Der sicherheitsbezogene Funktionsbaustein SF_EDM überwacht den definierten Grundzustand und das Schaltverhalten von Schützen, die an der Sicherheitssteuerung angeschlossen sind.
Über S_StartReset kann eine Anlaufsperre vorgegeben werden.
Bei nicht zulässigen Werten der Rückführsignale im Schalt- oder Grundzustand der verschalteten Schütze, steuert der Funktionsbaustein seinen Ausgang S_EDM_Out in den definierten sicheren Zustand (SAFEFALSE).
WARNUNG
NICHTERFÜLLEN DER SICHERHEITSANFORDERUNGEN
Stellen Sie sicher, dass die verwendeten Schütze den Ergebnissen der gemäß ISO 13849-1 durchgeführten Risikoanalyse entsprechen.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Wenn die rückgeführten Signale einem korrekten Schaltverhalten der Schütze entsprechen und der Funktionsbaustein aktiviert (Activate = TRUE) und keine Anlaufsperre vorgegeben ist, nimmt er an seinem Eingang S_OutControl das Steuersignal für die zu überwachenden Schütze entgegen und gibt dieses an seinen Ausgang S_EDM_Out weiter, an dem die Schütze angeschlossen sind.
Der Funktionsbaustein führt an seinem Ausgang Stopp-Kategorie 0 aus.
Überprüfung des Grundzustands
Wenn sich die angeschlossenen Schütze im Grundzustand befinden, muss das Rückführsignal an den Eingängen S_EDM1 und S_EDM2 den Zustand SAFETRUE aufweisen.
Der Grundzustand wird vom Funktionsbaustein überprüft, wenn
an Eingang S_OutControl ein SAFETRUE-Signal anliegt. Ist der Grundzustand korrekt, steuert der Funktionsbaustein seinen Ausgang S_EDM_Out auf SAFETRUE. Wenn nicht, gibt der Funktionsbaustein eine Fehlermeldung aus und Ausgang S_EDM_Out bleibt im definierten sicheren Zustand (SAFEFALSE).
an Eingang S_OutControl bei Bausteinaktivierung und Aufhebung der Anlaufsperre ein SAFEFALSE anliegt. Melden die Rückführsignale S_EDM1 und S_EDM2 nach Ablauf der Überwachungszeit MonitoringTime nicht den Grundzustand, meldet der Funktionsbaustein einen Fehler.
Überprüfung des Schaltverhaltens
Nachdem Ausgang S_EDM_Out auf SAFETRUE wechselt, muss das Rückführsignal an den Eingängen S_EDM1 und S_EDM2 innerhalb der an MonitoringTime vorgegebenen zulässigen Reaktionszeit SAFEFALSE werden. Andernfalls gibt der Funktionsbaustein eine Fehlermeldung aus (Ausgang Error = TRUE) und Ausgang S_EDM_Out nimmt den definierten sicheren Zustand (SAFEFALSE) ein.
Wenn Ausgang S_EDM_Out von SAFETRUE auf SAFEFALSE wechselt, erfolgt ebenfalls eine Überwachung des Schaltvorgangs. Das Rückführsignal an den Eingängen S_EDM1 und S_EDM2 muss innerhalb der an MonitoringTime eingestellten zulässigen Reaktionszeit SAFETRUE werden.
Anlaufsperre (S_StartReset)
Über S_StartReset wird die Anlaufsperre bei Bausteinaktivierung und/oder dem Start der Sicherheitssteuerung vorgegeben.
|
S_StartReset = SAFEFALSE |
Nach dem Start der Sicherheitssteuerung und/oder nach Bausteinaktivierung an Eingang Activate ist die Anlaufsperre aktiv. Die Anlaufsperre wird erst durch eine positive Signalflanke an Eingang Reset aufgehoben. Beachten Sie den ersten Gefahrenhinweis unter dieser Tabelle. |
|
S_StartReset = SAFETRUE |
Nach dem Start der Sicherheitssteuerung und/oder nach Bausteinaktivierung an Eingang Activate ist keine Anlaufsperre vorgegeben. Beachten Sie den zweiten Gefahrenhinweis unter dieser Tabelle. |
Das Aufheben der Anlaufsperre durch eine positive Signalflanke an Eingang Reset kann dazu führen, dass Ausgang S_EDM_Out sofort auf SAFETRUE steuert (in Abhängigkeit der Zustände an den übrigen Eingängen).
