-

Umsetzung der Sicherheitsanforderungen aus anzuwendenden Normen

Der Funktionsbaustein wurde entsprechend den in diesem Kapitel genannten Sicherheitsanforderungen (aus anzuwendenden Normen) entwickelt. Alle weiteren Anforderungen aus diesen Normen müssen Sie bei der Umsetzung der Sicherheitsfunktion beachten.

Im Folgenden ist aufgeführt, wie entweder der Funktionsbaustein Anforderungen aus den Normen erfüllt oder welche Maßnahmen Sie zur Erfüllung der Anforderungen aus den Normen ergreifen müssen.

NormenKontext/AnforderungRealisierung
MRL 98/38/ECHochlaufDer Funktionsbaustein überwacht die Signale eines verschalteten Betriebsartenwahlschalters nach Ablauf eines vorgegebenen Zeitfensters (Überwachungszeit ModeMonitorTime) auf Plausibilität, wenn die Ausgänge nicht gegen Veränderung verriegelt sind (d.h. wenn S_Unlock = SAFETRUE). Bei jeder Eingangs-Kombination an den Eingängen S_ModeX darf immer nur ein Eingangssignal den Zustand SAFETRUE aufweisen. Darüber hinaus dürfen nicht alle Eingänge S_ModeX den Zustand SAFEFALSE aufweisen. Signale, die nach Ablauf des Zeitfensters von diesen Vorgaben abweichen, werden vom Funktionsbaustein als Fehler erkannt.

Desweiteren überwacht der Funktionsbaustein ein Verstellen des angeschlossenen Betriebsartenwahlschalters, wenn die Ausgänge nicht gegen Veränderung verriegelt sind (d.h. wenn S_Unlock = SAFETRUE). Erkennt der Funktionsbaustein dann einen Zustandswechsel an einem der Eingänge S_ModeX, steuert er die Ausgänge S_ModeXSel auf SAFEFALSE.

Optional (AutoSetMode = FALSE) ist in diesem Zustand an Eingang S_SetMode ein Signalwechsel von SAFEFALSE auf SAFETRUE erforderlich, um die veränderte Signalkombination an die Ausgänge S_ModeXSel zu übernehmen. Die von den Ausgängen S_ModeXSel ausgegebenen Werte können Sie am Funktionsbaustein gegen Veränderung sperren, indem Sie Eingang S_Unlock von SAFETRUE auf SAFEFALSE steuern, während die Ausgangssignal-Kombination an den Ausgängen S_ModeXSel ausgegeben wird.
EN ISO 12100-2Auswahl von Steuerungs- und BetriebsartenDer Funktionsbaustein bietet Ihnen die Möglichkeit, eine an den Ausgängen S_ModeXSel ausgegebene Signalkombination gegen Veränderung zu sperren. Hierzu müssen Sie Eingang S_Unlock von SAFETRUE auf SAFEFALSE steuern, während die Ausgangssignal-Kombination an den Ausgängen S_ModeXSel ausgegeben wird. Eine Änderung an den Eingängen S_ModeX hat dann keine Auswirkungen auf die Ausgänge S_ModeXSel.

Führen Sie mit der Signalkombination an den Ausgängen S_ModeXSel logische Verknüpfungen mit der sicherheitsbezogenen Anwendung durch, um die angeforderte Betriebsart in der sicherheitsbezogenen Anwendung programm- und steuerungstechnisch zu realisieren. Diese Verknüpfungen müssen Sie im Programm so realisieren, dass die von Ihnen definierten Funktionen (z.B. Handbetrieb, Automatikbetrieb) mit einem SAFEFALSE-Signal gesperrt oder verriegelt werden. Mit einem SAFETRUE-Signal und einer entsprechenden UND-Verknüpfung werden die definierten Funktionen programmtechnisch freigeschaltet.

Hinweis
Planen, realisieren und validieren Sie die Verknüpfungen entsprechend der Ergebnisse der von Ihnen durchgeführten Risikoanalyse.

EN 60204-1BetriebsartenDer sicherheitsbezogene Funktionsbaustein bietet Ihnen die Möglichkeit, eine an den Ausgängen S_ModeXSel ausgegebene Signalkombination gegen Veränderung zu sperren. Hierzu müssen Sie Eingang S_Unlock von SAFETRUE auf SAFEFALSE steuern, während die Ausgangssignal-Kombination an den Ausgängen S_ModeXSel ausgegeben wird. Eine Änderung an den Eingängen S_ModeX hat dann keine Auswirkungen auf die Ausgänge S_ModeXSel.

Desweiteren überwacht der Funktionsbaustein ein Verstellen des angeschlossenen Betriebsartenwahlschalters, wenn die Ausgänge nicht gegen Veränderung verriegelt sind (d.h. wenn S_Unlock = SAFETRUE). Erkennt der Funktionsbaustein dann einen Zustandswechsel an einem der Eingänge S_ModeX, steuert er die Ausgänge S_ModeXSel auf SAFEFALSE.

Optional (AutoSetMode = FALSE) ist in diesem Zustand an Eingang S_SetMode ein Signalwechsel von SAFEFALSE auf SAFETRUE erforderlich, um die veränderte Signalkombination an die Ausgänge S_ModeXSel zu übernehmen.
EN ISO 13849-1Manuelle RückstelleinrichtungEingang Reset unterstützt die Funktion der manuellen Rückstelleinrichtung.

Hinweis
Abweichend von der Norm EN ISO 13849-1 erfolgt das Rücksetzen nicht wie dort gefordert durch eine negative (fallende) sondern durch eine positive (steigende) Flanke.
Um das Rücksetzen (im Hinblick auf die zwingende Abnahmeprozedur) mit einer fallenden Flanke zu implementieren, verwenden Sie den Funktionsbaustein SF_Reset.

EN ISO 12100-2Anlauf nach Ausfall der Versorgungsspannung/Spontaner WiederanlaufDer sicherheitsbezogene Funktionsbaustein unterstützt optional eine Anlaufsperre nach

  • dem Start der Sicherheitssteuerung (AutoSetMode = FALSE),
  • nach einer Veränderung der Signalkombination an den Eingängen S_ModeX (AutoSetMode = FALSE) oder
  • einer Fehlermeldung des Funktionsbausteins (Error = TRUE).
Planen und realisieren Sie eigenverantwortlich das Anlaufverhalten entsprechend Ihrer Risikoanalyse.

Um einen unbeabsichtigten Anlauf zu verhindern, ist je nach Ergebnis der Risikoanalyse und in Abhängigkeit vom Signalpfad des Rücksetz-Signals und/oder dem Signal an Eingang S_SetMode gegebenenfalls ein zusätzlicher Funktionsstart nach dem Rücksetzen der Sicherheitsfunktion erforderlich.
EN ISO 13849-1Kategorie B bis 4Fehleraufdeckung an den Eingängen S_ModeX:

Der sicherheitsbezogene Funktionsbaustein überwacht die Signale eines verschalteten Betriebsartenwahlschalters nach Ablauf eines vorgegebenen Zeitfensters (Überwachungszeit ModeMonitorTime) auf Plausibilität, wenn die Ausgänge nicht gegen Veränderung verriegelt sind (d.h. wenn S_Unlock = SAFETRUE). Bei jeder Eingangs-Kombination an den Eingängen S_ModeX darf maximal ein Signal den Zustand SAFETRUE aufweisen. Ein möglicher Querschluss (mehr als ein SAFETRUE-Signal an den Eingängen S_ModeX) wird somit vom Funktionsbaustein erkannt. Darüber hinaus dürfen nicht alle Eingänge S_ModeX den Zustand SAFEFALSE aufweisen. Signale, die nach Ablauf des Zeitfensters von diesen Vorgaben abweichen, werden vom Funktionsbaustein als Fehler erkannt. Ein möglicher Drahtbruch (alle Signale an den Eingängen S_ModeX = SAFEFALSE) wird somit vom Funktionsbaustein erkannt, wenn bedingt durch diesen Drahtbruch die Anforderung der Betriebsart an den Eingängen S_ModeX unterbrochen wird.

Für alle anderen Signale gilt: Ein- oder zweikanalige Schaltung ist in Abhängigkeit von der Kategorie auszuführen.

Hinweis
Beachten Sie, dass die Querschlussüberwachung nicht vom Funktionsbaustein durchgeführt wird. Diese Überwachung müssen Sie außerhalb dieses Funktionsbausteins im sicherheitsbezogenen Steuerungssystem eigenverantwortlich realisieren.

EN 60204Stopp-FunktionenDer sicherheitsbezogene Funktionsbaustein (Freigabesignal) führt die Stopp-Kategorie 0 aus.