Dieses Thema enthält folgende Informationen:
Interaktion der beteiligten Komponenten
Antriebsmodule von Schneider Electric, wie z.B. LXM62 oder ILM62, sind Standard-Module, die von der nicht-sicherheitsbezogenen Standard-Steuerung gesteuert werden (LMC x00C oder LMCx01C). Die sicherheitsbezogene Funktionalität des Antriebsmoduls wird durch ein optionales Safety-Modul als Erweiterungsmodul des Antriebs implementiert. (Beim Antrieb LXM62 ist das Safety-Modul standardmäßig integriert, wobei für den Antrieb ILM62 ein Plug-in-Erweiterungsmodul verfügbar ist.)
Die Motion Control-Anwendung muss in der Standard-Entwicklungsumgebung EcoStruxure Machine Expert programmiert und parametriert werden und wird durch die Standard-Steuerung gesteuert. Das beinhaltet auch Bewegungen, die aus den hier beschriebenen Sicherheitsfunktionen resultieren, wie z.B. eine Abbremsung aufgrund einer SS1-Funktion (Sicherer Stopp 1 mit drehmomentfreier Achse).
Dazu liest die nicht-sicherheitsbezogene Standard-Steuerung auch die Signale aus den sicherheitsbezogenen Geräten/Sensoren (Anforderung der Sicherheitsfunktion) über den SERCOS-Bus und wertet sie mit Hilfe der Standard-Motion Control-FBs aus, die im Anwendungsprogramm der Standard-Steuerung verwendet werden. Sie steuert dann das Standard-Antriebsmodul entsprechend, z.B. durch den Befehl zum Beschleunigen oder Abbremsen der Achse.
Für die Überwachung der vom angeschlossenen Prozess angeforderten sicherheitsbezogenen Motion-Funktionen ist jedoch die Sicherheitsanwendung im SLC zuständig, die mit Hilfe des Funktionsbausteins SF_SafeMotionControl in EcoStruxure Machine Expert - Safety programmiert wird:
Wenn der Funktionsbaustein aktiviert ist (Activate = TRUE) und an Eingang S_AxisIN ein gültiges Datenelement SafeAxisIn und an Ausgang S_AxisOUT ein gültiges Datenelement SafeAxisOut angeschlossen ist, werden dazu die Eingangssignale S_*_Request ausgewertet. (* steht für die jeweilige Sicherheitsfunktion, z.B. STO). Wird vom angeschlossenen Prozess eine Sicherheitsfunktion angefordert, fordert der sicherheitsbezogene Funktionsbaustein die Überwachung dieser Sicherheitsfunktion im Safety-Modul an.
Falls eine Sicherheitsfunktion nicht korrekt und wie angefordert aktiviert wird (aufgrund einer defekten Hardware oder falscher Parametrierung), startet das Safety-Modul die Fallback-Funktion, die für die fehlgeschlagene Sicherheitsfunktion definiert ist. Dies kann die Sicherheitsfunktion STO sein (und damit Stopp-Kategorie 0 im angeschlossenen sicherheitsbezogenen Modul) oder die SS1-Funktion (Stopp-Kategorie 1). Weitere Informationen erhalten Sie durch die detaillierten Beschreibungen der Sicherheitsfunktionen.
Basierend auf den Statusinformationen, die er vom Safety-Modul erhält, steuert der sicherheitsbezogene Funktionsbaustein seine Ausgänge entsprechend und visualisiert auf diese Weise die Zustände der Sicherheitsfunktion. Zusätzlich gibt der Funktionsbaustein an seinem Formalparameter AxisStatus ein Statuswort aus, welches in der Sicherheitsanwendung weiter ausgewertet werden kann.
Dadurch dient der Funktionsbaustein SF_SafeMotionControl als Prozessdaten-Transportmechanismus, der eine eindeutige Verbindung zwischen den implementierten Sicherheitsfunktionen und dem Safety-Modul/Antrieb herstellt.
HINWEIS:
Die in EcoStruxure Machine Expert - Safety eingegebenen Parameter sind hauptsächlich Überwachungsparameter. Sie definieren das Überwachungsverhalten und bestimmen damit, ob eine Sicherheitsfunktion wie definiert ausgeführt wird oder ob aufgrund eines erkannten Fehlers eine Fallback-Funktion ausgeführt werden muss. Die eigentliche Antriebsparametrierung (z.B. Abbremsparameter, etc.) müssen Sie in EcoStruxure Machine Expert definieren und die Motion-Steuerung wird von der nicht-sicherheitsbezogenen Standard-Steuerung ausgeführt.
