TM5SDC1FS: Digitales Sicherheits-Zählermodul

 

Typ-/sicherheitsbezogene Anwendungsbereiche des Moduls

Sicherheitsbezogenes digitales Zählermodul

1 sicherheitsbezogener digitaler Zählerkanal, max. Eingangsfrequenz 7 kHz, 24 VDC

Timebase (Eingangsfilter), per Software konfigurierbar

Die sicherheitsbezogenen Schneider Electric-Module können in sicher­heitsbezogenen Anwendungen verwendet werden, gemäß:

  • EN ISO 13849, PL e

  • IEC 62061, SIL 3

  • IEC 61508, SIL 3

Gruppe: Basic

Parameter: MinErforderlicheFWVer

Standardwert

Basic Release

Einheit

-/-

Beschreibung

Dieser Parameter ist nur relevant, wenn eine andere Firmware-Version, als die vom Hersteller aufgespielte Version in Betrieb ist.

Um in den Betriebszustand gelangen zu können, muss im Modul die hier eingestellte oder eine neuere Firmware-Version installiert sein.

  • Basic Release: Wählen Sie diese Option, wenn das Gerät mit der ursprünglich installierten Firm­ware-Version betrieben wird.

  • Basic Release ab FW Vxxx: Wählen Sie diese Option, wenn das Gerät mit der Firmware-Version Vxxx betrieben wird (xxx steht für die Version­snummer).

  • Test Version: Wählen Sie diese Option, wenn auf dem Gerät eine (noch) nicht freigegebene Firm­ware-Version installiert ist. Eine Sicherheitsan­wendung kann nicht abgenommen werden, wenn Geräte mit einer Firmware-Testversion beteiligt sind.

Die hier gewählte Firmware-Version ist vor allem im Hinblick auf neue Parameter oder Prozess­daten-Elemente wichtig, die mit einer bestimmten Firm­ware-Version implementiert wurden. Falls das betreffende Gerät über neue Parameter oder Prozess­daten-Elemente verfügt, ist folgendes zu beachten: Wenn für MinErforderlicheFWVer ein falscher Wert eingestellt ist, gelangt entweder der SLC nicht in den Betriebszu­stand Run oder der neue Parameter bzw. das neue Proz­essdaten-Element wird vom SLC nicht berücksichtigt.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

Weitere Informationen

Informationen zu neu hinzugefügten Parametern oder Prozessdaten-Elementen finden Sie in der Dokumentation (Release Notes), die der Firmware-Installation beiliegt. Darin erfahren Sie auch, wie Sie die Firm­ware-Version, die aktuell auf dem sicherhe­itsbezogenen Gerät installiert ist, bestimmen können.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Stellen Sie sicher, dass der unter MinErforderlicheFWVer eingestellte Wert der Firmware-Version entspricht, die auf diesem sicherheitsbezogenen Gerät installiert ist.

  • Stellen Sie anhand eines Funktiontests sicher, dass neu implemen­tierte Parameter oder Prozessdaten-Elemente des sicherheits­bezogenen Moduls vom SLC berücksichtigt werden, wenn Ihre sicherheitsbezogene Applikation dies erfordert.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Parameter: Optional

Standardwert

Nein

Einheit

-/-

Beschreibung

Das Modul kann mit Hilfe dieses Parameters als optional konfiguriert werden. Optionale Module müssen nicht vorhanden sein (physikalisch oder kommunikativ), d.h. ein fehlendes optionales Modul wird vom Sicheren Logik-Controller nicht gemeldet.

Dieser Parameter beeinflusst nicht das Signal oder die Statusdaten des Moduls.

Mögliche Werte

  • Nein: Dieses Modul ist nicht optional.

    Dieses Modul muss nach dem Start in den Betriebszustand 'Operational' gehen und es muss eine sicherheitsbezogene Kommunikation mit dem Sicheren Logik-Controller erfolgreich hergestellt werden (angezeigt durch SafeModulOK = SAFETRUE). Die Verarbeitung der sicherheitsbezo­genen Applikation im Sicheren Logik-Controller wird nach dem Starten solange verzögert, bis dieser Zustand für alle Module mit 'Optional = Nein' erreicht ist.

    Nach dem Starten werden Fehler in solchen sicher­heitsbezogenen Modulen durch die schnell blinkende MXCHG-LED am Sicheren Logik-Controller angezeigt. Außerdem erfolgt ein Eintrag in das Logbuch.

  • Ja: Dieses Modul ist optional, d.h. es ist für die sich­erheitsbezogene Applikation nicht erforderlich.

    Dieses Modul wird während des Startens nicht berücksichtigt, d.h. die sicherheitsbezogene Applika­tion wird gestartet, auch wenn sich Module mit 'Optional = Ja' nicht im Betriebszustand 'Operational' befinden oder die sicherheitsbezogene Kommunika­tion nicht erfolgreich aufgebaut werden konnte.

    Nach dem Starten werden Fehler in solchen sicher­heitsbezogenen Modulen NICHT am Sicheren Logik-Controller angezeigt. Es erfolgt auch kein Eintrag in das Logbuch.

  • Hochlauf: Dieses Modul ist optional, Entscheidungen in Bezug auf sein weiteres Verhalten werden während des Hochlaufens getroffen.

    Falls während des Hochlaufens erkannt wird, dass das Modul physikalisch vorhanden ist (auch wenn es nicht im Betriebszustand 'Operational' ist), verhält sich das Modul als ob 'Optional = Nein' gesetzt war.

    Falls während des Hochlaufens erkannt wird, dass das Modul physikalisch nicht vorhanden ist, verhält sich das Modul als ob 'Optional = Ja' gesetzt war.

