Vraag over veiligheidscategorie

Dag allemaal

Ik ben een eindejaarsstudent die bezig is met zijn stage.
Mijn stage gaat over veiligheid van elektrische machines.
In het bedrijf waar ik mijn stage doe maken ze gebruik van een veiligheidsrelais op de opstelling. In onderstaande linken kan je de aansluitingen zien van de veiligheidsrelais.

Situatie schets:
Y 32= aangesloten aan PLC als input
aansluitingen op S34= reset van de veiligheidsrelais
aansluitingen 13 en 23: onderbreken contactors van de motoren.

De veiligheidsrelais
https://gyazo.com/b3c29caa96edb1f4b6e4b22bf168a84a

De noodstoppen aangesloten op ingang (S11 en S12, S21 en S22= dubbelpolige uitgevoerd)
https://gyazo.com/5c91951a7014811f137c3ffd0d91126a

Zoals je kan zien zijn de ingangen dubbelpolig uitgevoerd, maar zijn de contacten van de contactors niet aangesloten op de veiligheidsrelais. Hiermee bedoel ik de controlecontacten van de contactor.
In principe zal de veiligheidsrelais dus nooit kunnen zien of de contacter vastplakt. (klopt deze redenering?)

Mijn vraag is nu: hoe het nu getekend is op de schema's, is de opstelling uitgevoerd volgens veiligheidscategorie 1 of 2? En is dit veilig genoeg?

Alvast bedankt.

GJ_

Moderator

Op 8 maart 2019 14:05:10 schreef Willemdes:..is de opstelling uitgevoerd volgens veiligheidscategorie 1 of 2? En is dit veilig genoeg?.

De categorie heeft niks met de uiteindelijke veiligheid te maken, daarvoor word een Pla tm Ple of een SIL1 tm SIL3 gebruikt.
De tijd dat we de veiligheid konden bepalen aan de hand van de gebruikte architectuur ligt al ver achter ons.
Met een categorie 2 architectuur is bijvoorbeeld best nog een PLd haalbaar.
En welke Pl nodig is voor het predicaat "veilig genoeg" is zonder de rest van de papierwinkel niet te achterhalen.

De architectuur in dat schema is een rare omdat er geen testfunctie op zit. En dat is vanaf CAT 2 nodig. Met die dubbele contacten lijkt het of CAT 3 getracht is te behalen maar dat werkt zo dus niet. Dit is gewoon CAT 1.

edit:
Wat doet die 01K1 daar? Dat lijkt me werkelijk of iemand daar een heel erg slecht idee heeft gehad.

En dat terwijl er in eerste instantie goed over is nagedacht. De aandrijvingen vallen vertraagt af zodat ze nog echt kunnen afremmen in plaats van uit te lopen, de rest valt wel netjes direct af. Niks mis mee. Alleen die reset is op z'n minst raar.

Merci voor de snelle respons!

Dus als ik je goed begrijp, de veiligheid van je machine word bepaald door het PL of SIL niveau? en niet door de B,1,2,3,4 categorie?

In mijn opstelling moet ik Ple behalen, stel dat ik dit niveau behaal zit ik safe?

"De architectuur in dat schema is een rare omdat er geen testfunctie op zit."
Met testfunctie, bedoel je daarmee de controle op het vastplakken van de contactor contacten?

"Met die dubbele contacten lijkt het of CAT 3 getracht is te behalen maar dat werkt zo dus niet. Dit is gewoon CAT 1."
Idd, vond ik ook raar, met dat er geen controle is van de output contactoren.
Maar kan het zijn dat bij een pnoz s4 het alleen maar mogelijk is om deze dual channel te gebruiken en dit voor noodstoppen en lichtschermen? En het dus maw. niet mogelijk is om de contacten van de output te controleren?

"Wat doet die 01K1 daar? Dat lijkt me werkelijk of iemand daar een heel erg slecht idee heeft gehad."
Dit is een contact van een relais die aangesloten is op de plc. Men heeft deze geplaatst zodat men via de computer de veiligheidsrelais kan resetten.

Alvast bedankt

GJ_

Moderator

Die Ple kun je met een CAT2 onmogelijk halen, dat is simpel.

