Vorgesehene Sicherheitsfunktionen
Mit der Funktion Inverter Enable (IE) können Sie das sichere Stillsetzen von Antrieben realisieren.
Die Funktion Inverter Enable gilt für folgende Komponenten:
oLexium 62 Connection Module
oLexium 62 Distribution Box
oIntegrierter Servoantrieb der Baureihe Lexium 62 ILM
Im Sinne der relevanten Normen lassen sich so die Anforderungen der Stopp-Kategorie 0 (Safe Torque Off, STO) bzw. der Stopp-Kategorie 1 Safe Stop 1, SS1) erfüllen. Beide Kategorien enden in einem momentenfreien Motor, wobei die SS1 diesen Zustand nach einer zu wählenden Zeit einnimmt. Als Ergebnis der Gefährdungs- und Risikoanalyse kann es notwendig sein, eine zusätzliche Bremse als Sicherheitsfunktion zu wählen (z. B. bei hängenden Lasten).
Mit dem optional erhältlichen Lexium 62 ILM-Sicherheitsmodul ist es auch möglich, die erweiterten Sicherheitsfunktionen wie Safety Limited Speed (SLS) in Verbindung mit dem SLC100/200 FS und der zugehörigen Software EcoStruxure Machine Expert - Safety zu realisieren.
|
|
|
UNBEABSICHTIGTER BETRIEB VON GERÄTEN |
|
oStellen Sie sicher, dass während des Nachlaufs der Achsen/Maschinen keine Gefahren für Personen oder Material entstehen können. oBetreten Sie den Betriebsbereich während der Nachlaufzeit nicht. oStellen Sie sicher, dass keine anderen Personen den Betriebsbereich während der Nachlaufzeit betreten können. oVerwenden Sie geeignete Sicherheitsverriegelungen in Gefahrenbereichen für Personen und/oder Anlagen. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Vorgesehene Sicherheitsfunktion Safe Torque Off (STO)
Die Inverter Enable-Funktion bezieht sich auf das Lexium 62 Connection Module, die Lexium 62 Distribution Box und das Lexium 62 ILM-Modul, nachfolgend als Lexium 62 Drive System bezeichnet.
Die Funktion wird über ein Signal (Paar) am Eingang des Lexium 62 Connection Module (2) ausgewählt, das an alle Antriebe (7) des Lexium 62 Connection Module-Netzwerks weitergeleitet wird. Die Versorgungsspannung (AC) muss nicht unterbrochen werden.
Die Grafik zeigt das Lexium 62 Drive System mit Not-Halt:
1 Schaltschrank
2 Netzschütz
3 Lexium 62 Connection Module
4 Not-Aus-Schalter
5 Sicherheitsschaltgerät (zum Beispiel Preventa XPS AV)
6 Integrierter Servoantrieb der Baureihe Lexium 62 ILM
7 Lexium 62 Distribution Box
8 Logic Motion Controller
Die Inverter Enable-Funktion schaltet das Motordrehmoment ab. Es ist ausreichend am Funktionseingang eine logische Null zu setzen. Die Spannungsversorgung muss nicht unterbrochen werden. Im Stillstand erfolgt jedoch keine Überwachung.
Inverter Enable ist gemäß IEC 61800-5-2:2007 identisch mit „Safe Torque Off (STO)“. Der Übergang in den momentenfreien Zustand erfolgt automatisch, sobald Fehler erkannt werden. Aus diesem Grund handelt es sich um den sicheren Zustand des Antriebs.
Die Sicherheitsbeschaltung mit Inverter Enable wurde entwickelt, um den Verschleiß des Netzschützes zu mindern. Bei Betätigung des Halt- bzw. Not-Halt-Tasters wird das Netzschütz nicht abgeschaltet. Der sichere Zustand wird durch Entfernen des „InverterEnable“ für den Optokoppler in der Endstufe erreicht. Daher können die PWM-Signale dann nicht die Endstufe ansteuern, sodass ein Anlaufen der Antriebe sicherer verhindert wird (Impulsmustersperre).
Mit der Inverter Enable-Funktion können Sie die Steuerungsfunktion „Stillsetzen im Notfall“ (IEC 60204-1) für die Stopp-Kategorien 0 und 1 implementieren. Verwenden Sie eine angemessene externe Sicherheitsbeschaltung, um gemäß der Maschinenrichtlinie einen unbeabsichtigten Neustart des Antriebs nach einem Halt zu verhindern.
In der Stopp-Kategorie 0 (Safe Torque Off, STO) läuft der Antrieb bis zum Stillstand aus (vorausgesetzt, es kommen keine gegenteiligen externen Kräfte zur Anwendung). Die Sicherheitsfunktion STO dient der Verhinderung eines unbeabsichtigten Anlaufs, nicht dem Halt eines Motors und entspricht deshalb einem ungeregelten Stillsetzen gemäß IEC 60204-1.
In Umständen, bei denen äußere Einflüsse vorhanden sind, hängt die Zeit, bis der Motor ausgetrudelt ist, von den physikalischen Eigenschaften der verwendeten Komponenten ab (wie zum Beispiel Gewicht, Drehmoment, Reibung usw.); außerdem können zusätzliche Maßnahmen wie mechanische Bremsen erforderlich sein, um das Auftreten einer Gefährdung zu verhindern. Mit anderen Worten: Wenn eine Gefahr für Personal oder Material gegeben ist, müssen entsprechende Sicherheitsvorkehrungen getroffen werden (siehe Gefährdungs- und Risikoanalse).
|
|
|
UNBEABSICHTIGTER BETRIEB VON GERÄTEN |
|
oStellen Sie sicher, dass während des Nachlaufs der Achsen/Maschinen keine Gefahren für Personen oder Material entstehen können. oBetreten Sie den Betriebsbereich während der Nachlaufzeit nicht. oStellen Sie sicher, dass keine anderen Personen den Betriebsbereich während der Nachlaufzeit betreten können. oVerwenden Sie geeignete Sicherheitsverriegelungen in Gefahrenbereichen für Personen und/oder Anlagen. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Für die Stopp-Kategorie 1 (Safe Stop 1, SS1) können Sie ein gesteuertes Stillsetzen durch den Logic Motion Controller (LMC) anfordern. Das gesteuerte Stillsetzen durch den LMC ist weder sicherheitsrelevant noch wird es überwacht und verhält sich bei Stromausfall oder Erkennung eines Fehlers nicht gemäß der Vorgaben. Die endgültige Abschaltung in den sicheren Zustand stellen Sie durch Abschalten des „Inverter Enable“-Eingangs sicher. Dies ist über eine externe Sicherheitsschaltvorrichtung mit Sicherheitsverzögerung zu implementieren (siehe Anwendungsvorschlag).
Unabhängig von der Sicherheitsfunktion erkennt der Controller Fehler, die sich nicht auf die Sicherheitsfunktion auswirken, wodurch ein Anlaufen des Antriebs durch Abschalten des Netzschützes verhindert wird. Das Einschalten des Netzschützes wird durch das Schütz K2 verhindert.
Um ein Muting durchzuführen, bestimmen Sie die Reaktionszeit bei Muting für das Abschalten, d. h. ohne die Inverter Enable-Funktion, in der Anwendung.
Ist aufgrund der Risikobeurteilung der Maschine eine Reaktionszeit erforderlich, dann muss die globale Reaktionszeit der Maschine berücksichtigt werden. Dafür sind alle Komponenten mit Bezug auf die Sicherheitsfunktion vom Sensor bis zur Motorwelle oder der angetriebenen Mechanik zu berücksichtigen. Die festgestellte Reaktionszeit muss den Ergebnissen der Gefährdungs- und Risikoanalyse entsprechen.