Der Parameter Optional ist ein Mechanismus, um Ihr Sicherheitssystem an unterschiedliche Maschinenkonfigurationen anzupassen. Es ist jedoch möglich, dass als optional parametrierte Module in einer wechselnden/anderen Konfiguration erforderlich sind.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Stellen Sie anhand eines Funktiontests sicher, dass die Module, für die Optional auf 'Ja' oder 'Hochlauf' eingestellt ist, vorhanden sind, wenn diese in wechselnden/anderen Maschinenkonfigurationen erforderlich sind.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Parameter: FunktionModus

Standardwert

Mode A-B

Einheit

-/-

Beschreibung

Gibt den Modus für die Auswertung der Eingangssignale vor.

Mögliche Werte

Für jeden Modus (siehe nachfolgende Liste) gilt Folgendes:

  • Die Taktfrequenz des Eingangssignals wird erfasst.

  • Die Taktfrequenz an den relevanten Eingängen wird auf Gleichheit geprüft. Bei Ungleichheit wird ein Kanalfehler ausgelöst (SafeChannelOK = SAFEFALSE).

    Der Zustand der Eingangsimpulse kann durch Auswerten der Prozessdaten-Elemente SafeChan­nelOK und SafeFrequencyOK in der Sicherheitsan­wendung überwacht werden, da diese auf SAFEFALSE steuern, wenn die Auswertung der Frequenz ungültige oder abweichende Eingangsim­pulssignale erkennt.

Die folgenden Modi können, je nach verwendetem Geber, ausgewählt werden.

  • Mode A-A

  • Mode A-B

  • Mode A-A/-B-B/

Jeder Modus wird nachfolgend in einem separaten Abschnitt beschrieben.

Eigenschaften der Funktionsmodi

Mode A-A

Funktionsmodus A-A mit einkanaligem Geber

Sichere Messung der Eingangssignaltaktfrequenz, d.h. Drehzahl

Ja, wenn Drehzahl > 0

Sicherer Vergleich der Drehzahl

Nein

Sichere Erfassung der Drehrichtung

Nein

In diesem Modus sind nur posi­tive Frequenzwerte erlaubt.

Sichere Stillstandserkennung

Nein

SCI1FS_ModeAA_1channel.png

Funktionsmodus A-A mit zweikanaligem Geber

Sichere Messung der Eingangssignaltaktfrequenz, d.h. Drehzahl

Ja, wenn Drehzahl > 0

Sicherer Vergleich der Drehzahl

Ja

Zulässige Toleranz: 5 Zählerim­pulse pro 'Abtastzeitraum'.

Der Drehzahlvergleich für das Modul kann in der Sicherheitsanwendung durch Auswerten des Prozessdaten-Elements SafeFrequencyOK überwacht werden. Lesen Sie hierzu den nachfolgenden Abschnitt "Fehlererkennung".

Sichere Erfassung der Drehrichtung

Nein

In diesem Modus sind nur posi­tive Frequenzwerte erlaubt.

Sichere Stillstandserkennung

Nein

SCI1FS_ModeAA.png

Mode A-B

Funktionsmodus A-B mit einkanaligem Quadratur-Geber

Sichere Messung der Eingangssignaltaktfrequenz, d.h. Drehzahl

Ja, wenn Drehzahl > 0

Sicherer Vergleich der Drehzahl

Ja

Zulässige Toleranz: 5 Zählerim­pulse pro 'Abtastzeitraum'.

Der Drehzahlvergleich für das Modul kann in der Sicherheitsanwendung durch Auswerten des Prozessdaten-Elements SafeFrequencyOK überwacht werden. Lesen Sie hierzu den nachfolgenden Abschnitt "Fehlererkennung".

Sichere Erfassung der Drehrichtung

Nein

In diesem Modus sind nur posi­tive Frequenzwerte erlaubt.

Sichere Stillstandserkennung

Nein

SCI1FS_ModeAB.png

Mode A-A/-B-B/

Funktionsmodus A-A/-B-B/ mit einkanaligem Quadratur-Geber mit invertierten Kanälen

Sichere Messung der Eingangssignaltaktfrequenz, d.h. Drehzahl

Ja, wenn Drehzahl > 0

Sicherer Vergleich der Drehzahl

Nein

Sichere Erfassung der Drehrichtung

Ja

Sichere Stillstandserkennung

Ja

SCI1FS_ModeAA-BB-.png

Fehlererkennung in den Funktionsmodi A-A und A-B

In den Funktionsmodi A-A und A-B analysiert das Modul ein sicherheits­bezogenes Frequenzeingangssignal. Die Fehlererkennung im Modul erfolgt nur bei dynamischen Eingangssignalen und nicht bei statischen Signalen. Die Auswertung der Eingangssignale darf daher im Stillstand des Antriebs nicht erfolgen.

Das Prozessdaten-Element SafeFrequencyOK des Moduls zeigt die Gültigkeit des Frequenzeingangssignals wie folgt an:

  • SafeFrequencyOK = SAFETRUE, wenn innerhalb der am Param­eter 'Abtastzeitraum' vorgegebenen Zeit Impulse erkannt werden.

  • SafeFrequencyOK = SAFEFALSE, wenn innerhalb der am Param­eter 'Abtastzeitraum' vorgegebenen Zeit keine Impulse erkannt werden (oder bei einem anderen Fehler im Modul).

Da im Stillstand des Antriebs das Eingangssignal nicht ausgewertet werden darf, kann es bspw. beim Starten des Antriebs zu einer Dead­lock-Situation kommen: Der Antrieb kann nicht starten, da SafeFrequencyOK = SAFEFALSE ist, gleichzeitig kann das Signal SafeFrequencyOK nicht SAFETRUE werden, da der Antrieb nicht startet.

In der Sicherheitsanwendung lässt sich diese Situation durch ein zeitli­ches Muting der Eingangssignalauswertung lösen (siehe folgendes Codebeispiel):

SCI1FS_ErrorDetection.png

  • Die Variable SafeFrequencyOK (Prozessdaten-Element des Datentyps SAFEBOOL, vom Modul erzeugt) zeigt die Gültigkeit des Frequenzeingangssignals an.