Das bedeutet, dass jede zu realisierende Sicherheitsfunktion auch in EcoStruxure Machine Expert betrachtet und behandelt werden muss, d.h. im Anwendungsprogramm der Standard-Steuerung. Hier sind geeignete Standard-Motion-Funktionsbausteine verfügbar und es lassen sich Parameter des Standard-Antriebsmoduls einstellen.
Weitere Informationen hierzu finden Sie in der EcoStruxure Machine Expert-Dokumentation.
Grafische Darstellung: Systemübersicht und Kommunikation der Komponenten
Die folgende Abbildung zeigt das Zusammenwirken der beteiligten Komponenten. Anstelle des unten gezeigten Moduls ILM62 kann ein Antriebsmodul LXM62 verwendet werden.
Hardwaremodule: Einfügen in den Gerätebaum
Bevor Sie den Funktionsbaustein SF_SafeMotionControl verwenden können, müssen die erforderlichen Geräte mit Hilfe des Befehls 'Gerät hinzufügen...' (im Kontextmenü des Baumknotens) in den 'Geräte'-Baum von EcoStruxure Machine Expert eingefügt werden. Für dieses Beispiel sind die folgenden Geräte erforderlich:
Ein Antriebsmodul des Typs ILM62 oder LXM62.
Ein Safety-Modul als optionales Erweiterungsmodul des Antriebs: Das Safety-Modul übernimmt die Steuerung und Überwachung des Antriebs und implementiert damit die eigentliche Sicherheitsfunktionalität des Antriebs.
Sichere digitale Eingangsgeräte, wie z.B. TM5SDI*, zum Anschluss sicherheitsbezogener Befehlsgeräte und Sensoren.
Klicken Sie hier, um eine mögliche Busstruktur zu erhalten, wie sie in EcoStruxure Machine Expert aussehen kann...
Gemäß der Norm IEC 60204-1 implementiert das Safety-Modul sowohl eine interne Anlaufsperre, als auch eine Wiederanlaufsperre (nur für STO und SS1). Beide Sperren sind obligatorisch, d.h. sie können nicht deaktiviert werden.
Der Funktionsbaustein bildet diese internen Anlaufsperren in der sicherheitsbezogenen Anwendungsprogrammierung ab und ermöglicht deren Aufhebung über den Eingang Reset.
Anlaufsperre: Nachdem der SLC gestartet bzw. der Funktionsbaustein an Eingang Activate aktiviert wurde, ist die Anlaufsperre aktiv. Die Anlaufsperre wird erst durch eine positive Signalflanke an Eingang Reset des sicherheitsbezogenen Funktionsbausteins aufgehoben.
Hintergrund: Das Safety-Modul geht nach dem Anlauf automatisch in den funktional sicheren Zustand STO. Gemäß der zutreffenden Norm IEC 60204-1, führt die STO-Funktion Stopp-Kategorie 0 aus. Diese Stopp-Kategorie bedingt eine nachfolgende Anlaufsperre.
Eine Wiederanlaufsperre ist nach einer Anforderung der STO- oder SS1-Funktion aktiv, um den unbeabsichtigten Wiederanlauf der Achse zu verhindern. Für die anderen Sicherheitsfunktionen ist keine Wiederanlaufsperre verfügbar. Die Wiederanlaufsperre wird erst durch eine positive Signalflanke an Eingang Reset des sicherheitsbezogenen Funktionsbausteins aufgehoben.
Hintergrund: Gemäß der zutreffenden Norm IEC 60204-1, führt die STO-Funktion Stopp-Kategorie 0 und die SS1-Funktion Stopp-Kategorie 1 aus. Beide Stopp-Kategorien bedingen eine nachfolgende Wiederanlaufsperre.
Das Aufheben der Anlauf-/Wiederanlaufsperre durch eine positive Signalflanke an Eingang Reset des Funktionsbausteins kann zum sofortigen Schalten der Ausgänge führen (je nach Zustand an den übrigen Eingängen) und die Drehzahl/Geschwindigkeit und das Verhalten der zu steuernden Achse beeinflussen.
