Fehlervermeidung

Validierung

Einzig und allein Sie als Anwender, Maschinenbauer oder Systemintegrator sind sich sämtlicher Bedingungen und Faktoren bewusst, die im Design der Anwendung für die Maschine realisiert sind. Daher können nur Sie bestimmen, welche Automatisierungsgeräte und dazugehörige Sicherheiten und Verriegelungen verwendet werden können und deren Verwendung validieren.

WARNUNG

Unbeabsichtigter Betriebszustand des Geräts

Validieren Sie die gesamte Sicherheitsfunktion und prüfen Sie die Applikation sorgfältig.

Hinweis
Die berührungslos wirkende Schutzeinrichtung wird in dieser Dokumentation kurz als BWS bezeichnet.

Plausibilitätsfehler und Verschaltungsfehler

Plausibilitätsfehler sind Fehler, die beispielsweise durch Überschreiten von Wertebereichen oder unzulässiges Verschalten auftreten. Solche Fehler werden entweder vom Baustein selbst oder beim Kompilieren des Projekts erkannt und gemeldet. Bei Verschaltungsfehlern ist das jedoch nicht immer möglich.

So ist es beispielsweise nicht möglich, automatisch zu prüfen, ob:

innerhalb des Gültigkeitsbereichs liegende Werte oder Konstanten an Eingängen für die ausgeführte Sicherheitsfunktion dennoch falsch sind.
Dies gilt nicht für ein statisches TRUE-Signal am Reset-Eingang. Dieses wird vom Funktionsbaustein erkannt und als Fehler gemeldet.
Eingänge und/oder Ausgänge falsch verschaltet oder fälschlicherweise nicht beschaltet sind.

WARNUNG

Unbeabsichtigter Betriebszustand des Geräts

Führen Sie eine Validierung der Signale, Formeln, Variablen oder Konstanten durch, die mit den Formalparametern des sicherheitsbezogenen Funktionsbausteins verbunden sind, und prüfen Sie die Anwendung sorgfältig.

Sporadisch wechselnde oder toggelnde Signalpegel oder unzulässige Signale

Werden keine weiteren Maßnahmen zur Fehlervermeidung getroffen, haben sporadisch wechselnde oder toggelnde Signalpegel folgende Auswirkungen:

An flankengesteuerten Eingängen führen solche Signale dazu, dass der Baustein das Signal als Flanke interpretiert und ggf. ungewollt eine entsprechende Aktion auslöst.
An den zustandsgesteuerten Eingängen führen solche Signale dazu, dass das Signal eine entsprechende Aktion ggf. ungewollt auslöst.

Unzulässige Signale an Eingängen können zu einem unbeabsichtigten Anlauf oder zur Nichtausführung einer angeforderten Aktion oder zu einem Fehler führen.

Mögliche Ursachen dieser Signale können sein:

Programmierfehler im Anwendungsprogramm (Anwenderfehler).
Querschluss, Kurzschluss und Kabelbruch (Anwenderfehler, Verdrahtungsfehler).

Um dies zu vermeiden, sind je nach Sicherheitsfunktion folgende Maßnahmen möglich:

Verwendung von Signalen sicherheitsbezogener Geräte.
Nutzung von Möglichkeiten zur Querschlusserkennung.
Überprüfung des sicherheitsbezogenen Codes im Code-Editor mit abschließender Validierung aller Sicherheitsnetzwerke.

Die genannten Maßnahmen können auch kombiniert werden, um Sie besser bei der Fehlererkennung und Fehlervemeidung zu unterstützen.

Unzulässige statische Signale beim Start der Sicherheitssteuerung

Wenn durch die Einstellung S_StartReset = SAFEFALSE eine Anlaufsperre nach Bausteinaktivierung vorgegeben ist, führt ein statisches TRUE-Signal an Eingang Reset beim Start der Sicherheitssteuerung zu einer Fehlermeldung des Funktionsbausteins (Error = TRUE).

Wenn die Anlaufsperre beim Start der Sicherheitssteuerung nicht verwendet wird (S_StartReset = SAFETRUE), dann ist der Signalzustand an Eingang Reset zu diesem Zeitpunkt nicht relevant. In diesem Fall ist das Signal an Ausgang S_ESPE_Out ausschließlich abhängig

vom Status der angeschlossenen Schutzeinrichtung
und von der Einstellung an S_AutoReset (Wiederanlaufsperre).

Unzulässiges statisches TRUE am Reset-Eingang

Wenn der Funktionsbaustein eine positive Flanke zum Rücksetzen erwartet (Anlaufsperre aktiv oder Fehlerzustand), wird ein statisches TRUE-Signal an Reset als Fehler gewertet. Steuern Sie in solchen Fällen Reset auf FALSE, um den Fehlerzustand zu verlassen.

Gleichzeitiger Flankenwechsel

Um das Risiko eines unbeabsichtigten Anlaufs zu reduzieren, müssen Sie sicherstellen, dass der Eingang Reset nur mit dem Signal einer manuellen Rückstelleinrichtung verschaltet ist. Wie dieses Signal in der Praxis auszuführen ist, ergibt sich aus der Risikoanalyse.

Anlauf der Maschine/Anlage ohne Funktionsprüfung der Schutzeinrichtung

Eine defekte Schutzeinrichtung wird nur durch eine Funktionsprüfung erkannt. Eine Funktionsprüfung wird vom Funktionsbaustein nicht unterstützt.

Mögliche Ursachen für eine defekte Schutzeinrichtung:

Defekte Geräte (Hardware-Fehler)
Querschluss, Kurzschluss und Kabelbruch (Anwenderfehler, Verdrahtungsfehler)

WARNUNG

Unbeabsichtigter Betriebszustand des Geräts

Führen Sie eine Validierung der Schutzeinrichtung durch Funktionsprüfungen durch.

Stellen Sie vor der Durchführung der Funktionsprüfungen sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen im Falle eines unbeabsichtigten Verhaltens der Sicherheitslogik zu verhindern.

Betreten Sie den Betriebsbereich nicht, während die Maschine in Betrieb ist.

Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, während die Maschine in Betrieb ist.

Beachten Sie die vorgegebenen Richtlinien in relevanten Sektornormen, wenn die Maschine in einer anderen Betriebsart als "In Betrieb" läuft.

Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.