  • Eine steigende Flanke an der Variable Start (benutzerdefiniert, Datentyp SAFEBOOL) signalisiert, dass eine Startanforderung an den Antrieb gesendet wurde.

  • Die Variable MutingTime (benutzerdefiniert, Datentyp SAFETIME) stellt die Maximalzeit ein, die der Antrieb benötigt, um gültige Impulse an seinen Zählerkanälen zu erkennen. Der Parameter 'Abtastzeitraum' muss innerhalb dieser Zeit ebenfalls berück­sichtigt werden.

    HINWEIS:

    Während dieser Zeit sind keine Überwachungsfunktionen aktiv. Beachten Sie den nachfolgenden Gefahrenhinweis.

  • Verwenden Sie die Variable SafeFrequencyOK_muted (benut­zerdefiniert, Datentyp SAFEBOOL), um die Drehbewegung weiter auszuwerten.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Betreten Sie den Betriebsbereich nicht, während die Überwachung in der Anlaufphase des Antriebs deaktiviert ist.

  • Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, während die Überwachung in der Anlaufphase des Antriebs deaktiviert ist.

  • Beachten Sie die vorgegebenen Richtlinien in relevanten Sektor­normen, wenn die Maschine in einem anderen Betriebszustand als 'Operational' läuft.

  • Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Parameter: Einheit

Standardwert

Increments / s

Einheit

-/-

Beschreibung

Definiert die Einheit, in der die aufgezeichnete Frequenz vom Modul ausgegeben wird.

Mögliche Werte

  • Increments / s: Anzahl der gemessenen Inkremente pro Sekunde

  • Increments / min: Anzahl der gemessenen Inkre­mente pro Minute

  • Increments / h: Anzahl der gemessenen Inkremente pro Stunde

Parameter: Abtastzeitraum

Standardwert

10

Einheit

ms

Beschreibung

Spezifiziert das Zeitintervall für das Zählen der Eingangssignalimpulse.

Der Wert 'Abtastzeitraum' und die Anzahl der innerhalb des Abtastzeitraums erkannten Impulse dienen zur Berechnung des Frequenzwerts. Beachten Sie die Beispiele nach dieser Tabelle.

Der Wert 'Abtastzeitraum' muss entsprechend der aufzuzeichnenden Frequenz eingestellt werden. Bei einem zu niedrig gewählten 'Abtastzeitraum' werden innerhalb einiger Intervalle keine Impulse aufgezeichnet. In diesem Fall wechselt das Prozessdaten-Element SafeFrequencyOK auf SAFEFALSE und zeigt so ein ungültiges Frequenzeingangssignal an.

Der Wert beeinflusst direkt die Signalverarbeitungszeit des Moduls und folglich die Safety-Reaktionszeit des gesamten Eingangs-Ausgangskanals der sicherheits­bezogenen Anwendung.

Beachten Sie die Informationen unter dieser Tabelle.

Mögliche Werte

Folgende Werte können aus dem Listenfeld ausgewählt werden:

10; 50; 100; 500; 1.000; 5.000; 10.000; 50.000; 100.000;

Beispiele

Abtastzeitraum = 500 ms

Periode des Eingangssignals: 50 ms (Low/High = 1:1)

Obwohl die Eingangsfrequenz konstant ist, unterscheidet sich der ausgegebene, gemessene Wert abhängig von der Anzahl der Impulse, die innerhalb des Intervalls (Abtastzeit) gezählt wurden. Der tatsächliche Frequenzwert wird nicht exakt bestimmt, wenn das Eingangssignal nicht während des gesamten Intervalls anliegt.

Aus diesem Grund kann sich der am SafeFrequency-Signal ausgege­bene Wert während des ersten Intervalls ändern, obwohl die Frequenz konstant ist.

Nach t = 0 ms: Das Abtastintervall ist abgelaufen, bevor das Eingangssignal anliegt.

Timebase_t0.png

Anzahl der Impulse, die während des Abtastintervalls gezählt wurden: 0

Dies wird angezeigt, indem das Diagnosesignal SafeFrequencyOK des Moduls auf SAFEFALSE wechselt.

Gemessene Frequenz in Hz, ausgegeben am SafeFrequency-Signal: 0

Nach t = 250 ms: Das Eingangssignal wird während des laufenden Abtastintervalls angelegt.

Timebase_t250.png

Anzahl der Impulse, die während des Abtastintervalls gezählt wurden: 5

Berechnung: 5 Impulse in 500 ms erkannt (5/0,5 = 10)

Gemessene Frequenz in Hz, ausgegeben am SafeFrequency-Signal: 10

Nach t = 500 ms: Das Eingangssignal liegt während des gesamten Abtastintervalls an.

Timebase_t500.png

Anzahl der Impulse, die während des Abtastintervalls gezählt wurden: 10

Berechnung: 10 Impulse in 500 ms erkannt (10/0,5 = 20)

Gemessene Frequenz in Hz, ausgegeben am SafeFrequency-Signal: 20

Einfluss des eingestellten 'Abtastzeitraum'-Wertes auf die Safety-Reaktionszeit

Die folgende Tabelle zeigt die aus dem eingestellten Wert für 'Abtast­zeitraum' (Aktualisierungsintervall) resultierende Signalverarbeit­ungszeit des Moduls.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Stellen Sie sicher, dass die Signalverarbeitungszeit des Eingangs­moduls korrekt in den Berechnungen für die Safety-Reaktionszeit in EcoStruxure Machine Expert - Safety enthalten ist.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Konfigurierter Wert für 'Abtastzeitraum'

Max. Signalverarbeitungszeit des Moduls

10 ms

2 ms

50 ms

2 ms

100 ms

2 ms

500 ms

5 ms

1 s

10 ms

5 s

50 ms

10 s

100 ms

50 s

500 ms

100 s

1 s

Gruppe: SafetyResponseTime

Die Safety-Reaktionszeit ist die Zeit zwischen dem Eintreffen des Sensorsignals am Eingangskanal eines sicherheitsbezogenen Eingang­smoduls und dem Abschaltsignal am Ausgangskanal eines sicherheits­bezogenen Ausgangsmoduls. Weitere detaillierte Hintergrundinformationen finden Sie im Thema "Safety-Reaktionszeit".

