunikation führt zu einer ungültigen CRC innerhalb des Telegramms und damit zur sofortigen Abschaltung der Gruppe und der Ausgänge. Wird über den zweiten und die Plausibilisierung in der EL690 erkannt. Wird über die Plausibilisierung mit dem zweiten Druckwert innerhalb der EL690 erkannt. Wird über die Plausibilisierung mit dem zweiten Druckwert innerhalb der EL690 erkannt. Drucksensor (IO-Link) liefert falschen Druckwert Wird über die Plausibilisierung mit dem zweiten Druckwert innerhalb der EL690 erkannt. Kommunikationsfehler für Standard-Kommunikation: Verfälschung Wird über die Plausibilisierung der Druckwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Applikationshandbuch TwinSAFE - Version.8.0

215 Fehlerannahme Erwartungshaltung Überprüft Kommunikationsfehler für Standard-Kommunikation: Unbeabsichtigte Wiederholung Kommunikationsfehler für Standard-Kommunikation: Falsche Abfolge Kommunikationsfehler für Standard-Kommunikation: Verlust Kommunikationsfehler für Standard-Kommunikation: Inakzeptable Verzögerung Kommunikationsfehler für Standard-Kommunikation: Einfügung Kommunikationsfehler für Standard-Kommunikation: Maskerade Kommunikationsfehler für Standard-Kommunikation: Adressierung Kommunikationsfehler für Standard-Kommunikation: Wiederkehrende Speicherfehler in Switches Wird über die Plausibilisierung der Druckwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Druckwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Druckwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Druckwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Druckwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt nicht relevant für Standard, sondern nur für Safety Kommunikation. Wird über die Plausibilisierung der Druckwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der Druckwerte und über die TwinSAFE SC Kommunikation innerhalb der EL690 erkannt.3.3. Anmerkung TwinSAFE SC Kommunikation: Die TwinSAFE SC Kommunikation verwendet die identischen Mechanismen zur Fehleraufdeckung, wie die Safety-over-EtherCAT Kommunikation mit dem Unterschied, dass zur Berechnung der Prüfsumme eine anderes Polynom verwendet wird, welches hinreichend unabhängig von dem bisher für Safety-over- EtherCAT verwendetem Polynom ist. Es sind die identischen Mechanismen aktiv, wie z.b. Black-Channel Prinzip (Bitfehlerwahrscheinlichkeit 0 - ). Die Qualität der Datenübertragung ist nicht entscheidend, da letztendlich über den Vergleich in der sicheren TwinSAFE Logik alle Übertragungsfehler aufgedeckt werden, da diese zur Ungleichheit führen würden. Applikationshandbuch TwinSAFE - Version.8.0 3

216 .3.4 Parameter der sicheren Ausgangsklemme EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein.3.5 Blockbildung und Safety-Loops.3.5. Sicherheitsfunktion Input Input Pressure sensor Pressure sensor EL EL64 EL690 EL904 K K.3.6 Berechnung.3.6. PFH / MTTF D /B0 D e Komponente EL904 PFH EL690 PFH,5E-09,79E-09 Drucksensor (4..0 ma) MTTF 4 a ( h) Drucksensor IO-Link MTTF 0 a ( h) EL MTBF EL64 - MTBF K B0D K B0D h h h h Arbeitstage (dop) 30 Arbeitsstunden / Tag (hop) 6 Zykluszeit (Minuten) (Tzyklus) Lebenszeit (T) 0080 (x pro Woche) 0 hre 7500 Stunden 4 Applikationshandbuch TwinSAFE - Version.8.0