Weet je ook op grond waarvan die Ple noodzakelijk is?
Zoek eens uit welk traject er te bewandelen is om tot dit soort conclusies te komen.

Die 01K1 moet weg. Ik weet niet wie dat bedacht heeft maar die hebben ze denk ik een keer hard op z'n hoofd laten stuiteren.
Nou is een norm geen wet natuurlijk, maar als er iemand in die machine opgekreukeld word gaat de verantwoordelijke er voor bloeden.
Bovendien is het ook nog eens verboden volgens de MR en dat is wel een wet.

Het is toch vrij gangbaar om de terugmeldkontakten van de magneetschakelaars gewoon te gebruiken, zodat je nooit handmatig, of kontakten die plakken, de beveiliging kan omzeilen.
Inschakelen zou alleen moeten kunnen, als ALLE terugmeldingen in orde zijn.Doorverbinden kan ook niet, want ze moeten een keer onderbroken zijn geweest, en dit alles in een bepaalde tijd.

[Bericht gewijzigd door mel op 8 maart 2019 19:45:20 (18%)]

u=ir betekent niet :U bent ingenieur..
GJ_

Moderator

Dat hoeft niet, alleen eindig je dan met een CAT B of een CAT 1. En je komt nooit hoger dan Plc. En voor CAT 1 heb je als extra nadeel dat je MTTFd altijd hoog moet zijn, anders haal je niks.
MTTFd hoog = 30jaar < MTTFd < 100jaar

Bedankt allemaal voor de respons.

In mijn vorige post heb ik mij wat versproken over het PL niveau.
Het nodige PL niveau is namelijk c ipv e.

Volgens de informatie die ik op het internet vind (en van jullie), is dus cat B, 1 hiervoor dus voldoende. En voldoet de getekende opstelling dus. (al is het wel interessant om de contacten van de contactor op te nemen op de veiligheidsrelais, zodat we cat 2 behalen).

Over die reset contactor, als ik het dus goed begrijp mag het contact van die contactor daar niet staan. En mag er in de reset kring dus enkel een contact staan van een resetdrukknop. (weet jullie ook waar dit terug te vinden is in de machinerichtlijnen? Want ik vind hierover niets terug).

Ik heb via Pascal (Pilz) ook de MTTFd laten bereken, en daaruit blijkt dus wel dat ik de juiste MTTFd behaal.

Alvast bedankt.

GJ_

Moderator

Op 11 maart 2019 09:10:53 schreef Willemdes:
Volgens de informatie die ik op het internet vind (en van jullie), is dus cat B, 1 hiervoor dus voldoende.

CAT. B is onvoldoende, CAT.1 is voldoende.

Over die reset contactor, als ik het dus goed begrijp mag het contact van die contactor daar niet staan. En mag er in de reset kring dus enkel een contact staan van een resetdrukknop. (weet jullie ook waar dit terug te vinden is in de machinerichtlijnen? Want ik vind hierover niets terug).

Beter lezen, juist interpreteren en de wet niet letterlijk nemen maar proberen in de geest van de wet te handelen. Oftewel, probeer geen "gaten in de wet" te vinden. Dat is onacceptabel!
En je gezonde verstand gebruiken. Wat gebeurt er als die computer vasthangt? En dus continue op reset "drukt".

Ik heb via Pascal (Pilz) ook de MTTFd laten bereken, en daaruit blijkt dus wel dat ik de juiste MTTFd behaal.

Heb je naar die uitkomst toegerekend? Want ik zie zomaar nog geen echt hoge MTTFd tevoorschijn komen. Dat kon nog wel eens meevallen

@GJ,

Als die PNOZ s4 in de mode "Bewaakte start met stijgende flank wordt gezet" zegt mijn gevoel dat een reset via een hulprelais wel geoorloofd is. De resetknop kan dan bijvoorbeeld in de HMI geïmplementeerd worden. Wat denk jij?

De beoogde stand van de modus selectie knop hoort er overigens wel bijgetekend te worden in het schema.

[Bericht gewijzigd door (nog) amateur op 11 maart 2019 11:34:35 (19%)]

GJ_

Moderator

Okay, dan staat die PC dat relais flapperend aan te sturen. Ook niet voor het eerst dat ik dat zie. Dit is echt niet de bedoeling. En heeft die PC zelf vrij zicht op de installatie? (denk er om dat ie niet eens ogen heeft)

Hoezo klapperend?

Ik stel mij een resetknop op de HMI voor, waarmee het hulprelais via een PLC uitgang als volgt wordt aangestuurd:

Q_ResetEstop := HMI_ResetEstopButton AND NOT I_EStopOK;

Soms is de HMI de enige gebruikersinterface die is voorzien. Die is natuurlijk zodanig geplaatst dat je vanuit hier vrij zicht op de installatie hebt.

Aha, wellicht met een SCADA- of om het even wat voor visualisatie applicatie.

GJ_

Moderator

Maakt niet uit, het is heel moeilijk te verdedigen. Bovendien stuurt een SCADA nooit iets aan, dat loopt altijd nog via een PLC.
Ik mag graag veel functies in een HMI stoppen maar een reset en een gewone start en stop hou ik graag fysiek aanwezig. Bovendien zit meestal niet op iedere bedienpost een HMI.

Via een HMI resetten is een bedenkelijk ding. Die reset moet geschieden via een hiervoor bestemd bedienorgaan. Een HMI is voor nog veel meer bestemd, en bovendien is het te verdedigen dat dit op een HMI per abuis bediend kan worden.

Inderdaad, het relais wordt volgens TS via de PLC aangestuurd.

Zolang het veiligheidsrelais enkel reageert op een flank van het reset signaal, zie ik nog steeds geen bezwaar om dit reset signaal via een SCADA/HMI/visualisatie i.c.m. met een PLC te laten lopen.

Edit @GJ hierboven:
Start, stop en reset wat mij betreft geen bezwaar via een HMI of SCADA. Indien de apparatuur hier niet automatisch in voorziet: wel degelijk afhandelen dat wegvallen of hervatten van communicatie niet tot spontane bedieningen leidt. Maar dat moet sowieso, want vaak zitten er ook een hoop handbedieningsknoppen in die eveneens niet onterecht bediend mogen worden.

Die reset moet geschieden via een hiervoor bestemd bedienorgaan

Letterlijke quote uit de machinerichtlijn of algemeen geaccepteerde normen? Dan begrijp ik je bedenking.

...is het te verdedigen dat dit op een HMI per abuis bediend kan worden.

Dat vind ik wel wat ver gaan. Hetzelfde geld immers voor de knop. Het is eigenlijk altijd wel te verdedigen dat er iets fout kan gaan. Alleen, wat is de kans...?

Anyway, ik begrijp je keuze wel. Met een drukknop is de kans op een bediening anders dan van de operator sowieso erg klein. Indien e.e.a. via PLC met HMI/SCADA loopt, vergt het wel de nodige aandacht.

[Bericht gewijzigd door (nog) amateur op 11 maart 2019 13:33:05 (34%)]

Idd, pnoz s4 is inderdaad ingesteld op 'bewaakte start met stijgende flank.' Dus ingesteld net zoals hieronder beschreven.
(ook voor de duidelijkheid, PC stuurt plc, Plc stuurt contactor)

""* Tweekanalig bedrijf met detectie van onderlinge sluiting: redundant ingangscircuit,
detecteert
– aardsluitingen in het start- en ingangangscircuit,
– kortsluitingen in het ingangscircuit en bij bewaakte start ook in het startcircuit,
– onderlinge sluitingen in het ingangscircuit.

* Bewaakte start met stijgende flank: Apparaat wordt actief, wanneer het ingangscircuit gesloten is en na afloop van de wachttijd (zie techn. gegevens) het startcircuit gesloten wordt.""

Dus ik begrijp hieruit dat als zelf de contactor van de plc raar doet de pnoz niet zomaar kan gereset worden. Nuja, ik zal toch duidelijk vermelden in mijn eindwerk (zoals GJ_ zegt) dat software en veiligheid niet de beste combinaties zijn.

Om nog eens terug te keren op de mttfd waarde, dit zijn de waardes die ik verkrijg uit Pascal (pilz):
https://gyazo.com/064e37f50b251f086ab5c55cf8c4a654

Stel mij nu wel vragen over wat er precies bedoeld worden met cat 3, 4 en 1 (in pascal). Zou deze voor het volledig systeem niet dezelfde moeten zijn? Want hoe het nu vermeld staat wil dit zeggen dat logica, input en output een andere cat. kunnen hebben?

GJ_

Moderator

Een stop via HMI mag wel, maar alleen via de HMI is niet toegestaan. Iedere bedienpost moet een stopknop hebben. Deze moet voorrang op alle andere functies hebben. Een HMI is over het algemeen niet multitouch, dus als je met je vingers eerst een verkeerd deel van het scherm raakt heb je geen stop.

Die stop is overigens ook de reden dat veel machines niet aan de richtlijn voldoen. Hoeveel machines hebben bijvoorbeeld nog 5/2 ventielen om cilinders aan te sturen? Mag niet.

Op 11 maart 2019 13:25:53 schreef GJ_: Een HMI is over het algemeen niet multitouch, dus als je met je vingers eerst een verkeerd deel van het scherm raakt heb je geen stop.

Goed punt, die herken ik.

Hoeveel machines hebben bijvoorbeeld nog 5/2 ventielen om cilinders aan te sturen? Mag niet.

Die 5/2 kom ik vollop tegen. Wel in combinatie met een redundant hoofdlucht ventiel (Safety valve). Dan nog steeds fout?

Het is de bedoeling, dat bij een noodstop, ALLE bediende organen, die worden aangestuurd, stokstijf blijven staan..Ze mogen dus NIET naar de startpositie gaan.Dat krijg je dus wel bij een 5/2 ventiel..
Met eeen safety valve ZOU het kunnen, maar dan hangt alles af van het onberispelijk werken van dat ene ventiel...

u=ir betekent niet :U bent ingenieur..
GJ_

Moderator

Ik heb het niet eens over de noodstop maar over de gewone operationele stop. Dan mag wel alles eerst naar rust maar dan moet alle energie zijn afgesloten. En met een 5/2 is dat niet het geval.
En met een gewone stop word nooit een veiligheidsventiel afgesloten.

En dus verboden.

Punt is dat hier weinig te halen valt. Alle veiligheidscursussen zijn gesponsord door diegenen die er geld aan verdienen. Aan de norm wel te verstaan, want die worden door die bedrijven zelf gemaakt. Bij al die cursussen word de wet zelf overgeslagen.

Iedere machine is weer anders..Begin gewoon met een inventaris op te maken wat er gaat gebeuren, en misschien wat KAN gebeuren, en waarom. Als je die en die funtie gebruikt, en wat er kan gebeuren als dat niet werkt..Er kan immers altijd iets kapot gaan.Gezond verstand , daar begint het ontwerpen mee.. :)

u=ir betekent niet :U bent ingenieur..

De machine in het bedrijf kan enkel bedient worden dmv een PC. En heeft dus geen fysieke drukknoppen. Buiten een reset en noodstop gerekend.
Dit allemaal mag dus niet volgens de machinerichtlijnen?

Op 11 maart 2019 13:51:25 schreef GJ_:
En met een gewone stop word nooit een veiligheidsventiel afgesloten.

Dat herken ik! Het veiligheidsventiel wordt dan pas afgeschakeld als het hekwerk of een deur wordt geopend. Zolang er daardoor niets plots in beweging komt (dus geen cilinders die zware lasten omhoog houden) dan ziet niemand daar kwaad in, maar ik begrijp wel dat de richtlijn hier geen onderscheid in maakt.

@GJ hieronder: dank voor de tip. Ben nog eens in de richtlijn gaan lezen en het staat er inderdaad erg letterlijk! Normale stop --> energie moet van de aandrijvingen. Waarom zetten die werktuigbouwers er toch vaak allemaal 5/2 in? Goedkoper zeker? Ik zal mijn lichte topic kaping hierna overigens beëindigen :)

GJ_

Moderator

Er is wel een onderscheid: na een gewone stop moet alle energietoevoer worden afgesloten, maar dat hoeft niet met veilige componenten. Dus een gewone 5/3 is al voldoende. En naar motoren de normale contactor niet aansturen is ook voldoende. Plus dat je er de tijd voor mag nemen.