Preventa Motion FB SF_SafeMotionControl
Kurzbeschreibung
Der sicherheitsbezogene Funktionsbaustein SF_SafeMotionControl dient als Schnittstelle zwischen dem Sicheren Logik-Controller (Sicherheitssteuerung) und dem optionalen Safety-Modul und damit als sicherheitsbezogene Komponente des Standard-Antriebs ILM62 oder LXM62.
|
Der sicherheitsbezogene Funktionsbaustein dient hauptsächlich zur Anforderung der sicherheitsbezogenen Überwachungsfunktionen auf dem Safety-Modul und zur Visualisierung des Status des Safety-Moduls. Er führt folgende Aufgaben aus:
|
|
Der zu steuernde Antrieb ist durch eine Achs-ID gekennzeichnet, die am Bausteineingang S_AxisIN sowie am Bausteinausgang S_AxisOUT anzulegen ist. Auf diese Weise erfolgt eine eindeutige Verknüpfung zwischen Funktionsbaustein und physikalischer Achse.
Das Safety-Modul verfügt über eine interne Anlauf-/Wiederanlaufsperre, die nicht deaktiviert werden kann. Der Funktionsbaustein bildet damit die interne Anlauf-/Wiederanlaufsperre in der sicherheitsbezogenen Anwendungsprogrammierung ab und ermöglicht deren Aufhebung.
Unterstützte Sicherheitsfunktionen
Die folgenden sicherheitsbezogenen Überwachungsfunktionen werden vom sicherheitsbezogenen Funktionsbaustein SF_SafeMotionControl unterstützt. Klicken Sie auf die Links, um weitere Informationen zu erhalten.
SLS1 bis SLS4 - vier verschiedene Funktionen Sicher begrenzte Geschwindigkeit (Safely Limited Speed)
HINWEIS:
Alle Sicherheitsfunktionen erfüllen die Sicherheitsanforderungen bis SIL3.
Die verschiedenen Sicherheitsfunktionen unterliegen einer festgelegten Priorität, wobei STO die höchste Priorität besitzt.
Eingänge des Funktionsbausteins
Detaillierte Informationen erhalten Sie durch Klicken auf die entsprechenden Hyperlinks.
|
Name |
Kurzbeschreibung |
Wert |
|
Zustandsgesteuerter Eingang zur Aktivierung des Funktionsbausteins. Datentyp: BOOL Anfangswert: FALSE |
|
|
|
Eingang zur Vorgabe der zu steuernden und zu überwachenden Achse. Datentyp: SAFEDWORD Anfangswert: 0x0 |
Dieser Eingang muss an das Datenelement SafeAxisIn desjenigen Safety-Moduls angeschlossen werden, welches den betreffenden Antrieb bzw. die betreffende Achse steuert (bereitgestellt im 'Geräte'-Fenster). Sein Wert wird deshalb von diesem Safety-Modul bestimmt und bereitgestellt. |
|
|
Zustandsgesteuerter Eingang zur Anforderung der entsprechenden sicherheitsbezogenen Überwachungsfunktion. Der Platzhalter * steht dabei für:
Datentyp: SAFEBOOL Der Anfangswert hängt vom Eingang ab:
HINWEIS: Da die Überwachungsfunktion SMS (Sichere maximale Geschwindigkeit) permanent aktiv ist, ist kein Bausteineingang verfügbar/erforderlich, um sie anzufordern. Es gibt jedoch einen Bausteinausgang, um ihre Aktivität anzuzeigen. |
HINWEIS: Eingang S_STO_Request darf nicht unbeschaltet bleiben. HINWEIS: Für den Betrieb (Rotation) des Antriebs muss an Eingang S_STO_Request der Wert SAFETRUE anliegen. |
|
|
Flankengesteuerter Eingang für das Rücksetz-Signal.
Datentyp: BOOL Anfangswert: FALSE HINWEIS: Abweichend von der Norm EN ISO 13849-1 erfolgt das Rücksetzen nicht wie dort gefordert durch eine negative (fallende) sondern durch eine positive (steigende) Flanke. Beachten Sie den Gefahrenhinweis unter dieser Tabelle. |
|
Das Aufheben der Anlauf-/Wiederanlaufsperre durch eine positive Signalflanke an Eingang Reset des Funktionsbausteins kann zum sofortigen Schalten der Ausgänge führen (je nach Zustand an den übrigen Eingängen) und die Drehzahl/Geschwindigkeit und das Verhalten der zu steuernden Achse beeinflussen.
WARNUNG
UNBEABSICHTIGTER BETRIEBSSTART
Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen der Aufhebung einer aktiven Anlauf-/Wiederanlaufsperre durch eine positive Signalflanke an Eingang Reset.
Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen durch das Rücksetzen des Funktionsbausteins zu verhindern.