Die Parameter in dieser Gruppe beeinflussen die Safety-Reaktionszeit des Sicheren Logik-Controller-Systems.

Die Parameter KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit in dieser Gruppe gelten nur dann für dieses Modul, wenn ManuelleKonfiguration auf 'Ja' gesetzt ist.

Parameter: ManuelleKonfiguration

Standardwert

Nein

Einheit

-/-

Beschreibung

Gibt an, ob das Modul seine eigenen modulspezifischen Safety-Reaktionszeit-relevanten Parameter (KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit) verwendet oder die Standardwerte, die in der Parametergruppe 'SafetyResponseTimeDefaults' des Sicheren Logik-Controllers vorgegeben sind.

Die Verwendung modulspezifischer Parameter ermöglicht die optimale Anpassung des Systems an anwendungsspezifische Anforderungen hinsichtlich der Safety-Reaktionszeit.

Parameterwert

  • Nein: Das Modul übernimmt für die Parameter KommunikationsWatchdog, MinDatenübertra­gungszeit und MaxDatenübertragungszeit die Werte aus der Parametergruppe 'SafetyResponseTimeDe­faults' des Sicheren Logik-Controllers.

  • Ja: Das Modul verwendet seine eigenen Parameter­werte.

Parameter: MinDatenübertragungszeit

Standardwert

12

Werte­bereich

Schritt­weite

12...500

1

Einheit

100 µs

Beschreibung

Legt die benötigte Mindestzeit für die Übertragung eines Datentelegramms zwischen Producer und Consumer fest. Wird ein Telegramm früher (vom Consumer) empfangen, als durch diesen Parameterwert vorgegeben, so wird die Kommunikation als ungültig betrachtet.

EcoStruxure Machine Expert - Safety verfügt über einen Berechnungsdialog für die Bestimmung dieses Parameterwertes.

Begriffsdefinition und Hintergrundinformation

Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer.

Jedes Telegramm enthält einen Zeitstempel für die Zeitvalidierung der Kommunikation. Beim Empfang eines Telegramms vergleicht der Consumer diesen Zeitstempel mit der aktuellen Zeit. Falls der Zeitplan eingehalten wurde, wird die Kommunikation als gültig betrachtet.

Wird ein Telegramm früher empfangen, als durch diesen Parameter definiert, wird die Kommunikation als ungültig betrachtet und nicht weiter fortgesetzt. Dadurch steuert auch das Prozessdaten-Element 'SafeModuleOK' auf SAFEFALSE und zeigt damit an, dass die sicherheitsbezogene Kommunikation des Moduls nicht länger gültig ist. Die Auswirkungen für den Rest der sicherheitsbezogenen Systeme hängen von der definierten sicherheitsbezogenen Funktion ab.

Berechnung der Werte

So berechnen Sie den modulspezifischen MinDatenübertragungszeit-Wert

  1. Wählen Sie 'Projekt > Reaktionszeit Relevante Parameter'.

  2. Öffnen Sie im erscheinenden Dialog das Register 'Manual'.

  3. Abschnitt 'Variable Parameter':

    Falls zur Berechnung des Parameterwerts MinData­TransportTime eine andere Sercos III-Zykluszeit als die in EcoStruxure Machine Expert eingestellte verwendet wird (z.B. um Änderungen der Zykluszeit durch das Anwendungsprogramm zu berücksich­tigen), markieren Sie 'Selektierbar' und wählen unter 'Sercos III Zykluszeit' die gewünschte Zeit aus bzw. geben diese ein.

    Das Kontrollkästchen 'Ring/Doppellinie' beeinflusst nur den Wert MaxDatenübertragungszeit. Das Kontrollkästchen 'Ring/Doppellinie' beeinflusst nicht den Wert MinDatenübertragungszeit.

    Ein eingegebener 'Paketverlust' beeinflusst nicht den Wert für MinDatenübertragungszeit, sondern nur den KommunikationsWatchdog-Wert.

    Der Abschnitt 'System Parameter' ist schreibges­chützt und zeigt System-/Moduleigenschaften an, die in EcoStruxure Machine Expert eingestellt wurden. Werden diese Parameter dort verändert, während der Dialog geöffnet ist, aktualisieren sich die Werte automatisch ohne Schließen des Berech­nungsdialogs.

  4. Der berechnete modulspezifische Wert für MinDatenüber­tragungszeit wird im Bereich 'Ergebnis' angezeigt.

    Notieren Sie den Ergebniswert und geben Sie ihn für den Parameter MinDatenübertragungszeit in die Parameterta­belle des aktuellen Moduls ein.

Praktische Werte

Die Verwendung des in EcoStruxure Machine Expert - Safety berechneten Werts für MinDatenübertragungszeit führt zu einem stabil laufenden System.

Parameter: MaxDatenübertragungszeit

Standardwert

200

Werte­bereich

Schritt­weite

12...65.000

1

Einheit

100 µs

Beschreibung

Definiert die erlaubte maximale Zeit für die Übertragung eines Datentelegramms zwischen Producer und Consumer. Wird ein Telegramm später (vom Consumer) empfangen, als durch diesen Parameterwert vorgegeben, so wird die Kommunikation als ungültig angesehen.

EcoStruxure Machine Expert - Safety verfügt über einen Berechnungsdialog für die Bestimmung dieses Parame­terwertes.

HINWEIS:

Der Parameterwert beeinflusst die von EcoStruxure Machine Expert - Safety berechnete Safety-Reaktionszeit.

Begriffsdefinition und Hintergrundinformation

Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer.

