Gültig für Funktionsbaustein SF_TestableSafetySensor_V1_0z, Version 1.0z (z = 0 bis 9).
Kurzbeschreibung
|
Der sicherheitsbezogene Funktionsbaustein SF_TestableSafetySensor wertet den Status einer angeschlossenen optoelektronischen Schutzeinrichtung (z.B. Lichtvorhang) aus. Zusätzlich verfügt der Funktionsbaustein über eine Testfunktion zur Überprüfung der angeschlossenen Schutzeinrichtung. HINWEIS: Die Schutzeinrichtung wird in dieser Dokumentation als Sicherheitssensor bezeichnet. HINWEIS: Der mit dem Funktionsbaustein verschaltete Sicherheitssensor muss den Anforderungen an eine BWS (berührungslos wirkende Schutzeinrichtung) Typ 2 gemäß IEC 61496-1 entsprechen. Dies beinhaltet, dass der Sicherheitssensor eine Testfunktion unterstützt. HINWEIS: Bedingt durch die anzuschließende Schutzeinrichtung Typ 2, ist maximal Kat. 2 erreichbar. |
|
Eingänge des Funktionsbausteins
Detaillierte Informationen erhalten Sie durch Klicken auf die entsprechenden Hyperlinks.
|
Name |
Kurzbeschreibung |
Wert |
|
Zustandsgesteuerter Eingang zur Aktivierung des Funktionsbausteins. Datentyp: BOOL Anfangswert: FALSE |
|
|
|
Zustandsgesteuerter Eingang für den Status des angeschlossenen Sicherheitssensors. Datentyp: SAFEBOOL Anfangswert: SAFEFALSE |
|
|
|
Flankengesteuerter Eingang für die Anforderung zum Starten des Sensortests. Datentyp: BOOL Anfangswert: FALSE |
HINWEIS: Während der Testdurchführung bleibt Ausgang S_OSSD_Out auf SAFETRUE. |
|
|
Eingang zur Vorgabe der maximalen Reaktionszeit für die Signalwechsel der einzelnen Sensortestphasen zwischen dem Ausgang S_TestOut und dem Eingang S_OSSD_In während des Tests des Sicherheitssensors. Datentyp: TIME Anfangswert: #10ms |
HINWEIS: Die maximal zulässige Reaktionszeit beträgt 150 ms. Geben Sie einen Zeitwert ein, der Ihrer Risikoanalyse entspricht. Beachten Sie den ersten Gefahrenhinweis unter dieser Tabelle. |
|
|
Zustandsgesteuerter Eingang zur Vorgabe eines erforderlichen manuellen Sensortests bei einem Fehler während der automatischen Sensortestphasen. Datentyp: BOOL Anfangswert: FALSE |
|
|
|
Zustandsgesteuerter Eingang zur Vorgabe der Anlaufsperre nach dem Start der Sicherheitssteuerung oder bei Aktivierung des Funktionsbausteins. Eine aktive Anlaufsperre muss durch eine positive Signalflanke an Eingang Reset manuell aufgehoben werden. Eine deaktivierte Anlaufsperre führt dazu, dass der Ausgang S_OSSD_Out automatisch auf SAFETRUE wechselt, wenn der Funktionsbaustein aktiviert und die Sicherheitsfunktion nicht angefordert ist. Datentyp: SAFEBOOL Anfangswert: SAFEFALSE Beachten Sie den zweiten Gefahrenhinweis unter dieser Tabelle. |
|
|
|
Zustandsgesteuerter Eingang zur Vorgabe der Wiederanlaufsperre nach Rückkehr des SAFETRUE-Signals an Eingang S_OSSD_In (d.h. der Lichtstrahl des Sicherheitssensors ist nicht mehr unterbrochen). Datentyp: SAFEBOOL Anfangswert: SAFEFALSE Eine aktive Wiederanlaufsperre muss durch eine positive Signalflanke an Eingang Reset manuell aufgehoben werden. Eine deaktivierte Wiederanlaufsperre führt dazu, dass der Ausgang S_OSSD_Out automatisch auf SAFETRUE wechselt, wenn der Funktionsbaustein aktiviert und die Sicherheitsfunktion nicht mehr angefordert ist. Beachten Sie den zweiten Gefahrenhinweis unter dieser Tabelle. |
|
|
|
Flankengesteuerter Eingang für das Rücksetz-Signal:
Beachten Sie den dritten Gefahrenhinweis unter dieser Tabelle. Datentyp: BOOL Anfangswert: FALSE HINWEIS: Abweichend von der Norm EN ISO 13849-1 erfolgt das Rücksetzen nicht wie dort gefordert durch eine negative (fallende) sondern durch eine positive (steigende) Flanke. |
|
WARNUNG
NICHTERFÜLLEN DER SICHERHEITSANFORDERUNGEN
Stellen Sie sicher, dass der an TestTime eingestellte Zeitwert Ihrer Risikoanalyse entspricht.
