Umsetzung der Sicherheitsanforderungen aus anzuwendenden Normen

Der sicherheitsbezogene Funktionsbaustein wurde entsprechend den in diesem Kapitel genannten Sicherheitsanforderungen (aus anzuwendenden Normen) entwickelt. Alle weiteren Anforderungen aus diesen Normen müssen Sie bei der Umsetzung der Sicherheitsfunktion beachten.

Dieser Abschnitt beschreibt wie die Funktionsbausteine die Anforderungen der Normen erfüllen bzw. welche Maßnahmen getroffen werden müssen, um diese Anforderungen zu erfüllen.

Normen Kontext / Anforderung Durchführung

EN 61496-1 Anhang Muting Absicherung des Betriebsbereiches (Muting ist nicht aktiv):
Wenn der sicherheitsbezogene Funktionsbaustein keinen aktiven Muting-Vorgang an seinen Eingängen S_MutingSwitch11 und S_MutingSwitch12 erkennt, führt ein SAFEFALSE-Signal an Eingang S_AOPD_In (Lichtgitter) zum definierten sicheren Zustand (SAFEFALSE) des Freigabeausgangs S_AOPD_Out.
Aktivierung des Muting-Vorgangs:
Der Muting-Vorgang wird aktiviert, wenn innerhalb des durch DiscTimeEntry vorgegebenen Zeitfensters beide Eingänge S_MutingSwitch11 und S_MutingSwitch12 von SAFEFALSE auf SAFETRUE wechseln.
Aktiver Muting-Vorgang:
Während der Muting-Vorgang aktiv ist, führt ein SAFEFALSE-Signal an Eingang S_AOPD_In nicht zum definierten sicheren Zustand SAFEFALSE des Ausgangs S_AOPD_Out.
Der aktivierte Muting-Vorgang muss innerhalb der an MaxMutingTime vorgegebenen Zeitdauer beendet sein. Andernfalls nimmt Ausgang S_AOPD_Out den definierten sicheren Zustand SAFEFALSE ein.
Abschluss des Muting-Vorgangs:
Der Muting-Vorgang wird deaktiviert, wenn Eingang S_MutingSwitch11 und/oder Eingang S_MutingSwitch12 von SAFETRUE auf SAFEFALSE wechselt. Ein SAFEFALSE-Signal an Eingang S_AOPD_In steuert dann den Ausgang S_AOPD_Out auf SAFEFALSE.
Ungültige Muting-Sequenzen:
Für den Muting-Vorgang ungültige Zustände an den Eingängen S_MutingSwitch11 und S_MutingSwitch12 führen dazu, dass Ausgang S_AOPD_Out den definierten sicheren Zustand (SAFEFALSE) einnimmt.
Anlaufsperren:
Nach Aktivierung des Funktionsbausteins führt der Funktionsbaustein optional (je nach Vorgabe an S_StartReset) eine Anlaufsperre aus. Nachdem der Funktionsbaustein eine ungültige Muting-Sequenz oder andere Fehler erkannt hat, müssen diese nach der Fehlerbehebung durch einen manuellen Reset quittiert werden. Dieses Verhalten verhindert einen automatischen Wiederanlauf nach Fehlerbeseitigung.
Status des Muting-Vorgangs:
Der Status des Muting-Vorgangs wird an Ausgang S_MutingActive des Funktionsbausteins ausgegeben.

EN IEC 62046:2008 Muting-abhängiges Override Zugriff auf den Betriebsbereich bei Muting-Fehler:
Eine manuell betriebene, muting-abhängige Override-Funktion kann notwendig sein, um Blockierungen von Gegenständen in der Betriebszone aufzulösen. Diese Funktion darf aber nur bei kalkulierbarem Gefahrenpotenzial zur Anwendung kommen, siehe ISO 12100-2, 4.11.9.