Jedes Telegramm enthält einen Zeitstempel für die Zeitvalidierung der Kommunikation. Beim Empfang eines Telegramms vergleicht der Consumer diesen Zeitstempel mit der aktuellen Zeit. Falls der Zeitplan eingehalten wurde, wird die Kommunikation als gültig betrachtet.

Wird ein Telegramm später empfangen, als durch diesen Parameter definiert, wird die Kommunikation als ungültig betrachtet und nicht weiter fortgesetzt. Die Auswirkungen für den Rest der sicherheitsbezogenen Systeme hängen von der definierten sicherheitsbezogenen Funktion ab.

Berechnung der Werte

So berechnen Sie den modulspezifischen Wert für MaxDatenübertragungszeit

  1. Wählen Sie 'Projekt > Reaktionszeit Relevante Parameter'.

  2. Öffnen Sie im erscheinenden Dialog das Register 'Manual'.

  3. Abschnitt 'Variable Parameter':

    Falls zur Berechnung des Parameterwerts MaxDatenübertragungszeit eine andere Sercos III-Zykluszeit als die in EcoStruxure Machine Expert eingestellte verwendet werden soll (z.B. um Änderungen der Zykluszeit durch das Anwendung­sprogramm zu berücksichtigen), markieren Sie 'Selektierbar' und wählen unter 'Sercos III Zykluszeit' die gewünschte Zeit aus bzw. geben diese ein.

    Kontrollkästchen 'Ring/Doppellinie': Ring- und Doppel­linienstrukturen erfordern höhere Parameterwerte, um ein stabil laufendes System zu realisieren. Markieren Sie 'Ring/Doppellinie', um die Busstruktur zu berücksichtigen.

    Das Kontrollkästchen ist standardmäßig markiert und so für eine Ringstruktur wie auch für eine Doppellinien­struktur geeignet. Wenn Sie eine Linienstruktur realis­ieren, kann das Kontrollkästchen deaktiviert werden, um den resultierenden Parameterwert zu verringern. Werte, die für eine Ring-/Doppellinienstruktur berechnet wurden, können für eine Linienstruktur verwendet werden, umgekehrt jedoch nicht.

    Ein eingegebener 'Paketverlust' beeinflusst nicht die MaxDatenübertragungszeit, sondern nur den KommunikationsWatchdog-Wert.

  4. Der berechnete modulspezifische MaxDatenübertra­gungszeit-Wert wird angezeigt.

    Modulspezifische Parameter (z.B. in EcoStruxure Machine Expert eingestellte Zykluszeiten) werden zu Ihrer Information ebenfalls in der Tabelle angezeigt. Werden diese Parameter dort verändert, während der Dialog geöffnet ist, aktualisieren sich die Werte automatisch ohne Schließen des Berechnungsdia­logs.

    Notieren Sie den resultierenden modulspezifischen Wert und geben Sie ihn in das Tabellenfeld des Parameters MaxDatenübertragungszeit für das aktu­elle Modul ein.

Praktische Werte

Die Verwendung des in EcoStruxure Machine Expert - Safety berechneten Werts für MaxDatenübertragungszeit führt zu einem stabil laufenden System.

Parameter: KommunikationsWatchdog

Standardwert

200

Werte­bereich

Schritt­weite

1...65.535

1

Einheit

100 µs

Beschreibung

Definiert die maximale Zeitspanne, in der ein Consumer ein gültiges Datentelegramm von einem Producer empfangen muss, damit die sicherheitsbezogene Kommunikation als gültig betrachtet und die Applikation fortgesetzt wird. Der Parameter stellt einen Watchdog-Timer ein, der den rechtzeitigen Empfang der Telegramme vom Producer im Consumer überwacht. Läuft der Watchdog ab, so wird die Kommunikation als ungültig betrachtet.

EcoStruxure Machine Expert - Safety verfügt über einen Berechnungsdialog für die Bestimmung dieses Parameterwertes.

HINWEIS:

Der Parameterwert beeinflusst die von EcoStruxure Machine Expert - Safety berechnete Safety-Reaktionszeit.

Begriffsdefinition und Hintergrundinformation

Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer.

Der KommunikationsWatchdog-Wert hängt physikalisch von der Übertragungszeit ab, die für die Übertragung des Telegramms von einem Producer zu einem Consumer benötigt wird und beeinflusst die ungünstigste Gesamtreaktionszeit des Systems. Deshalb hängt der berechnete Wert vom Wert des Parameters MaxDatenübertragungszeit ab.

Falls der Empfänger das Telegramm rechtzeitig erhält (KommunikationsWatchdog ist noch nicht abgelaufen und die Übertragungszeit liegt innerhalb der durch die Parameter MinDatenübertragungszeit und MaxDatenübertragungszeit vorgegeben Zeitgrenzen), wird der Watchdog-Timer erneut gestartet und die Kommunikation wird als gültig betrachtet. Der Zeitstempel im eingehenden Telegramm wird dabei nicht ausgewertet. Relevant ist nur, dass das Telegramm empfangen wird.

Falls kein Telegramm empfangen wird (wegen Verzögerung oder Verlust) und der KommunikationsWatchdog im Consumer abläuft, nimmt das Modul seinen definierten sicheren Zustand ein. Dadurch steuert auch das Prozessdaten-Element 'SafeModuleOK' auf SAFEFALSE und zeigt damit an, dass die sicherheitsbezogene Kommunikation des Moduls nicht länger gültig ist.

Berechnung der Werte

So berechnen Sie den modulspezifischen KommunikationsWatchdog-Wert

  1. Wählen Sie 'Projekt > Reaktionszeit Relevante Parameter'.

  2. Öffnen Sie im erscheinenden Dialog das Register 'Manual'.