Stellen Sie sicher, dass Ihre Risikoanalyse eine Auswertung für den Fall eines falsch eingestellten Zeitwerts für den Parameter TestTime enthält.
Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf den eingestellten Wert an TestTime und prüfen Sie die Applikation sorgfältig.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Die Anlaufsperre und/oder Wiederanlaufsperre darf nur dann deaktiviert werden, wenn sichergestellt ist, dass bei einem Anlauf der Maschine/Anlage keine gefahrbringende Situation entstehen kann oder dass an anderer Stelle oder mit anderen Mitteln eine geeignete Anlaufsperre realisiert ist.
WARNUNG
NICHTERFÜLLEN DER SICHERHEITSANFORDERUNGEN
Prüfen Sie vor der Inbetriebnahme die Auswirkungen einer deaktivierten Anlaufsperre (S_StartReset = SAFETRUE) und/oder Wiederanlaufsperre (S_AutoReset = SAFETRUE) auf Ihre Maschine bzw. Ihren Prozess.
Beachten Sie die vorgegebenen Richtlinien in relevanten Sektornormen bezüglich der Anlauf-/Wiederanlaufsperre.
Stellen Sie sicher, dass an anderer Stelle oder mit anderen Mitteln eine geeignete Anlaufsperre realisiert ist.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Das Rücksetzen des Funktionsbausteins durch eine positive Signalflanke an Eingang Reset kann dazu führen, dass Ausgang S_OSSD_Out sofort auf SAFETRUE gesteuert wird (in Abhängigkeit der Zustände an den übrigen Eingängen).
WARNUNG
UNBEABSICHTIGTER BETRIEBSSTART
Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen des Rücksetzens, das durch eine positive Signalflanke an Eingang Reset erfolgt.
Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen durch das Rücksetzen zu verhindern.
Betreten Sie den Betriebsbereich nicht, wenn das Rücksetzen durchgeführt wird.
Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, wenn das Rücksetzen durchgeführt wird.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Ausgänge des Funktionsbausteins
|
Name |
Kurzbeschreibung |
Wert |
|
Ausgang zur Signalisierung "Funktionsbaustein ist aktiviert/nicht aktiviert". Datentyp: BOOL |
|
|
|
Ausgang für das Freigabesignal des Funktionsbausteins. Datentyp: SAFEBOOL |
|
|
|
Ausgang für das Signal zur Ansteuerung des Testeingangs des angeschlossenen Typ2-Sicherheitssensors. Datentyp: SAFEBOOL |
|
|
|
Ausgang zur Signalisierung, ob ein automatischer Sensortest möglich ist. Datentyp: BOOL |
|
|
|
Ausgang zur Signalisierung des Status des Sensortests. Datentyp: BOOL HINWEIS: Auch ohne ein TRUE-Signal an TestExecuted, kann das Freigabesignal an Ausgang S_OSSD_Out = SAFETRUE sein. Nur ein positives Ergebnis des automatischen Tests bestätigt die korrekte Funktion des Sicherheitssensors. |
|
|
|
Ausgang für Fehlermeldung. Datentyp: BOOL |
HINWEIS: Der Ausgang S_TestOut bleibt auch während einer Fehlermeldung SAFETRUE. |
|
|
Ausgang für Diagnosemeldung. Datentyp: WORD |
Diagnosemeldung des Funktionsbausteins. Die möglichen Werte sind im Thema "Diagnose-Codes" aufgelistet und beschrieben. |
Signalablauf-Diagramm
Dieses Diagramm bezieht sich auf eine typische Beschaltung des sicherheitsbezogenen Funktionsbausteins SF_TestableSafetySensor. Es gelten folgende Annahmen:
S_StartReset = SAFEFALSE: Anlaufsperre nach Bausteinaktivierung und nach Start der Sicherheitssteuerung.
