TM7SDM12DTFS: Digitales Sicherheits-E/A-Modul

 

Typ-/sicherheitsbezogene Anwendungsbereiche des Moduls

Digitales Sicherheits-E/A-Modul, 8 sicherheitsbezogene Eingang­skanäle, 8 Taktausgänge, 24 VDC, per Software konfigurierbares Eingangsfilter, 4 Ausgangskanäle, 24 VDC.

Ausgangsschutz: Thermische Abschaltung von einzelnen Kanälen bei Überstrom oder Kurzschluss, integrierter Schutz zum Schalten von induktiven Lasten, 5 A Summennennstrom.

Die sicherheitsbezogenen Schneider Electric-Module können in sicher­heitsbezogenen Anwendungen verwendet werden, gemäß:

  • EN ISO 13849, PL e

  • IEC 62061, SIL 3

  • IEC 61508, SIL 3

Gruppe: Basic

Parameter: MinErforderlicheFWVer

Standardwert

Basic Release

Einheit

-/-

Beschreibung

Dieser Parameter ist nur relevant, wenn eine andere Firmware-Version, als die vom Hersteller aufgespielte Version in Betrieb ist.

Um in den Betriebszustand gelangen zu können, muss im Modul die hier eingestellte oder eine neuere Firmware-Version installiert sein.

  • Basic Release: Wählen Sie diese Option, wenn das Gerät mit der ursprünglich installierten Firm­ware-Version betrieben wird.

  • Basic Release - SoSafe V2.1: Wählen Sie diese Option, wenn das Gerät mit der Firmware-Version 301 oder höher betrieben wird.

  • Test Version: Wählen Sie diese Option, wenn auf dem Gerät eine (noch) nicht freigegebene Firm­ware-Version installiert ist. Eine Sicherheitsan­wendung kann nicht abgenommen werden, wenn Geräte mit einer Firmware-Testversion beteiligt sind.

Die hier gewählte Firmware-Version ist vor allem im Hinblick auf neue Parameter oder Prozessdaten-Elemente wichtig, die mit einer bestimmten Firmware-Version implementiert wurden. Falls das betreffende Gerät über neue Parameter oder Prozessdaten-Elemente verfügt, ist folgendes zu beachten: Wenn für MinErforderlicheFWVer ein falscher Wert eingestellt ist, gelangt entweder der SLC nicht in den Betriebszustand Run oder der neue Parameter bzw. das neue Prozessdaten-Element wird vom SLC nicht berücksichtigt.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

Weitere Informationen

Informationen zu neu hinzugefügten Parametern oder Prozessdaten-Elementen finden Sie in der Dokumentation (Release Notes), die der Firmware-Installation beiliegt. Darin erfahren Sie auch, wie Sie die Firm­ware-Version, die aktuell auf dem sicherhe­itsbezogenen Gerät installiert ist, bestimmen können.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Stellen Sie sicher, dass der unter MinErforderlicheFWVer eingestellte Wert der Firmware-Version entspricht, die auf diesem sicherheitsbezogenen Gerät installiert ist.

  • Stellen Sie anhand eines Funktiontests sicher, dass neu implemen­tierte Parameter oder Prozessdaten-Elemente des sicherheits­bezogenen Moduls vom SLC berücksichtigt werden, wenn Ihre sicherheitsbezogene Applikation dies erfordert.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Parameter: Optional

Standardwert

Nein

Einheit

-/-

Beschreibung

Das Modul kann mit Hilfe dieses Parameters als optional konfiguriert werden. Optionale Module müssen nicht vorhanden sein (physikalisch oder kommunikativ), d.h. ein fehlendes optionales Modul wird vom Sicheren Logik-Controller nicht gemeldet.

Dieser Parameter beeinflusst nicht das Signal oder die Statusdaten des Moduls.

Mögliche Werte

  • Nein: Dieses Modul ist nicht optional.

    Dieses Modul muss nach dem Start in den Betriebszustand 'Operational' gehen und es muss eine sicherheitsbezogene Kommunikation mit dem Sicheren Logik-Controller erfolgreich hergestellt werden (angezeigt durch SafeModulOK = SAFETRUE). Die Verarbeitung der sicherheitsbezo­genen Applikation im Sicheren Logik-Controller wird nach dem Starten solange verzögert, bis dieser Zustand für alle Module mit 'Optional = Nein' erreicht ist.

    Nach dem Starten werden Fehler in solchen sicher­heitsbezogenen Modulen durch die schnell blinkende MXCHG-LED am Sicheren Logik-Controller angezeigt. Außerdem erfolgt ein Eintrag in das Logbuch.

  • Ja: Dieses Modul ist optional, d.h. es ist für die sich­erheitsbezogene Applikation nicht erforderlich.

    Dieses Modul wird während des Startens nicht berücksichtigt, d.h. die sicherheitsbezogene Applika­tion wird gestartet, auch wenn sich Module mit 'Optional = Ja' nicht im Betriebszustand 'Operational' befinden oder die sicherheitsbezogene Kommunika­tion nicht erfolgreich aufgebaut werden konnte.

    Nach dem Starten werden Fehler in solchen sicher­heitsbezogenen Modulen NICHT am Sicheren Logik-Controller angezeigt. Es erfolgt auch kein Eintrag in das Logbuch.

  • Hochlauf: Dieses Modul ist optional, Entscheidungen in Bezug auf sein weiteres Verhalten werden während des Hochlaufens getroffen.

    Falls während des Hochlaufens erkannt wird, dass das Modul physikalisch vorhanden ist (auch wenn es nicht im Betriebszustand 'Operational' ist), verhält sich das Modul als ob 'Optional = Nein' gesetzt war.

    Falls während des Hochlaufens erkannt wird, dass das Modul physikalisch nicht vorhanden ist, verhält sich das Modul als ob 'Optional = Ja' gesetzt war.

Der Parameter Optional ist ein Mechanismus, um Ihr Sicherheitssystem an unterschiedliche Maschinenkonfigurationen anzupassen. Es ist jedoch möglich, dass als optional parametrierte Module in einer wechselnden/anderen Konfiguration erforderlich sind.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Stellen Sie anhand eines Funktiontests sicher, dass die Module, für die Optional auf 'Ja' oder 'Hochlauf' eingestellt ist, vorhanden sind, wenn diese in wechselnden/anderen Maschinenkonfigurationen erforderlich sind.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Parameter: DisableOSSD

Standardwert

Nein

Einheit

-/-

Beschreibung

Dieser Parameter kann verwendet werden, um die automatische Prüfung des Ausgangstreibers für jeden Kanal des Moduls auszuschalten.

Mögliche Werte

  • Nein: Automatische Prüfung des Ausgangstreibers ist eingeschaltet.

  • Ja-ACHTUNG: Automatische Prüfung des Ausgang­streibers ist ausgeschaltet.

    HINWEIS:

    Die Einstellung 'DeaktiviereOSSD = Ja-ACHTUNG' resul­tiert in einer reduzierten Fehlererkennung des Moduls und erfüllt nicht länger die Anforderungen nach SIL3 gemäß IEC 62061, oder PL e gemäß ISO 13849.

    Um die Anforderungen für Anwendungen bis SIL 2, entsprechend IEC 62061, oder PL d gemäß ISO 13849 zu erfüllen, ist eine tägliche Überprüfung der Sicherheits­funktion von Seiten des Anwenders notwendig.

Gruppe: SafetyResponseTime

Die Safety-Reaktionszeit ist die Zeit zwischen dem Eintreffen des Sensorsignals am Eingangskanal eines sicherheitsbezogenen Eingang­smoduls und dem Abschaltsignal am Ausgangskanal eines sicherheits­bezogenen Ausgangsmoduls. Weitere detaillierte Hintergrundinformationen finden Sie im Thema "Safety-Reaktionszeit".

