Funktionsbeschreibung

Der sicherheitsbezogene Funktionsbaustein SF_MutingPar_2Sensor realisiert in einer Anwendung die Sicherheitsfunktion "paralleles Muting mit zwei Sensoren und Override-Funktion".
Er wertet dazu folgende Signale aus:

Die Signale von zwei Muting-Sensoren,
das Statussignal der Schutzeinrichtung (Lichtgitter),
das Rückmeldesignal der Muting-Lampe,
ein Freigabesignal für den Muting-Vorgang,
ein Anforderungssignal für die Override-Funktion.

Über S_StartReset kann eine Anlaufsperre vorgegeben werden.

Entsprechend den anliegenden Eingangssignalen steuert der Funktionsbaustein das Freigabesignal an Ausgang S_AOPD_Out. Er führt an diesem Ausgang Stopp-Kategorie 0 aus.

Hinweis
Das Signal an Ausgang S_AOPD_Out ist das Freigabesignal für den gesamten Prozess. Um die Freigabe oder entsprechend die Anforderung des definierten sicheren Zustandes im funktionalen Sicherheitssystem zu verarbeiten, muss das Signal in der Sicherheitslogik entsprechend verknüpft werden, so dass ein SAFEFALSE-Signal an Ausgang S_AOPD_Out zur Abschaltung der Anwendung des Betriebsbereiches führt.

Dieses Thema enthält folgende Informationen:

Muting-Vorgang (ohne Override-Funktion)

Der gesamte Muting-Vorgang teilt sich in verschiedene Muting-Sequenzen.

Absicherung des Betriebsbereiches.
Die Schutzeinrichtung ist aktiv, wenn Muting nicht aktiv ist: Erkennt der Funktionsbaustein an den Muting-Eingängen keinen aktiven Muting-Vorgang, führt ein SAFEFALSE-Signal vom Lichtgitter ("Gegenstand erkannt") zum definierten sicheren Zustand SAFEFALSE an Ausgang S_AOPD_Out (z.B. "Maschine stoppen").
Aktivierung des Muting-Vorgangs.
Die Schutzeinrichtung wird deaktiviert: Wenn innerhalb der an DiscTimeEntry eingestellten Diskrepanzzeit ein Zustandswechsel der Muting-Sensoren von SAFEFALSE auf SAFETRUE erfolgt (z.B. weil beide Sensoren einen für den Muting-Vorgang zulässigen Gegenstand erkennen), wird der Muting-Vorgang aktiviert und die Schutzeinrichtung deaktiviert.
Muting-Vorgang ist aktiv.
Solange der Muting-Vorgang aktiv ist (z.B. weil beide Sensoren einen für den Muting-Vorgang zulässigen Gegenstand erkennen), ist die Schutzeinrichtung deaktiviert: Ein SAFEFALSE-Signal vom Lichtgitter ("Gegenstand erkannt") führt dann nicht zu einem Wechsel in den definierten sicheren Zustand SAFEFALSE an Ausgang S_AOPD_Out (z.B. "Maschine stoppen"). Der Muting-Vorgang muss innerhalb der maximalen Muting-Zeit MaxMutingTime beendet sein. Andernfalls wechselt Ausgang S_AOPD_Out in den definierten sicheren Zustand SAFEFALSE (z.B. "Maschine stoppen").
Abschluss des Muting-Vorgangs.
Die Schutzeinrichtung wird wieder aktiviert: Der Muting-Vorgang ist abgeschlossen, sobald ein Muting-Sensor von SAFETRUE auf SAFEFALSE wechselt (d.h. keinen Gegenstand mehr im Erfassungsbereich erkennt). Gleichzeitig wird die Schutzeinrichtung mit Ausgang S_MutingActive = SAFEFALSE wieder aktiv.

Muting-Fehler

Fehler, die während des Muting-Vorgangs auftreten, werden als Muting-Fehler bezeichnet. Dadurch wird das Muting unterbrochen und die Schutzeinrichtung aktiviert. Die Schutzeinrichtung kann dann durch die Override-Funktion vorübergehend deaktiviert werden (siehe unten).