  3. Abschnitt 'Variable Parameter':

    Falls eine andere Sercos III-Zykluszeit als die in EcoStruxure Machine Expert eingestellte verwendet werden soll, um den Wert für Kommunikation­sWatchdog zu berechnen (z.B. um Änderungen der Zykluszeit durch das Anwendungsprogramm zu berücksichtigen), markieren Sie 'Selektierbar' und wählen unter 'Sercos III Zykluszeit' die gewünschte Zeit aus bzw. geben diese ein.

    Kontrollkästchen 'Ring/Doppellinie': Ring- und Doppel­linienstrukturen erfordern höhere Parameterwerte, um ein stabil laufendes System zu realisieren. Markieren Sie 'Ring/Doppellinie', um die Busstruktur zu berücksichtigen.

    Das Kontrollkästchen ist standardmäßig markiert und so für eine Ringstruktur wie auch für eine Doppellinien­struktur geeignet. Wenn Sie eine Linienstruktur realis­ieren, kann das Kontrollkästchen deaktiviert werden, um den resultierenden Parameterwert zu verringern. Werte, die für eine Ring-/Doppellinienstruktur berechnet wurden, können für eine Linienstruktur verwendet werden, umgekehrt jedoch nicht.

  4. Indem Sie die Zahl an erlaubten Paketverlusten erhöhen, wird das System toleranter. Dadurch erhöht sich das berechnete minimale Watchdogin­tervall. Geben Sie einen ganzzahligen Wert zwischen 0 und 99 ein, um die Anzahl an Tele­grammen festzulegen, die verloren gehen dürfen. Der eingegebene Wert gilt für alle beteiligten sicher­heitsbezogenen Module.

  5. Der berechnete KommunikationsWatchdog-Wert wird für das Modul angezeigt.

    Modulspezifische Parameter (z.B. in EcoStruxure Machine Expert eingestellte Zykluszeiten) werden zu Ihrer Information ebenfalls in der Tabelle angezeigt. Werden diese Parameter dort verändert, während der Dialog geöffnet ist, aktualisieren sich die Werte automatisch ohne Schließen des Berechnungsdia­logs.

    Notieren Sie den resultierenden modulspezifischen Wert und geben Sie ihn in das entsprechende Tabel­lenfeld für den Parameter Kommunikation­sWatchdog des aktuellen Moduls ein.

Praktische Werte

Für den KommunikationsWatchdog-Wert, den Sie in die Parametertabelle ('Geräte'-Fenster) eingeben müssen, gilt Folgendes:

  • Für die Inbetriebnahme eines Systems sollte der KommunikationsWatchdog-Wert gleich groß oder größer sein als die größte Zykluszeit im System (z.B. die Sercos III-Zykluszeit).

  • Ein höherer Wert als der berechnete Kommunika­tionsWatchdog-Wert erhöht die Verfügbarkeit des Systems aber auch die ungünstigste Gesamtreak­tionszeit (wodurch sich die erforderlichen physika­lischen Abstände für die Montage der Sicherheitsbarrieren und Perimeter an der Maschine vergrößern).

Prozessdaten-Elemente des Moduls

Zweck und Verwendung von Prozessdaten-Elementen

Jedes Modul verfügt über Prozessdaten-Elemente (Signale). Prozess­daten-Elemente können sein:

  • I/O-Signale, die von einer Anschlussklemme des Moduls gelesen oder auf diese geschrieben werden.

  • Diagnosesignale zur Auswertung des Status eines Eingangs-/Ausgangssignals oder des gesamten Moduls.

  • Steuersignale, um beispielsweise einen Kanal freizugeben oder das Modul einzustellen.

Die verfügbaren Prozessdaten-Elemente eines Moduls sind unter dem Modulknoten im Baum links im 'Geräte'-Fenster aufgelistet. Um ein Prozessdaten-Element anzuzeigen und zu verwenden, erweitern Sie den Modulknoten im Baum durch Anklicken des '+'-Symbols.

Beispiel

Das Modul mit der Kennung SL1.SM3 stellt (unter anderem) das Diagnosesignal SafeModuleOK und das Eingangssignal SafeDigitalInput01 zur Verfügung.

ProcessDataItemInDevicesTree.png

Sie können Prozessdaten-Elemente aus dem Baum per Drag  & Drop in den sicherheitsbezogenen FBS/KOP-Code einfügen (siehe folgende Anweisung). Beim Einfügen in den Code, wird eine (nicht-sicherheits­bezogene) Standard-Variable oder eine sicherheitsbezogene Variable erzeugt (je nach Datentyp des Prozessdaten-Elements).

Vorgehensweise: So fügen Sie Prozessdaten-Elemente in den Code ein

  1. Öffnen Sie das Code-Arbeitsblatt an der Stelle, an der Sie das Prozessdaten-Element einfügen wollen und erstellen/verwenden Sie die dazu zugewiesene globale Variable.

  2. Öffnen Sie links im 'Geräte'-Fenster den Gerätebaum und erweitern Sie das Modul (den Baumknoten), der das zu verwen­dende Prozessdatum enthält.

  3. Ziehen Sie das Prozessdaten-Element in das Code-Arbeitsblatt. Beim Loslassen der Maustaste erscheint der Dialog 'Variable'.

    Um eine boolesche Variable als Kontakt in den grafischen Code einzufügen, halten Sie die <Strg>-Taste gedrückt, wenn Sie nach dem Ziehen der Variable aus der Geräteanschlussklemmen-Tabelle in das Code-Arbeitsblatt die Maustaste loslassen.

  4. Im Dialog 'Variable' wird ein Name vorgeschlagen, der sich aus dem Namen des Prozessdaten-Elements ableitet. Akzeptieren Sie den vorgegebenen Namen, oder wählen Sie eine bereits vorhandene globale Variable aus, oder deklarieren Sie eine neue globale Variable durch Eingeben eines neuen 'Namens', Definieren des 'Datentyps' und Auswählen einer 'Gruppe'.

