Fehlererkennung - Sicherheitsmodul TM5SAI4AFS, 2x2AI, 4-20 mA, 24 Bits
Über die roten LED-Anzeigen S und E können folgende Fehlerzustände identifiziert werden:
oModulinterner Fehler (Hardwarefehler)
oÜber-/Untertemperatur
oÜber-/Unterspannung
oInkompatible Firmwareversion
HINWEIS: Fehler, die im Modul auftreten, werden gemäß den Anforderungen relevanter Standards und innerhalb der sicherheitstechnischen Antwortzeit erkannt, die in den technischen Daten der EcoStruxure Machine Expert - Safety-Software festgelegt ist.
Nach der Erkennung eines Fehlers im Modul kehrt das Modul in den definierten sicheren Zustand zurück.
Die dazu erforderlichen internen Modultests Wenn dieser Zustand nicht erreicht wird (beispielsweise weil das Modul in der Anwendung nicht konfiguriert ist), dann verbleibt das Modul im Boot-Zustand.
Der Boot-Zustand eines Moduls wird eindeutig durch ein langsames Blinken der SE-LED ausgewiesen (2 Hz oder 1 Hz).
HINWEIS: Die in den technischen Kenndaten angegebene Fehlererkennungszeit ist nur für die Erkennung externer Fehler (z. B. Verdrahtungsfehler) bei Einkanalstrukturen relevant.
Erkennbare Fehler werden vom Modul spätestens innerhalb der Fehleraufdeckzeit erkannt.
Bei Erkennung eines Fehlers durch ein Modul:
oDie Kanal-LED leuchtet statisch rot.
oDas SafeChannelOKxx-Signal wird auf SAFEFALSE gesetzt.
oDas SafeCurrentOKxx-Signal wird auf SAFEFALSE gesetzt.
oIm Safelogger von EcoStruxure Machine Expert wird ein Eintrag generiert.
Andere Fehler, die vom Modul nicht erkannt werden (oder nicht zeitnah erkannt werden) können zu unbeabsichtigten Zuständen der Anlage führen und müssen deshalb mit zusätzlichen Maßnahmen erkannt werden.
|
|
|
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS |
|
Stellen Sie sicher, Fehler in Ihrer Risikobewertung zu berücksichtigen, die nicht vom Sicherheits-E/A-Modul erkannt werden können und implementieren Sie geeignete zusätzliche Maßnahmen gemäß Ihrer Risikobewertung. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Für weitere Informationen bezüglich von Fehlern, die von Sicherheits-E/A-Modul erkannt oder nicht erkannt werden können, siehe die Tabellen zur Fehlererkennung im Abschnitt Verbindungsbeispiele.
Führen Sie alle notwendigen Reparaturen zeitnah aus, da ein aufgetretener Fehler zu Folgefehlern und daraufhin zu Gefahrensituationen führen können.
|
|
|
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS |
|
oErsetzen Sie jedes und alle Module, die anzeigen, dass sie nicht betriebsbereit sind. oStellen Sie sicher, dass die Auswirkungen nicht reparierter Geräte bei Ihrer Risikobewertung berücksichtigt werden. oFühren Sie alle notwendigen Reparaturmaßnahmen durch, bevor Sie die Maschine erneut starten oder deren Betrieb fortführen. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Fehlererkennung für Sicherheitseingänge
|
Potenzieller Fehler |
Erkennung |
Kommentar |
|---|---|---|
|
Nicht verdrahtete Eingänge |
Erkannt |
Allgemeiner Hinweis auf mindestens einen nicht verdrahteten Kanal. |
|
Kurzschluss zwischen Signalleitungen |
Ggf. nicht erkannt |
Sie müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass dieser Fehler keinen definierten sicheren Zustand zur Folge hat. Die Signal- und Versorgungsleitungen müssen gemäß EN ISO 13849-2:2010, Table D.5 installiert werden. |
|
Kurzschluss zwischen Signal- und Versorgungsleitung |
Ggf. nicht erkannt |
|
|
Verpolung der Signalleitungen |
Erkannt |
Das Modul schaltet in einen definierten sicheren Zustand. |
|
Störspannung |
Nicht erkannt |
Dieser Fehler führt zu einer Signalverzerrung, die in manchen Fällen durch eine Zwei-Kanal-Auswertung erkannt werden kann. Für Signalleitungen sind geschirmte Kabel obligatorisch. Für die Verdrahtung der zwei Signale des Signalpaars müssen separate Installationspfade verwendet werden. |
HINWEIS: Sie müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass dieser Fehler keinen definierten sicheren Zustand zur Folge hat.