Muting-Fehler sind:

Ablauf der Diskrepanzzeit DiscTimeEntry.
Ablauf der maximalen Muting-Zeit MaxMutingTime.
Ungültige Muting-Sequenz (durch entsprechendes Signalverhalten an den Eingängen S_MutingSwitch11, S_MutingSwitch12 und MutingEnable).
Defekte Muting-Lampe (S_MutingLamp = FALSE).

Wenn Override nicht angefordert ist, verhalten sich die Ausgänge im Falle eines Muting-Fehlers wie folgt:

Ausgang S_AOPD_Out wechselt in den definierten sicheren Zustand SAFEFALSE (z.B. "Maschine stoppen"),
Ausgang Error wechselt auf TRUE.

Override-Funktion

Wenn das Muting durch das Auftreten eines Fehlers (z.B. Überschreitung der maximalen Muting-Zeit MaxMutingTime durch einen unzulässigen Gegenstand) unterbrochen wird, führt dies zu einer Aktivierung der Schutzeinrichtung. Diese kann durch die Override-Funktion vorübergehend deaktiviert werden, z.B. um den unzulässigen Gegenstand aus dem Betriebsbereich herauszubewegen.

Die Override-Funktion kann nur verwendet werden, wenn vorher ein Muting-Fehler aufgetreten ist. Der Ablauf ist dann wie folgt:

Normaler Ablauf des Muting-Vorgangs entsprechend den oben beschriebenen Schritten 1-3.
- Absicherung des Betriebsbereichs durch Aktivieren der Schutzeinrichtung.
- Aktivierung des Muting-Vorgangs und Deaktivierung der Schutzeinrichtung durch das Muting.
Muting-Fehler tritt auf (siehe Beschreibung oben).
Das Muting wird unterbrochen, z.B. durch einen unzulässigen Gegenstand. Ausgang Error wechselt auf TRUE und Ausgang S_AOPD_Out wechselt in den definierten sicheren Zustand SAFEFALSE (z.B. "Maschine stoppen"). Ein Override-Vorgang ist jetzt möglich (Ausgang OverridePossible = TRUE).
Override wird durch den Bediener gestartet.
Wenn Ausgang OverridePossible = TRUE, kann durch ein SAFETRUE-Signal an Eingang S_StartStopOverride ein Override-Vorgang gestartet werden. Dadurch startet der Override-Timer (Eingang MaxOverrideTime). Das Starten erfolgt durch das Betätigen des verschalteten Befehlsgeräts und muss während der gesamten Override-Dauer aufrecht erhalten werden (z.B. durch einen Schlüsselschalter).
Solange der Override-Vorgang aktiv ist, ist die Schutzeinrichtung deaktiviert. Ein SAFEFALSE-Signal vom Lichtgitter ("Gegenstand erkannt") führt dann nicht zu einem Wechsel in den definierten sicheren Zustand SAFEFALSE an Ausgang S_AOPD_Out (z.B. „Maschine stoppen“). Der unzulässige Gegenstand kann jetzt aus dem Betriebsbereich bewegt werden.
Unterbrechen oder Beenden des Override-Vorgangs.
Der Override-Vorgang wird unterbrochen, sobald der Bediener das Befehlsgerät (z.B. einen Schlüsselschalter) loslässt (Eingang StartStopOverride = SAFEFALSE). Ausgang OverrideActive wird FALSE und S_AOPD_Out steuert in den definierten sicheren Zustand SAFEFALSE (z.B. „Maschine stoppen“) und der Override-Timer MaxOverrideTime läuft weiter. Der Override-Vorgang kann wieder gestartet werden, solange MaxOverrideTime nicht abgelaufen ist.
Override wird automatisch beendet, wenn alle Muting-Sensoren und das Lichtgitter keinen Gegenstand mehr erkennen oder wenn der Override-Timer MaxOverrideTime abgelaufen ist.

Beispiel für einen Muting-Vorgang (ohne Override-Funktion)

Die folgende Abbildung zeigt einen exemplarischen Muting-Vorgang.

Hinweis
Die Sensorstrahlunterbrechung kann auch in anderer Reihenfolge stattfinden.

Hinweis
In der Abbildung werden nur die Werte der für die Darstellung relevanten Eingänge und Ausgänge genannt.

