Überwachung/Auswertung von Diagnoseinformationen der Maschine
Die Sicherheitssteuerung sowie die sicherheitsbezogenen I/O-Module können ihren Betriebszustand bestimmen und melden. Sie erkennen Störungen oder Unregelmäßigkeiten im Modulverhalten wie beispielsweise Kurzschlüsse oder EMV-Störungen der Ausgangskanäle.
Solche Bedingungen können zu einer abgeschalteten funktionalen Maschinenkomponente führen, während nicht betroffene Komponenten im Betriebszustand bleiben. Falls z.B. ein Aktor aufgrund einer solchen Situation nicht wie beabsichtigt funktioniert, können Gefährdungen für Personen und Ausrüstung entstehen und die Maschine muss in den definierten sicheren Zustand versetzt werden. Beachten Sie den nachfolgenden Gefahrenhinweis.
Betroffene Module zeigen einen erkannten Fehler durch eine dauerhaft rot leuchtende LED des I/O-Kanals an und indem sie das zugehörige Diagnose-Prozessdaten-Element (z.B. SafeChannelOKxx) auf SAFEFALSE steuern. Um solche Bedingungen/Situationen in Ihrer Applikation erkennen zu können, müssen diese Prozessdaten-Elemente ausgewertet werden, wie im nachfolgenden Programmierbeispiel gezeigt.
Die von den sicherheitsbezogenen I/O-Modulen und der Sicherheitssteuerung zu Diagnosezwecken bereitgestellten Prozessdaten-Elemente helfen bei der Erkennung von
Störungen und Fehlern im Sicherheitssystem (z.B. Kurzschluss oder EMV-Störung des sicherheitsbezogenen Ein-/Ausgangskanals),
nicht funktionsfähigen sicherheitsbezogenen Modulen.
Durch die Auswertung dieser von der Sicherheitssteuerung und den in Ihrer sicherheitsbezogenen Applikation beteiligten I/O-Modulen bereitgestellten Prozessdaten-Elemente, d.h. durch Überwachen und Verarbeiten der Diagnoseinformationen in der sicherheitsbezogenen Applikation, können Sie in EcoStruxure Machine Expert - Safety
den Status funktionaler Maschinenkomponenten ermitteln und Unregelmäßigkeiten im Modulverhalten erkennen und
die Maschine, je nach Ergebnis der Auswertung, in den anwendungsspezifischen definierten sicheren Zustand versetzen. Der definierte sichere Zustand der Maschine ergibt sich aus den Ergebnissen der von Ihnen für Ihre sicherheitsbezogene Applikation durchgeführten Risikoanalyse.
WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen einzelner abgeschalteter funktionaler Maschinenkomponenten hinsichtlich der Sicherheit der gesamten Maschine.
Stellen Sie sicher, dass die entsprechenden von der Sicherheitssteuerung und den in Ihrer sicherheitsbezogenen Applikation beteiligten I/O-Modulen bereitgestellten Diagnose-Prozessdaten-Elemente in Ihrer sicherheitsbezogenen Applikation so überwacht und ausgewertet werden, dass damit der Zustand des funktionalen Sicherheitssystems ermittelt wird.
Stellen Sie sicher, dass die Maschine je nach Auswerteergebnis der sicherheitsbezogenen Diagnose-Prozessdaten in den anwendungsspezifischen definierten sicheren Zustand (entsprechend Ihrer Risikoanalyse) versetzt wird.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Validieren Sie die gesamte Sicherheitsfunktion und prüfen Sie die Applikation sorgfältig.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Anwendungsbeispiel
Ein sicherheitsbezogenes TM5SDI4DFS-Eingangsmodul wird zur Auswertung eines NOT-HALT-Tasters eingesetzt, um ein Netzschütz über den ersten Kanal eines sicherheitsbezogenen TM5SDO4TFS-Ausgangsmoduls zu steuern.
In diesem Beispiel sieht der Gerätebaum in EcoStruxure Machine Expert wie folgt aus:
Das zweikanalige NOT-HALT-Befehlsgerät wird an die ersten beiden Kanäle des Eingangsmoduls angeschlossen.
In EcoStruxure Machine Expert - Safety sind die Eingangskanäle auf Äquivalenzüberwachung parametriert (durch Verwenden des Prozessdaten-Elements SafeEquivalentInput0102 im sicherheitsbezogenen Code, eingefügt per Drag & Drop).
Die Diagnose-Prozessdaten-Elemente SafeChannelOKxx beider Module werden verwendet, um irreguläres Verhalten der I/O-Kanäle zu erkennen. Zusätzlich zeigen die SafeModuleOk-Signale den Kommunikationsstatus der Module an.
