SF_EDM (External Device Monitoring)

 

 

Gültig für Funktionsbaustein SF_EDM_V1_0z, Version 1.0z (z = 0 bis 9).

Kurzbeschreibung

Der sicherheitsbezogene Funktionsbaustein SF_EDM (Externe Schützüberwachung) überwacht den definierten Grundzustand und das Schaltverhalten von Schützen, die an der Sicherheitssteuerung angeschlossen sind.

Mit Hilfe von S_StartReset kann eine Anlaufsperre vorgegeben werden.

PROG_EDM_icon_editor.png

WARNUNG

NICHTERFÜLLEN DER SICHERHEITSANFORDERUNGEN

Stellen Sie sicher, dass die verwendeten Schütze den Ergebnissen der gemäß ISO 13849-1 durchgeführten Risikoanalyse entsprechen.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Eingänge des Funktionsbausteins

Detaillierte Informationen erhalten Sie durch Klicken auf die entsprech­enden Hyperlinks.

Name

Kurzbeschreibung

Wert

Activate

Zustandsgesteuerter  Eingang zur Aktivierung des Funktionsbausteins.

Datentyp: BOOL

Anfangswert: FALSE

  • FALSE: Funktions­baustein inaktiv

  • TRUE: Funktions­baustein aktiv

S_OutControl

Zustandsgesteuerter  Eingang zur Ansteuerung von Schützen, die am Bausteinausgang S_EDM_Out angeschlossen sind.

Datentyp: SAFEBOOL

Anfangswert: SAFE­FALSE

  • SAFEFALSE: Anforderung, um S_EDM_Out auf SAFEFALSE zu steuern (Stopp-Anforderung)

  • SAFETRUE: Anforderung, um S_EDM_Out unter Berücksichtigung von S_EDM1 und S_EDM2 auf SAFETRUE zu steuern

S_EDM1  und S_EDM2

Zustandsgesteuerte  Eingänge für die Rückführsignale der angeschlossenen Schütze.

Datentyp: SAFEBOOL

Anfangswert: SAFE­FALSE

HINWEIS:

Wenn nur ein Rückführ­signal verwendet wird, muss dieses parallel auf beide Eingänge S_EDM1 und S_EDM2 verschaltet werden.

Damit der Funktionsbaustein seinen Ausgang S_EDM_Out auf SAFETRUE steuern kann, müssen beide Eingänge den Zustand SAFETRUE aufweisen (Grundzustand der Schütze).

  • SAFEFALSE: Verschaltetes Schütz ist angezogen (Schaltzustand)

  • SAFETRUE: Verschaltetes Schütz ist abgefallen (Grundzustand)

MonitoringTime

Eingang zur Vorgabe der maximalen Reaktionszeit für die Schaltvorgänge der angeschlossenen Schütze.

Datentyp: TIME

Anfangswert: #0ms

Die Auswertung der Schaltvorgänge erfolgt über die Eingänge S_EDM1 und S_EDM2.

Bei Überschreitung der vorgegebenen Reak­tionszeit steuert der Ausgang Error auf TRUE und in der Folge Ausgang S_EDM_Out auf SAFE­FALSE.

Geben Sie einen Zeitwert ein, der Ihrer Risikoanalyse entspricht.

Beachten Sie den ersten Gefahrenhinweis unter dieser Tabelle.

S_StartReset

Eingang zur Vorgabe der Anlaufsperre nach dem Start der Sicherheitssteuerung oder bei Aktivierung des Funktionsbausteins.

Datentyp: SAFEBOOL

Anfangswert: SAFE­FALSE

Eine aktive Anlaufsperre muss durch eine positive Signalflanke an Eingang Reset manuell aufgehoben werden. Eine deaktivierte Anlaufsperre führt dazu, dass der Ausgang S_EDM_Out automatisch auf SAFETRUE wechselt, wenn der Funktionsbaustein aktiviert ist und die Sicherheitsfunktion nicht angefordert ist.

Beachten Sie den zweiten Gefahrenhinweis unter dieser Tabelle.

  • SAFEFALSE: mit Anlaufsperre

  • SAFETRUE: ohne Anlaufsperre

Reset

Flankengesteuerter  Eingang für das Rücksetz-Signal:

  • Rücksetzen von Fehlermeldungen wenn die Fehlerur­sache nicht mehr besteht.

  • Manuelles Rück­setzen einer aktiven Anlaufsperre (vorge­geben durch S_Star­tReset).

Beachten Sie den dritten Gefahrenhinweis unter dieser Tabelle.

Datentyp: BOOL

Anfangswert: FALSE

HINWEIS:

Abweichend von der Norm EN ISO 13849-1 erfolgt das Rücksetzen nicht wie dort gefordert durch eine negative (fallende) sondern durch eine positive (steigende) Flanke.

