Requisitos para o controlador de segurança externo

Sem um opcional de segurança CS..A, deve-se utilizar um controlador de segurança ou um relé de segurança. O conteúdo dos requisitos a seguir é válido por analogia.

O controlador de segurança e todos os demais subsistemas relacionados à segurança têm que ser aprovados pelo menos para a classe de segurança exigida no sistema inteiro para a respectiva função do componente de segurança relativa à aplicação.

A tabela abaixo mostra um exemplo da classe de segurança exigida para o controlador de segurança:

Aplicação	Requisito para o controlador de segurança
Nível de desempenho "d" conforme ISO 13849‑1, SIL 2 conforme IEC 62061	Nível de desempenho "d" conforme a ISO 13849‑1 SIL 2 de acordo com IEC 61508
Nível de desempenho "e" conforme ISO 13849-1, SIL 3 conforme IEC 62061	Nível de desempenho "e" conforme ISO 13849-1 SIL 3 de acordo com IEC 61508

Aplicação

Requisito para o controlador de segurança

Nível de desempenho "d" conforme ISO 13849‑1, SIL 2 conforme IEC 62061

Nível de desempenho "d" conforme a ISO 13849‑1

SIL 2 de acordo com IEC 61508

Nível de desempenho "e" conforme ISO 13849-1, SIL 3 conforme IEC 62061

Nível de desempenho "e" conforme ISO 13849-1

SIL 3 de acordo com IEC 61508

A fiação do controlador de segurança deve ser apropriada para a classe de segurança desejada (ver documentação do fabricante). A entrada STO da unidade pode ser comutada de dois polos (comutação P, comutação PM ou comutação serial P) ou um polo (comutação P).
É imprescindível observar os valores especificados para o controlador de segurança ao elaborar o circuito.
Na entrada STO, dispositivos de proteção sensíveis à eletricidade (como por ex. grades de luz e scanners) de acordo com EN 61496‑1 e chaves de parada de emergência não devem ser conectados diretamente. A conexão deve ser feita através de relés de segurança, controlador de segurança, etc.
Para garantir a proteção contra um reinício indesejado de acordo com EN ISO 14118, o sistema de controle seguro deve ser concebido e conectado de tal modo que não haja risco de um simples reset do dispositivo de controle causar um reinício. Ou seja, um reinício só pode ocorrer após um reset manual do circuito de segurança.
Se não for utilizada nenhuma exclusão de falha para a instalação STO conforme DIN EN ISO 13849-2 ou DIN EN 61800-5-2, o dispositivo de segurança externo deve detectar as seguintes irregularidades em relação à instalação STO dentro de 20 s dependendo do tipo de conexão:

Comutação P de dois polos:
Curto-circuito de 24 V para F_STO_P1 ou F_STO_P2 (Stuck-at 1)
Erro cruzado entre F_STO_P1 e F_STO_P2
Comutação PM de dois polos:
Curto-circuito de 24 V para F_STO_P1 (Stuck-at 1)
Curto-circuito de 0 V para F_STO_M (Stuck-at 0)
Comutação P serial de dois canais:
Uma exclusão de falha é obrigatória
Comutação P de um polo:
Curto-circuito de 24 V para F_STO_P (Stuck-at 1)

No tipo de conexão "comutação P de dois polos", os pulsos de teste podem ocorrer no estado ligado e desligado.

Os pulsos de teste nos dois canais P devem ser comutados com um atraso de tempo. No entanto, também podem ocorrer pulsos de teste de desligamento simultâneos.
Os pulsos de teste nos dois canais P não devem exceder 1 ms.
O seguinte pulso de teste de desligamento em um canal P deve ser feito após um período de no mínimo 2 ms.
Os pulsos de teste de ligação podem ocorrer em um pacote de no máximo 3 pulsos de teste a uma distância de 2 ms um do outro. Após um pacote, deve ser mantida uma pausa de, pelo menos, 500 ms antes que um outro pulso de teste de ativação ou outro pacote de pulso de teste de ativação possa ocorrer.
Os níveis de sinal devem ser lidos de volta pelo controlador de segurança e comparados com o valor esperado.
Os níveis de sinal podem ter uma discrepância máxima de tempo de 130 ms. Se houver uma grande discrepância temporal, a unidade entrará no estado de irregularidade STO (F20.11).

No tipo de conexão "comutação PM de dois polos", os pulsos de teste podem ocorrer no estado ligado e desligado.

Os pulsos de teste no canal P e M não podem exceder 1 ms.
O seguinte pulso de teste de desligamento no canal P ou M deve ser feito após um período de no mínimo 2 ms.
Os pulsos de teste de ligação podem ocorrer em um pacote de no máximo 3 pulsos de teste a uma distância de 2 ms um do outro. Após um pacote, deve ser mantida uma pausa de, pelo menos, 500 ms antes que um outro pulso de teste de ativação ou outro pacote de pulso de teste de ativação possa ocorrer.
Os níveis de sinal devem ser lidos de volta pelo controlador de segurança e comparados com o valor esperado.

No tipo de conexão "comutação P de um polo", os pulsos de teste podem ocorrer no estado ligado e desligado.

O pulso de teste no canal P não deve exceder 1 ms.
O pulso de teste de desligamento seguinte pode ocorrer após um período de no mínimo 2 ms.
Os pulsos de teste de ligação podem ocorrer em um pacote de no máximo 3 pulsos de teste a uma distância de 2 ms um do outro. Após um pacote, deve ser mantida uma pausa de, pelo menos, 500 ms antes que um outro pulso de teste de ativação ou outro pacote de pulso de teste de ativação possa ocorrer.
Os níveis de sinal devem ser lidos de volta pelo controlador de segurança e comparados com o valor esperado.