Es bedeuten:

MS_11: Muting-Sensor 1 (oben), angeschlossen an Bausteineingang S_MutingSwitch11.
MS_12: Muting-Sensor 2 (unten), angeschlossen an Bausteineingang S_MutingSwitch12.
Signaleinheit (z.B. Lampe) "Muting aktiv", gesteuert durch Bausteinausgang S_MutingActive.
S/R: Schutzeinrichtung (z.B. Lichtgitter), bestehend aus Sender (S) und Empfänger (R), angeschlossen an Bausteineingang S_AOPD_In. Die Funktion dieser Schutzeinrichtung wird durch den Muting-Vorgang deaktiviert/aktiviert.

Die Lichtstrahlen beider Muting-Sensoren sind nicht unterbrochen. Muting-Vorgang (noch) nicht aktiv.

Der Lichtstrahl des oberen Muting-Sensors wird durch einen Gegenstand unterbrochen. Der Muting-Vorgang wird dadurch gestartet.

Timer DiscTimeEntry startet (Messung der Diskrepanzzeit).

Timer MaxMutingTime startet (Messung der Dauer des Muting-Vorgangs).

Lichtstrahl des ersten Muting-Sensors bleibt unterbrochen.

Lichtstrahl des zweiten Muting-Sensors wird ebenfalls unterbrochen. Dies geschieht innerhalb der an DiscTimeEntry vorgegebenen Zeitspanne (Timer DiscTimeEntry stoppt).

Muting ist aktiviert (S_MutingActive steuert auf SAFETRUE).

Timer MaxMutingTime läuft weiter.

In diesem Zustand ist die Schutzeinrichtung nicht aktiv, d.h. ein SAFEFALSE an S_AOPD_In führt nicht zu SAFEFALSE an S_AOPD_Out.

Der Gegenstand befindet sich bereits hinter der Schutzeinrichtung (z.B. Lichtgitter). Der Lichtstrahl eines Muting-Sensors ist bereits nicht mehr unterbrochen (S_MutingSwitch12 ist wieder SAFEFALSE), dadurch steuert S_MutingActive wieder auf SAFEFALSE: Muting wieder inaktiv.

Der Wechsel von SAFETRUE auf SAFEFALSE an Eingang S_MutingSwitch12 stoppt die Zeitmessung MaxMutingTime. Da der Muting-Vorgang innerhalb der an MaxMutingTime vorgegebenen Zeitspanne abgeschlossen wurde, bleibt Ausgang S_AOPD_Out auf SAFETRUE und es wird kein Fehler erkannt (Error bleibt FALSE).

In diesem Zustand ist die Schutzeinrichtung wieder aktiv, d.h. ein SAFEFALSE an S_AOPD_In führt zu SAFEFALSE an S_AOPD_Out.

Beispiel für einen Muting-Vorgang (mit Override-Funktion)

Wenn im oben beschriebenen exemplarischen Muting-Vorgang während des aktivierten Mutings ein Fehler auftritt, dann entfällt der letzte Schritt (Muting wieder inaktiv). Alle Voraussetzungen für einen Override-Vorgang sind dann erfüllt und der weitere Ablauf ist wie nachfolgend gezeigt.

Es tritt ein Muting-Fehler auf (z.B. maximale Muting-Zeit MaxMutingTime ist überschritten, da der Gegenstand zu lang ist). Muting ist unterbrochen (S_MutingActive steuert auf SAFEFALSE, Error auf TRUE).

Der Lichtstrahl mindestens einer der beiden Muting-Sensoren und/oder der Schutzeinrichtung bleibt unterbrochen.

In diesem Zustand ist die Schutzeinrichtung wieder aktiv, d.h. ein SAFEFALSE an S_AOPD_In führt zu SAFEFALSE an S_AOPD_Out.

Die Voraussetzungen für die Override-Funktion sind gegeben (OverridePossible=TRUE).

Der Override-Vorgang wird vom Bediener über das Befehlsgerät gestartet (Eingang S_StartStopOverride = SAFETRUE). Die Override-Funktion ist aktiviert (Ausgang OverrideActive = TRUE). Die Sicherheitsabschaltung wird vorübergehend aufgehoben, Ausgang S_AOPD_Out wird SAFETRUE und Ausgang Error steuert auf FALSE.

Der Override-Timer startet.