Die Parameter in dieser Gruppe beeinflussen die Safety-Reaktionszeit des Sicheren Logik-Controller-Systems.

Die Parameter KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit in dieser Gruppe gelten nur dann für dieses Modul, wenn ManuelleKonfiguration auf 'Ja' gesetzt ist.

Parameter: ManuelleKonfiguration

Standardwert

Nein

Einheit

-/-

Beschreibung

Gibt an, ob das Modul seine eigenen modulspezifischen Safety-Reaktionszeit-relevanten Parameter (KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit) verwendet oder die Standardwerte, die in der Parametergruppe 'SafetyResponseTimeDefaults' des Sicheren Logik-Controllers vorgegeben sind.

Die Verwendung modulspezifischer Parameter ermöglicht die optimale Anpassung des Systems an anwendungsspezifische Anforderungen hinsichtlich der Safety-Reaktionszeit.

Parameterwert

  • Nein: Das Modul übernimmt für die Parameter KommunikationsWatchdog, MinDatenübertra­gungszeit und MaxDatenübertragungszeit die Werte aus der Parametergruppe 'SafetyResponseTimeDe­faults' des Sicheren Logik-Controllers.

  • Ja: Das Modul verwendet seine eigenen Parameter­werte.

Parameter: MinDatenübertragungszeit

Standardwert

12

Werte­bereich

Schritt­weite

12...500

1

Einheit

100 µs

Beschreibung

Legt die benötigte Mindestzeit für die Übertragung eines Datentelegramms zwischen Producer und Consumer fest. Wird ein Telegramm früher (vom Consumer) empfangen, als durch diesen Parameterwert vorgegeben, so wird die Kommunikation als ungültig betrachtet.

EcoStruxure Machine Expert - Safety verfügt über einen Berechnungsdialog für die Bestimmung dieses Parameterwertes.

Begriffsdefinition und Hintergrundinformation

Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer.

Jedes Telegramm enthält einen Zeitstempel für die Zeitvalidierung der Kommunikation. Beim Empfang eines Telegramms vergleicht der Consumer diesen Zeitstempel mit der aktuellen Zeit. Falls der Zeitplan eingehalten wurde, wird die Kommunikation als gültig betrachtet.

Wird ein Telegramm früher empfangen, als durch diesen Parameter definiert, wird die Kommunikation als ungültig betrachtet und nicht weiter fortgesetzt. Dadurch steuert auch das Prozessdaten-Element 'SafeModuleOK' auf SAFEFALSE und zeigt damit an, dass die sicherheitsbezogene Kommunikation des Moduls nicht länger gültig ist. Die Auswirkungen für den Rest der sicherheitsbezogenen Systeme hängen von der definierten sicherheitsbezogenen Funktion ab.

Berechnung der Werte

So berechnen Sie den modulspezifischen MinDatenübertragungszeit-Wert

  1. Wählen Sie 'Projekt > Reaktionszeit Relevante Parameter'.

  2. Öffnen Sie im erscheinenden Dialog das Register 'Manual'.

  3. Abschnitt 'Variable Parameter':

    Falls zur Berechnung des Parameterwerts MinData­TransportTime eine andere Sercos III-Zykluszeit als die in EcoStruxure Machine Expert eingestellte verwendet wird (z.B. um Änderungen der Zykluszeit durch das Anwendungsprogramm zu berücksich­tigen), markieren Sie 'Selektierbar' und wählen unter 'Sercos III Zykluszeit' die gewünschte Zeit aus bzw. geben diese ein.

    Das Kontrollkästchen 'Ring/Doppellinie' beeinflusst nur den Wert MaxDatenübertragungszeit. Das Kontrollkästchen 'Ring/Doppellinie' beeinflusst nicht den Wert MinDatenübertragungszeit.

    Ein eingegebener 'Paketverlust' beeinflusst nicht den Wert für MinDatenübertragungszeit, sondern nur den KommunikationsWatchdog-Wert.

    Der Abschnitt 'System Parameter' ist schreibges­chützt und zeigt System-/Moduleigenschaften an, die in EcoStruxure Machine Expert eingestellt wurden. Werden diese Parameter dort verändert, während der Dialog geöffnet ist, aktualisieren sich die Werte automatisch ohne Schließen des Berech­nungsdialogs.

  4. Der berechnete modulspezifische Wert für MinDatenüber­tragungszeit wird im Bereich 'Ergebnis' angezeigt.

    Notieren Sie den Ergebniswert und geben Sie ihn für den Parameter MinDatenübertragungszeit in die Parameterta­belle des aktuellen Moduls ein.

Praktische Werte

Die Verwendung des in EcoStruxure Machine Expert - Safety berechneten Werts für MinDatenübertragungszeit führt zu einem stabil laufenden System.

Parameter: MaxDatenübertragungszeit

Standardwert

200

Werte­bereich

Schritt­weite

12...65.000

1

Einheit

100 µs

Beschreibung

Definiert die erlaubte maximale Zeit für die Übertragung eines Datentelegramms zwischen Producer und Consumer. Wird ein Telegramm später (vom Consumer) empfangen, als durch diesen Parameterwert vorgegeben, so wird die Kommunikation als ungültig angesehen.

EcoStruxure Machine Expert - Safety verfügt über einen Berechnungsdialog für die Bestimmung dieses Parame­terwertes.

HINWEIS:

Der Parameterwert beeinflusst die von EcoStruxure Machine Expert - Safety berechnete Safety-Reaktionszeit.

Begriffsdefinition und Hintergrundinformation

Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer.

Jedes Telegramm enthält einen Zeitstempel für die Zeitvalidierung der Kommunikation. Beim Empfang eines Telegramms vergleicht der Consumer diesen Zeitstempel mit der aktuellen Zeit. Falls der Zeitplan eingehalten wurde, wird die Kommunikation als gültig betrachtet.

Wird ein Telegramm später empfangen, als durch diesen Parameter definiert, wird die Kommunikation als ungültig betrachtet und nicht weiter fortgesetzt. Die Auswirkungen für den Rest der sicherheitsbezogenen Systeme hängen von der definierten sicherheitsbezogenen Funktion ab.

Berechnung der Werte

So berechnen Sie den modulspezifischen Wert für MaxDatenübertragungszeit

  1. Wählen Sie 'Projekt > Reaktionszeit Relevante Parameter'.

  2. Öffnen Sie im erscheinenden Dialog das Register 'Manual'.

  3. Abschnitt 'Variable Parameter':

    Falls zur Berechnung des Parameterwerts MaxDatenübertragungszeit eine andere Sercos III-Zykluszeit als die in EcoStruxure Machine Expert eingestellte verwendet werden soll (z.B. um Änderungen der Zykluszeit durch das Anwendung­sprogramm zu berücksichtigen), markieren Sie 'Selektierbar' und wählen unter 'Sercos III Zykluszeit' die gewünschte Zeit aus bzw. geben diese ein.

    Kontrollkästchen 'Ring/Doppellinie': Ring- und Doppel­linienstrukturen erfordern höhere Parameterwerte, um ein stabil laufendes System zu realisieren. Markieren Sie 'Ring/Doppellinie', um die Busstruktur zu berücksichtigen.

    Das Kontrollkästchen ist standardmäßig markiert und so für eine Ringstruktur wie auch für eine Doppellinien­struktur geeignet. Wenn Sie eine Linienstruktur realis­ieren, kann das Kontrollkästchen deaktiviert werden, um den resultierenden Parameterwert zu verringern. Werte, die für eine Ring-/Doppellinienstruktur berechnet wurden, können für eine Linienstruktur verwendet werden, umgekehrt jedoch nicht.

    Ein eingegebener 'Paketverlust' beeinflusst nicht die MaxDatenübertragungszeit, sondern nur den KommunikationsWatchdog-Wert.

  4. Der berechnete modulspezifische MaxDatenübertra­gungszeit-Wert wird angezeigt.

    Modulspezifische Parameter (z.B. in EcoStruxure Machine Expert eingestellte Zykluszeiten) werden zu Ihrer Information ebenfalls in der Tabelle angezeigt. Werden diese Parameter dort verändert, während der Dialog geöffnet ist, aktualisieren sich die Werte automatisch ohne Schließen des Berechnungsdia­logs.

    Notieren Sie den resultierenden modulspezifischen Wert und geben Sie ihn in das Tabellenfeld des Parameters MaxDatenübertragungszeit für das aktu­elle Modul ein.

Praktische Werte

Die Verwendung des in EcoStruxure Machine Expert - Safety berechneten Werts für MaxDatenübertragungszeit führt zu einem stabil laufenden System.

Parameter: KommunikationsWatchdog

Standardwert

200

Werte­bereich

Schritt­weite

1...65.535

1

Einheit

100 µs

Beschreibung

Definiert die maximale Zeitspanne, in der ein Consumer ein gültiges Datentelegramm von einem Producer empfangen muss, damit die sicherheitsbezogene Kommunikation als gültig betrachtet und die Applikation fortgesetzt wird. Der Parameter stellt einen Watchdog-Timer ein, der den rechtzeitigen Empfang der Telegramme vom Producer im Consumer überwacht. Läuft der Watchdog ab, so wird die Kommunikation als ungültig betrachtet.

EcoStruxure Machine Expert - Safety verfügt über einen Berechnungsdialog für die Bestimmung dieses Parameterwertes.

HINWEIS:

Der Parameterwert beeinflusst die von EcoStruxure Machine Expert - Safety berechnete Safety-Reaktionszeit.

Begriffsdefinition und Hintergrundinformation

Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer.

Der KommunikationsWatchdog-Wert hängt physikalisch von der Übertragungszeit ab, die für die Übertragung des Telegramms von einem Producer zu einem Consumer benötigt wird und beeinflusst die ungünstigste Gesamtreaktionszeit des Systems. Deshalb hängt der berechnete Wert vom Wert des Parameters MaxDatenübertragungszeit ab.

Falls der Empfänger das Telegramm rechtzeitig erhält (KommunikationsWatchdog ist noch nicht abgelaufen und die Übertragungszeit liegt innerhalb der durch die Parameter MinDatenübertragungszeit und MaxDatenübertragungszeit vorgegeben Zeitgrenzen), wird der Watchdog-Timer erneut gestartet und die Kommunikation wird als gültig betrachtet. Der Zeitstempel im eingehenden Telegramm wird dabei nicht ausgewertet. Relevant ist nur, dass das Telegramm empfangen wird.

Falls kein Telegramm empfangen wird (wegen Verzögerung oder Verlust) und der KommunikationsWatchdog im Consumer abläuft, nimmt das Modul seinen definierten sicheren Zustand ein. Dadurch steuert auch das Prozessdaten-Element 'SafeModuleOK' auf SAFEFALSE und zeigt damit an, dass die sicherheitsbezogene Kommunikation des Moduls nicht länger gültig ist.

Berechnung der Werte

So berechnen Sie den modulspezifischen KommunikationsWatchdog-Wert

  1. Wählen Sie 'Projekt > Reaktionszeit Relevante Parameter'.

  2. Öffnen Sie im erscheinenden Dialog das Register 'Manual'.

  3. Abschnitt 'Variable Parameter':

    Falls eine andere Sercos III-Zykluszeit als die in EcoStruxure Machine Expert eingestellte verwendet werden soll, um den Wert für Kommunikation­sWatchdog zu berechnen (z.B. um Änderungen der Zykluszeit durch das Anwendungsprogramm zu berücksichtigen), markieren Sie 'Selektierbar' und wählen unter 'Sercos III Zykluszeit' die gewünschte Zeit aus bzw. geben diese ein.

    Kontrollkästchen 'Ring/Doppellinie': Ring- und Doppel­linienstrukturen erfordern höhere Parameterwerte, um ein stabil laufendes System zu realisieren. Markieren Sie 'Ring/Doppellinie', um die Busstruktur zu berücksichtigen.

    Das Kontrollkästchen ist standardmäßig markiert und so für eine Ringstruktur wie auch für eine Doppellinien­struktur geeignet. Wenn Sie eine Linienstruktur realis­ieren, kann das Kontrollkästchen deaktiviert werden, um den resultierenden Parameterwert zu verringern. Werte, die für eine Ring-/Doppellinienstruktur berechnet wurden, können für eine Linienstruktur verwendet werden, umgekehrt jedoch nicht.

  4. Indem Sie die Zahl an erlaubten Paketverlusten erhöhen, wird das System toleranter. Dadurch erhöht sich das berechnete minimale Watchdogin­tervall. Geben Sie einen ganzzahligen Wert zwischen 0 und 99 ein, um die Anzahl an Tele­grammen festzulegen, die verloren gehen dürfen. Der eingegebene Wert gilt für alle beteiligten sicher­heitsbezogenen Module.

  5. Der berechnete KommunikationsWatchdog-Wert wird für das Modul angezeigt.

    Modulspezifische Parameter (z.B. in EcoStruxure Machine Expert eingestellte Zykluszeiten) werden zu Ihrer Information ebenfalls in der Tabelle angezeigt. Werden diese Parameter dort verändert, während der Dialog geöffnet ist, aktualisieren sich die Werte automatisch ohne Schließen des Berechnungsdia­logs.

    Notieren Sie den resultierenden modulspezifischen Wert und geben Sie ihn in das entsprechende Tabel­lenfeld für den Parameter Kommunikation­sWatchdog des aktuellen Moduls ein.

Praktische Werte

Für den KommunikationsWatchdog-Wert, den Sie in die Parametertabelle ('Geräte'-Fenster) eingeben müssen, gilt Folgendes:

  • Für die Inbetriebnahme eines Systems sollte der KommunikationsWatchdog-Wert gleich groß oder größer sein als die größte Zykluszeit im System (z.B. die Sercos III-Zykluszeit).

  • Ein höherer Wert als der berechnete Kommunika­tionsWatchdog-Wert erhöht die Verfügbarkeit des Systems aber auch die ungünstigste Gesamtreak­tionszeit (wodurch sich die erforderlichen physika­lischen Abstände für die Montage der Sicherheitsbarrieren und Perimeter an der Maschine vergrößern).

Gruppe: SafeDigitalInput01 bis SafeDigitalInput08

Parameter: Taktquelle

Dieser Parameter ist für Eingangskanal 1 des Moduls nicht verfügbar (Parametergruppe SafeDigitalInput01).

Standardwert

default

Einheit

-/-

Beschreibung

Gibt die Quelle des Takteingangs an: Durch eine andere Einstellung als 'Default', kann der aktuelle Kanal mit dem Taktsignalausgang eines anderen Kanals desselben Moduls betrieben werden.

Mögliche Werte

In der Dropdown-Liste stehen die verfügbaren Taktausgänge desselben Moduls zur Auswahl.

Einstellung 'Default' bedeutet, dass der Kanal sein eigenes Taktsignal verwendet.

HINWEIS:

Wenn Sie einen anderen Wert als 'Default' wählen, muss der Parameter Taktmode des entsprechenden Kanals auf 'intern' eingestellt werden.

Mehrkanalige Schalter (Betriebsartenwahlschalter, Schaltgeräte mit "Shift Key"-Funktion) können an mehrere sicherheitsbezogene digitale Eingangsmodule angeschlossen werden. In diesem Fall gelten die folgenden Regeln:

  • Wenn Signale intern in einem Modul ausgewertet werden, muss dieselbe Taktquelle für alle verwen­deten Eingangskanäle konfiguriert werden.

  • Wenn Signale durch mehrere sicherheitsbezogene Eingangsmodule ausgewertet werden, müssen alle verwendeten Kanäle konfiguriert werden, um einen externen Takt zu verwenden. Eine Taktauswertung mit dem "Standard"-Takt ist für solche Applikationen nicht geeignet.

    HINWEIS:

    In diesem Fall muss eine mehrkanalige Auswer­tung in der Sicherheitsanwendung mit Hilfe des sicherheitsbezogenen PLCopen-Funktions­bausteins SF_ModeSelector durchgeführt werden. Die gemäß EN ISO 13849-1:2008 erre­ichte Kategorie hängt von den Fehlermodellen des verwendeten Schaltelements ab (z.B. Betriebsartenwahlschalter) und muss zusammen mit der im PLCopen-Funktions­baustein vorhandenen Fehlererkennung unter­sucht werden.

Wenn dieselben Taktsignale für verschiedene Eingangskanäle verwendet werden, müssen die Taktsignale voneinander isoliert werden. Andernfalls kann ein Schaden an den Leitungen zu Quer­schlussfehlern führen, die vom Modul nicht erkannt werden.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Stellen Sie sicher, dass Signalleitungen, die dieselben Taktsignale verwenden, in verschiedenen voneinander isolierten Kabeln geführt werden oder dass andere geeignete, fehlervermeidende Maßnahmen (gemäß IEC 13849-2) getroffen wurden, um einen Querschluss in Taktsignalleitungen zu erkennen.

  • Stellen Sie bei benachbarten Eingangskanälen, die dasselbe Taktsignal verwenden sicher, dass die Eingänge nicht unbeab­sichtigt falsch verdrahtet wurden.

  • Validieren Sie die physikalische Verdrahtung Ihrer sicherheitsbezo­genen Architektur und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Die möglichen Taktquelle-Einstellungen für die Eingangskanäle, sowie die Standard-Taktquelle sind in der folgenden Tabelle abgebildet. Der Eintrag "-" bedeutet, dass diese Taktquelle nicht für diesen Eingang­skanal verwendet werden kann.

PulseSources_8channels.PNG

Parameter: Taktmode

Standardwert

intern

Einheit

-/-

Beschreibung

Gibt den Taktmodus des Eingangskanals an.

Mögliche Werte

  • intern: Der Kanal arbeitet nur mit dem entsprech­enden Taktausgang.

  • extern: Der Kanal kann mit dem Taktausgang eines anderen Moduls arbeiten, wenn dieser auf 'extern' eingestellt ist.

    Wenn Taktmode auf 'intern' eingestellt ist, erhöht sich die gesamte Safety-Reaktionszeit des Systems. Weitere Informationen dazu finden Sie im Gerätehandbuch.

  • kein Takt: Die Taktüberprüfung am Kanal ist deaktiv­iert und potentielle "Low-Phasen" des Signals müssen mit Hilfe des Ausschaltfilters entfernt werden, um ein ungewolltes Abschalten zu verhin­dern.1

HINWEIS:

Beachten Sie auch die sicherheitsbezogenen Hinweise und Gefahrenhinweise im Geräte­handbuch.

1

Mit der Einstellung 'Taktmode = kein Takt', ist das Modul selbst nicht in der Lage, Verdrahtungsfehler zu erkennen. Interne Fehler werden jedoch weiterhin erkannt. Alle Fehler, die aus einer falschen, beschädigten oder unterbrochenen Verdrahtung resultieren, müssen durch zusätzliche Maßnahmen gemäß EN ISO 13849-2:2012 oder durch das angeschlossene Gerät behandelt werden.

WARNUNG

UNBEABSICHTIGTER GERÄTEBETRIEB

Führen Sie eine Validierung Ihrer Sicherheitsanwendung durch und prüfen Sie die Anwendung sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Parameter: Ausschaltfilter

Standardwert

0

Werte­bereich

Schritt­weite

0...500.000

1

Einheit

µs

Beschreibung

Konfiguriert einen Ausschaltfilter für den Kanal, um möglicherweise störende "Low-Phasen" im Eingangssignal zu entfernen.

Das Konfigurieren eines Ausschaltfilters erhöht die Datenverarbeitungszeit des sicherheitsbezogenen Moduls und dadurch auch die Safety-Reaktionszeit. Beachten Sie den ersten Gefahrenhinweis unter dieser Tabelle.

Das Konfigurieren eines Ausschaltfilters führt dazu, dass Eingangssignale ausgefiltert werden, deren "Low-Phase" kürzer als das konfigurierte Ausschaltfilter ist. Falls dies zu einem ungewollten Betrieb des Geräts führt, muss der Parameter Ausschaltfilter auf 0 gesetzt werden. Eine Verlängerung der "Low-Phase" mit Hilfe eines Einschaltfilters (Parameter Einschaltfilter) ist in diesen Fällen nicht möglich. Beachten Sie den zweiten Gefahrenhinweis unter dieser Tabelle.

WARNUNG

UNBEABSICHTIGTER GERÄTEBETRIEB

Berechnen und validieren Sie die sichere Reaktionszeit erneut, nachdem Sie den Parameter Ausschaltfilter geändert haben.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER GERÄTEBETRIEB

  • Stellen Sie sicher, dass der eingestellte Wert für den Parameter Ausschaltfilter niedriger ist, als die kürzeste "Low-Phase" des Eingangssignals und deshalb keine Eingangssignale ausgefiltert werden.

  • Schalten Sie das Ausschaltfilter aus, indem Sie den Parameter Ausschaltfilter auf 0 setzen, falls ein Wert größer als 0 einen unbe­absichtigten Gerätebetrieb verursacht.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Parameter: Einschaltfilter

Standardwert

200.000

Werte­bereich

Schritt­weite

0...500.000

1

Einheit

µs

Beschreibung

Konfiguriert einen Einschaltfilter für den Kanal. Eingangssignale können mit dem Einschaltfilter entprellt werden. Außerdem können Sie mit dieser Funktion das Abschaltsignal eines Moduls verlängern, wenn dieses zu kurz sein sollte.

Eingangssignale mit einer "Low-Phase" kürzer als die Safety-Reaktionszeit können verloren gehen. Solche Signale sollten mit Hilfe des Parameters Einschaltfilter im Eingangsmodul entsprechend verlängert werden.

Parameter: Diskrepanzzeit

Standardwert

0

Werte­bereich

Schritt­weite

0...500.000

1

Einheit

µs

Beschreibung

Dieser Parameter ist nur für Kanäle mit ungerader Kanalnummer verfügbar.

Falls gesetzt, fasst er den aktuellen Kanal mit dem nächsten Kanal für eine zweikanalige Auswertung zusammen. (Einstellung Kanal n kombiniert n und n+1.)

Der Wert gibt die maximale Zeitspanne für die zweikanalige Auswertung vor, innerhalb derer der Status beider physikalischer Kanäle undefiniert sein darf, ohne dass dadurch ein Fehler ausgelöst wird.

Ob die Kanäle dabei auf Antivalenz oder Äquivalenz überwacht werden, hängt von den verwendeten Prozessdaten-Elementen ab: Das Modul bietet sowohl SafeEquivalentInputs als auch SafeAntivalentInputs. Eine Über-/Unterschreitung der Diskrepanzzeit kann durch Auswerten der Prozessdaten-Elemente SafeEquivalentOK oder SafeAntivalentOK für das Modul in der sicherheitsbezogenen Anwendung überwacht werden.

Gruppe: SafeDigitalOutput01 bis SafeDigitalOutput04

Parameter: AutomatischerWiederanlauf

Standardwert

Nein

Einheit

-/-

Beschreibung

Aktiviert oder deaktiviert den automatischen Wiederanlauf des Modulausgangs.

Mögliche Werte

  • Nein: 'Automatische Wiederanlauf'-Funktion ist deaktiviert.

  • Ja-ACHTUNG: 'Automatische Wiederanlauf'-Funk­tion ist aktiviert.

HINWEIS:

Das Konfigurieren eines automatischen Wiederanlaufs kann im Hinblick auf die Sicherheit zu kritischen Situationen führen. Ergreifen Sie zusätzliche Maßnahmen, um eine korrekte, sichere Funktionalität sicherzustellen.

WARNUNG

UNBEABSICHTIGTER BETRIEBSSTART

  • Stellen Sie sicher, dass Ihre Risikoanalyse eine Auswertung für Fall eines automatischen Wiederanlaufs des Modulausgangs enthält.

  • Stellen Sie sicher, dass geeignete organisatorische Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefähr­dungen im Falle eines automatischen Wiederanlaufs zu verhin­dern.

  • Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Prozessdaten-Elemente des Moduls

Zweck und Verwendung von Prozessdaten-Elementen

Jedes Modul verfügt über Prozessdaten-Elemente (Signale). Prozess­daten-Elemente können sein:

  • I/O-Signale, die von einer Anschlussklemme des Moduls gelesen oder auf diese geschrieben werden.

  • Diagnosesignale zur Auswertung des Status eines Eingangs-/Ausgangssignals oder des gesamten Moduls.

  • Steuersignale, um beispielsweise einen Kanal freizugeben oder das Modul einzustellen.

Die verfügbaren Prozessdaten-Elemente eines Moduls sind unter dem Modulknoten im Baum links im 'Geräte'-Fenster aufgelistet. Um ein Prozessdaten-Element anzuzeigen und zu verwenden, erweitern Sie den Modulknoten im Baum durch Anklicken des '+'-Symbols.

Beispiel

Das Modul mit der Kennung SL1.SM3 stellt (unter anderem) das Diagnosesignal SafeModuleOK und das Eingangssignal SafeDigitalInput01 zur Verfügung.

ProcessDataItemInDevicesTree.png

Sie können Prozessdaten-Elemente aus dem Baum per Drag  & Drop in den sicherheitsbezogenen FBS/KOP-Code einfügen (siehe folgende Anweisung). Beim Einfügen in den Code, wird eine (nicht-sicherheits­bezogene) Standard-Variable oder eine sicherheitsbezogene Variable erzeugt (je nach Datentyp des Prozessdaten-Elements).

Vorgehensweise: So fügen Sie Prozessdaten-Elemente in den Code ein

  1. Öffnen Sie das Code-Arbeitsblatt an der Stelle, an der Sie das Prozessdaten-Element einfügen wollen und erstellen/verwenden Sie die dazu zugewiesene globale Variable.

  2. Öffnen Sie links im 'Geräte'-Fenster den Gerätebaum und erweitern Sie das Modul (den Baumknoten), der das zu verwen­dende Prozessdatum enthält.

  3. Ziehen Sie das Prozessdaten-Element in das Code-Arbeitsblatt. Beim Loslassen der Maustaste erscheint der Dialog 'Variable'.

    Um eine boolesche Variable als Kontakt in den grafischen Code einzufügen, halten Sie die <Strg>-Taste gedrückt, wenn Sie nach dem Ziehen der Variable aus der Geräteanschlussklemmen-Tabelle in das Code-Arbeitsblatt die Maustaste loslassen.

  4. Im Dialog 'Variable' wird ein Name vorgeschlagen, der sich aus dem Namen des Prozessdaten-Elements ableitet. Akzeptieren Sie den vorgegebenen Namen, oder wählen Sie eine bereits vorhandene globale Variable aus, oder deklarieren Sie eine neue globale Variable durch Eingeben eines neuen 'Namens', Definieren des 'Datentyps' und Auswählen einer 'Gruppe'.

  5. Bestätigen Sie den Dialog 'Variable' mit 'OK'.

    Der Umriss der Variablen erscheint nun am Mauszeiger. Die Variable kann per Linksklick an der gewünschten Position abgelegt werden. Sie können die Variable direkt an ein anderes Objekt anschließen (z.B. an einen Formalparameter, wie unten gezeigt) oder an einer beli­ebigen freien Position ablegen.

Datenrichtung hängt vom Signaltyp an

Eingangssignale können von der sicherheitsbezogenen Applikation nur gelesen werden, Ausgangssignale können geschrieben werden.

Diagnosesignale dienen zur Auswertung und Überwachung des sicher­heitsbezogenen Moduls oder beispielsweise auch einzelner I/O-Kanäle. Deshalb können globale Variablen, die für Diagnosesignale erzeugt wurden und diesen zugeordnet sind, von der Applikation nur gelesen werden.

Mit Steuersignalen lässt sich das Modul freigeben oder auf den aktuellen Anwendungsfall anpassen (beispielsweise durch Einstellen eines Mess­bereichs oder eines bestimmten Modulverhaltens). Globale Variablen, die für ein Steuersignal erzeugt wurden und diesem zugeordnet sind, können von der Applikation geschrieben werden und dadurch das Modul steuern.

Darstellung von Prozessdaten-Elementen im Gerätebaum:

Symbol

Signaltyp

Zugriffsart

ico_DiagProcessDataItem_safe.png

Sicherheitsbezogenes Eingangssignal oder Diagnosesignal.

Lesen

ico_InProcessDataItem_standard.png

Standard-Eingangssignal (nur für den Sicheren Logik-Controller verfügbar).

Lesen

ico_ControlProcessDataItem_standard.png

Standard-Ausgangssignal (nur für den Sicheren Logik-Controller verfügbar) oder Steuersignal.

Schreiben

ico_ControlProcessDataItem_safe.png

Sicherheitsbezogenes Ausgangssignal oder Steuersignal.

Schreiben

HINWEIS:

Wird ein Standard-Signal (nicht-sicherheitsbezogen) mit einem physikalischen Eingang oder Ausgang verbunden, muss der Datentyp der zugehörigen globalen Variablen von sicherheitsbezogen nach Standard konvertiert werden (z.B. von SAFEBOOL nach BOOL), um eine falsche Verwendung des Signals im Code auszuschließen. Dasselbe gilt, wenn ein sicherheitsbezogenes Signal im Code nur als Standard-Signal verwendet wird. Die Änderung des Datentyps kann entweder im zugehörigen Variablen-Arbeitsblatt oder mit Hilfe der Funktionen zur Typumwandlung erfolgen.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie die Auswirkung von Standard-Signalen (nicht-sich­erheitsbezogen) auf sicherheitsbezogene Ausgänge.

  • Verifizieren Sie, dass die Funktionen zur Umwandlung von "Stan­dard auf sicherheitsbezogen" im Code korrekt verwendet werden.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Nachfolgend sind die I/O-Signale, die Diagnosesignale und die Steuer­signale jedes Moduls aufgelistet (in der Reihenfolge wie im Geräte­baum).

SafeModuleOK

Beschreibung

Zeigt den Status der Kommunikation zwischen dem sicherheitsbezogenen Modul und dem Sicheren Logik-Controller an und gibt somit, aus Sicht der sicherheitsbezogenen Applikation, den Modulstatus an.

Signaltyp

Diagnose

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

SAFEFALSE:

  • Sicherheitsbezogenes Modul ist nicht im Betrieb­smodus, oder

  • die Kommunikation mit dem Sicheren Logik-Controller wurde nicht korrekt aufgebaut, oder

  • das Modul hat einen Fehler im Kommunikation­skanal erkannt.

SAFETRUE:

  • Sicherheitsbezogenes Modul ist im Betriebsmodus und

  • die Kommunikation mit dem Sicheren Logik-Controller wurde korrekt aufgebaut und

  • das Modul hat keinen Fehler im Kommunikation­skanal erkannt.

Verpflichtende Zuweisungskontrolle für das Prozess­daten-Element SafeModuleOK:

Die Verifizierung/Validierung der Zuordnung zwischen Prozess­daten-Elementen und globalen I/O-Variablen ist verpflichtend. Dies gilt insbesondere für das Prozessdatenelement SafeModuleOK, welches für jedes sicherheitsbezogene Modul verfügbar ist und dessen Status meldet. Da das Prozessdatum SafeModuleOK nicht geschrieben werden kann, z.B. durch Anlegen eines Signals an einen Moduleingang, muss das zu prüfende Modul physikalisch vom TM5-Bus entfernt, d.h. abgezogen werden. Als Folge dieses Abziehens schaltet SafeMod­uleOK auf SAFEFALSE, und die zugewiesene globale Variable muss diesem Wechsel folgen. Weitere Informationen zum Aus- und Wiedere­inbau eines Moduls entnehmen Sie bitte der Bedienungsanleitung des betreffenden Moduls.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Entfernen Sie jedes sicherheitsbezogene Modul vom TM5-Bus, um den Zustand von SafeModuleOK zu prüfen.

  • Prüfen Sie, ob die globale I/O-Variable, die dem Prozess­daten-Element SafeModuleOK des entfernten Moduls zugewiesen ist, auf SAFEFALSE wechselt.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeDigitalInputxx

Beschreibung

Digitales Eingangssignal von einem an das Modul angeschlossenen einkanaligen Befehlsgerät oder Sensor. xx gibt die Kanalnummer des Moduls an.

HINWEIS:

Für Äquivalenz- oder Antivalenz-Überwachung eines Eingangskanalpaares, verwenden Sie statt dieses Einzelkanals die entsprech­enden kombinierten Signale xxyy.

Die Gültigkeit dieses Eingangssignals wird durch das zugehörige Diagnosesignal SafeChannelOKxx und/oder SafeInputOKxx bestätigt (je nach Modul). Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das SafeDigitalIn­putxx-Signal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesig­nals deutet auf einen ungültigen Wert von SafeDigitalIn­putxx hin. In diesem Fall darf das Signal SafeDigitalInputxx in der sicherheitsbezogenen Applika­tion nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

Signaltyp

I/O-Signal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

Wenn SafeModuleOK = SAFETRUE und die kanalbezogenen Diagnosesignale SafeChannelOKxx und/oder SafeInputOKxx = SAFETRUE sind (je nach Modul), gilt Folgendes:

SAFETRUE: Digitaler Eingangskanal ist auf True gesetzt.

SAFEFALSE: Digitaler Eingangskanal ist auf False gesetzt.

Relevante Modulparameter

In der Parametergruppe mit derselben Kanalnummer xx:

  • Taktquelle (nicht für alle Eingangskanäle vorhanden)

  • Taktmode

  • Ausschaltfilter

  • Einschaltfilter

Die Parameterbeschreibungen finden Sie oben in diesem Thema.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das SafeDigitalInputxx-Signal in der sicher­heitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeEquivalentInputxxyy

Beschreibung

Das Signal resultiert aus der Äquivalenz-Überwachung der Eingangssignale xx (erster Kanal) und yy (zweiter Kanal).

Beide Kanäle xx und yy müssen mit dem gleichen Kontakttyp (beide Öffner- oder beide Schließerkontakte) des zweikanaligen Befehlsgeräts oder Sensors verschaltet sein.

Zwischen den beteiligten Kanälen muss Äquivalenz hergestellt sein, bevor das mit dem Parameter Diskrepanzzeit spezifizierte Intervall abgelaufen ist. Andernfalls steuert das zugehörige Diagnosesignal SafeEquivalentOKxxyy auf SAFEFALSE und der Kanal wird gesperrt.

Die Gültigkeit dieses Eingangssignals wird durch das zugehörige Diagnosesignal SafeEquivalentOKxxyy bestätigt. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das SafeEquivalentInputxxyy-Signal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeEquivalentInputxxyy hin. In diesem Fall darf das Signal SafeEquivalentInputxxyy in der sicherheitsbezogenen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

HINWEIS:

Die Signale SafeAntivalentInputxxyy und Safe­EquivalentInputxxyy können nicht gleich­zeitig verwendet werden. Wenn Sie eines der Signale SafeAntivalentInputxxyy oder SafeEquivalentInputxxyy nutzen, können die beteiligten Einzelkanäle (SafeDigitalIn­putxx und SafeDigitalInputyy) nicht zur gleichen Zeit verwendet werden.

Signaltyp

I/O-Signal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

Wenn SafeModuleOK = SAFETRUE und SafeEquivalentOKxxyy = SAFETRUE, gilt Folgendes:

SAFEFALSE: Mindestens einer der Kanäle xx oder yy ist SAFEFALSE oder die eingestellte Diskrepanzzeit wurde überschritten, ohne dass equivalente Eingangssignale anlagen

SAFETRUE: Kanal xx = SAFETRUE und Kanal yy = SAFETRUE

Relevante Modulparameter

In der Parametergruppe der beteiligten Kanäle (xx und yy):

  • Taktquelle (nicht für alle Eingangskanäle vorhanden)

  • Taktmode

  • Ausschaltfilter

  • Einschaltfilter

  • Diskrepanzzeit (nur für ungerade Kanäle verfügbar)

Die Parameterbeschreibungen finden Sie oben in diesem Thema.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das SafeEquivalentInputxxyy-Signal in der sicherheitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeAntivalentInputxxyy

Beschreibung

Das Signal resultiert aus der Antivalenz-Überwachung der Eingangssignale xx (erster Kanal) und yy (zweiter Kanal).

Die Kanäle xx und yy müssen mit gegensätzlichen Kontakttypen des zweikanaligen Befehlsgeräts oder Sensors verschaltet sein; zum Beispiel Kanal xx mit einem Öffnerkontakt und Kanal yy mit einem Schließerkontakt oder umgekehrt.

Zwischen den beteiligten Kanälen muss Antivalenz hergestellt sein, bevor das mit dem Parameter Diskrepanzzeit spezifizierte Intervall abgelaufen ist. Andernfalls steuert das zugehörige Diagnosesignal SafeAntivalentOKxxyy auf SAFEFALSE und der Kanal wird gesperrt.

Die Gültigkeit dieses Eingangssignals wird durch das zugehörige Diagnosesignal SafeAntivalentOKxxyy bestätigt. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das SafeAntivalentInputxxyy-Signal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeAntivalentInputxxyy hin. In diesem Fall darf das Signal SafeAntivalentInputxxyy in der sicherheitsbezogenen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

HINWEIS:

Die Signale SafeAntivalentInputxxyy und Safe­EquivalentInputxxyy können nicht gleich­zeitig verwendet werden. Wenn Sie eines der Signale SafeAntivalentInputxxyy oder SafeEquivalentInputxxyy nutzen, können die beteiligten Einzelkanäle (SafeDigitalIn­putxx und SafeDigitalInputyy) nicht zur gleichen Zeit verwendet werden.

Signaltyp

I/O-Signal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

Wenn SafeModuleOK = SAFETRUE und SafeAntivalentOKxxyy = SAFETRUE, gilt Folgendes:

SAFEFALSE: Kanal xx = SAFEFALSE und/oder Kanal yy = SAFETRUE oder die eingestellte Diskrepanzzeit wurde überschritten, ohne dass antivalente Eingangssignale anlagen

SAFETRUE: Kanal xx = SAFETRUE und Kanal yy = SAFEFALSE

Relevante Modulparameter

In der Parametergruppe der beteiligten Kanäle (xx und yy):

  • Taktquelle (nicht für alle Eingangskanäle vorhanden)

  • Taktmode

  • Ausschaltfilter

  • Einschaltfilter

  • Diskrepanzzeit (nur für ungerade Kanäle verfügbar)

Die Parameterbeschreibungen finden Sie oben in diesem Thema.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das SafeAntivalentInputxxyy-Signal in der sicherheitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeInputOKxx

Beschreibung

Dieses Diagnosesignal zeigt den Status des sicherheits­bezogenen digitalen Eingangskanals an.

xx spezifiziert die Kanalnummer.

Das Diagnosesignal bestätigt die Gültigkeit des Signals SafeDigitalInputxx. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das SafeDigitalInputxx-Signal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeDigitalInputxx hin. In diesem Fall darf das Signal SafeDigitalInputxx in der sicherheitsbezogenen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

HINWEIS:

Diagnosesignale müssen in der sicherheitsbezo­genen Applikation ausgewertet werden, um Fehlerzustände in Modulen/Kanälen in Ihrer Applikation erkennen zu können. Ein Programmierbeispiel und weitere Informa­tionen finden Sie im Thema "Überwa­chung/Auswertung von Diagnoseinformationen der Maschine".

Signaltyp

Diagnosesignal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

SAFEFALSE:

  • SafeModuleOK = SAFEFALSE, oder

  • Signalverlust an Kanal xx wegen eines Kabelbruchs oder defekten Befehlsgeräts/Sensors, oder

  • Kanal xx ist inkorrekt parametriert. Beispielsweise ist ein ungeeigneter Wert für Ausschaltfilter oder Einschaltfilter konfiguriert, oder

  • Eingangssignal am Kanal xx erfüllt nicht die elek­trischen Anforderungen des Moduls.

SAFETRUE:

  • SafeModuleOK = SAFETRUE, und

  • Eingangskanal xx arbeitet korrekt (SAFETRUE oder SAFEFALSE je nach Status des angeschlossenen Befehlsgeräts/Sensors).

HINWEIS:

Zur Fehleranzeige beachten Sie auch die entspre­chenden LEDs der betroffenen Module.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das SafeDigitalInputxx-Signal in der sicher­heitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeEquivalentOKxxyy

Beschreibung

Dieses Diagnosesignal zeigt den Status der Äquivalenzüberwachung am sicherheitsbezogenen digitalen Eingangskanalpaar xx und yy an.

Dieses Diagnosesignal bestätigt die Gültigkeit des Signals SafeEquivalentInputxxyy. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applika­tion ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das SafeEquival­entInputxxyy-Signal in der sicherheitsbezogenen Applika­tion verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeEquivalentInputxxyy hin. In diesem Fall darf das Signal SafeEquivalentInputxxyy in der sicherheitsbezo­genen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

HINWEIS:

Diagnosesignale müssen in der sicherheitsbezo­genen Applikation ausgewertet werden, um Fehlerzustände in Modulen/Kanälen in Ihrer Applikation erkennen zu können. Ein Programmierbeispiel und weitere Informa­tionen finden Sie im Thema "Überwa­chung/Auswertung von Diagnoseinformationen der Maschine".

Signaltyp

Diagnosesignal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

SAFEFALSE:

  • SafeModuleOK = SAFEFALSE, oder

  • Zwischen den beteiligten Kanälen war keine Äquiva­lenz hergestellt, als das mit dem Parameter Diskrepanzzeit spezifizierte Intervall ablief. Mögli­cherweise funktioniert das zweikanalige Befehls­gerät bzw. der Sensor nicht korrekt oder der für den Parameter Diskrepanzzeit eingestellte Wert ist ungeeignet für das angeschlossene Befehlsgerät bzw. den Sensor, oder

  • Signalverlust an Kanal xx und/oder Kanal yy wegen eines Kabelbruchs oder defekten Befehls­geräts/Sensors, oder

  • einer oder beide der Kanäle xx und yy ist inkorrekt parametriert. Beispielsweise ist ein ungeeigneter Wert für Ausschaltfilter oder Einschaltfilter konfigu­riert, oder

  • das Eingangssignal an einem oder beiden Kanälen xx und yy entspricht nicht den elektrischen Anforderungen des Moduls.

SAFETRUE:

  • SafeModuleOK = SAFETRUE, und

  • beide Eingangskanäle xx und yy arbeiten korrekt, und

  • Zwischen den beteiligten Kanälen war Äquivalenz hergestellt, bevor das mit dem Parameter Diskrepanzzeit spezifizierte Intervall ablief.

HINWEIS:

Zur Fehleranzeige beachten Sie auch die entspre­chenden LEDs der betroffenen Module.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das SafeEquivalentInputxxyy-Signal in der sicherheitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeAntivalentOKxxyy

Beschreibung

Dieses Diagnosesignal zeigt den Status der Antivalenzüberwachung am sicherheitsbezogenen digitalen Eingangskanalpaar xx und yy an.

Dieses Diagnosesignal bestätigt die Gültigkeit des Signals SafeAntivalentInputxxyy. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applika­tion ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das SafeAntival­entInputxxyy-Signal in der sicherheitsbezogenen Applika­tion verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeAntivalentInputxxyy hin. In diesem Fall darf das Signal SafeAntivalentInputxxyy in der sicherheitsbezo­genen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

HINWEIS:

Diagnosesignale müssen in der sicherheitsbezo­genen Applikation ausgewertet werden, um Fehlerzustände in Modulen/Kanälen in Ihrer Applikation erkennen zu können. Ein Programmierbeispiel und weitere Informa­tionen finden Sie im Thema "Überwa­chung/Auswertung von Diagnoseinformationen der Maschine".

Signaltyp

Diagnosesignal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

SAFEFALSE:

  • SafeModuleOK = SAFEFALSE, oder

  • Zwischen den beteiligten Kanälen war keine Antiva­lenz hergestellt, als das mit dem Parameter Diskrepanzzeit spezifizierte Intervall ablief. Mögli­cherweise funktioniert das zweikanalige Befehls­gerät bzw. der Sensor nicht korrekt oder der für den Parameter Diskrepanzzeit eingestellte Wert ist ungeeignet für das angeschlossene Befehlsgerät bzw. den Sensor, oder

  • Signalverlust an Kanal xx und/oder Kanal yy wegen eines Kabelbruchs oder defekten Befehls­geräts/Sensors, oder

  • einer oder beide der Kanäle xx und yy ist inkorrekt parametriert. Beispielsweise ist ein ungeeigneter Wert für Ausschaltfilter oder Einschaltfilter konfigu­riert, oder

  • das Eingangssignal an einem oder beiden Kanälen xx und yy entspricht nicht den elektrischen Anforderungen des Moduls.

SAFETRUE:

  • SafeModuleOK = SAFETRUE, und

  • beide Eingangskanäle xx und yy arbeiten korrekt, und

  • Zwischen den beteiligten Kanälen war Antivalenz hergestellt, bevor das mit dem Parameter Diskrepanzzeit spezifizierte Intervall ablief.