S_AutoReset = SAFEFALSE: Wiederanlaufsperre, wenn der Lichtstrahl des Sicherheitssensors nicht mehr unterbrochen ist (Rückkehr des SAFETRUE-Signals an Eingang S_OSSD_In).
NoExternalTest = TRUE: Bei einem Fehler während der vom Funktionsbaustein durchgeführten Sensortestphasen ist kein zusätzlicher manueller Sensortest erforderlich.
HINWEIS:
Beachten Sie auch das weitere Signalablauf-Diagramm.
HINWEIS:
Die Signalablauf-Diagramme in dieser Dokumentation vernachlässigen möglicherweise bestimmte Diagnose-Codes. So kann beispielsweise ein Diagnose-Code im Diagramm fehlen, wenn der betreffende Status des Funktionsbausteins ein temporärer Übergangszustand ist und nur für einen Zyklus der Sicherheitssteuerung aktiv ist.
Es werden nur typische Signalkombinationen der Eingangssignale dargestellt. Weitere Signalkombinationen sind möglich.
|
(1) |
Sensortest mit zwei Testphasen: Phase 1 und Phase 2 |
|
0 |
Der Funktionsbaustein ist noch nicht aktiviert (Activate = FALSE). |
|
1 |
Der Funktionsbaustein wird aktiviert (Activate = TRUE). Obwohl zum Zeitpunkt der Bausteinaktivierung Eingang S_OSSD_In (Status des angeschlossenen Sensors) SAFETRUE ist, bleibt der Ausgang S_OSSD_Out = SAFEFALSE, weil eine Anlaufsperre (S_StartReset = SAFEFALSE) vorgegeben ist. Da kein Sensortest aktiv ist, ist Ausgang S_TestOut SAFETRUE. Ausgang TestPossible bleibt FALSE, da durch die aktive Anlaufsperre kein Sensortest möglich ist. |
|
2 |
Durch eine positive Flanke an Eingang Reset wird die Anlaufsperre aufgehoben. Da Eingang S_OSSD_In = SAFETRUE ist (Lichtstrahl des angeschlossenen Sensors ist nicht unterbrochen), steuert Ausgang S_OSSD_Out auf SAFETRUE: Der Sensor fordert keine Sicherheitsfunktion (z.B. Abschaltung) an. Mit dem Aufheben der Anlaufsperre wird auch der Sensortest möglich (Ausgang TestPossible wird TRUE). |
|
3 |
Durch eine positive Flanke an Eingang StartTest wird der Sensortest mit der Sensortestphase 1 gestartet. Während des Sensortests beibt Ausgang S_OSSD_Out = SAFETRUE, um den laufenden Betrieb nicht zu unterbrechen. Ausgang S_TestOut wird SAFEFALSE, um den Test des angeschlossenen Sensors zu starten. Ausgang TestPossible ist während des aktiven Tests FALSE, da zeitgleich kein zweiter Sensortest stattfinden kann. |
|
4 |
Der angeschlossene Sensor meldet innerhalb der eingestellten Überwachungszeit TestTime an Eingang S_OSSD_In den Zustand SAFEFALSE, was dem korrekten Verhalten entspricht. Ausgang S_OSSD_Out bleibt deshalb auf SAFETRUE und es wird keine Fehlermeldung ausgegeben (Ausgang Error bleibt FALSE). Der Wechsel von SAFETRUE nach SAFEFALSE an Eingang S_OSSD_In startet den zweiten Überwachungstimer TestTime (2). Phase 2 des Sensortests ist nun aktiv, Ausgang S_TestOut steuert deshalb wieder auf SAFETRUE. Der Freigabeausgang ist nach wie vor SAFETRUE (Normalbetrieb). |