|
|
|
UNBEABSICHTIGTES VERHALTEN |
|
oStellen Sie sicher, dass die maximale Reaktionszeit Ihrer Risikoanalyse entspricht. oStellen Sie sicher, dass Ihre Risikoanalyse eine Evaluierung der maximalen Reaktionszeit enthält. oValidieren Sie die allgemeine Funktion hinsichtlich der maximalen Reaktionszeit und testen Sie die Applikation sorgfältig. |
|
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben. |
Um die Funktion Inverter Enable zu deaktivieren, gehen Sie folgendermaßen vor:
|
Schritt |
Aktion |
|---|---|
|
1 |
Sie können die Inverter Enable-Funktion mit dem Optionsmodul DIS1 deaktivieren. Ergebnis: Der definierte sichere Zustand kann nur erzielt werden, wenn die Spannungsversorgung von der Stromzufuhr getrennt wird. |
|
2 |
Um das Optionales Modul DIS1 zu verwenden, müssen Sie die Konfiguration mit dem Parameter InverterEnableConfig des Lexium 62 ILM in der Motion Controller-Konfiguration definieren. |
Wenn die Softwarekonfiguration nicht der physischen Konfiguration des Lexium 62 ILM entspricht, wird die Diagnosemeldung 8978 InverterEnableConfig invalid with Ext. diagnostic = x(HW)!=y(Cfg) ausgelöst. Der Antrieb wird deaktiviert, solange die Konfiguration nicht korrekt ist. Der Fehler kann nur quittiert werden, wenn der eingestellte InverterEnableConfig der physischen Konfiguration entspricht. Anhand der Deaktivierung der Inverter Enable-Funktion können die Antriebe auf einem Lexium 62 Connection Module in zwei Gruppen unterteilt werden, wenn es technisch nicht möglich ist, zwei Lexium 62 Connection Module für die beiden Gruppen in der vorhandenen Maschine zu verwenden.
Die Achsen ohne Funktion Inverter Enable werden über das Netzschütz momentenfrei und laufen aus.
Wenn nur einige der an einem Lexium 62 Connection Module angebrachten Antriebe in den definierten sicheren Zustand versetzt werden müssen, kann dies durch die Konfiguration der Antriebe erreicht werden. Dies kann beispielsweise für Wartungsvorgänge von Interesse sein. Wird ein Optionales Modul DIS1 festgelegt, wird das Inverter Enable-Signal ignoriert.
Um den Not-Halt zu implementieren, muss die Versorgungsspannung auf der Lexium 62 Power Supply unterbrochen werden:
1 Schaltschrank
2 Not-Aus-Schalter
3 Sicherheitsschaltgerät (zum Beispiel Preventa XPS AV)
4 Netzschütz
5 Schalter: Betriebsart (normal/Wartung)
6 Lexium 62 Connection Module
7 Integrierter Servoantrieb der Baureihe Lexium 62 ILM
8 Lexium 62 Distribution Box
9 Logic Motion Controller
Erweiterte Sicherheitsfunktionen - Funktionsprinzip
Das Sicherheitskonzept basiert auf der allgemeinen Voraussetzung, dass die erforderliche sicherheitsgestützte Verfahrbewegung von der Steuerung und dem Antrieb ausgeführt wird. Das Sicherheitssystem überwacht die ordnungsgemäße Ausführung der Bewegung und initiiert bei Nichtkonformität den Wechsel in einen angemessenen Fallback-Modus (z. B. den definierten sicheren Zustand).
Nachfolgend ein Beispiel für die Sicherheitsfunktion SLS (Safe Limited Speed):
Ein Lichtgitter ist mit einem digitalen Sicherheitseingang verbunden. Sobald eine Person in den geschützten Bereich eindringt und das Lichtgitter durchschreitet, wird eine entsprechende Meldung an den Safety Logic Controller (SLC) und den LMC über den Sercos-Bus gesendet. Im Anschluss daran steuert der LMC die Verfahrbewegung entsprechend, beispielsweise durch Reduzierung der Geschwindigkeit und verlangsamte Weiterbewegung. Nach einer einstellbaren Verzögerung wird diese Bewegung mit begrenzter Geschwindigkeit vom Lexium 62 ILM Safety Module überwacht. Bei Überschreitung eines anpassbaren Schwellenwerts (z. B. hohe Drehzahl) erfolgt der Übergang in den erforderlichen Fallback-Modus, z. B. den sicheren Zustand.
Anwendung der Sicherheitsfunktion SLS:
Erweiterte Sicherheitsfunktionen - Inverter Enable über einen Hardwareeingang
Das Lexium 62 ILM Safety Module wurde in erster Linie entwickelt, um die erweiterten Sicherheitsfunktionen zu realisieren, kann jedoch weiterhin über den üblichen Hardwareeingang für die Inverter Enable-Funktion des Lexium 62 Drive System angesprochen werden. Auch wenn nur der Eingang verwendet wird, muss das Gerät mithilfe der Software konfiguriert und parametriert wreden. Wenn die Funktion Safe Torque Off (STO) festverdrahtet ist, kann sie über diesen Eingang oder den Sercos-Bus ausgelöst werden. Das Lexium 62 ILM Safety Module kann so konfiguriert werden, dass der Hardwareeingang ignoriert wird. In diesem Fall kann die STO-Funktion nur auf Anforderung über den Sercos-Bus aktiviert werden. Wird der Hardwareeingang nicht ignoriert, dann werden beide Anforderungen (Hardwareeingang und Sercos-Bus) geprüft und die STO-Funktion wird ausgelöst, sobald eine oder beide Anforderungen aktiv sind. In der Standardkonfiguration wird der Hardwareeingang nicht ignoriert.
Erweiterte Sicherheitsfunktionen - Sicherer Zustand
Der für das Gerät definierte sichere Zustand zeichnet sich durch folgende Eigenschaften aus:
oDer Antrieb ist momentenfrei in Übereinstimmung mit Safe Torque Off (STO) (Sicher abgeschaltetes Moment) nach IEC 61800-5-2.
oÜber den Sercos-Bus erfolgt keine sicherheitsbezogene Kommunikation durch den Antrieb.
Dieser Zustand wird bei Erkennung von Fehlern automatisch angenommen.
Gültigkeit des Sicherheitsnachweises
Der Sicherheitsnachweis für die Funktion Inverter Enable des Lexium 62 ILM ist in den unter Sicherheitsnormen genannten Normen angegeben und definiert. Der Sicherheitsnachweis der vorgesehenen Sicherheitsfunktion des Lexium 62 ILM-Systems gilt für die folgenden Hardwarecodes, die Sie dem entsprechenden Softwareobjekt in EcoStruxure Machine Expert entnehmen können:
|
Unicode |
Hardwarecode |
|---|---|
|
ILM 070/xx |
xxxxxxxxx1xx, xxxxxxxxx2xx |
|
ILM 100/xx |
xxxxxxxxx1xx, xxxxxxxxx2xx |
|
ILM140/xx |
xxxxxxxxx1xx, xxxxxxxxx2xx |
|
DIS1 |
1 |
|
ILM62CM |
xxxxxx1xx, xxxxxx2xx |
|
ILM62DB |
xxxxxx1xx |
|
Gerät |
Hardwarecode |
|---|---|
|
VW3E702200000 |
011A1110 |
Bei Fragen wenden Sie sich bitte an ihren Schneider Electric-Ansprechpartner.
Die Inverter Enable-Funktion wird über die Schaltschwellen des InverterEnable-Eingangs (IE_p1/IE_p2 at Pin1/Pin2, IE_n1/IE_n2 at Pin3/Pin4) des Lexium 62 Connection Module betrieben.
oMax. Aus-Zeit: 500 μs bei UIEX > 20 V und dynamischer Ansteuerung
oMax. Testpulssignal: 1 Hz
oSTO aktiv: -3 V ≤ UIE ≤ 5 V
oEndstufe aktiv: 15 V ≤ UIE ≤ 30 V
Informationen zu den technischen Kenndaten und elektrischen Anschlüssen finden Sie im Kapitel Technische Daten.
