Validierung
Einzig und allein Sie als Anwender, Maschinenbauer oder Systemintegrator sind sich sämtlicher Bedingungen und Faktoren bewusst, die im Design der Anwendung für die Maschine realisiert sind. Daher können nur Sie bestimmen, welche Automatisierungsgeräte und dazugehörige Sicherheiten und Verriegelungen verwendet werden können und deren Verwendung validieren.
WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Validieren Sie die gesamte Sicherheitsfunktion und prüfen Sie die Applikation sorgfältig.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Mehrere Eingänge S_Mode0 bis S_Mode7 gleichzeitig SAFETRUE oder alle Eingänge gleichzeitig SAFEFALSE
Wenn die Änderung der Betriebsart nicht verriegelt ist (S_Unlock = SAFETRUE), erkennt der Funktionsbaustein nach Ablauf der an ModeMonitorTime eingestellten Zeit einen Fehler, wenn alle Eingänge gleichzeitig ein SAFEFALSE-Signal aufweisen. Sind mehrere Eingänge S_Mode0 bis S_Mode7 gleichzeitig SAFETRUE, wird sofort eine Fehlermeldung ausgegeben (Ausgang Error = TRUE), unabhängig von der an ModeMonitorTime eingestellten Überwachungszeit.
Wenn die eingestellte Betriebsart durch S_Unlock = SAFEFALSE verriegelt ist, wird die Signalkombination an den Eingängen nicht ausgewertet.
Mögliche Ursachen für unzulässige Signalkombinationen können sein:
Querschluss, Drahtbruch, Verdrahtungsfehler (Anwenderfehler, Verdrahtungsfehler).
Fehler des Betriebsartenwahlschalters (Hardware-Fehler).
Zeitfenster für Umschaltvorgang falsch dimensioniert (ModeMonitorTime)
Ist ModeMonitorTime zu kurz eingestellt, gibt der Funktionsbaustein bei jedem Umschaltvorgang einen Fehler aus. Ist das Zeitfenster zu lang eingestellt, werden unzulässige Signalkombinationen oder fehlende Signale an den Eingängen nicht zuverlässig als Fehler erkannt.
Statisches Signal an Eingang S_SetMode
Wenn an Eingang S_SetMode ein statisches SAFETRUE-Signal anliegt, kann der Funktionsbaustein die gewählte Betriebsart nicht an seinen Ausgängen ausgeben. Es ist keine Betriebsart aktiv. Dieser Zustand kann die Verfügbarkeit der Anlage beeinflussen.
Plausibilitätsfehler und Verschaltungsfehler
Plausibilitätsfehler sind Fehler, die beispielsweise durch Überschreiten von Wertebereichen oder unzulässiges Verschalten auftreten. Solche Fehler werden entweder vom Funktionsbaustein selbst oder beim Kompilieren des Projekts erkannt und gemeldet. Bei Verschaltungsfehlern ist das jedoch nicht immer möglich.
So ist es beispielsweise nicht möglich, automatisch zu prüfen, ob:
innerhalb des Gültigkeitsbereichs liegende Werte oder Konstanten an Eingängen für die ausgeführte Sicherheitsfunktion dennoch falsch sind.
Dies gilt nicht für ein statisches TRUE-Signal am Reset-Eingang. Dieses wird vom Funktionsbaustein erkannt und als Fehler gemeldet.
Eingänge und/oder Ausgänge falsch verschaltet oder fälschlicherweise nicht beschaltet sind.
WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Führen Sie eine Validierung der Signale, Formeln, Variablen oder Konstanten durch, die mit den Formalparametern des sicherheitsbezogenen Funktionsbausteins verbunden sind, und prüfen Sie die Anwendung sorgfältig.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Sporadisch wechselnde oder toggelnde Signalpegel oder unzulässige Signale
Werden keine weiteren Maßnahmen zur Fehlervermeidung getroffen, haben sporadisch wechselnde oder toggelnde Signalpegel folgende Auswirkungen:
An flankengesteuerten Eingängen führen solche Signale dazu, dass der Funktionsbaustein das Signal als Flanke interpretiert und ggf. ungewollt eine entsprechende Aktion auslöst.
An den zustandsgesteuerten Eingängen führen solche Signale dazu, dass das Signal eine entsprechende Aktion ggf. ungewollt auslöst.
Unzulässige Signale an Eingängen können zu einem unbeabsichtigten Anlauf oder zur Nichtausführung einer angeforderten Aktion oder zu einem Fehler führen.
Mögliche Ursachen dieser Signale können sein:
Programmierfehler im Anwendungsprogramm (Anwenderfehler).
Querschluss, Kurzschluss und Kabelbruch (Anwenderfehler, Verdrahtungsfehler).
Um dies zu vermeiden, sind je nach Sicherheitsfunktion folgende Maßnahmen möglich:
Verwendung von Signalen von sicherheitsbezogenen Geräten.
Nutzung von Möglichkeiten zur Querschlusserkennung.
Überprüfung des sicherheitsbezogenen Codes im Code-Editor mit abschließender Validierung aller Sicherheitsnetzwerke.
Die genannten Maßnahmen können auch kombiniert werden, um Sie besser bei der Fehlererkennung und Fehlervermeidung zu unterstützen.
Unzulässige statische Signale beim Start der Sicherheitssteuerung
Wenn ein statisches SAFETRUE-Signal an Eingang S_SetMode beim Start der Sicherheitssteuerung anliegt und gleichzeitig S_Unlock = SAFETRUE ist, führt dies zu einer Fehlermeldung des Funktionsbausteins (Ausgang Error = TRUE).
Um das Risiko eines unbeabsichtigten Anlaufs zu reduzieren, müssen Sie sicherstellen, dass der Eingang Reset nur mit dem Signal einer manuellen Rückstelleinrichtung verschaltet ist. Wie dieses Signal in der Praxis auszuführen ist, ergibt sich aus der Risikoanalyse.
Anlauf der Maschine/Anlage ohne Funktionsprüfung der Schutzeinrichtung
Eine defekte Schutzeinrichtung wird nur durch eine Funktionsprüfung erkannt. Eine Funktionsprüfung wird vom Funktionsbaustein nicht unterstützt.
Mögliche Ursachen für eine defekte Schutzeinrichtung:
Defekte Geräte (Hardware-Fehler)
Querschluss, Kurzschluss und Kabelbruch (Anwenderfehler, Verdrahtungsfehler)
WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Führen Sie eine Validierung der Schutzeinrichtung durch Funktionsprüfungen durch.
Stellen Sie vor der Durchführung der Funktionsprüfungen sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen im Falle eines unbeabsichtigten Verhaltens der Sicherheitslogik zu verhindern.
Betreten Sie den Betriebsbereich nicht, während die Maschine in Betrieb ist.
Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, während die Maschine in Betrieb ist.
Beachten Sie die vorgegebenen Richtlinien in relevanten Sektornormen, wenn die Maschine in einem anderen Betriebsmodus als "in Betrieb" läuft.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