  5. Bestätigen Sie den Dialog 'Variable' mit 'OK'.

    Der Umriss der Variablen erscheint nun am Mauszeiger. Die Variable kann per Linksklick an der gewünschten Position abgelegt werden. Sie können die Variable direkt an ein anderes Objekt anschließen (z.B. an einen Formalparameter, wie unten gezeigt) oder an einer beli­ebigen freien Position ablegen.

Datenrichtung hängt vom Signaltyp an

Eingangssignale können von der sicherheitsbezogenen Applikation nur gelesen werden, Ausgangssignale können geschrieben werden.

Diagnosesignale dienen zur Auswertung und Überwachung des sicher­heitsbezogenen Moduls oder beispielsweise auch einzelner I/O-Kanäle. Deshalb können globale Variablen, die für Diagnosesignale erzeugt wurden und diesen zugeordnet sind, von der Applikation nur gelesen werden.

Mit Steuersignalen lässt sich das Modul freigeben oder auf den aktuellen Anwendungsfall anpassen (beispielsweise durch Einstellen eines Mess­bereichs oder eines bestimmten Modulverhaltens). Globale Variablen, die für ein Steuersignal erzeugt wurden und diesem zugeordnet sind, können von der Applikation geschrieben werden und dadurch das Modul steuern.

Darstellung von Prozessdaten-Elementen im Gerätebaum:

Symbol

Signaltyp

Zugriffsart

ico_DiagProcessDataItem_safe.png

Sicherheitsbezogenes Eingangssignal oder Diagnosesignal.

Lesen

ico_InProcessDataItem_standard.png

Standard-Eingangssignal (nur für den Sicheren Logik-Controller verfügbar).

Lesen

ico_ControlProcessDataItem_standard.png

Standard-Ausgangssignal (nur für den Sicheren Logik-Controller verfügbar) oder Steuersignal.

Schreiben

ico_ControlProcessDataItem_safe.png

Sicherheitsbezogenes Ausgangssignal oder Steuersignal.

Schreiben

HINWEIS:

Wird ein Standard-Signal (nicht-sicherheitsbezogen) mit einem physikalischen Eingang oder Ausgang verbunden, muss der Datentyp der zugehörigen globalen Variablen von sicherheitsbezogen nach Standard konvertiert werden (z.B. von SAFEBOOL nach BOOL), um eine falsche Verwendung des Signals im Code auszuschließen. Dasselbe gilt, wenn ein sicherheitsbezogenes Signal im Code nur als Standard-Signal verwendet wird. Die Änderung des Datentyps kann entweder im zugehörigen Variablen-Arbeitsblatt oder mit Hilfe der Funktionen zur Typumwandlung erfolgen.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie die Auswirkung von Standard-Signalen (nicht-sich­erheitsbezogen) auf sicherheitsbezogene Ausgänge.

  • Verifizieren Sie, dass die Funktionen zur Umwandlung von "Stan­dard auf sicherheitsbezogen" im Code korrekt verwendet werden.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Nachfolgend sind die I/O-Signale, die Diagnosesignale und die Steuer­signale jedes Moduls aufgelistet (in der Reihenfolge wie im Geräte­baum).

SafeModuleOK

Beschreibung

Zeigt den Status der Kommunikation zwischen dem sicherheitsbezogenen Modul und dem Sicheren Logik-Controller an und gibt somit, aus Sicht der sicherheitsbezogenen Applikation, den Modulstatus an.

Signaltyp

Diagnose

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

SAFEFALSE:

  • Sicherheitsbezogenes Modul ist nicht im Betrieb­smodus, oder

  • die Kommunikation mit dem Sicheren Logik-Controller wurde nicht korrekt aufgebaut, oder

  • das Modul hat einen Fehler im Kommunikation­skanal erkannt.

SAFETRUE:

  • Sicherheitsbezogenes Modul ist im Betriebsmodus und

  • die Kommunikation mit dem Sicheren Logik-Controller wurde korrekt aufgebaut und

  • das Modul hat keinen Fehler im Kommunikation­skanal erkannt.

Verpflichtende Zuweisungskontrolle für das Prozess­daten-Element SafeModuleOK:

Die Verifizierung/Validierung der Zuordnung zwischen Prozess­daten-Elementen und globalen I/O-Variablen ist verpflichtend. Dies gilt insbesondere für das Prozessdatenelement SafeModuleOK, welches für jedes sicherheitsbezogene Modul verfügbar ist und dessen Status meldet. Da das Prozessdatum SafeModuleOK nicht geschrieben werden kann, z.B. durch Anlegen eines Signals an einen Moduleingang, muss das zu prüfende Modul physikalisch vom TM5-Bus entfernt, d.h. abgezogen werden. Als Folge dieses Abziehens schaltet SafeMod­uleOK auf SAFEFALSE, und die zugewiesene globale Variable muss diesem Wechsel folgen. Weitere Informationen zum Aus- und Wiedere­inbau eines Moduls entnehmen Sie bitte der Bedienungsanleitung des betreffenden Moduls.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Entfernen Sie jedes sicherheitsbezogene Modul vom TM5-Bus, um den Zustand von SafeModuleOK zu prüfen.

  • Prüfen Sie, ob die globale I/O-Variable, die dem Prozess­daten-Element SafeModuleOK des entfernten Moduls zugewiesen ist, auf SAFEFALSE wechselt.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeChannelOK

Beschreibung

Dieses Diagnosesignal zeigt den Status des sicherheitsbezogenen Eingangskanals an.

Das Diagnosesignal bestätigt die Gültigkeit des gemessenen Frequenzsignals. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das Eingangssignal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Frequenzwert hin. In diesem Fall darf das Eingangssignal in der sicherheitsbezogenen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

HINWEIS:

Diagnosesignale müssen in der sicherheitsbezo­genen Applikation ausgewertet werden, um Fehlerzustände in Modulen/Kanälen in Ihrer Applikation erkennen zu können. Ein Programmierbeispiel und weitere Informa­tionen finden Sie im Thema "Überwa­chung/Auswertung von Diagnoseinformationen der Maschine".