Betreten Sie den Betriebsbereich nicht, wenn das Rücksetzen des Funktionsbausteins durchgeführt wird.
Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, wenn das Rücksetzen des Funktionsbausteins durchgeführt wird.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Ausgänge des Funktionsbausteins
Detaillierte Informationen erhalten Sie durch Klicken auf die entsprechenden Hyperlinks.
|
Name |
Kurzbeschreibung |
Wert |
|
Ausgang zur Signalisierung "Funktionsbaustein ist aktiviert/nicht aktiviert". Datentyp: BOOL |
|
|
|
Ausgang zur Anzeige der gesteuerten/überwachten Achse. Datentyp: SAFEDWORD |
Dieser Ausgang muss an das Datenelement SafeAxisOut desjenigen Safety-Moduls angeschlossen werden, welches den betreffenden Antrieb bzw. die betreffende Achse steuert (bereitgestellt im 'Geräte'-Fenster). |
|
|
Ausgänge zur Signalisierung des Status der jeweiligen Sicherheitsfunktion. Der Platzhalter * steht dabei für: Datentyp: SAFEBOOL |
HINWEIS: Im Falle einer aktiven Anlauf-/Wiederanlaufsperre ist S_STO_SafetyActive = SAFETRUE und die anderen SafetyActive-Ausgänge sind SAFEFALSE. |
|
|
Ausgang zur Signalisierung, dass die Sicherheitsfunktion STO über die direkte festverdrahtete Signalverbindung angefordert wurde. Datentyp: SAFEBOOL HINWEIS: Dieser Ausgang ist nur relevant, wenn der Geräteparameter HW_STO des Safety-Moduls auf Aktiviert gesetzt ist. Nur mit dieser Parametrierung ist die Verwendung der festverdrahten STO-Anforderung möglich (siehe Abschnitt "STO, festverdrahtet"). |
|
|
|
Ausgang zur Signalisierung der aktiven Rampenüberwachung für die angeforderte(n) sicherheitsbezogene(n) Überwachungsfunktion(en). |
|
|
|
Ausgang zur Signalisierung des Gesamtstatus der angeforderten Sicherheitsfunktionen. Datentyp: SAFEBOOL |
|
|
|
Ausgang zur Signalisierung des Fehlerzustands des Safety-Moduls. Datentyp: SAFEBOOL |
|
|
|
Ausgang zur Meldung des Achsstatus. Datentyp: DWORD |
Bitweise Statusausgabe als DWORD-Datentyp. Jeder Boolesche FB-Ausgang wird auf ein Bit dieses Status-DWORD abgebildet, welches weiterverarbeitet und in der Anwendung ausgewertet werden kann (siehe Tabelle im Thema "Ausgang AxisStatus"). |
|
|
Ausgang für Diagnosemeldung. Datentyp: WORD |
Diagnosemeldung des Funktionsbausteins. Die möglichen Werte sind im Thema "Diagnose-Codes" aufgelistet und beschrieben. |
Signalablauf-Diagramm:
Dieses Diagramm bezieht sich auf eine grundlegende Beispielanwendung des sicherheitsbezogenen FB SF_SafeMotionControl: Die Status der beiden sicherheitsbezogenen Befehlsgeräte, einem NOT-HALT-Befehlsgerät und einem Schlüsselschalter, werden vom Funktionsbaustein ausgewertet. Das NOT-HALT-Befehlsgerät fordert die STO-Funktion und der Schlüsselschalter die Sicherheitsfunktion SLS1 an.
Gemäß Sicherheitskonzept muss die Achsdrehzahl reduziert werden, bevor Personen den Betriebsbereich betreten dürfen. Nur bei reduzierter Drehzahl kann beispielweise eine Sicherheitstür ohne Anforderung der STO-Funktion geöffnet werden, um Zugang zum Betriebsbereich zu gewähren.
HINWEIS:
Die Signalablauf-Diagramme in dieser Dokumentation vernachlässigen möglicherweise bestimmte Diagnose-Codes. So kann beispielsweise ein Diagnose-Code im Diagramm fehlen, wenn der betreffende Status des Funktionsbausteins ein temporärer Übergangszustand ist und nur für einen Zyklus der Sicherheitssteuerung aktiv ist.
Es werden nur typische Signalkombinationen der Eingangssignale dargestellt. Weitere Signalkombinationen sind möglich.
HINWEIS:
Das Signalablauf-Diagramm ist vereinfacht dargestellt und erklärt die Funktionalität des sicherheitsbezogenen Funktionsbausteins SF_SafeMotionControl. Das Beispiel, wie es hier gezeigt und beschrieben ist, ist nicht als praktische Sicherheitslösung gedacht.