Aktivierung:
Override darf nur aktiviert werden, wenn mindestens ein Muting-Sensor aktiv ist und/oder die Schutzeinrichtung deaktiviert ist (Eingang S_AOPD_In = SAFEFALSE). Bei Störungen (anderen gefährlichen Fehlerzuständen) darf es nicht möglich sein, Override zu aktivieren. Es dürfen auch nur Bewegungen ermöglicht werden, um die Blockaden zu lösen und den Gegenstand aus dem Betriebsbereich herauszufahren.

Ausführung:
Die Aktivierung muss durch ein Befehlsgerät mit Rückstellfeder, einen Schlüsselschalter, o.ä., erfolgen. Der Auslöser muss für die Dauer des Override-Vorgangs betätigt (gedrückt) werden und selbsttätig in seine Ausgangsstellung zurückkehren, wenn er losgelassen wird. Er muss an einer Stelle angebracht sein, an welcher der Betriebsbereich während der Aktivierung uneingeschränkt einsehbar ist und wo sich ein NOT-HALT-Befehlsgerät befindet.

Automatisches Beenden:
Override muss automatisch beendet werden,

wenn alle Muting-Sensoren deaktiviert sind und auch das Lichtgitter keinen Gegenstand mehr erkennt (S_AOPD_In = SAFETRUE)

nach Ablauf einer vorher definierten Zeitspanne (MaxOverrideTime)

wenn ein (anderer) Fehler auftritt.

EN ISO 13849-1 Manuelle Rückstellung Der Eingang Reset unterstützt die Funktion einer manuellen Rückstellung.

Hinweis
Abweichend von der Norm EN ISO 13849-1 erfolgt das Rücksetzen nicht wie dort gefordert durch eine negative (fallende) sondern durch eine positive (steigende) Flanke.
Um das Rücksetzen (im Hinblick auf die zwingende Abnahmeprozedur) mit einer fallenden Flanke zu implementieren, verwenden Sie den Funktionsbaustein SF_Reset.

EN ISO 12100-2 Anlauf nach Ausfall der Versorgungsspannung/Spontaner Wiederanlauf Der Funktionsbaustein unterstützt wahlweise den automatischen Anlauf des Funktionsbausteins oder eine Anlaufsperre

nach dem Start der Sicherheitssteuerung und

nach der Bausteinaktivierung durch Anlegen eines TRUE-Signals an Eingang Activate.

Der Funktionsbaustein enthält eine Anlaufsperre

nach einer ungültigen Muting-Sequenz,

nach einer Fehlermeldung des Funktionsbausteins und

nachdem die Sicherheitsfunktion nicht mehr angefordert wird.

Wenn Eingang Activate nicht den Status der sicherheitsbezogenen Geräte wiedergibt, müssen Sie diese Funktion mit anderen Mitteln realisieren.
Planen und realisieren Sie eigenverantwortlich das Anlaufverhalten entsprechend Ihrer Risikoanalyse.
Um einen unbeabsichtigten Anlauf zu verhindern, ist je nach Ergebnis der Risikoanalyse und in Abhängigkeit vom Signalpfad des Rücksetz-Signals und/oder der Einstellung an S_StartReset gegebenenfalls ein zusätzlicher Funktionsstart nach dem Rücksetzen der Sicherheitsfunktion erforderlich.

EN ISO 13849-1 Kategorie B bis 4 Ein- oder zweikanalige Schaltung ist in Abhängigkeit von der Kategorie auszuführen.

Hinweis
Beachten Sie, dass die Querschlussüberwachung nicht vom Funktionsbaustein durchgeführt wird. Diese Überwachung müssen Sie außerhalb dieses Funktionsbausteins im sicherheitbezogenen Steuerungssystem eigenverantwortlich realisieren, z.B. durch Vorschalten eines Funktionsbausteins SF_Equivalent zur Signalauswertung.

EN 60204 Stopp-Funktionen Der Funktionsbaustein (Freigabesignal S_AOPD_Out) führt die Stopp-Kategorie 0 aus.