Je nach Typ des sicherheitsbezogenen Moduls sind unterschiedliche Diagnose-Prozessdaten-Elemente verfügbar. Im Falle digitaler I/O-Module sind die SafeChannelOKxxxx-Signale relevant.
Im sicherheitsbezogenen Code erfolgt die Auswertung dieser Prozessdaten-Elemente wie folgt:
Die Prozessdaten-Elemente SafeModuleOK und SafeChannelOKxx sind logisch UND-verknüpft und schreiben die Variable SafeHardware_OK. Diese Variable ist wiederum UND-verknüpft mit dem Freigabesignal des sicherheitsbezogenen Funktionsbausteins SF_EmergencyStop (welcher den NOT-HALT-Taster auswertet).
Die Variable TM5DO4DFS_Out01 speichert das logische Ergebnis dieser UND-Verknüpfung. Sie wird der physikalischen Ausgangsadresse von Kanal 1 des Ausgangsmoduls zugewiesen und steuert den Netzschütz.
Wenn eines der Diagnose-Prozessdaten-Elemente aufgrund eines Geräteausfalls oder eines erkannten I/O-Kanal-Fehlers auf SAFEFALSE steuert, wird die globale Variable TM5DO4DFS_Out01 = SAFEFALSE und schaltet den Netzschütz ab.
Der laufende Betrieb der gesteuerten Maschine hängt folglich sowohl vom deaktivierten NOT-HALT-Befehlsgerät als auch von der korrekten Funktion aller beteiligten Module ab.
Generieren von Diagnosemeldungen in der nicht-sicherheitsbezogenen Anwendung EcoStruxure Machine Expert
Die Diagnose-Prozessdaten-Elemente der sicherheitsbezogenen Module sind in der nicht-sicherheitsbezogenen Steuerung (LMC) als Diagnose-Bits abgebildet. Auf diese Weise sind sie auch in EcoStruxure Machine Expert verfügbar. Um den Status der sicherheitsbezogenen Module im HMI anzuzeigen, müssen diese Diagnose-Bits entsprechend in der nicht-sicherheitsbezogenen Anwendung verarbeitet werden, um eine HMI-Meldung zu generieren.
Die anwenderdefinierte sicherheitsbezogene Variable SafeHardware_OK aus unserem Beispiel kann auch in der nicht-sicherheitsbezogenen Steuerungsanwendung im LMC abgebildet werden. Verwenden Sie dazu die I/O-Mapping-Funktionalität IO Configuration > SLC2LMS_NumberOfxxx der Sicherheitssteuerung, um z.B. eine Diagnosemeldung für das HMI oder den Message Logger zu generieren.
Rücksetzen von Diagnosestatus
Ein erkannter kanalbezogener Diagnosestatus lässt sich nach dem Beheben der Ursache auf mehrere Arten rücksetzen:
Rücksetzen des gesamten Systems (Hauptschalter aus/an)
Bei einem Ausgang gilt: Der sicherheitsbezogene Ausgang muss wieder aktiviert werden, um sein korrektes Verhalten prüfen zu können.
Beachten Sie beim Setzen eines Ausgangskanals:
Das Rücksetzen eines Diagnosestatus und das Setzen eines Ausgangs darf zu keinerlei Gefährdung führen. Setzen Sie im Zweifelsfall anstelle des einzelnen Kanals das gesamte System zurück.
WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen des Rücksetzens des Diagnosestatus eines Moduls oder I/O-Kanals und dem Setzen eines Ausgangskanals in Bezug auf die Sicherheit der ganzen Maschine.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Validieren Sie die gesamte Sicherheitsfunktion und prüfen Sie die Applikation sorgfältig.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Eliminieren Sie vor dem Setzen des Ausgangs alle Ursachen für den Diagnosestatus (z.B. Klemmenkurzschlüsse).
Steuern Sie das sicherheitsbezogene Signal für den Ausgang auf SAFETRUE (globale I/O-Variable TM5DO4DFS_Out01 in diesem Beispiel).
Wenn die kanalbezogene automatische Wiederanlaufsperre (AutoRestart bzw. AutomatischerWiederanlauf) in den SLC-Parametern aktiviert ist, ist eine positive Flanke des Freigabesignals für diesen Ausgang erforderlich. Auch dieses Freigabesignal ist ein vom Modul bereitgestelltes Prozessdaten-Element:
HINWEIS:
Zwischen dem Setzen des sicherheitsbezogenen Signals und der positiven Flanke auf dem ReleaseOutputxx-Signal muss eine Verzögerungszeit von mindestens 50 ms eingehalten werden. Dies kann z.B. mit Hilfe einer TON-Funktion realisiert werden, wie nachfolgend gezeigt:
