i950 Extended Safety ab V01.03.05.00
Verhalten der neuen Version:
In allen Betriebsfällen kann die Muting-Funktion deaktiviert werden.
Beschreibung des Verhaltens:
Funktion: Die Safe Muting-Funktion deaktiviert ausgewählte sichere Eingänge und alle Funktionen des Sicherheitsbusses. Dazu muss diese Funktion im sicheren Parametersatz parametriert sein. Nach Eingabe eines zuvor vergebenen Muting Passwortes, kann ausschließlich über den Muting Dialog im Easy Starter oder Plc Designer die Muting Funktion gestartet werden.
Die Muting Funktion kann über einen Button gestoppt werden, deaktiviert sich bei Verlassen des Dialoges, deaktiviert sich bei Verbindungsunterbrechung zum Gerät oder automatisch nach max. 30 Min.
Unter welchen Bedingungen tritt das fehlerhafte Verhalten auf?
Wenn die Muting Funktion gestartet wird, und nach einer Zeit kleiner gleich 2s wieder gestoppt wird, wird die Muting Funktion nicht beendet. Der Status zur Muting-Funktion wird über die Index Objektanzeige (0x2870:001, Bit16 oder 0x2871:017) weiterhin als aktiv angezeigt. In diesem Zustand kann das Muting nicht über die oben beschriebenen Wege beendet werden.
Die einzige Möglichkeit Muting zu beenden ist ein Neustart der Safety (0x2022:041) oder Netzschalten des Gerätes.
Betroffene Produkte:
i950 Extended Safety
Kurzfristige Maßnahmen / Bewertung / Empfehlungen:
Dieser Fehler wurde als sicherheitskritisch eingestuft. Eine FMEA wurde durchgeführt.
Die finale Bewertung ergibt, dass der Fehler nur in sehr seltenen Fällen auftreten kann. In diesen Fällen handelt es sich vorwiegend um die Inbetriebnahmephase, innerhalb der Mitarbeiter speziell für Sicherheitstechnik geschult sein müssen und besondere Vorkehrungen treffen müssen. Das Auftreten dieses Fehlers im laufenden Betrieb ist sehr unwahrscheinlich, da es sich um einen Handhabungsfehler handelt, der bei der Initialisierung des Sicherheitsmoduls in einem sehr kleinen Zeitfenster (typisch < 2 Sekunden) auftreten muss. Der Handhabungsfehler besteht in der Aktivierung und Deaktivierung der Muting-Funktion innerhalb von typischerweise 2 Sekunden.
Die Safety-FW V01.03.03 wird nicht zurückgezogen.
Alle betroffenen Kunden wurden direkt angeschrieben und mussten über ein Bestätigungsschreiben den Erhalt des Schreibens quittieren.
=> Bei Anwendung der Muting Funktion im Feld muss zur Vermeidung einer Gefährdung nach dem Beenden der Muting Funktion der Servoumrichter immer vollständig aus- und wieder eingeschaltet werden (Neustart).
Zusätzlich zur oben beschriebenen Maßnahme kann ein Update der Sicherheitsfirmware des Gerätes durch Rücksendung an den Lenze Service kostenfrei durchgeführt werden.