  • FALSE: Rücksetzen ist nicht angefordert

  • Flanke FALSE > TRUE: Rücksetzen ist angefordert

WARNUNG

NICHTERFÜLLEN DER SICHERHEITSANFORDERUNGEN

  • Stellen Sie sicher, dass der an MonitoringTime eingestellte Zeit­wert Ihrer Risikoanalyse entspricht.

  • Stellen Sie sicher, dass Ihre Risikoanalyse eine Auswertung für den Fall eines falsch eingestellten Zeitwerts für den Parameter MonitoringTime enthält.

  • Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf den eingestellten Wert an MonitoringTime und prüfen Sie die Applika­tion sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

NICHTERFÜLLEN DER SICHERHEITSANFORDERUNGEN

  • Stellen Sie sicher, dass Ihre Risikoanalyse eine Auswertung für den Fall der deaktivierten Anlaufsperre (S_StartReset = SAFETRUE) enthält.

  • Beachten Sie die vorgegebenen Richtlinien in relevanten Sektor­normen bezüglich der Anlaufsperre.

  • Stellen Sie sicher, dass an anderer Stelle oder mit anderen Mitteln eine geeignete Anlaufsperre realisiert ist, wenn die Anlaufsperre durch die Einstellung S_StartReset = SAFETRUE deaktiviert ist.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Das Rücksetzen des Funktionsbausteins durch eine positive Signal­flanke an Eingang Reset kann dazu führen, dass Ausgang S_EDM_Out sofort auf SAFETRUE gesteuert wird (in Abhängigkeit der Zustände an den übrigen Eingängen).

WARNUNG

UNBEABSICHTIGTER BETRIEBSSTART

  • Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen des Rücksetzens, das durch eine positive Signalflanke an Eingang Reset erfolgt.

  • Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutref­fender Sektornormen) getroffen wurden, um Gefährdungen durch das Rücksetzen zu verhindern.

  • Betreten Sie den Betriebsbereich nicht, wenn das Rücksetzen durchgeführt wird.

  • Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, wenn das Rücksetzen durchge­führt wird.

  • Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Ausgänge des Funktionsbausteins

Name

Kurzbeschreibung

Wert

Ready

Ausgang zur Signalisierung "Funktionsbaustein ist aktiviert/nicht aktiviert".

Datentyp: BOOL

  • TRUE: Funktions­baustein ist aktiviert (Activate = TRUE) und die Ausgangspa­rameter stellen den Zustand der Sicher­heitsfunktion dar.

  • FALSE: Der Funk­tionsbaustein ist nicht aktiviert (Acti­vate = FALSE) und alle Ausgänge des Funktionsbausteins sind auf FALSE/SAFE­FALSE gesteuert.

S_EDM_Out

Ausgang für Steuersignal der angeschlossenen Schütze.

Datentyp: SAFEBOOL

  • SAFEFALSE:

    • Steuersignal an Eingang S_OutControl = SAFEFALSE

    • oder mindestens einer der anges­chlossenen Schütze funktioniert nicht korrekt (Grundzu­stand und/oder Schaltverhalten nicht in Ordnung)

    • oder Funktions­baustein nicht aktiv­iert

    • oder Anlaufsperre aktiv

    • oder Fehlermeldung anlie­gend.

  • SAFETRUE:

    • Steuersignal an Eingang S_OutControl = SAFETRUE

    • und die angeschloss­enen Schütze funk­tionieren korrekt (Grundzustand und Schaltverhalten in Ordnung)

    • und Funktions­baustein aktiviert

    • und Anlaufsperre nicht aktiv

    • und keine Fehlermel­dung anliegend.

Error

Ausgang für Fehlermeldung.

Datentyp: BOOL

  • FALSE: Es liegt kein Fehler vor.

  • TRUE: Der Funk­tionsbaustein hat einen Fehler erkannt. In der Folge steuert Ausgang S_ED­M_Out auf SAFE­FALSE.

DiagCode

Ausgang für Diagnosemeldung.

Datentyp: WORD

Diagnosemeldung des Funktionsbausteins.

Die möglichen Werte sind im Thema "Diag­nose-Codes" aufgelistet und beschrieben.

Signalablauf-Diagramm

Dieses Diagramm bezieht sich auf eine typische Verschaltung mit Anlaufsperre nach der Aktivierung des Funktionsbausteins oder dem Start der Sicherheitssteuerung (S_StartReset = SAFEFALSE).

HINWEIS:

Die Signalablauf-Diagramme in dieser Dokumentation vernachlässigen möglicherweise bestimmte Diagnose-Codes. So kann beispielsweise ein Diagnose-Code im Diagramm fehlen, wenn der betreffende Status des Funktionsbausteins ein temporärer Übergangszustand ist und nur für einen Zyklus der Sicherheitssteuerung aktiv ist.

Es werden nur typische Signalkombinationen der Eingangssignale darg­estellt. Weitere Signalkombinationen sind möglich.

PROG_EDM_Signal1.png

HINWEIS:

Beachten Sie auch das weitere Signalablauf-Diagramm.

0

Der Funktionsbaustein ist noch nicht aktiviert (Activate = FALSE).

Folglich sind alle Ausgänge FALSE oder SAFEFALSE.

1

Nach der Bausteinaktivierung durch Activate = TRUE ist zunächst noch die Anlaufsperre aktiv.

2

Mit der Flanke FALSE > TRUE an Eingang Reset wird die Anlauf­sperre aufgehoben und die Überwachungszeit MonitoringTime der beiden Eingänge S_EDM1 und S_EDM2 gestartet.

Die Überwachungszeit läuft ergebnislos ab, da die Eingänge S_EDM1 und S_EDM2 beide SAFETRUE sind.

3

Die Rückführsignale an den Eingängen S_EDM1 und S_EDM2 melden den Grundzustand der Schütze (S_EDM1 und S_EDM2 sind SAFETRUE). In diesem Zustand wird S_OutControl = SAFETRUE. Daraufhin startet die Überwachungszeitmessung und Ausgang S_EDM_Out wird SAFETRUE.

Während der Überwachungszeit MonitoringTime wechseln beide Rückführsignale S_EDM1 und S_EDM2 auf SAFEFALSE. Die überwachten Schütze funktionieren also beide ordnungsgemäß, sodass Ausgang S_EDM_Out auf SAFETRUE und Fehlerausgang Error auf FALSE bleibt.

4

Der Zustand an Eingang S_OutControl wechselt auf SAFEFALSE, wodurch auch Ausgang S_EDM_Out auf SAFEFALSE gesteuert wird.

Mit dem Zustandswechsel an S_EDM_Out startet die Überwa­chungszeitmessung erneut. Während der Überwachungszeit Moni­toringTime wechseln beide Rückführsignale S_EDM1 und S_EDM2 ordnungsgemäß auf SAFETRUE (Grundzustand der Schütze). Fehlerausgang Error bleibt folglich FALSE.

5

Eingang S_OutControl wird SAFETRUE, wodurch der Ausgang S_EDM_Out auf SAFETRUE gesteuert wird. Zu diesem Zeitpunkt sind beide Rückführsignale S_EDM1 und S_EDM2 = SAFETRUE (Grundzustand der angeschlossenen Schütze).

Mit dem Wechsel an Ausgang S_EDM_Out auf SAFETRUE startet die Überwachungszeit MonitoringTime. Die Rückführsignale an den Eingängen S_EDM1 und S_EDM2 wechseln während der Überwachungszeit nicht nach SAFEFALSE, weil beispielsweise die angeschlossenen Schütze defekt sind.

Nach Ablauf der Überwachungszeit MonitoringTime wird Ausgang Error = TRUE und Ausgang S_EDM_Out = SAFEFALSE.

6

Mit der positiven Flanke an Eingang Reset wird die Fehlermeldung rückgesetzt (Error wird FALSE). Diese Signalflanke startet auch die Überwachungszeit MonitoringTime. Die Überwachungszeit läuft ergebnislos ab, weil die Rückführsignale an den Eingängen S_EDM1 und S_EDM2 weiterhin SAFETRUE sind.

Anwendungsbeispiel

In diesem Beispiel überwacht der sicherheitsbezogene Funktions­baustein SF_EDM das Schaltverhalten eines an Ausgangsklemme O0 der Sicherheitssteuerung angeschlossenen Schützes K1.

Vom Schütz erfolgt durch einen Öffnerkontakt eine einkanalige Rück­meldung über Eingangsklemme I0 des sicherheitsbezogenen Eingangs­geräts SDI 1 an die Eingänge S_EDM1 und S_EDM2  (einkanalige Anwendung bis Kat. 2). Das resultierende Signal der Eingangsklemme ist mit der globalen I/O-Variablen K1_Feedback verknüpft.

Der Reset-Taster S1 ist an Eingangsklemme NI0 des Stan­dard-Eingangsgeräts DI 1 angeschlossen. Das mit der globalen I/O-Variablen S1_Reset_EDM verknüpfte Signal an Eingangsklemme NI0 dient zur Aufhebung der Anlaufsperre und zum Rücksetzen von Fehlerzuständen nach Behebung der Fehlerursache.

HINWEIS:

Eingang S_OutControl wird durch einen weiteren sicherheits­bezogenen Funktionsbaustein bzw. eine sicherheitsbezo­gene Funktion innerhalb des Programms angesteuert.

PROG_EDM_ApplicationExample1.png

K1

Schütz oder Relais mit zwangsgeführten Kontakten.

S1

Reset

noteOnImage.png 

Siehe Hinweis vor der Abbildung.

Weitere Informationen

Beachten Sie auch die übrigen Anwendungsbeispiele sowie die Hinweise zu den Beispielen.

Detailinformationen

Weitere Informationen finden Sie in folgenden Abschnitten:

EIO0000002270.01

© Copyright 2019, Schneider Electric