HINWEIS: Die Signal- und Versorgungsleitungen müssen gemäß EN ISO 13849-2:2010, Table D.5 installiert werden.
|
Schritt |
Aktion |
|---|---|
|
1 |
Schalten Sie das Modul aus. |
|
2 |
Jeder offene Strommesseingang des Moduls muss mit einer Steckbrücke verdrahtet werden. Ergebnis: Das Modul kann wieder eingeschaltet werden. |
HW_LIMIT_MIN kennzeichnet den unteren Grenzwert und HW_LIMIT_MAX den oberen Grenzwert des im Kapitel Beschreibung des Moduls TM5SAI4AFS angegebenen Messbereichs.
Die Signalauswertung erfolgt in drei Schritten:
Schritt 1: Zeit
Schritt 2: Auswertung der Signale im Vergleich mit den konfigurierbaren Zeitgrenzen
Schritt 3: Auswertung der Signale im Vergleich mit den konfigurierbaren Signalpaar-Grenzen
Es muss ein Reset durchgeführt werden, um einen Fehlerzustand aufzuheben. Dazu muss für die Dauer der E/A-Aktualisierung ein gültiges Signal am Analogeingang eingehen. Der Fehler kann dann durch eine steigende Flanke des Signals SafeRelease0x0y quittiert werden.
Die Kanalelektronik wird automatisch intern vom Modul getestet. Im Modul wird ein Testsignal erzeugt und alle 75 Minuten während maximal 1 s auf jeden Kanal angewendet. Um eine Signalverzerrung zu vermeiden, wird der getestete Signalwert des Kanals während dieses Zeitraums in einen statischen Zustand gesetzt. Zu einem Zeitpunkt wird jeweils nur ein Kanal getestet. Gemäß EN IEC 61508:2010 wird das Modul für die Dauer des Kanaltests als eines von zwei Diagnosesystemen betrachtet.
Bei der Firmwareversion 302 des Moduls strukturiert sich das Verhalten während der Kanaldiagnose folgendermaßen:
Die sicheren analogen Eingangskanäle (Datentyp SAFEINT) ergeben den arithmetischen Mittelwert von zwei separaten Signalen. Da der Signalwert des getesteten Kanals während der Kanaldiagnose in einem statischen Zustand gehalten wird, wird der arithmetische Mittelwert für das Sicherheitssignal während dieses Zeitraums vom statischen Wert des diagnostizierten Kanals und vom Signalwert des nicht diagnostizierten Kanals abgeleitet.
Ab Firmwareversion 322 strukturiert sich das Verhalten während der Kanaldiagnose folgendermaßen:
Die sicheren analogen Eingangskanäle (Datentyp SAFEINT) ergeben den arithmetischen Mittelwert von zwei separaten Signalen. Für die Dauer der Kanaldiagnose wird jedoch nicht der arithmetische Mittelwert verwendet, sondern der Signalwert des Kanals, der gerade keiner Diagnose unterzogen wird. Wenn aus Kompatibilitätsgründen das Verhalten der Firmwareversion 302 benötigt wird, kann das mithilfe des Parameters Measurement Result while Testing = Averaged implementiert werden. Ein aktiver Kanaltest wird über den Kanal TestActive ausgewiesen:
Die Sequenz für die Kanaldiagnose ist unabhängig von der Firmwareversion und ist folgendermaßen strukturiert:
|
Diagnosefenster |
Zeitsequenz |
Kanalsequenz |
|---|---|---|
|
Diagnosefenster 1 |
Alle 75 Min. |
SAI1 |
|
Diagnosefenster 2 |
15 Min: nach Diagnosefenster 1 |
SAI3 |
|
Diagnosefenster 3 |
30 Min. nach Diagnosefenster 1 |
SAI4 |
|
Diagnosefenster 4 |
45 Min. nach Diagnosefenster 1 |
SAI2 |
Weitere Informationen zu Variablen und Parametern finden Sie im Benutzerhandbuch von EcoStruxure Machine Expert - Safety.
Um den Anforderungen der Kategorie 4 nach EN ISO 13849-1:2015 zu genügen, müssen die Shunts der Kanalelektrik trotz der Mehrkanal-Struktur getestet werden (Shunt-Test). Für einen ordnungsgemäßen Shunt-Test muss die Flankensteilheit der Eingangssignale auf 200 μA/ms begrenzt werden.
Bei einer höheren Flankensteilheit und der Parameterkonfiguration Disable Shunttest = Yes-ATTENTION schaltet das Modul in den definierten sicheren Zustand, sofern erforderlich, was sich auf das gesamte Modul auswirkt.
HINWEIS: Verrauschte Signalquellen oder Signale mit hohen Frequenzen können zu übermäßig hohen Signalflanken führen und einen Shunt-Test-Fehler auslösen
HINWEIS: Bei Auftreten von Problemen in Verbindung mit der Flankensteilheit der Eingangssignale oder dem Shunt-Test kann der Shunt-Test über den Parameter Disable Shunttest = Yes-ATTENTION deaktiviert werden. In diesem Fall entspricht das Modul nur den Anforderungen der Kategorie 3 nach EN ISO 13849-1:2015.