Signaltyp

Diagnosesignal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

SAFEFALSE:

  • SafeModuleOK = SAFEFALSE, oder

  • inkorrekte Verdrahtung zwischen Sensor und Modul, oder

  • Signalverlust am Eingang wegen eines Kabelbruchs oder defekten Gebers, oder

  • Modul ist inkorrekt parametriert.

    Verifizieren Sie die Werte für die Parameter Funktions­modus, Einheit und Abtastzeitraum.

    Oder

  • Eingangssignal erfüllt nicht die elektrischen Anforderungen des Moduls.

SAFETRUE:

  • SafeModuleOK = SAFETRUE, und

  • Eingangskanal arbeitet korrekt, und

  • Modul ist korrekt parametriert, und

  • Eingangswert liegt innerhalb des Messbereichs.

HINWEIS:

Zur Fehleranzeige beachten Sie auch die entspre­chenden LEDs der betroffenen Module.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das Eingangssignal in der sicherheitsbezo­genen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeFrequencyOK

Beschreibung

Dieses Diagnosesignal zeigt den Status der Frequenzmessung an.

Das Diagnosesignal bestätigt die Gültigkeit des eingehenden Analogsignals und des Prozessdaten-Elements SafeFrequency (ausgegebener Messwert). Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das SafeFrequency-Signal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeFrequency hin. In diesem Fall darf das Signal SafeFrequency in der sicherheitsbezogenen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

HINWEIS:

Diagnosesignale müssen in der sicherheitsbezo­genen Applikation ausgewertet werden, um Fehlerzustände in Modulen/Kanälen in Ihrer Applikation erkennen zu können. Ein Programmierbeispiel und weitere Informa­tionen finden Sie im Thema "Überwa­chung/Auswertung von Diagnoseinformationen der Maschine".

Weitere Informationen

Also refer to the description of the FunctionMode parameter above, in particular to the section "Error detection in function modes A-A and A-B".

Signaltyp

Diagnosesignal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

SAFEFALSE: Signal SafeFrequency ist ungültig und darf in der sicherheitsbezogenen Applikation aus einem der folgenden Gründe nicht verwendet werden.

  • SafeModuleOK = SAFEFALSE, oder

  • innerhalb des mit dem Parameter 'Abtastzeitraum' vorgegebenen Zeitintervalls wurden keine Impulse an den Eingangskanälen erkannt (oder im Falle einer anderen Ausnahme im Modul).

SAFETRUE: Signal SafeFrequency ist gültig.

  • SafeModuleOK = SAFETRUE, und

  • innerhalb des mit dem Parameter 'Abtastzeitraum' vorgegebenen Zeitintervalls wurden Impulse an den Eingangskanälen erkannt.

HINWEIS:

Zur Fehleranzeige beachten Sie auch die entspre­chenden LEDs der betroffenen Module.

Relevante Modulparameter

  • FunktionModus

  • Einheit

  • Abtastzeitraum

Die Parameterbeschreibungen finden Sie oben in diesem Thema.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das SafeFrequency-Signal in der sicherheits­bezogenen Applikation nur verwendet wird, so lange das zuge­hörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeFrequency

Beschreibung

Frequenz des Impulssignals, das am Eingangskanal des Moduls anliegt.

HINWEIS:

Die Frequenzbestimmung basiert auf der Länge des konfigurierten Abtastzeitraums und auf der Anzahl der Impulse, die während dieses Intervalls erkannt wurden. Der Frequenzwert wird nicht exakt bestimmt, wenn das Eingangssignal nicht während des gesamten Intervalls anliegt. Beachten Sie das Beispiel in der oben stehenden Beschreibung des Parameters Abtast­zeitraum.

Die Gültigkeit dieses Eingangssignals wird durch das zugehörige Diagnosesignal SafeFrequencyOK bestätigt. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das SafeFrequency-Signal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeFrequency hin. In diesem Fall darf das Signal SafeFrequency in der sicherheitsbezogenen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

Weitere Informationen

Lesen Sie hierzu auch die oben stehende Besch­reibung des Parameters FunktionModus, insbesondere den Abschnitt "Fehlererken­nung in den Funktionsmodi A-A und A-B".

Signaltyp

I/O-Signal

Datentyp

SAFEINT

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

Wenn SafeModuleOK = SAFETRUE und SafeFrequencyOK = SAFETRUE ist, wird die gemessene Frequenz in Hz als SAFEINT-Wert ausgegeben.

HINWEIS:

Details zur sicherheitsbezogenen Mess­genauigkeit finden Sie im Gerätehandbuch.

Relevante Modulparameter

  • FunktionModus

  • Einheit

  • Abtastzeitraum

Die Parameterbeschreibungen finden Sie oben in diesem Thema.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das SafeFrequency-Signal in der sicherheits­bezogenen Applikation nur verwendet wird, so lange das zuge­hörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Reset

Beschreibung

Freigabesignal für das digitale Sicherheits-Zählermodul TM5SDC1FS.

Die Freigabe ist erforderlich, wenn das Diagnosesignal SafeFrequencyOK des Moduls wegen eines ungültigen Eingangssignals auf SAFEFALSE gesteuert wurde.

HINWEIS:

Wenn das sicherheitsbezogene Modul im definierten sicheren Zustand und SafeModuleOK = SAFEFALSE ist, kann das Reset-Signal nicht zur Freigabe des Moduls verwendet werden. In diesem Fall ist ein Neustart des Moduls erforderlich.

Signaltyp

Steuersignal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation geschrieben werden

Mögliche Werte

  • SAFEFALSE: Eingangskanal des Moduls bleibt gesperrt.

  • Flanke SAFEFALSE > SAFETRUE: Freigabe des Eingangskanals und Rücksetzen des Moduls.

EIO0000002266.05

© Copyright 2019, Schneider Electric