WARNUNG
UNBEABSICHTIGTER BETRIEBSSTART
Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen der Aufhebung einer aktiven Anlauf-/Wiederanlaufsperre durch eine positive Signalflanke an Eingang Reset.
Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen durch das Rücksetzen des Funktionsbausteins zu verhindern.
Betreten Sie den Betriebsbereich nicht, wenn das Rücksetzen des Funktionsbausteins durchgeführt wird.
Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, wenn das Rücksetzen des Funktionsbausteins durchgeführt wird.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Priorität der Sicherheitsfunktionen
Falls mehrere Sicherheitsfunktionen gleichzeitig angefordert werden, gilt folgende feste Priorität:
Falls mehrere Funktionen desselben Typs gleichzeitig angefordert werden, hat die niedrigste Nummer die höchste Priorität. Beispiele: SLS1 ist höher Priorität als SLS4.
HINWEIS:
Falls SDIpos und SDIneg gleichzeitig angefordert werden, wird automatisch die SS1-Funktion als die definierte Fallback-Funktion ausgeführt.
Je nach Parametrierung des Safety-Moduls, kann die Sicherheitsfunktion STO wie folgt angefordert werden:
Festverdrahtet über eine direkte Signalverbindung zum Antriebsmodul.
Via Software über den Eingangsparameter S_STO_Request des Funktionsbausteins.
(Der Funktionsbaustein schreibt die STO-Anforderung in das interne Prozessdaten-Steuerwort, welches über den SERCOS-Bus in das Safety-Modul übertragen wird.)
Ob die STO-Funktion nur über die Software oder zusätzlich über die festverdrahtete Signalverbindung angefordert werden kann, hängt vom sicherheitsbezogenen Parameter HW_STO ab.
Auf diese Weise ist es z.B. möglich, vorhandene konventionelle sicherheitsbezogene Implementierungen in bereits existierenden Maschinen/Anlagen weiter zu verwenden, während eines sukzessiven Umstiegs auf die Software-Sicherheitslösung mit STO-Anforderung über den SERCOS-Feldbus.
So bearbeiten Sie die relevanten sicherheitsbezogenen Geräteparameter: Im EcoStruxure Machine Expert - Safety-'Geräte'-Fenster, ...
Klicken Sie mit der linken Maustaste auf das Safety-Modul im Gerätebaum.
Spezifizieren Sie im Geräteparametrierungseditor auf der rechten Seite den Parameter HW_STO im Parameterbereich Allgemein (siehe Beschreibung in der unteren Tabelle).
Die möglichen Einstellungen des Parameters HW_STO haben folgende Bedeutung:
HW_STO = Aktiviert:
Die festverdrahtete Signalverbindung kann ebenfalls verwendet werden. Die STO-Funktion kann über den Funktionsbaustein (Eingang S_STO_Request = SAFEFALSE) sowie über die direkte festverdrahtete Signalverbindung im Antrieb angefordert werden.
|
HW: Anforderung |
HW: keine Anforderung |
|
|
SW: Anforderung |
STO aktiviert |
STO aktiviert |
|
SW: keine Anforderung |
STO aktiviert |
kein STO aktiviert |
HW_STO = Deaktiviert:
Die festverdrahtete Signalverbindung kann nicht verwendet werden. Die STO-Funktion kann ausschließlich über den Funktionsbaustein angefordert werden (Eingang S_STO_Request = SAFEFALSE).
|
HW: Anforderung |
HW: keine Anforderung |
|
|
SW: Anforderung |
STO aktiviert |
STO aktiviert |
|
SW: keine Anforderung |
kein STO aktiviert |
kein STO aktiviert |
In den oberen Tabellen bedeuten SW = "Software STO-Anforderung über Eingang S_STO_Request des Funktionsbausteins" und HW = "festverdrahtete STO-Anforderung".
Die Anforderung der Sicherheitsfunktionen an den Eingängen des Funktionsbausteins funktioniert gemäß dem Ruhestromprinzip:
Ein SAFEFALSE-Wert an einem Bausteineingang S_*_Request fordert die jeweilige Sicherheitsfunktion an. Deshalb müssen an diese Eingänge sicherheitsbezogene Geräte mit Öffnerkontakten angeschlossen werden.