WARNUNG
UNBEABSICHTIGTER BETRIEBSSTART
Prüfen Sie, welche Auswirkungen die Aufhebung der Anlaufsperre durch eine positive Signalflanke an Eingang Reset hat.
Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen bei der Aufhebung der Anlaufsperre zu verhindern.
Betreten Sie den Betriebsbereich nicht, wenn Sie die Anlaufsperre aufheben.
Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, wenn die Anlaufsperre aufgehoben wird.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
WARNUNG
NICHTERFÜLLEN DER SICHERHEITSANFORDERUNGEN
Prüfen Sie vor der Inbetriebnahme die Auswirkungen einer deaktivierten Anlaufsperre (S_StartReset = SAFETRUE) auf Ihre Maschine bzw. Ihren Prozess.
Beachten Sie die vorgegebenen Richtlinien in relevanten Sektornormen bezüglich der Anlaufsperre.
Stellen Sie sicher, dass an anderer Stelle oder mit anderen Mitteln eine geeignete Anlaufsperre realisiert ist, wenn die Anlaufsperre durch die Einstellung S_StartReset = SAFETRUE deaktiviert ist.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Ein- oder zweikanalige Anwendungen
Je nach Risikoanalyse und den sich daraus ergebenden Sicherheitsanforderungen an eine Anwendung muss die Ansteuerung der Schütze ein- oder zweikanalig erfolgen.
Beispiele für eine solche Anwendung sehen Sie in der Übersicht zu diesem Funktionsbaustein sowie im Thema "Weitere Anwendungsbeispiele".
Einkanalige Anwendung mit Zustandsüberwachung des angeschlossenen Schützes
Wenn nur ein Rückführsignal verwendet wird, muss dieses parallel auf beide Eingänge S_EDM1 und S_EDM2 verschaltet werden. Ein Beispiel für eine solche Anwendung sehen Sie am Ende der Übersicht zu diesem Funktionsbaustein.
Zweikanalige Anwendung mit Zustandsüberwachung der angeschlossenen Schütze
Durch eine getrennte Rückführung der Signale von zwei zu überwachenden Schützen auf die Eingänge S_EDM1 und S_EDM2 ist eine kanalgenaue Diagnose der angeschlossenen Schütze möglich. Außerdem besteht bei einer Rückführung von zwei Signalen die Möglichkeit, dass Fehler der angeschlossenen Peripherie vom Funktionsbaustein erkannt werden (z.B. vom Schütz abgekoppelter oder überbrückter Rückführkontakt).
Soll die Rückführung der Signale von den zu überwachenden Schützen in einem Signal erfolgen, müssen diese beiden Kontakte in Reihe geschaltet werden. Das aus der Reihenschaltung resultierende Signal wird dann parallel auf beide Eingänge S_EDM1 und S_EDM2 verschaltet. In diesem Fall ist keine kanalgenaue Diagnose der angeschlossenen Schütze möglich. Außerdem besteht nicht die Möglichkeit, dass Fehler der angeschlossenen Peripherie vom Funktionsbaustein erkannt werden (z.B. vom Schütz abgekoppelter oder überbrückter Rückführkontakt).
Ein Beispiel für eine solche Anwendung sehen Sie im Thema "Weitere Anwendungsbeispiele".
WARNUNG
NICHTERFÜLLEN DER SICHERHEITSANFORDERUNGEN
Stellen Sie sicher, dass die verwendeten Schütze den Ergebnissen der gemäß ISO 13849-1 durchgeführten Risikoanalyse entsprechen.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
HINWEIS:
Wenn dieser Funktionsbaustein zur Diagnose eingesetzt werden soll, muss das Schütz mit einem Hilfskontakt ausgestattet sein. Um eine eindeutige Diagnose zu gewährleisten, muss dieser Hilfskontakt zwangsgeführt zu den Lastkontakten schalten.