Der Lichtstrahl mindestens einer der beiden Muting-Sensoren und/oder der Schutzeinrichtung bleibt solange unterbrochen, bis der Gegenstand aus dem Betriebsbereich herausbewegt wurde.

Der Gegenstand befindet sich wieder außerhalb des Betriebsbereichs, d.h. Lichtgitter und Muting-Sensoren sind nicht mehr unterbrochen (S_AOPD_In = SAFETRUE, S_MutingSwitch11 und S_MutingSwitch12 = SAFEFALSE).

Der Override-Vorgang wird automatisch beendet. OverridePossible und OverrideActive steuern auf FALSE.

Der Bediener lässt das Befehlsgerät (z.B. einen Schlüsselschalter) los.

Die Zeitmessung an MaxOverrideTime wird gestoppt.

In diesem Zustand ist die Schutzeinrichtung wieder aktiv, d.h. ein SAFEFALSE an S_AOPD_In führt zu SAFEFALSE an S_AOPD_Out.

Hinweis
Da der Override-Vorgang in diesem Beispiel innerhalb der am Eingang MaxOverrideTime vorgegebenen Zeit abgeschlossen wurde, bleibt Ausgang S_AOPD_Out auf SAFETRUE und es wird kein Fehler erkannt (Error bleibt FALSE). Eine Überschreitung würde zu einem Fehler (Ausgang Error = TRUE) führen und Ausgang S_AOPD_Out würde in den definierten sicheren Zustand SAFEFALSE gesteuert (z.B. "Maschine abschalten").

Anlaufsperre (S_StartReset)

Über S_StartReset wird die Anlaufsperre bei Bausteinaktivierung und/oder dem Start der Sicherheitssteuerung vorgegeben.

S_StartReset = SAFEFALSE Nach dem Start der Sicherheitssteuerung und/oder nach Bausteinaktivierung an Eingang Activate ist die Anlaufsperre aktiv. Die Anlaufsperre wird erst durch eine positive Signalflanke an Eingang Reset aufgehoben.
Beachten Sie die erste Warnung unter dieser Tabelle.

S_StartReset = SAFETRUE Nach dem Start der Sicherheitssteuerung und/oder nach Bausteinaktivierung an Eingang Activate ist keine Anlaufsperre aktiv.
Beachten Sie die zweite Warnung unter dieser Tabelle.

Das Aufheben der Anlaufsperre durch eine positive Signalflanke an Eingang Reset kann dazu führen, dass Ausgang S_AOPD_Out sofort auf SAFETRUE gesteuert wird (in Abhängigkeit der Zustände an den übrigen Eingängen).

WARNUNG

Unbeabsichtigter Betriebsstart

Prüfen Sie, welche Auswirkungen die Aufhebung der Anlaufsperre durch eine positive Signalflanke an Eingang Reset hat.

Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen bei der Aufhebung der Anlaufsperre zu verhindern.

Betreten Sie den Betriebsbereich nicht, wenn Sie die Anlaufsperre aufheben.

Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, wenn die Anlaufsperre aufgehoben wird.

Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.

WARNUNG

Nichterfüllen der Sicherheitsanforderungen

Prüfen Sie vor der Inbetriebnahme die Auswirkungen einer deaktivierten Anlaufsperre (S_StartReset = SAFETRUE) auf Ihre Maschine bzw. Ihren Prozess.

Beachten Sie die vorgegebenen Richtlinien in relevanten Sektornormen bezüglich der Anlaufsperre.

Stellen Sie sicher, dass an anderer Stelle oder mit anderen Mitteln eine geeignete Anlaufsperre realisiert ist, wenn die Anlaufsperre durch die Einstellung S_StartReset = SAFETRUE deaktiviert ist.

	Die Lichtstrahlen beider Muting-Sensoren sind nicht unterbrochen. Muting-Vorgang (noch) nicht aktiv.
	Der Lichtstrahl des oberen Muting-Sensors wird durch einen Gegenstand unterbrochen. Der Muting-Vorgang wird dadurch gestartet. Timer DiscTimeEntry startet (Messung der Diskrepanzzeit). Timer MaxMutingTime startet (Messung der Dauer des Muting-Vorgangs).
	Lichtstrahl des ersten Muting-Sensors bleibt unterbrochen. Lichtstrahl des zweiten Muting-Sensors wird ebenfalls unterbrochen. Dies geschieht innerhalb der an DiscTimeEntry vorgegebenen Zeitspanne (Timer DiscTimeEntry stoppt). Muting ist aktiviert (S_MutingActive steuert auf SAFETRUE). Timer MaxMutingTime läuft weiter. In diesem Zustand ist die Schutzeinrichtung nicht aktiv, d.h. ein SAFEFALSE an S_AOPD_In führt nicht zu SAFEFALSE an S_AOPD_Out.
	Der Gegenstand befindet sich bereits hinter der Schutzeinrichtung (z.B. Lichtgitter). Der Lichtstrahl eines Muting-Sensors ist bereits nicht mehr unterbrochen (S_MutingSwitch12 ist wieder SAFEFALSE), dadurch steuert S_MutingActive wieder auf SAFEFALSE: Muting wieder inaktiv. Der Wechsel von SAFETRUE auf SAFEFALSE an Eingang S_MutingSwitch12 stoppt die Zeitmessung MaxMutingTime. Da der Muting-Vorgang innerhalb der an MaxMutingTime vorgegebenen Zeitspanne abgeschlossen wurde, bleibt Ausgang S_AOPD_Out auf SAFETRUE und es wird kein Fehler erkannt (Error bleibt FALSE). In diesem Zustand ist die Schutzeinrichtung wieder aktiv, d.h. ein SAFEFALSE an S_AOPD_In führt zu SAFEFALSE an S_AOPD_Out.

	Es tritt ein Muting-Fehler auf (z.B. maximale Muting-Zeit MaxMutingTime ist überschritten, da der Gegenstand zu lang ist). Muting ist unterbrochen (S_MutingActive steuert auf SAFEFALSE, Error auf TRUE). Der Lichtstrahl mindestens einer der beiden Muting-Sensoren und/oder der Schutzeinrichtung bleibt unterbrochen. In diesem Zustand ist die Schutzeinrichtung wieder aktiv, d.h. ein SAFEFALSE an S_AOPD_In führt zu SAFEFALSE an S_AOPD_Out. Die Voraussetzungen für die Override-Funktion sind gegeben (OverridePossible=TRUE).
	Der Override-Vorgang wird vom Bediener über das Befehlsgerät gestartet (Eingang S_StartStopOverride = SAFETRUE). Die Override-Funktion ist aktiviert (Ausgang OverrideActive = TRUE). Die Sicherheitsabschaltung wird vorübergehend aufgehoben, Ausgang S_AOPD_Out wird SAFETRUE und Ausgang Error steuert auf FALSE. Der Override-Timer startet. Der Lichtstrahl mindestens einer der beiden Muting-Sensoren und/oder der Schutzeinrichtung bleibt solange unterbrochen, bis der Gegenstand aus dem Betriebsbereich herausbewegt wurde.
	Der Gegenstand befindet sich wieder außerhalb des Betriebsbereichs, d.h. Lichtgitter und Muting-Sensoren sind nicht mehr unterbrochen (S_AOPD_In = SAFETRUE, S_MutingSwitch11 und S_MutingSwitch12 = SAFEFALSE). Der Override-Vorgang wird automatisch beendet. OverridePossible und OverrideActive steuern auf FALSE. Der Bediener lässt das Befehlsgerät (z.B. einen Schlüsselschalter) los. Die Zeitmessung an MaxOverrideTime wird gestoppt. In diesem Zustand ist die Schutzeinrichtung wieder aktiv, d.h. ein SAFEFALSE an S_AOPD_In führt zu SAFEFALSE an S_AOPD_Out.

S_StartReset = SAFEFALSE	Nach dem Start der Sicherheitssteuerung und/oder nach Bausteinaktivierung an Eingang Activate ist die Anlaufsperre aktiv. Die Anlaufsperre wird erst durch eine positive Signalflanke an Eingang Reset aufgehoben. Beachten Sie die erste Warnung unter dieser Tabelle.
S_StartReset = SAFETRUE	Nach dem Start der Sicherheitssteuerung und/oder nach Bausteinaktivierung an Eingang Activate ist keine Anlaufsperre aktiv. Beachten Sie die zweite Warnung unter dieser Tabelle.