|
5 |
Der angeschlossene Sensor meldet innerhalb der eingestellten Überwachungszeit TestTime an Eingang S_OSSD_In wieder den Zustand SAFETRUE, was dem korrekten Verhalten entspricht. Der Funktionstest ist damit erfolgreich beendet, d.h. der Sensor funktioniert ordnungsgemäß. Ausgang TestExecuted wird deshalb auf TRUE gesteuert. Ausgang S_OSSD_Out bleibt ebenfalls SAFETRUE, da der Lichtstrahl des Sensors nicht unterbrochen ist (keine Abschaltung gefordert). |
|
6 |
Der Lichtstrahl des Sensors wird unterbrochen, Eingang S_OSSD_In wird SAFEFALSE. Ausgang S_OSSD_Out steuert sofort auf SAFEFALSE. Ausgang TestPossible wird dadurch ebenfalls FALSE, da in dieser Situation kein Sensortest zulässig ist. |
|
7 |
Obwohl die Anforderung der Sicherheitsfunktion wieder zurückgenommen wird (Eingang S_OSSD_In ist wieder SAFETRUE), bleiben der Freigabeausgang S_OSSD_Out und Ausgang TestPossible auf FALSE, da mit S_AutoReset = SAFEFALSE die Wiederanlaufsperre vorgegeben wurde. |
|
8 |
Durch Drücken des angeschlossenen Reset-Tasters wird eine positive Flanke an Eingang Reset angelegt. Die Wiederanlaufsperre ist damit aufgehoben. Weil der Lichtstrahl des angeschlossenen Sensors nicht unterbrochen ist (S_OSSD_In = SAFETRUE), steuert auch Ausgang S_OSSD_Out auf SAFETRUE. Ausgang TestPossible wird ebenfalls TRUE und signalisiert so, dass ein neuer Sensortest angefordert werden kann. |
Anwendungsbeispiel
Die folgende Abbildung zeigt die Verschaltung eines einkanalig angeschlossenen Lichtvorhangs mit dem sicherheitsbezogenen Funktionsbaustein SF_TestableSafetySensor.
An Ausgang O0 der Sicherheitssteuerung wird das Testsignal (Start/Stopp des Sensortests) an den Sensor ausgegeben. Das Statussignal des Sensors ist an Eingangsklemme I0 des sicherheitsbezogenen Eingangsgeräts SDI 1 angeschlossen.
Weitere Informationen
Beachten Sie auch die Beschreibung und Hinweise zu diesem Anwendungsbeispiel.
HINWEIS:
Der Freigabeausgang S_OSSD_Out des Funktionsbausteins SF_TestableSafetySensor ist direkt mit einer globalen I/O-Variablen oder über weitere sicherheitsbezogene Funktionen/Funktionsbausteine mit einer Ausgangsklemme der Applikation verschaltet.
Der Bausteinausgang TestPossible signalisiert, ob ein Test möglich ist und Ausgang TestExecuted zeigt an, ob der Test erfolgreich durchgeführt wurde oder momentan aktiv ist. Beide Ausgänge sind mit Standard-Variablen verbunden und können so in der überlagerten Standard-Steuerung verarbeitet werden.
|
S1 |
Start Test |
|
S2 |
Reset |
|
B1 |
BWS - Optoelektronischer Sensor |
|
B1S |
Sender |
|
B1E |
Empfänger |
|
|
Siehe Hinweis vor der Abbildung. |
Detailinformationen
Weitere Informationen finden Sie in folgenden Abschnitten:
