Fehlererkennung - Sicherheitsmodul TM5STI4ATCFS, 2x2AI, Thermoelement
Über die roten LED-Anzeigen S und E können folgende Fehlerzustände identifiziert werden:
oModulinterner Fehler (Hardwarefehler)
oÜber-/Untertemperatur
oÜber-/Unterspannung
oInkompatible Firmwareversion
HINWEIS: Fehler, die im Modul auftreten, werden gemäß den Anforderungen relevanter Standards und innerhalb der sicherheitstechnischen Antwortzeit erkannt, die in den technischen Daten der EcoStruxure Machine Expert - Safety-Software festgelegt ist.
Nach der Erkennung eines Fehlers im Modul kehrt das Modul in den definierten sicheren Zustand zurück.
Die dazu erforderlichen internen Modultests Wenn dieser Zustand nicht erreicht wird (beispielsweise weil das Modul in der Anwendung nicht konfiguriert ist), dann verbleibt das Modul im Boot-Zustand.
Der Boot-Zustand eines Moduls wird eindeutig durch ein langsames Blinken der SE-LED ausgewiesen (2 Hz oder 1 Hz).
HINWEIS: Die in den technischen Kenndaten angegebene Fehlererkennungszeit ist nur für die Erkennung externer Fehler (z. B. Verdrahtungsfehler) bei Einkanalstrukturen relevant.
Erkennbare Fehler werden vom Modul spätestens innerhalb der Fehleraufdeckzeit erkannt.
Bei Erkennung eines Fehlers durch ein Modul:
oDie Kanal-LED leuchtet statisch rot.
oDas SafeChannelOKxx-Signal wird auf SAFEFALSE gesetzt.
oDas SafeTemperatureOKxx-Signal wird auf SAFEFALSE gesetzt.
oIm Safelogger von EcoStruxure Machine Expert wird ein Eintrag generiert.
Andere Fehler, die vom Modul nicht erkannt werden (oder nicht zeitnah erkannt werden) können zu unbeabsichtigten Zuständen der Anlage führen und müssen deshalb mit zusätzlichen Maßnahmen erkannt werden.
|
|
|
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS |
|
Stellen Sie sicher, Fehler in Ihrer Risikobewertung zu berücksichtigen, die nicht vom Sicherheits-E/A-Modul erkannt werden können und implementieren Sie geeignete zusätzliche Maßnahmen gemäß Ihrer Risikobewertung. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Für weitere Informationen bezüglich von Fehlern, die von Sicherheits-E/A-Modul erkannt oder nicht erkannt werden können, siehe die Tabellen zur Fehlererkennung im Abschnitt Verbindungsbeispiele.
Führen Sie alle notwendigen Reparaturen zeitnah aus, da ein aufgetretener Fehler zu Folgefehlern und daraufhin zu Gefahrensituationen führen können.
|
|
|
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS |
|
oErsetzen Sie jedes und alle Module, die anzeigen, dass sie nicht betriebsbereit sind. oStellen Sie sicher, dass die Auswirkungen nicht reparierter Geräte bei Ihrer Risikobewertung berücksichtigt werden. oFühren Sie alle notwendigen Reparaturmaßnahmen durch, bevor Sie die Maschine erneut starten oder deren Betrieb fortführen. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Fehlererkennung für Sicherheitseingänge des Typs Thermoelement
|
Potenzieller Fehler |
Erkennung |
Kommentar |
|---|---|---|
|
Nicht verdrahtete Eingänge |
Erkannt |
Das Modul schaltet in den definierten sicheren Zustand. |
|
Kurzschluss zwischen T+ oder T+ und externem 24-V- oder GND-Anschluss |
Nicht erkannt |
Die Signalverzerrung ist nicht auf die Potenzialtrennung der Kanäle zurückzuführen. Es müssen dennoch geschirmte Signalleitungen verwendet werden. |
|
Kurzschluss zwischen T+ und T- |
Nicht erkannt |
Dieser Fehler führt zu einer Signalverzerrung, die in manchen Fällen durch eine Zwei-Kanal-Auswertung erkannt werden kann. |
|
Verpolung T+ und T- |
Nicht erkannt |
Dieser Fehler führt zu einer Signalverzerrung, die in manchen Fällen durch eine Zwei-Kanal-Auswertung erkannt werden kann. |
|
Störspannung |
Nicht erkannt |
Dieser Fehler führt zu einer Signalverzerrung, die in manchen Fällen durch eine Zwei-Kanal-Auswertung erkannt werden kann. Für Signalleitungen sind geschirmte Kabel obligatorisch. Für die Verdrahtung der zwei Signale des Signalpaars müssen separate Installationspfade verwendet werden. |
HINWEIS: Sie müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass dieser Fehler keinen sicherheitskritischen Zustand zur Folge hat.
HINWEIS: Die Signal- und Versorgungsleitungen müssen gemäß EN ISO 13849-2:2010, Table D.5 installiert werden.
Fehlererkennung für Sicherheitseingänge des Typs PT100 / PT1000
|
Potenzieller Fehler |
Erkennung |
Kommentar |
|---|---|---|
|
Offener Stromkreis an Sense+ oder Sense- |
Erkannt |
Allgemeiner Hinweis auf mindestens einen nicht verdrahteten Kanal. |
|
Kurzschluss zwischen Sense+, Sense- und externem 24-V- oder GND-Anschluss |
Nicht erkannt |
Die Signalverzerrung ist in der Regel nicht auf die Potenzialtrennung der Kanäle zurückzuführen. Es müssen dennoch geschirmte Signalleitungen verwendet werden. |
|
Kurzschluss zwischen Sense+ und Sense- |
Erkannt |
Allgemeiner Hinweis auf mindestens einen nicht verdrahteten Kanal. |
|
Störspannung |
Nicht erkannt |
Dieser Fehler führt zu einer Signalverzerrung, die in manchen Fällen durch eine Zwei-Kanal-Auswertung erkannt werden kann. Für Signalleitungen sind geschirmte Kabel obligatorisch. Für die Verdrahtung der zwei Signale des Signalpaars müssen separate Installationspfade verwendet werden. |
HINWEIS: Sie müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass dieser Fehler keinen definierten sicheren Zustand zur Folge hat.
HINWEIS: Die Signal- und Versorgungsleitungen müssen gemäß EN ISO 13849-2:2010, Table D.5 installiert werden.
|
Schritt |
Aktion |
|---|---|
|
1 |
Schalten Sie das Modul aus. |
|
2 |
Jeder offene Thermoelement-Eingang des Moduls muss mit einer Steckbrücke verdrahtet werden. Ergebnis: Das Modul kann wieder eingeschaltet werden. |
HW_LIMIT_MIN kennzeichnet den unteren Grenzwert und HW_LIMIT_MAX den oberen Grenzwert des im Kapitel Beschreibung des Moduls TM5STI4ATCFS angegebenen Messbereichs.
Die Signalauswertung erfolgt in drei Schritten:
Schritt 1: Zeit
Schritt 2: Auswertung der Signale im Vergleich mit den konfigurierbaren Zeitgrenzen
Schritt 3: Auswertung der Signale im Vergleich mit den konfigurierbaren Signalpaar-Grenzen
Es muss ein Reset durchgeführt werden, um einen Fehlerzustand aufzuheben. Dazu muss für die Dauer der E/A-Aktualisierung ein gültiges Signal am Analogeingang eingehen. Der Fehler kann dann durch eine steigende Flanke des Signals SafeRelease0x0y quittiert werden.
Die Kanalelektronik wird automatisch intern vom Modul getestet. Im Modul wird ein Testsignal erzeugt und alle 75 Minuten während maximal 1 s auf jeden Kanal angewendet. Um eine Signalverzerrung zu vermeiden, wird der getestete Signalwert des Kanals während dieses Zeitraums in einen statischen Zustand gesetzt. Zu einem Zeitpunkt wird jeweils nur ein Kanal getestet. Gemäß EN IEC 61508:2010 wird das Modul für die Dauer des Kanaltests als eines von zwei Diagnosesystemen betrachtet.
Ab Firmwareversion 322 strukturiert sich das Verhalten während der Kanaldiagnose folgendermaßen:
Die sicheren analogen Eingangskanäle (Datentyp SAFEINT) ergeben den arithmetischen Mittelwert von zwei separaten Signalen. Für die Dauer der Kanaldiagnose wird jedoch nicht der arithmetische Mittelwert verwendet, sondern der Signalwert des Kanals, der gerade keiner Diagnose unterzogen wird. Ein aktiver Kanaltest wird über den Kanal TestActive ausgewiesen:
Die Sequenz für die Kanaldiagnose ist unabhängig von der Firmwareversion und ist folgendermaßen strukturiert:
|
Diagnosefenster |
Zeitsequenz |
Kanalsequenz |
|---|---|---|
|
Diagnosefenster 1 |
Alle 75 Min. |
TC1, Sense 1 |
|
Diagnosefenster 2 |
15 Min: nach Diagnosefenster 1 |
TC4, Sense 2 |
|
Diagnosefenster 3 |
30 Min. nach Diagnosefenster 1 |
TC3 |
|
Diagnosefenster 4 |
45 Min. nach Diagnosefenster 1 |
TC4 |
Weitere Informationen zu Variablen und Parametern finden Sie im Benutzerhandbuch von EcoStruxure Machine Expert - Safety.