HINWEIS:

Zur Fehleranzeige beachten Sie auch die entspre­chenden LEDs der betroffenen Module.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das SafeAntivalentInputxxyy-Signal in der sicherheitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeDigitalOutputxx

Beschreibung

Sicherheitsbezogenes Ausgangssignal des Moduls (Freigabesignal für die Applikation), Kanal xx.

Das Freigabesignal darf den Prozess nur direkt steuern, wenn dies nicht zur Beeinträchtigung der Sicherheitsfunk­tion führt.

Beachten Sie hierzu den ersten Gefahrenhinweis unter dieser Tabelle.

Die Gültigkeit dieses Eingangssignals wird durch das zugehörige Diagnosesignal SafeOutputOKxx bestätigt. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagno­sesignal jedesmal ausgewertet werden, wenn das SafeD­igitalOutputxx-Signal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeDigitalOutputxx hin. In diesem Fall darf das Signal SafeDigitalOutputxx in der sicherheitsbezogenen Applika­tion nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den zweiten Gefahrenhinweis unter dieser Tabelle.

Weitere Informationen

Weitere Informationen finden Sie im Thema "Über­wachung/Auswertung von Diagnoseinfor­mationen der Maschine".

Falls eine Wiederanlaufsperre für den Kanal xx aktiv ist (Parameter 'AutomatischerWiederanlauf = Nein'), bleibt der sicherheitsbezogene Ausgang nach Rücknahme der Sicherheitsanforderung oder, im Falle eines Modulfehlers, nach Beseitigung der Fehlerursache im definierten sicheren Zustand. Damit wird ein ungewollter Neustart der Maschine/Anlage verhindert. Im Fall einer vorgegebenen Wiederanlaufsperre muss diese durch eine steigende Flanke des entsprechenden ReleaseOutputxx-Signals aufgehoben werden, um die Funktion der Maschine/Anlage zu ermöglichen (siehe Beschreibung unten).

HINWEIS:

Die einkanaligen Signale SafeDigitalOutputxx können nicht gleichzeitig mit den kombinierten Ausgangssignalen SafeDigi­talOutputxxyy des Moduls verwendet werden.

Signaltyp

I/O-Signal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der Applikation geschrieben werden, abhängig von den Anwenderparametern "CentralControl_DigitalOutput_xx" in der EcoStruxure Machine Expert-Applikation.

Mögliche Werte

SAFETRUE:

  • Keine Sicherheitsanforderung erkannt, und

  • keine Wiederanlaufsperre des Kanals ist aktiv, und

  • SafeModuleOK = SAFETRUE

SAFEFALSE:

  • SafeModuleOK = SAFEFALSE, oder

  • Sicherheitsanforderung erkannt, oder

  • Wiederanlaufsperre des Kanals ist aktiv

Relevante Modulparameter

In der Parametergruppe mit derselben Kanalnummer xx:

  • AutomatischerWiederanlauf

Die Parameterbeschreibungen finden Sie oben in diesem Thema.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Prüfen Sie, dass das Freigabesignal den Prozess nur direkt steuert, wenn dies nicht zur Beeinträchtigung der Sicherheitsfunk­tion führt.

  • Validieren Sie die gesamte Sicherheitsfunktion, inklusive dem Anlaufverhalten des Prozesses und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das SafeDigitalOutputxx-Signal in der sicher­heitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeOutputOKxx

Beschreibung

Dieses Diagnosesignal zeigt den Status des sicherheitsbezogenen Ausgangskanals (Freigabesignal für die Applikation) an. xx spezifiziert die Nummer des Ausgangskanals.

Das Diagnosesignal bestätigt die Gültigkeit des Signals SafeOutputxx. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das SafeOutputxx-Signal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeOutputxx hin. In diesem Fall darf das Signal SafeOutputxx in der sicherheitsbezogenen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

HINWEIS:

Diagnosesignale müssen in der sicherheitsbezo­genen Applikation ausgewertet werden, um Fehlerzustände in Modulen/Kanälen in Ihrer Applikation erkennen zu können. Ein Programmierbeispiel und weitere Informa­tionen finden Sie im Thema "Überwa­chung/Auswertung von Diagnoseinformationen der Maschine".

Signaltyp

Diagnosesignal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation gelesen werden

Mögliche Werte

SAFEFALSE:

  • SafeModuleOK = SAFEFALSE, oder

  • Ausgang xx arbeitet nicht korrekt, beispielsweise wegen eines Kabelbruchs.

SAFETRUE:

  • SafeModuleOK = SAFETRUE, und

  • Ausgang xx arbeitet korrekt, das Ausgangssignal (Freigabe für die Applikation) wird gemäß der programmierten sicherheitsbezogenen Applikation angewendet.

HINWEIS:

Zur Fehleranzeige beachten Sie auch die entspre­chenden LEDs der betroffenen Module.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Verifizieren Sie, dass das SafeOutputxx-Signal in der sicherheits­bezogenen Applikation nur verwendet wird, so lange das zuge­hörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

ReleaseOutputxx und ReleaseOutputxxyy

Beschreibung

ReleaseOutputxx ist das Freigabesignal für das eink­analige Ausgangssignal SafeOutputxx.

ReleaseOutputxxyy ist das Freigabesignal für das zweikanalige Ausgangssignal SafeOutputxxyy, welches die Kombination aus den Ausgangskanälen xx und yy ist.

Falls eine Wiederanlaufsperre für den Kanal xx/xxyy aktiv ist (Parameter 'AutomatischerWiederanlauf = Nein'), bleibt der sicherheitsbezogene Ausgang nach Rücknahme der Sicherheitsanforderung oder, im Falle eines Modulfehlers, nach Beseitigung der Fehlerursache im definierten sicheren Zustand. Damit wird ein ungewollter Neustart der Maschine/Anlage verhindert. Im Fall einer vorgegebenen Wiederanlaufsperre muss diese durch eine steigende Flanke des entsprechenden Freigabe-Signals aufgehoben werden, um die Funktion der Maschine/Anlage zu ermöglichen.

Das Rücksetzen eines Diagnosestatus und das Setzen eines Ausgangs darf zu keinerlei Gefährdung führen. Setzen Sie im Zweifelsfall anstelle des einzelnen Kanals das gesamte System zurück.

Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle.

Weitere Informationen

Weitere Informationen und ein Anwendungs­beispiel finden Sie im Thema "Überwa­chung/Auswertung von Diagnoseinformationen der Maschine".

HINWEIS:

Wenn ein sicherheitsbezogenes Modul im definierten sicheren Zustand und SafeModuleOK = SAFEFALSE ist, kann das Signal ReleaseOutputxx/xxyy nicht zur Freigabe des Kanals verwendet werden. Stattdessen ist ein Neustart des Moduls erforderlich. Beispiel: Nachdem Eingang­swerte den zugelassenen Maximalwert gemäß technischer Daten des Geräts über­schritten haben, muss das Modul neu gestartet werden.

Signaltyp

Steuersignal

Datentyp

SAFEBOOL

Zugriffsart

Variable kann von der sicherheitsbezogenen Applikation geschrieben werden

Mögliche Werte

  • SAFEFALSE: Ausgangssignal bleibt gesperrt.

  • Flanke SAFEFALSE > SAFETRUE: Aufhebung der Wiederanlaufsperre und Freigabe des Ausgangska­nals (Kanalpaars).

Relevante Modulparameter

In der Parametergruppe mit derselben Kanalnummer xx/xxyy:

  • AutomatischerWiederanlauf

Die Parameterbeschreibungen finden Sie oben in diesem Thema.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen des Rücksetzens des Diagnosestatus eines Moduls oder I/O-Kanals und dem Setzen eines Ausgangskanals.

  • Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.

  • Validieren Sie die gesamte Sicherheitsfunktion und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

EIO0000002266.05

© Copyright 2019, Schneider Electric