Weitere Informationen
Beachten Sie auch das weitere Signalablauf-Diagramm.
|
0 |
Der Funktionsbaustein ist noch nicht aktiviert (Activate = FALSE). Folglich sind die Ausgänge FALSE/SAFEFALSE. |
|
1 |
Das Safety-Modul geht nach dem Start automatisch in den funktional sicheren Zustand STO. Nach der Bausteinaktivierung (durch Steuern des Eingangs Activate auf TRUE), zeigt der Funktionsbaustein diesen Zustand durch S_STO_SafetyActive = SAFETRUE an. Als Folge des Zustands STO ist die interne Anlaufsperre aktiv. (Gemäß der zutreffenden Norm IEC 60204-1, führt die STO-Funktion Stopp-Kategorie 0 aus. Diese Stopp-Kategorie bedingt eine nachfolgende Anlaufsperre.) Mit der Bausteinaktivierung steuert Ausgang S_NotErrFUNC sofort auf SAFETRUE und zeigt damit an, dass der Funktionsbaustein keinen Fehler erkannt hat. |
|
2 |
Mit der Flanke FALSE > TRUE an Eingang Reset des sicherheitsbezogenen Funktionsbausteins ist die Anlauf-/Wiederanlaufsperre aufgehoben. Durch dieses Rücksetzen wird der Zustand STO verlassen. Da nun keine Sicherheitsfunktion angefordert ist, steuert Ausgang S_STO_SafetyActive zurück auf SAFEFALSE, während die anderen Bausteinausgänge in ihrem vorherigen Zustand bleiben. Unter dieser Bedingung kann die nicht-sicherheitsbezogene Standard-Steuerung den Betrieb des Antriebs starten, indem die Achse auf die in der Standard-Motion-Anwendung parametrierte Zielgeschwindigkeit beschleunigt wird. |
|
3 |
Die Sicherheitsfunktion SLS1 ist angefordert: Das Signal an Eingang S_SLS_1_Request steuert auf SAFEFALSE, z.B. durch Entriegeln eines Schlüsselschalters. Innerhalb des Zeitintervalls t1 empfängt die Standard-Steuerung ebenfalls die Anforderung aus dem angeschlossenen Prozess und startet die Motion Control-Funktion gemäß der in der Standard-Anwendung definierten Logik und Antriebsparametrierung. t1 muss in den Geräteparametern des Safety-Moduls definiert werden (SLS*_StartDelayTime[t1]). Nachdem t1 abgelaufen ist, bremst die Standard-Steuerung den Antrieb auf die Zielgeschwindigkeit V2 ab, gemäß der in der Standard-Anwendung definierten Antriebsparametrierung. Während der Abbremsphase t2 (Rampenphase), ist in unserem Beispiel für die Sicherheitsfunktion SLS1 die Rampenüberwachung parametriert. Zu diesem Zweck ist der entsprechende Parameter SLS1_RampMonitoring des Safety-Moduls auf Aktiviert gesetzt. Die aktive Rampenüberwachung wird durch Ausgang S_RampMonitoringActive = SAFETRUE angezeigt. Eine Überschreitung der definierten Rampe führt zu einer sofortigen Anforderung der STO-Funktion. |
|
4 |
Die parametrierte begrenzte Zielgeschwindigkeit V2 (Einstellung mit Parameter SLS1_Speed[v2]) wird vor Ablauf der definierten Überwachungszeit t2 erreicht und die Rampenüberwachung erkannte während der Rampenüberwachungszeit t2 keine Geschwindigkeitsüberschreitung. Das bedeutet, dass die angeforderte Sicherheitsfunktion SLS1 korrekt aktiviert ist und der Funktionsbaustein keinen Fehler erkennt (S_NotErrFUNC bleibt SAFETRUE). In der Folge steuert S_SLS_1_SafetyActive bei Ablauf von t2 auf SAFETRUE und zeigt damit an, dass SLS1 im definierten sicheren Zustand ist. Nun kann in unserem Beispiel die Sicherheitstür geöffnet werden und der Zugang zum Betriebsbereich ist ohne nachfolgenden NOT-HALT möglich. S_AllReqFuncActive steuert gleichzeitig auf SAFETRUE und meldet damit, dass jede angeforderte Sicherheitsfunktion korrekt und wie parametriert aktiviert ist. Solange die Anforderung der Sicherheitsfunktion durch das Beibehalten von SAFEFALSE an Eingang S_SLS_1_Request aufrechterhalten wird, wird die Zielgeschwindigkeit V2 überwacht. Jede Überschreitung der Zielgeschwindigkeit V2 führt zur sofortigen Anforderung der STO-Funktion und steuert S_SLS_1_SafetyActive auf SAFEFALSE. |
|
5 |
