Validierung
Einzig und allein Sie als Anwender, Maschinenbauer oder Systemintegrator sind sich sämtlicher Bedingungen und Faktoren bewusst, die im Design der Anwendung für die Maschine realisiert sind. Daher können nur Sie bestimmen, welche Automatisierungsgeräte und dazugehörige Sicherheiten und Verriegelungen verwendet werden können und deren Verwendung validieren.
WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Validieren Sie die gesamte Sicherheitsfunktion und prüfen Sie die Applikation sorgfältig.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Ungültiges Signal des Schalters oder der Spule im verriegelten Zustand
Um den Ausgang S_GuardLocked des sicherheitsbezogenen Funktionsbausteins SF_GuardLocking auf SAFETRUE steuern zu können, muss die Schutzeinrichtung geschlossen und die Zuhaltung verriegelt sein.
Im geschlossenen und verriegelten Zustand müssen die Signale an den Eingängen S_GuardMonitoring und S_GuardLock den Wert SAFETRUE aufweisen. Wird an einem oder beiden Eingängen der Wert SAFEFALSE erkannt, steuert Ausgang S_GuardLocked auf SAFEFALSE, verbleibt in diesem definierten sicheren Zustand und es wird eine Fehlermeldung (Error = TRUE) ausgegeben.
Fehlerhafte Statusmeldung des Betriebsbereichs bei geöffneter Schutzeinrichtung
Ein SAFEFALSE-Signal am Eingang S_GuardMonitoring und/oder S_GuardLock interpretiert der Funktionsbaustein als geöffnete und/oder entriegelte Schutzeinrichtung.
Während die Schutzeinrichtung geöffnet und/oder entriegelt ist, muss durch ein SAFETRUE-Signal am Eingang S_SafetyActive der definierte sichere Zustand des Betriebsbereichs bestätigt werden. Wenn S_SafetyActive fälschlicherweise auf SAFEFALSE wechselt, bleibt Ausgang S_GuardLocked im definierten sicheren Zustand (S_GuardLocked = SAFEFALSE). Zusätzlich wird der Fehlerausgang Error auf TRUE gesteuert.
Plausibilitätsfehler und Verschaltungsfehler
Plausibilitätsfehler sind Fehler, die beispielsweise durch Überschreiten von Wertebereichen oder unzulässiges Verschalten auftreten. Solche Fehler werden entweder vom Funktionsbaustein selbst oder beim Kompilieren des Projekts erkannt und gemeldet. Bei Verschaltungsfehlern ist das jedoch nicht immer möglich.
So ist es beispielsweise nicht möglich, automatisch zu prüfen, ob:
innerhalb des Gültigkeitsbereichs liegende Werte oder Konstanten an Eingängen für die ausgeführte Sicherheitsfunktion dennoch falsch sind.
Dies gilt nicht für ein statisches TRUE-Signal am Reset-Eingang. Dieses wird vom Funktionsbaustein erkannt und als Fehler gemeldet.
Eingänge und/oder Ausgänge falsch verschaltet oder fälschlicherweise nicht beschaltet sind.
WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Führen Sie eine Validierung der Signale, Formeln, Variablen oder Konstanten durch, die mit den Formalparametern des sicherheitsbezogenen Funktionsbausteins verbunden sind, und prüfen Sie die Anwendung sorgfältig.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Sporadisch wechselnde oder toggelnde Signalpegel oder unzulässige Signale
Werden keine weiteren Maßnahmen zur Fehlervermeidung getroffen, haben sporadisch wechselnde oder toggelnde Signalpegel folgende Auswirkungen:
An flankengesteuerten Eingängen führen solche Signale dazu, dass der Funktionsbaustein das Signal als Flanke interpretiert und ggf. ungewollt eine entsprechende Aktion auslöst.
An den zustandsgesteuerten Eingängen führen solche Signale dazu, dass das Signal eine entsprechende Aktion ggf. ungewollt auslöst.
Unzulässige Signale an Eingängen können zu einem unbeabsichtigten Anlauf oder zur Nichtausführung einer angeforderten Aktion oder zu einem Fehler führen.
Mögliche Ursachen dieser Signale können sein:
Programmierfehler im Anwendungsprogramm (Anwenderfehler).
Querschluss, Kurzschluss und Kabelbruch (Anwenderfehler, Verdrahtungsfehler).
Um dies zu vermeiden, sind je nach Sicherheitsfunktion folgende Maßnahmen möglich:
Verwendung von Signalen von sicherheitsbezogenen Geräten.
Nutzung von Möglichkeiten zur Querschlusserkennung.
Überprüfung des sicherheitsbezogenen Codes im Code-Editor mit abschließender Validierung aller Sicherheitsnetzwerke.
Die genannten Maßnahmen können auch kombiniert werden, um Sie besser bei der Fehlererkennung und Fehlervermeidung zu unterstützen.
Unzulässige statische Signale beim Start der Sicherheitssteuerung
Wenn durch die Einstellung S_StartReset = SAFEFALSE eine Anlaufsperre nach Bausteinaktivierung vorgegeben ist, führt ein statisches TRUE-Signal an Eingang Reset beim Start der Sicherheitssteuerung zu einer Fehlermeldung des Funktionsbausteins (Error = TRUE).
Wenn die Anlaufsperre beim Start der Sicherheitssteuerung nicht verwendet wird (S_StartReset = SAFETRUE), dann ist der Signalzustand an Eingang Reset zu diesem Zeitpunkt nicht relevant. In diesem Fall ist das Signal an Ausgang S_GuardLocked ausschließlich abhängig
vom Status der angeschlossenen Schutzeinrichtung
und von der Einstellung an S_AutoReset (Wiederanlaufsperre).
Um das Risiko eines unbeabsichtigten Anlaufs zu reduzieren, müssen Sie sicherstellen, dass der Eingang Reset nur mit dem Signal einer manuellen Rückstelleinrichtung verschaltet ist. Wie dieses Signal in der Praxis auszuführen ist, ergibt sich aus der Risikoanalyse.
Anlauf der Maschine/Anlage ohne Funktionsprüfung der Schutzeinrichtung
Eine defekte Schutzeinrichtung wird nur durch eine Funktionsprüfung erkannt. Eine Funktionsprüfung wird vom Funktionsbaustein nicht unterstützt.
Mögliche Ursachen für eine defekte Schutzeinrichtung:
Defekte Geräte (Hardware-Fehler)
Querschluss, Kurzschluss und Kabelbruch (Anwenderfehler, Verdrahtungsfehler)
WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Führen Sie eine Validierung der Schutzeinrichtung durch Funktionsprüfungen durch.
Stellen Sie vor der Durchführung der Funktionsprüfungen sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen im Falle eines unbeabsichtigten Verhaltens der Sicherheitslogik zu verhindern.
Betreten Sie den Betriebsbereich nicht, während die Maschine in Betrieb ist.
Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, während die Maschine in Betrieb ist.
Beachten Sie die vorgegebenen Richtlinien in relevanten Sektornormen, wenn die Maschine in einem anderen Betriebsmodus als "in Betrieb" läuft.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
