Gültig für Funktionsbaustein SF_SafetyRequest_V1_0z, Version 1.0z (z = 0 bis 9).
Kurzbeschreibung
|
Der sicherheitsbezogene Funktionsbaustein SF_SafetyRequest unterstützt in einer Applikation die Funktion "Anforderung einer Sicherheitsfunktion" (z.B. sicherer Halt oder sichere reduzierte Geschwindigkeit). Abhängig vom Status an Eingang S_OpMode fordert der sicherheitsbezogene Funktionsbaustein die Sicherheitsfunktion bei der Peripherie an. Basierend auf dem Signal zur Anforderung einer Sicherheitsfunktion (an Eingang S_OpMode) und dem Rückmeldesignal über deren korrekte Ausführung (an Eingang S_Acknowledge), wird das Ausgangssignal S_SafetyActive gesteuert. Dieses Ausgangssignal wird typischerweise dazu verwendet, einem nachgeschalteten sicherheitsbezogenen Funktionsbaustein die Bestätigung über die Aktivierung der angeforderten Betriebsart zu signalisieren. Die maximal zulässige Reaktionszeit, innerhalb derer die Bestätigung erwartet wird, muss an Eingang MonitoringTime parametriert werden und wird vom sicherheitsbezogenen Funktionsbaustein überwacht. |
|
Der Funktionsbaustein dient damit als Schnittstelle zwischen dem funktionalen Sicherheitssystem (bestehend aus Sicherheitssteuerung und sicherheitsbezogenen I/O-Modulen) und der angeschlossenen sicherheitsbezogenen Peripherie, beispielsweise einem sicherheitsbezogenen Antrieb.
HINWEIS:
Im sicherheitsbezogenen Funktionsbaustein SF_SafetyRequest sind eine Anlaufsperre und eine Wiederanlaufsperre vorgegeben, die nicht deaktiviert werden können (siehe Thema "Funktionsbeschreibung"). Eine aktive Anlauf-/Wiederanlaufsperre muss durch eine positive Signalflanke am Eingang Reset manuell aufgehoben werden.
Eingänge des Funktionsbausteins
Detaillierte Informationen erhalten Sie durch Klicken auf die entsprechenden Hyperlinks.
|
Name |
Kurzbeschreibung |
Wert |
|
Zustandsgesteuerter Eingang zur Aktivierung des Funktionsbausteins. Datentyp: BOOL Anfangswert: FALSE |
|
|
|
Zustandsgesteuerter Eingang für die Anforderung an die angeschlossene sicherheitsbezogene Peripherie, eine Sicherheitsfunktion auszuführen. Datentyp: SAFEBOOL Anfangswert: SAFEFALSE |
|
|
|
Zustandsgesteuerter Eingang, der die Status-Rückmeldung der angeschlossenen sicherheitsbezogenen Peripherie verarbeitet. Datentyp: SAFEBOOL Anfangswert: SAFEFALSE |
|
|
|
Eingang zur Vorgabe der maximal erlaubten Reaktionszeit zwischen der Anforderung der Sicherheitsfunktion an Eingang S_OpMode und der Bestätigung über deren Ausführung an Rückmeldeeingang S_Acknowledge. Datentyp: TIME Anfangswert: #0ms Bei Überschreitung des vorgegebenen Zeitwerts steuert der Ausgang Error auf TRUE und der Freigabeausgang S_Acknowledge auf SAFEFALSE. |
Der einzustellende Zeitwert hängt von der Safety-Reaktionszeit des funktionalen Sicherheitssystems ab. Als Safety-Reaktionszeit wird die Zeit zwischen dem Eintreffen des Signals am Eingangskanal und der Ausgabe des Abschaltsignals am Geräteausgang bezeichnet. Um die Safety-Reaktionszeit Ihres funktionalen Sicherheitssystems zu berechnen, wählen Sie in EcoStruxure Machine Expert - Safety den Menüpunkt 'Projekt > Reaktionszeitrechner'. Weitere Informationen finden Sie im Kapitel "Safety-Reaktionszeit" der Online-Hilfe zu EcoStruxure Machine Expert - Safety. Geben Sie einen Zeitwert ein, der Ihrer Risikoanalyse entspricht. Beachten Sie den ersten Gefahrenhinweis unter dieser Tabelle. |
|
|
Flankengesteuerter Eingang für das Rücksetz-Signal:
Datentyp: BOOL Anfangswert: FALSE HINWEIS: Abweichend von der Norm EN ISO 13849-1 erfolgt das Rücksetzen nicht wie dort gefordert durch eine negative (fallende) sondern durch eine positive (steigende) Flanke. Beachten Sie den zweiten Gefahrenhinweis unter dieser Tabelle. |
|
WARNUNG
NICHTERFÜLLEN DER SICHERHEITSANFORDERUNGEN
Stellen Sie sicher, dass der an MonitoringTime eingestellte Zeitwert Ihrer Risikoanalyse entspricht.
Stellen Sie sicher, dass Ihre Risikoanalyse eine Auswertung für den Fall eines falsch eingestellten Zeitwerts für den Parameter MonitoringTime enthält.
Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf den eingestellten Wert an MonitoringTime und prüfen Sie die Applikation sorgfältig.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Wenn vor oder während der steigenden Signalflanke an Eingang Reset (zur Fehler-Rücksetzung) die Sicherheitsfunktion nicht mehr angefordert ist (S_OpMode = SAFETRUE), kann dies der Anlage/Maschine signalisieren, dass keine Anforderung der Sicherheitsfunktion mehr vorliegt. Dies kann zu einer Gefährdung führen, indem die Maschine/Anlage beispielsweise sofort startet.
WARNUNG
UNBEABSICHTIGTER BETRIEBSSTART
Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen des Rücksetzens, das durch eine positive Signalflanke an Eingang Reset erfolgt.
Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen durch das Rücksetzen zu verhindern.
Betreten Sie den Betriebsbereich nicht, wenn das Rücksetzen durchgeführt wird.
Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, wenn das Rücksetzen durchgeführt wird.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Ausgänge des Funktionsbausteins
Detaillierte Informationen erhalten Sie durch Klicken auf die entsprechenden Hyperlinks.
|
Name |
Kurzbeschreibung |
Wert |
|
Ausgang zur Signalisierung "Funktionsbaustein ist aktiviert/nicht aktiviert". Datentyp: BOOL |
|
|
|
Ausgang zur Bestätigung der korrekten Rückmeldung aus der angeschlossenen sicherheitsbezogenen Peripherie. Datentyp: SAFEBOOL |
HINWEIS: Den definierten sicheren Zustand steuert die sicherheitsbezogene Peripherie selbstständig und unabhängig vom Funktionsbaustein. |
|
|
Ausgang für die Anforderung an die angeschlossene sicherheitsbezogene Peripherie, eine Sicherheitsfunktion auszuführen. Datentyp: SAFEBOOL |
|
|
|
Ausgang für Fehlermeldung. Datentyp: BOOL |
|
|
|
Ausgang für Diagnosemeldung. Datentyp: WORD |
Diagnosemeldung des Funktionsbausteins. Die möglichen Werte sind im Thema "Diagnose-Codes" aufgelistet und beschrieben. |
Signalablauf-Diagramm:
Dieses Diagramm bezieht sich auf einen typischen Signalablauf, in der die Anforderung einer Sicherheitsfunktion unterstützt wird.
HINWEIS:
Die Signalablauf-Diagramme in dieser Dokumentation vernachlässigen möglicherweise bestimmte Diagnose-Codes. So kann beispielsweise ein Diagnose-Code im Diagramm fehlen, wenn der betreffende Status des Funktionsbausteins ein temporärer Übergangszustand ist und nur für einen Zyklus der Sicherheitssteuerung aktiv ist.
Es werden nur typische Signalkombinationen der Eingangssignale dargestellt. Weitere Signalkombinationen sind möglich.
Die eingehende Anforderung einer Sicherheitsfunktion durch ein SAFEFALSE-Signal an Eingang S_OpMode steuert direkt und ohne weitere Abhängigkeiten den Ausgang S_SafetyRequest für eine Anforderung der Sicherheitsfunktion an die angeschlossene sicherheitsbezogene Peripherie. Im gezeigten Beispielverlauf treten zwei Anforderungen der Sicherheitsfunktion auf. Folglich wird zweimal die Zeitüberwachung zwischen der Anforderung einer Sicherheitsfunktion und der Bestätigungsmeldung aus der sicherheitsbezogenen Peripherie gestartet.
Während der ersten Zeitüberwachung erfolgt die Rückmeldung durch S_Acknowledge = SAFETRUE innerhalb der an MonitoringTime parametrierten Zeit und der Freigabeausgang S_SafetyActive steuert auf SAFETRUE (Phasen 5 und 6 im Diagramm).
Im zweiten Fall wird der parametrierte Zeitwert überschritten. Der Funktionsbaustein erkennt dann einen Fehler (Error = TRUE) und durch S_SafetyActive = SAFEFALSE wird signalisiert, dass die sicherheitsbezogene Peripherie die angeforderte Sicherheitsfunktion nicht umsetzt (Phasen 9 bis 11 im Diagramm).
Weitere Informationen
Eine detaillierte Beschreibung der einzelnen Phasen finden Sie in den Details zu diesem Signalablauf-Diagramm.
Anwendungsbeispiel
Dieses Beispiel zeigt den exemplarischen Einsatz des sicherheitsbezogenen Funktionsbausteins SF_SafetyRequest bei der Anforderung und Rückmeldung der Sicherheitsfunktion "sichere reduzierte Geschwindigkeit" (SLS, Safely Limited Speed) eines sicherheitsbezogenen Antriebs.
Durch die TRUE-Konstante an Eingang Activate ist der Funktionsbaustein dauerhaft aktiviert. An Eingang NI0 des Standard-Eingangsgerätes DI 1 ist der Reset-Taster S1 angeschlossen.
Die relevanten Ein- und Ausgänge sind wie folgt beschaltet:
Eingang S_OpMode des Funktionsbausteins SF_SafetyRequest ist direkt mit dem Freigabesignal S_Mode0Sel des vorgeschalteten Funktionsbausteins SF_ModeSelector verschaltet. Die Anforderung der Sicherheitsfunktion (vom ausgewerteten Betriebsartenwahlschalter) ist folglich die Anwahl der Betriebsart 0. In unserem Beispiel ist dies der Inbetriebnahme- oder Wartungsmodus, in dem der Antrieb mit sicherer reduzierter Geschwindigkeit betrieben wird. (Siehe Ziffer (1) in der Abbildung unten.)
Ausgang S_SafetyRequest ist mit der globalen I/O-Variablen SReq_SafePerph verschaltet, die wiederum mit Ausgang O0 des sicherheitsbezogenen Ausgangsgeräts SDO 1 verknüpft ist (siehe (2) in der Abbildung unten). Das sicherheitsbezogene Antriebsmodul ist dort zweikanalig an die Ausgangsklemmen O0 und O1 angeschlossen.
Das Rückmeldesignal zur Bestätigung der angewählten Betriebsart vom sicherheitsbezogenen Antrieb ist zweikanalig an die Eingänge I0 und I1 des sicherheitsbezogenen Eingangsgeräts SDI 1 angeschlossen. Das vom sicherheitsbezogenen Eingangsgerät auf Äquivalenz geprüfte Signal ist mit der globalen I/O-Variablen SafePerph_Feedb verknüpft und zur Auswertung an Eingang S_Acknowledge des Funktionsbausteins SF_SafetyRequest angeschlossen ((3) in der Abbildung).
Freigabeausgang S_SafetyActive ist mit Eingang S_SafetyActive des Funktionsbausteins SF_EnableSwitch verschaltet (siehe (4)). Wird die angeforderte sichere reduzierte Geschwindigkeit vom sicherheitsbezogenen Antrieb innerhalb der an MonitoringTime vorgegebenen Überwachungszeit an Eingang S_Acknowledge bestätigt, steuert Freigabeausgang S_SafetyActive auf SAFETRUE und signalisiert so dem nachgeschalteten Funktionsbaustein SF_EnableSwitch die sichere Betriebsart.
Weitere Informationen
Beachten Sie die detaillierte Beschreibung und die Hinweise im Thema "Details zum Anwendungsbeispiel".
Detailinformationen
Weitere Informationen finden Sie in folgenden Abschnitten:
