Dieses Thema enthält folgende Informationen:
Allgemeine Informationen über die Safety-Reaktionszeit
Die Safety-Reaktionszeit ist die Zeit zwischen dem Eintreffen des Sensorsignals am sicherheitsbezogenen Eingangsmodul und der Ausgabe des Anforderungssignals für den definierten sicheren Zustand am sicherheitsbezogenen Ausgangsmodul. Die Sicherheitseinrichtungen müssen auf Basis der berechneten Safety-Reaktionszeit projektiert und installiert werden. Die Safety-Reaktionszeit gibt z.B. den erforderlichen Mindestabstand eines Sicherheitssensors (z.B. Lichtschranke) vom abgesicherten Betriebsbereich vor.
Die folgende Abbildung zeigt die Einflüsse auf die Safety-Reaktionszeit:
Die Safety-Reaktionszeit (SRZ) berechnet sich wie folgt:
SRZ = Verarbeitungszeit im sicherheitsbezogenen Eingangsmodul
+ Eingangs-Datenübertragungszeit (Busübertragung Eingangsmodul -> SLC)
+ Verarbeitungszeit der Applikation im SLC
+ Ausgangs-Datenübertragungszeit (Busübertragung SLC -> Ausgangsmodul)
+ Verarbeitungszeit im sicherheitsbezogenen Ausgangsmodul
Wie in der Abbildung gezeigt, beinhaltet die gesamte Verzögerungszeit des Gesamtsystems (d.h. die verstreichende Zeit zwischen der Anforderung einer Sicherheitsfunktion, bis sich die Maschine/Anlage im definierten sicheren Zustand befindet) darüber hinaus auch die Signalverarbeitungszeit des Sicherheitssensors sowie die benötigte Zeit zum Stoppen des Aktors.
EcoStruxure Machine Expert - Safety erleichtert die Reaktionszeitberechnung, indem Berechnungsdialoge für folgende Aufgaben bereitgestellt werden:
Bestimmung der notwendigen Reaktionszeit-relevanten Parameter MinDatenübertragungszeit, MaxDatenübertragungszeit und KommunikationsWatchdog (Dialog 'Reaktionszeit Relevante Parameter').
Diese Parameter werden auch für die Überwachung der Kommunikation verwendet.
Berechnung der resultierenden Safety-Reaktionszeit, basierend auf diesen relevanten Parameterwerten, eingegeben im 'Geräte'-Fenster von EcoStruxure Machine Expert - Safety.
Der Dialog 'Reaktionszeitrechner' gibt einen Zeitwert für jeden Eingangs-Ausgangs-Signalpfad aus und nennt die gesamte ungünstigste Reaktionszeit des Gesamtsystems.
Verwenden Sie diese Ergebnisse zur Bestimmung der mechanischen Positionen Ihrer Sicherheitseinrichtung.
Technische Hintergrundinformationen
Wie in der Formel und der obigen Abbildung gezeigt, sind zwei Aspekte für die Reaktionszeit entscheidend: Signalverarbeitungszeiten und Datenübertragungszeiten.
Die Signalverarbeitungszeit in sicherheitsbezogenen Ein- und Ausgangsmodulen von Schneider Electric hängt vom jeweiligen Modul und den dort eingestellten Parametern ab (z.B. Filtereinstellungen, etc.).
Signalverarbeitungszeit von Ein- und Ausgangsmodulen
Bei der Berechnung der Safety-Reaktionszeit muss, wie in diesem Abschnitt beschrieben, die Signalverarbeitungszeit in den sicherheitsbezogenen Ein- und Ausgangsmodulen berücksichtigt (addiert) werden.
Die hier aufgelisteten Werte müssen nicht in EcoStruxure Machine Expert - Safety eingegeben werden. Nachdem Sie im Reaktionszeitrechner ein Eingangsmodul, einen verfügbaren Kanal und einen Ausgangskanal ausgewählt haben, verwendet das System zur Berechnung der Safety-Reaktionszeit automatisch die relevanten Werte.
Sicherheitsbezogene digitale Eingangsmodule
Für die Signalverarbeitung in sicherheitsbezogenen digitalen Eingangsmodulen gelten folgende Werte:
Filterwert des Ausschaltfilters
5000 µs bei Parametrierung externer Taktsignale ('Taktmode' = 'Extern')
Sicherheitsbezogene analoge Eingangsmodule, Temperatur- und Zähler-Eingangsmodule
Bei diesen sicherheitsbezogenen Eingangsmodulen hängt die Signalverarbeitungszeit von dem Zeitwert ab, den Sie für den Parameter 'Eingangsfilter' spezifiziert haben. Dieser Parameter definiert das Aktualisierungsintervall des Eingangsmoduls. Die folgenden Tabellen zeigen die Signalverarbeitungszeit der Module je nach eingestelltem 'Eingangsfilter'-Wert.
TM5SAI4AFS (Strom-Eingangsmodul):
Konfigurierter Filterwert |
Maximale Signalverarbeitungszeit des Moduls |
1 ms |
17 ms |
2 ms |
19 ms |
10 ms |
35 ms |
16,7 ms |
50 ms |
20 ms |
55 ms |
33,3 ms |
82 ms |
40 ms |
95 ms |
66,7 ms |
122 ms |
TM5STI4ATCFS (Temperatur-Eingangsmodul):
Konfigurierter Filterwert |
Maximale Signalverarbeitungszeit des Moduls |
1 ms |
32 ms |
2 ms |
40 ms |
10 ms |
86 ms |
16,7 ms |
132 ms |
20 ms |
152 ms |
33,3 ms |
240 ms |
40 ms |
284 ms |
66,7 ms |
372 ms |
Sicherheitsbezogenes digitales Zähler-Eingangsmodul TM5SDC1FS
Beim sicherheitsbezogenen digitalen Zählermodul TM5SDC1FS hängt die Signalverarbeitungszeit vom eingestellten Wert für den Parameter 'Bearbeitungszeit' ab. Die folgende Tabelle zeigt die Signalverarbeitungszeit des Moduls je nach eingestelltem Wert für den Parameter 'Bearbeitungszeit' und der zugehörigen I/O-Aktualisierungszeit.
Konfigurierter Wert für 'Bearbeitungszeit der Module' |
I/O-Aktualisierungszeit |
Zeit + I/O-Aktualisierungszeit |
10 ms |
2 ms |
12 ms |
50 ms |
2 ms |
52 ms |
100 ms |
2 ms |
102 ms |
500 ms |
5 ms |
505 ms |
1 s |
10 ms |
1010 ms |
5 s |
50 ms |
5050 ms |
10 s |
100 ms |
10100 ms |
50 s |
500 ms |
50500 ms |
100 s |
1 s |
101 s |
Sicherheitsbezogene Ausgangsmodule
Die Dauer der Signalverarbeitung in sicherheitsbezogenen Ausgangsmodulen beträgt:
TM5SDOxxxx: 800 µs
TM5SDM4DTRFS: maximal 51 ms
TM7SDM12DTFS: maximal 1 ms
ILM62FS und LXM62FS: maximal 2 ms
HINWEIS:
Bei Eingangsmodulen bzw. gemischten Ein-/Ausgangsmodulen hängt die angezeigte, resultierende Safety-Reaktionszeit von der installierten Firmwareversion des Geräts ab.
Wenn auf einem Gerät im ausgewählten sicherheitsbezogenen Eingangs-/Ausgangssignalpfad nicht die neueste Firmware installiert ist, gibt der 'Reaktionszeitrechner' die berechneten Reaktionszeiten für die aktuell installierte Firmware und für die neueste Firmwareversion aus. Aktualisieren Sie in einem solchen Fall die Firmware des betroffenen Geräts.
HINWEIS:
Stellen Sie sicher, dass die Signalverarbeitungszeit jedes sicherheitsbezogenen Ein- und Ausgangsmoduls in den Berechnungen der Safety-Reaktionszeit berücksichtigt wurde.
Die Übertragungszeit ist die Zeit, die benötigt wird, um Daten von einem Daten-Producer zu einem Consumer zu übertragen. Die Eingangs-Übertragungszeit bezieht sich auf den Datentransfer von einem sicherheitsbezogenen Eingangsmodul zum Sicheren Logik-Controller (via TM5- und SERCOS III-Bus). Entsprechend ist die Ausgangs-Übertragungszeit die Zeit für die Übertragung der Daten vom Sicheren Logik-Controller zu einem sicherheitsbezogenen Ausgangsmodul (via SERCOS III- und TM5-Bus). Die Übertragungszeit vom Eingang bis zum Sicheren Logik-Controller (oder Ausgang) ist die Summe der Zyklus- oder CPU-Kopierzeiten auf dem gesamten Übertragungsweg.
Lexium Motion Controller-Einstellungen (nicht-sicherheitsbezogene Standard-Steuerung) sind ebenfalls relevant ...
Das Timing auf dem Bus hängt auch von den Parametereinstellungen im Lexium Motion Controller (Standard-Steuerung) ab. Diese Parameter sind jedoch nicht sicherheitsbezogen, da ihre Werte in oder durch die Standardapplikation modifiziert werden können.
Sicherheitskomponenten in diesem Netzwerksegment können vom Sicheren Logik-Controller abgeschaltet werden
wenn modifizierte Lexium Motion Controller-Parameter zu geänderten Bus-Übertragungszeiten führen,
oder wenn EMV-Störungen einen Datenverlust verursachen,
die in EcoStruxure Machine Expert - Safety-Parameterwerten resultieren, die außerhalb der Wertebereiche in der Parametergruppe 'SafetyResponseTime' liegen.
WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Führen Sie eine entsprechende Risikoanalyse durch, in der Sie die Auswirkungen einer möglichen Geräteabschaltung durch den Sicheren Logik-Controller auf Grund der oben beschriebenen Gründe berücksichtigen.
Berücksichtigen Sie in der Validierung der sicherheitsbezogenen Architektur die Auswirkungen der Geräteabschaltung und führen Sie eine sorgfältige Prüfung der Applikation durch.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.
Sicherheitsbezogene Datenkommunikation: Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer.
Überwachung der sicherheitsbezogenen Datenkommunikation: Um die sicherheitsbezogene Kommunikation zu prüfen, werden die Übertragungszeiten von openSAFETY-Telegrammen zwischen Producern und Consumern überwacht. Zur Verifizierung werden die Parameter MinDatenübertragungszeit, MaxDatenübertragungszeit und KommunikationsWatchdog verwendet. Diese sind im Geräteparametrierungseditor für die beteiligten Module definiert. Sie werden auch für die Berechnung der Safety-Reaktionszeit herangezogen.
Parameter MinDatenübertragungszeit und MaxDatenübertragungszeit
Der Parameter MaxDatenübertragungszeit gibt die maximal und MinDatenübertragungszeit die minimal benötigte Übertragungszeit auf dem Bus an (wie oben beschrieben). Für jedes Modul ist ein Parameter MaxDatenübertragungszeit und ein Parameter MinDatenübertragungszeit vorhanden. Falls gewünscht, kann ein Modul für die Parameter MaxDatenübertragungszeit/MinDatenübertragungszeit an Stelle der modulspezifischen Werte einen gemeinsamen Standardwert verwenden (wenn 'ManuelleKonfiguration = Nein').
Jedes openSAFETY-Datentelegramm enthält einen Zeitstempel für die Zeitvalidierung der Kommunikation. Beim Empfang eines Telegramms vergleicht der Consumer diesen Zeitstempel mit der aktuellen Zeit. Falls der Zeitplan eingehalten wurde, wird die Kommunikation als gültig betrachtet.
Empfängt ein Consumer ein Telegramm später oder früher als definiert, so wird die Kommunikation als ungültig betrachtet und nicht weiter fortgesetzt. In der Folge geht das Modul in seinen definierten sicheren Zustand. Das Prozessdaten-Element 'SafeModuleOK' wird ebenfalls SAFEFALSE. Die Auswirkungen für den Rest der sicherheitsbezogenen Systeme hängen von der definierten sicherheitsbezogenen Funktion ab.
Parameter KommunikationsWatchdog
EcoStruxure Machine Expert - Safety verfügt über einen Kommunikations-Watchdog, dessen Wert auch für die Berechnung der Safety-Reaktionszeit verwendet wird.
Eingestellt wird der Watchdog über den Parameterwert KommunikationsWatchdog. Er überwacht dann, ob ein Consumer rechtzeitig Telegramme von einem Producer empfängt. Läuft der Watchdog ab, so wird die Kommunikation als ungültig betrachtet. Der Parameter KommunikationsWatchdog legt folglich die maximale Zeitspanne fest, in der ein Consumer ein gültiges Datentelegramm von einem Producer empfangen muss, damit die sicherheitsbezogene Kommunikation als gültig betrachtet und die Applikation fortgesetzt wird.
Für jedes Modul gibt es einen Parameter KommunikationsWatchdog. Falls gewünscht, kann ein Modul für den Parameter KommunikationsWatchdog an Stelle des modulspezifischen Werts einen gemeinsamen Standardwert verwenden (wenn 'ManuelleKonfiguration = Nein').
Der berechnete Parameterwert hängt vom Wert des Parameters MaxDatenübertragungszeit ab.
Basierend auf dem KommunikationsWatchdog-Parameterwert, berechnet EcoStruxure Machine Expert - Safety die Safety-Reaktionszeit.
Falls der Consumer das Telegramm rechtzeitig erhält (KommunikationsWatchdog ist noch nicht abgelaufen und die Übertragungszeit liegt innerhalb der durch die Parameter MinDatenübertragungszeit und MaxDatenübertragungszeit vorgegebenen Zeitgrenzen), wird der Watchdog-Timer erneut gestartet und die Kommunikation wird als gültig betrachtet. Der Zeitstempel im eingehenden Telegramm wird dabei nicht ausgewertet. Relevant ist nur, dass das Telegramm empfangen wird.
Falls kein Telegramm empfangen wird (wegen Verzögerung oder Verlust) und der KommunikationsWatchdog im Consumer abläuft, wird die Kommunikation als ungültig betrachtet. In der Folge geht das Modul in seinen definierten sicheren Zustand. Dadurch steuert auch das Prozessdaten-Element 'SafeModuleOK' auf SAFEFALSE und zeigt damit an, dass die sicherheitsbezogene Kommunikation des Moduls nicht länger gültig ist. Die Auswirkungen für den Rest der sicherheitsbezogenen Systeme hängen von der definierten sicherheitsbezogenen Funktion ab.
Allgemeine Schritte: Von der Parameterbestimmung zur Berechnung der Safety-Reaktionszeit
Die generelle Vorgehensweise zur Bestimmung der Safety-Reaktionszeit in Ihrem System ist nachfolgend beschrieben. Detaillierte Anleitungen und weitere Hintergrundinformationen finden Sie in den Abschnitten "Schrittweise Vorgehensweisen..." unten.
Berechnen Sie die Werte für die Parameter KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit.
Verwenden Sie dazu den Berechnungsdialog 'Reaktionszeit Relevante Parameter' (zu öffnen über das Menü 'Projekt') wie im nächsten Abschnitt beschrieben. Beachten Sie dabei die unterschiedlichen Dialogregister für manuelle (modulspezifische) Parameter und Standardparameter.
Für jedes sicherheitsbezogene Modul: Geben Sie die berechneten Werte im 'Geräte'-Fenster in die Parametergruppe 'SafetyResponseTime' ein. Beachten Sie dabei die Möglichkeit, dass für die beteiligten Module entweder manuelle (modulspezifische) Werte oder Standardparameterwerte verwendet werden können.
Verwenden Sie den Dialog 'Reaktionszeitrechner' (Menüpunkt 'Projekt > Reaktionszeitrechner') zur Berechnung der Safety-Reaktionszeit für jedes ausgewählte Eingangsmodul, die verfügbaren Kanäle und das Ausgangsmodul.
Verwenden Sie die Ergebnisse für die Projektierung Ihrer Sicherheitsfunktion.
So bestimmen und verwenden Sie die Parameter KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit
Wählen Sie 'Projekt > Reaktionszeit Relevante Parameter'.
Öffnen Sie im erscheinenden Dialog entweder das 'Default'-Register, wenn Sie einen gemeinsamen Wert für KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit für die beteiligten Module verwenden wollen.
Falls für jedes Modul individuelle (modulspezifische) Parameterwerte erforderlich sind, öffnen Sie das 'Manual'-Register.
Sie können die Systemtoleranz anpassen, indem Sie die Anzahl an Telegrammen, die verloren gehen dürfen, angeben. Dies erhöht das berechnete Mindest-Watchdogintervall und dadurch die Verfügbarkeit des Systems. Geben Sie einen ganzzahligen Wert zwischen 0 und 99 ein, um die Anzahl an Telegrammen festzulegen, die verloren gehen dürfen, ohne dass ein Fehler generiert wird.
Ein eingegebener 'Paketverlust' beeinflusst nicht die Werte MinDatenübertragungszeit und MaxDatenübertragungszeit, sondern nur den KommunikationsWatchdog-Wert.
Abschnitt 'Variable Parameter':
Falls zur Berechnung der Parameterwerte eine andere Sercos III-Zykluszeit, als die in EcoStruxure Machine Expert eingestellte, verwendet wird (z.B. um Änderungen der Zykluszeit durch das Anwendungsprogramm zu berücksichtigen), markieren Sie 'Selektierbar' und wählen unter 'Sercos III Zykluszeit' die gewünschte Zeit aus bzw. geben diese ein.
Kontrollkästchen 'Ring/Doppellinie': Ring- und Doppellinienstrukturen erfordern höhere Parameterwerte, um ein stabil laufendes System zu realisieren. Markieren Sie 'Ring/Doppellinie', um die Busstruktur zu berücksichtigen.
Das Kontrollkästchen 'Ring/Doppellinie' beeinflusst nur den Wert MaxDatenübertragungszeit. Es beeinflusst nicht den Wert für MinDatenübertragungszeit.
Das Kontrollkästchen ist standardmäßig markiert. Diese Einstellung ist für eine Ringstruktur wie auch für eine Doppellinienstruktur geeignet. Wenn Sie eine Linienstruktur realisieren, können Sie das Kontrollkästchen deaktivieren, um den resultierenden Parameterwert zu verringern. Werte, die für eine Ring-/Doppellinienstruktur berechnet wurden, können für eine Linienstruktur verwendet werden, umgekehrt jedoch nicht.
Der Abschnitt 'System Parameter' ist schreibgeschützt und zeigt System-/Moduleigenschaften an, die in EcoStruxure Machine Expert eingestellt wurden. Werden diese Parameter dort verändert, während der Dialog geöffnet ist, aktualisieren sich die Werte automatisch ohne Schließen des Berechnungsdialogs.
Die berechneten Werte für KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit werden angezeigt.
Notieren Sie den (die) resultierenden Wert(e) und geben Sie jeden Wert in die entsprechende Parametertabelle ein:
Wenn Sie für die beteiligten Module einen gemeinsamen Standardwert für KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit verwenden wollen, tragen Sie diesen bei den Parametern des Sicheren Logik-Controllers in die Gruppe 'SafetyResponseTimeDefaults' ein. Zusätzlich muss der Parameter 'ManuelleKonfiguration' für jedes Modul, welches diese Standardwerte vom SLC erben soll, auf 'Nein' eingestellt sein.
Falls für jedes Modul individuelle (modulspezifische) Parameterwerte erforderlich sind, geben Sie die Werte in die Gruppe 'SafetyResponseTime' jedes betroffenen Moduls ein. Setzen Sie zusätzlich für jedes Modul, das modulspezifische Werte verwenden soll, den Parameter 'ManuelleKonfiguration' auf 'Ja'.
So berechnen Sie die Safety-Reaktionszeit in EcoStruxure Machine Expert - Safety
Stellen Sie sicher, dass im 'Geräte'-Fenster für die beteiligten Module alle Safety-Reaktionszeit-relevanten Parameter korrekt spezifiziert sind. Diese Parameter sind:
ManuelleKonfiguration
MinDatenübertragungszeit
MaxDatenübertragungszeit
KommunikationsWatchdog
Wählen Sie in EcoStruxure Machine Expert - Safety den Menüpunkt 'Projekt > Reaktionszeitrechner'.
Der Abschnitt 'Ergebnis' am unteren Dialogrand zeigt die ungünstigste Gesamtreaktionszeit für das benutzerdefinierte funktionale Sicherheitssystem an.
Sie können nun die Safety-Reaktionszeit für einzelne Eingangs-Ausgangs-Signalpfade (Eingangsmodul, der verfügbare Kanal und das Ausgangsmodul) wie folgt berechnen:
Wählen Sie das Eingangsmodul, für welches die Reaktionszeit berechnet werden soll und (falls für das ausgewählte Modul verfügbar) einen Eingangskanal.
Die eingestellten Reaktionszeit-abhängigen Parameter für das ausgewählte Modul bzw. den ausgewählten Kanal werden nun im unteren Bereich angezeigt. Wenn kein Ausgangsmodul ausgewählt ist, sind die Parameterwerte anfänglich auf Null gesetzt.
Wählen Sie im rechten Listenfeld 'Modul' das Ausgangsmodul, für das die Reaktionszeit berechnet werden soll.
Das Dialogfenster zeigt automatisch die berechnete(n) Reaktionszeit(en) an.
Beachten Sie, das die Werte der sicherheitsbezogenen Parameter, die für die Ermittlung der Safety-Reaktionszeit verwendet werden, nur angezeigt werden, wenn ein Eingangsmodul, ein verfügbarer Kanal und ein Ausgangskanal ausgewählt sind.
HINWEIS:
Falls für bestimmte Module 'ManuelleKonfiguration = Nein' eingestellt ist, unterscheiden sich deren Reaktionszeiten nur auf Grund modulspezifischer Verarbeitungszeiten, da sie denselben gemeinsamen Wert für MinDatenübertragungszeit, MaxDatenübertragungszeit oder KommunikationsWatchdog verwenden.
HINWEIS:
Bei Eingangsmodulen bzw. gemischten Ein-/Ausgangsmodulen hängt die angezeigte, resultierende Safety-Reaktionszeit von der installierten Firmwareversion des Geräts ab.
Wenn ein Gerät im ausgewählten sicherheitsbezogenen Eingangs-/Ausgangssignalpfad nicht die neueste Firmware installiert hat, zeigt der Dialog 'Reaktionszeitrechner' die berechneten Reaktionszeiten für die aktuelle und die neueste Firmwareversion an. Aktualisieren Sie in einem solchen Fall die Firmware des betroffenen Geräts.
WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Stellen Sie sicher, dass die Signalverarbeitungszeit im Sensor in den Berechnungen der Safety-Reaktionszeit berücksichtigt ist.
Stellen Sie sicher, dass die Zeit, die der Aktor bis zum Stillstand benötigt, in den Berechnungen der Safety-Reaktionszeit berücksichtigt ist.
Validieren Sie die gesamte Verzögerungszeit des Systems und prüfen Sie die Verzögerungszeit der Applikation sorgfältig.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.