217 .3.6. Diagnostic Coverage DC Komponente Druckwerte über TwinSAFE SC und Plausibilität innerhalb der Logik K/K mit EDM Überwachung (Betätigung /Woche und Auswertung aller steigenden und fallenden Flanken mit zeitlicher Überwachung) mit Testung der einzelnen Kanäle DCavg90% (Alternativ in Berechnung: 99%) DCavg99% Berechnung Sicherheitsfunktion Zur Verdeutlichung wird der Sicherheitskennwert sowohl nach EN 606 als auch nach EN 3849 berechnet. In der Praxis ist die Berechnung nach einer Norm ausreichend. Berechnung der PFH-/ und MTTFD-e aus den B0D-en: Aus: n op d op h op 60 T Zyklus und: MTTF D B0 D 0, n op Berechnung der PFH-/ und MTTFD-e aus den MTBF-en: Anmerkung: Reparaturzeiten können vernachlässigt werden, daher gilt: MTTF D MTBF MTTF D λ D mit λ D 0, T 0D 0, n op B0 D ergibt sich für PFH 0, n op ( DC) B0 D DC MTTF D Applikationshandbuch TwinSAFE - Version.8.0 5

218 Eingesetzt ergibt das: Drucksensor (4-0mA) MTTF D MTTF 4 y 48 y h PFH DC 0,9 4,60E 08 MTTF D h EL MTTF D MTBF h h 6 y PFH DC 0,9 5,6E 08 MTTF D h Eingangssystem PFH (Input) PFH (Drucksensor) + PFH (EL ) 4,60E ,6E 08 9,86E 08 Drucksensor (IO-Link) MTTF D MTBF h h 40 y PFH DC 0,9,84E 08 MTTF D h EL64 MTTF D MTBF h h 367 y PFH DC 0,9 3,E 08 MTTF D h Eingangssystem PFH (Input) PFH (Drucksensor) + PFH (EL64),84E ,E 08 5,95E 08 K/K n op , MTTF D y h 0,,90 und der Annahme, dass K und K jeweils einkanalig sind: K/K: Betätigung /Woche und direktes zurücklesen PFH 0,99,9E , Applikationshandbuch TwinSAFE - Version.8.0

219 Nun sind folgende Annahmen zu treffen: Die Relais K und K sind beide an der Sicherheitsfunktion angeschlossen. Ein Nicht-Funktionieren eines Relais führt nicht zu einer gefährlichen Situation, wird aber durch die Rücklesung aufgedeckt. Weiterhin sind die B0D-e für K und K identisch. Die Eingangssignale aus Drucksensor mit EL und Drucksensor mit EL64 haben unterschiedliche Messverfahren, liefern beide einen Druckwert und sind beide an der Sicherheitsfunktion beteiligt. Ein-Nichtfunktionieren eines Kanals führt nicht zu einer gefährlichen Situation, sondern wird über den Vergleich der beiden e in der TwinSAFE Logik erkannt und führt zur Abschaltung. Es gibt einen Kopplungsfaktor zwischen den Komponenten, die zweikanalig verschaltet sind. Beispiele sind Temperatur, EMV, Spannungsspitzen oder Signale zwischen diesen Komponenten. Dieser wird als Worst-case-Abschätzung mit β 0% angenommen. Die EN 606 enthält Tabellen (Tabelle F.-Kriterien zur Bestimmung des CCF und Tabelle F.-Abschätzung des CCF-Faktors(β)), mit der dieser β Faktor genau bestimmt werden kann. Für das Eingangssubsystem kann bei entsprechender Bearbeitung der Tabelle zur Berechnung des β-faktors ein von schätzungsweise % erreicht werden. In der folgenden Berechnung wird der Worst-Case mit 0% angenommen. Weiterhin wird angenommen, dass alle üblichen Maßnahmen getroffen werden, um zu verhindern, dass beide Kanäle gleichzeitig durch einen Fehler (wie z.b. Überstrom durch Relais-Kontakte, Übertemperatur im Schaltschrank) unsicher ausfallen. Daraus folgt für die Berechnung des PFH-es für Sicherheitsfunktion PFH ges β (PFH (Input) + PFH (Input) ) + ( β) (PFH (Input) PFH (Input) ) T + PFH (EL690) + PFH (EL904) + β PFH (K) + PFH (K) + ( β) (PFH (K) PFH (K) ) T Da die Anteile ( β) (PFH (K) PFH (K) ) T und ( β) (PFH (Input) PFH (Input) ) T um Zehnerpotenzen kleiner sind, als der Rest, werden sie als Vereinfachung in dieser und allen weiteren Berechnungen nicht berücksichtigt. zu: 9,86E ,95E 08,9E,9E PFH ges 0%,79E 9,5E 9 0% 7,905E 09,79E 09,5E 9,9E 3 PFH ges, 094E 08 EN 606 Hinweis Entsprechend der EN 606 wird das Eingangssubsystem mit einer SFF bzw. einem DC von 90% bewertet. Dies schränkt den erreichbaren SIL gemäß Tabelle 5 der EN 606 auf maximal SIL ein. Applikationshandbuch TwinSAFE - Version.8.0 7

220 Alternative Berechnung des MTTFD-es nach EN 3849 für Sicherheitsfunktion (unter der gleichen Annahme) berechnet sich mit MTTF D ges MTTF D n n i Aus dem Eingangssubsystem, wird der schlechtere genommen: MTTF D ges MTTF D (Druck) + MTTF D (EL ) + MTTF D (EL690) + MTTF D (EL904) + MTTF D (K) Sind für die EL904 und EL690 nur PFH e vorhanden, gilt folgende Abschätzung: MTTF D (ELxxxx) ( DC (ELxxx)) PFH (ELxxx) Somit: MTTF D (EL690) ( DC (EL690)) PFH (EL690) ( 0,99),79E 09 h 8760h y 0,0 5,68E 06 y 637 y MTTF D (EL904) ( DC (EL904)) PFH (EL904) ( 0,99),5E 09 h 8760h y 0,0,E 05 y 93 y MTTF D ges ,7 y DC avg DC MTTF D (Druck) MTTF D (Druck) + + Eingesetzt mit DC90% DC avg DC MTTF D (EL34) MTTF D (EL34) + + DC MTTF D (Druck) MTTF D (Druck) + + DC MTTF D (EL64) MTTF D (EL64) 0,9 + 0,9 + 0,9 + 0,9 + 0,99 + 0,99 + 0,99 + 0, Alternativ mit DC99% DC avg 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0,99 + 0, DC MTTF D (EL690) MTTF D (EL690) + + DC MTTF D (EL904) MTTF D (EL904) 0,05 0,0654 9,4% 0,0637 0, ,97% + + DC MTTF D (K) MTTF D (K) + + DC MTTF D (K) MTTF D (K) 8 Applikationshandbuch TwinSAFE - Version.8.0

221 Kategorie VORSICHT Diese Struktur ist bis maximal Kategorie 3 möglich. DC90% für das Eingangs-Subsystem Bezeichnung für jeden Kanal niedrig mittel hoch MTTF D Bereich für jeden Kanal 3 hre MTTFD < 0 hre 0 hre MTTFD < 30 hre 30 hre MTTFD 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Applikationshandbuch TwinSAFE - Version.8.0 9

222 Alternative mit DC99% für das Eingangs-Subsystem Bezeichnung für jeden Kanal niedrig mittel hoch MTTF D Bereich für jeden Kanal 3 hre MTTFD < 0 hre 0 hre MTTFD < 30 hre 30 hre MTTFD 00 hre DC avg Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Für die praktische Anwendbarkeit wurde die Zahl der Bereiche auf vier beschränkt. Für die gezeigten Grenzwerte dieser Tabelle wird eine Genauigkeit von 5 % angenommen. Kategorie B DC MTTF d kein kein niedrig mittel niedrig mittel hoch niedrig a - a b b c - mittel b - b c c d - hoch - c c d d d e Sicherheits-Integritätslevel (Tabelle 3 EN 606) Sicherheits-Integritätslevel Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH D) bis < bis < bis < Applikationshandbuch TwinSAFE - Version.8.0

223 .3 Überwachung Hubgerät (Kategorie 3, PL d) Ein Hubgerät, bestehend aus Windwerken (Winch) mit Umlenkrollen zur Bewegung eines Hubtisches, soll sicherheitstechnisch überwacht werden. Dabei sollen die Funktionen Schlaffseil-Erkennung und Überlast realisiert werden. Es gibt oben an den Pfosten auf jeder Seite jeweils Umlenkrollen mit jeweils einem DMS Sensor, somit in Summe 4 DMS Sensoren. Einer dieser beiden Sensoren einer Seite wird mit einer TwinSAFE SC Klemme EL eingelesen. Der jeweils andere DMS Sensor wird auf eine EL375 verdrahtet. Diese liefert ein DMS mv/v Signal, welches in der sicheren Logik in einen Gewichtswert umgerechnet werden muss, damit er mit dem der EL verglichen werden kann. x DMS x DMS Winch Winch x Encoder x Encoder Sicherheitsfunktion - Überlast Für das Hubgerät ist eine maximal zulässige Zuladung spezifiziert. Diese muss überwacht werden. Dazu wird nach der Plausibilisierung der Signale der EL375 und EL eine Limitierung des Ergebnisses mit dem Limit Baustein in der EL690 vorgenommen. Laut der Risiko- und Gefährdungsanalyse des Kunden ist diese Sicherheitsfunktion mit PL c nach EN 3849-:05 zu bewerten. Die Sicherheitsfunktion wird in einer Kategorie 3 Struktur aufgebaut. Sicherheitsfunktion - Schlaffseil-Erkennung Eine Schlaffseil-Erkennung dient zur Erkennung, ob der Hubschlitten irgendwo mechanisch hängen geblieben ist, oder auf dem Boden aufsteht. In beiden Fällen muss sofort abgeschaltet werden. Zusätzlich wird darüber auch erkannt, ob ein Seil gerissen ist. Laut der Risiko- und Gefährdungsanalyse des Kunden ist diese Sicherheitsfunktion mit PL c nach EN 3849-:05 zu bewerten. Die Sicherheitsfunktion wird in einer Kategorie 3 Struktur aufgebaut. Zusatzfunktion - ohne sicherheitstechnische Anforderungen Durch inkrementellen Vergleich der Geberwerte von Windwerk und kann ein Gleichlauf überprüft werden. Damit wird ein Schrägziehen des Hubschlitten durch die beiden Windwerke frühzeitig verhindert. Applikationshandbuch TwinSAFE - Version.8.0

224 .3. Strukturbild Aufbau lift carriage pulley DMS sensor EL BlackChannel DMS signal PC EL690 EL904 Actuator mechanically linked lift carriage pulley DMS sensor EL375 Standard fieldbus DMS signal lift carriage pulley 3 mechanically linked DMS sensor 3 EL BlackChannel DMS signal mechanically linked lift carriage pulley 4 DMS sensor 4 EL375 Standard fieldbus DMS signal.3. Struktur und Diagnose Die eingelesenen Signale der DMS Sensoren sind Standard Signale, die pro Seite unterschiedlich erfasst werden. Der erste DMS Sensor wird auf eine DMS Klemme EL verdrahtet, die den ermittelten Gewichtswert in ein sicheres Telegramm (FSoE mit geändertem Polynom - TwinSAFE SC) verpackt und an die EL690 überträgt. Der zweite DMS Sensor wird auf eine Klemme EL375 verdrahtet, die eine DMS mv/v Messung durchführt. Dieses Signal wird über den Standard Kommunikationsweg an die EL690 gesendet. Dieses Signal wird vor der Plausibilisierung innerhalb der sicheren Logik in einen Gewichtswert umgerechnet. Für die zweite Seite des Hubwerks mit DMS Sensor 3 und 4 wird identisch vorgegangen. Für die TwinSAFE SC Kommunikation der zweiten EL wird ein, verglichen zur ersten Seite, unterschiedliches Polynom verwendet. Dadurch wird ein aufeinander kopieren der Daten der beiden TwinSAFE SC Verbindungen erkannt. Applikationshandbuch TwinSAFE - Version.8.0

225 .3.3 FMEA Fehlerannahme Erwartungshaltung Überprüft DMS Signal über den Standard Feldbus friert ein Wird über den zweiten und die Plausibilisierung in der EL690 erkannt (TwinSAFE SC Kommunikation zwischen EL und EL690). DMS Signal über TwinSAFE SC Kommunikation friert ein Wird über den zweiten und die Plausibilisierung in der EL690 und über den Watchdog innerhalb der TwinSAFE SC Kommunikation erkannt. DMS e werden in der Standard SPS aufeinander kopiert DMS Signal über den Standard Feldbus wird verfälscht Mechanische Verbindung zwischen Hubschlitten und Windwerk ist nicht mehr gegeben EL liefert falschen DMS- EL375 liefert falschen DMS- Kommunikationsfehler für Standard-Kommunikation: Verfälschung Kommunikationsfehler für Standard-Kommunikation: Unbeabsichtigte Wiederholung Kommunikationsfehler für Standard-Kommunikation: Falsche Abfolge Kommunikationsfehler für Standard-Kommunikation: Verlust Kommunikationsfehler für Standard-Kommunikation: Inakzeptable Verzögerung Kommunikationsfehler für Standard-Kommunikation: Einfügung Kommunikationsfehler für Standard-Kommunikation: Maskerade Ein verfälschter innerhalb der TwinSAFE SC Kommunikation führt zu einer ungültigen CRC innerhalb des Telegramms und damit zur sofortigen Abschaltung der Gruppe und der Ausgänge. Die Datentypen der beiden DMS e haben eine unterschiedliche Länge, da einer der beiden in das TwinSAFE SC Telegramm verpackt ist (z.b. 4 Byte und Byte) Wird über den zweiten und die Plausibilisierung in der EL690 erkannt (TwinSAFE SC Kommunikation zwischen EL und EL690) Wird über die Plausibilisierung mit dem zweiten DMS Signal innerhalb der EL690 erkannt. Wird über die Plausibilisierung mit dem DMS der EL375 innerhalb der EL690 erkannt Wird über die Plausibilisierung mit dem DMS der EL innerhalb der EL690 erkannt Wird über die Plausibilisierung der DMS e zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der DMS e zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der DMS e zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der DMS e zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der DMS e zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der DMS e zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt nicht relevant für Standard, sondern nur für Safety Kommunikation. Applikationshandbuch TwinSAFE - Version.8.0 3

226 Fehlerannahme Erwartungshaltung Überprüft Kommunikationsfehler für Standard-Kommunikation: Adressierung Kommunikationsfehler für Standard-Kommunikation: Wiederkehrende Speicherfehler in Switches Wird über die Plausibilisierung der DMS e zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt Wird über die Plausibilisierung der DMS e zusammen mit der TwinSAFE SC Kommunikation innerhalb der EL690 erkannt.3.3. Anmerkung TwinSAFE SC Kommunikation: Die TwinSAFE SC Kommunikation verwendet die identischen Mechanismen zur Fehleraufdeckung, wie die Safety-over-EtherCAT Kommunikation mit dem Unterschied, dass zur Berechnung der Prüfsumme eine anderes Polynom verwendet wird, welches hinreichend unabhängig von dem bisher für Safety-over- EtherCAT verwendetem Polynom ist. Es sind die identischen Mechanismen aktiv, wie z.b. Black-Channel Prinzip (Bitfehlerwahrscheinlichkeit 0 - ). Die Qualität der Datenübertragung ist nicht entscheidend, da letztendlich über den Vergleich in der sicheren Logik alle Übertragungsfehler aufgedeckt werden, da diese zur Ungleichheit führen würden..3.4 Aufbau innerhalb der Logik Die Logik in der EL690 ist in 3 Teile aufgeteilt. Im ersten Abschnitt werden die DMS e skaliert und plausibilisiert. Es ist auch die Wiederanlaufsperre und die Abschaltung der Schütze K und K über einen ESTOP Baustein enthalten. Im zweiten Abschnitt wird die Gesamtlast ermittelt und über einen Limitbaustein auf ein Maximum und Minimum überwacht. Das Ergebnis wird auf den ESTOP Baustein des ersten Abschnitts geführt. Im dritten Abschnitt wird jedes einzelne Signal auf einen minimalen überwacht. Diese 4 Signale werden UND verknüpft auf den ESTOP Baustein des ersten Abschnitts verknüpft. 4 Applikationshandbuch TwinSAFE - Version.8.0

227 Abschnitt Abschnitt Applikationshandbuch TwinSAFE - Version.8.0 5

228 Abschnitt Parameter der sicheren Ausgangsklemme EL904 Parameter Strommessung aktiv Testpulse des Ausgangs aktiv Nein 6 Applikationshandbuch TwinSAFE - Version.8.0