Die Anforderung der Sicherheitsfunktion SLS1 wird aufgehoben, indem das Signal an Eingang S_SLS_1_Request zurück auf SAFETRUE gesteuert wird (z.B. durch Verriegeln des Schlüsselschalters nach dem Schließen einer Sicherheitstür). Die Ausgänge S_SLS_1_SafetyActive und S_AllReqFuncActive steuern sofort zurück auf SAFEFALSE und signalisieren damit, dass keine Sicherheitsfunktion mehr aktiv ist. Da nach einer SLS-Funktion keine Wiederanlaufsperre erforderlich ist, kann die nicht-sicherheitsbezogene Standard-Steuerung die Achse ohne Rücksetz-Signal beschleunigen, sobald die Anforderung der Sicherheitsfunktion an S_SLS_1_Request aufgehoben ist. Die Achse erreicht die Geschwindigkeit (in der Standard-Motion-Anwendung parametiert) ohne Überschreitung der definierten und permanent überwachten sicheren maximalen Geschwindigkeit (Vmax). |
|
6 |
Die Sicherheitsfunktion STO ist angefordert: Durch Drücken des überwachten NOT-HALT-Befehlsgeräts steuert das Signal an Eingang S_STO_Request auf SAFEFALSE. In der Folge setzt das Safety-Modul den Antrieb sofort drehmomentfrei und die Achse läuft aus. S_STO_SafetyActive steuert sofort auf SAFETRUE und zeigt damit an, dass STO aktiviert ist. Da STO zu dieser Zeit die einzige angeforderte Sicherheitsfunktion ist, ist S_AllReqFuncActive ebenfalls SAFETRUE. |
|
7 |
Die Anforderung der STO-Funktion wird durch Entriegeln des NOT-HALT-Befehlsgeräts aufgehoben, bevor die Achse den Stillstand erreicht hat. In der Folge steuert das Signal vom NOT-HALT-Befehlsgerät, das an Eingang S_STO_Request angeschlossen ist, zurück auf SAFETRUE. Der Antrieb bleibt jedoch aufgrund der implementierten Wiederanlaufsperre drehmomentfrei und die Achse läuft aus bis auf v = 0. S_STO_SafetyActive und S_AllReqFuncActive bleiben SAFETRUE, solange die Wiederanlaufsperre aktiv ist. |
|
8 |
Mit der Flanke FALSE > TRUE an Eingang Reset des sicherheitsbezogenen Funktionsbausteins ist die Wiederanlaufsperre aufgehoben. Da keine Sicherheitsfunktion angefordert ist, kann die nicht-sicherheitsbezogene Standard-Steuerung die Achse beschleunigen, bis sie ihre programmierte Geschwindigkeit (in der Standard-Motion-Anwendung parametriert) ohne Überschreitung der definierten und permanent überwachten sicheren maximalen Geschwindigkeit (Vmax) erreicht. |
Anwendungsbeispiel
HINWEIS:
Das Anwendungsbeispiel ist vereinfacht dargestellt und erklärt die Funktionalität des sicherheitsbezogenen Funktionsbausteins SF_SafeMotionControl. Das Beispiel, wie es hier gezeigt und beschrieben ist, ist nicht als praktische Sicherheitslösung gedacht.
Einzig und allein Sie als Anwender, Maschinenbauer oder Systemintegrator sind sich sämtlicher Bedingungen und Faktoren bewusst, die im Design der Anwendung für die Maschine realisiert sind. Daher können nur Sie bestimmen, welche Automatisierungsgeräte und dazugehörige Sicherheiten und Verriegelungen verwendet werden können und deren Verwendung validieren.
WARNUNG
NICHTERFÜLLEN DER SICHERHEITSANFORDERUNGEN
Spezifizieren Sie die umzusetzenden Anforderungen und/oder Maßnahmen in der von Ihnen durchgeführten Risikoanalyse.
Stellen Sie sicher, dass Ihre Sicherheitsanwendung den geltenden Sicherheitsvorschriften und Normen entspricht.
Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen durch den Betrieb der Maschine zu verhindern.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Validieren Sie die gesamte Sicherheitsfunktion und prüfen Sie die Applikation sorgfältig.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Im nachfolgenden Beispiel verarbeitet der Sichere Logik-Controller (Sicherheitssteuerung) die Eingangssignale eines sicherheitsbezogenen TM5-Erweiterungsmoduls SDI 1. Hier sind ein NOT-HALT-Befehlsgerät, ein Schlüsselschalter und ein Lichtvorhang angeschlossen. Diese Geräte sind über globale I/O-Variablen an die jeweiligen Anforderungseingänge des Funktionsbausteins angeschlossen.
Am sicherheitsbezogenen Ausgabegerät SDO 1 sind zwei Signallampen angeschlossen: Die grüne Lampe meldet "Safety-Modul OK" und die rote "Sicherheitsfunktion angefordert".
Weitere Informationen
Beachten Sie auch die Details sowie die Hinweise zu diesem Anwendungsbeispiel.
Detailinformationen
Weitere Informationen finden Sie in den folgenden Abschnitten:
