Konfiguration des Safety Logic Controller

Kommunikationspfad des SLC

Da Sie Ihr Projekt ausgehend vom Beispiel für den SLC Remote Controller (M262) erstellt haben, ist der Kommunikationspfad zwischen Ihrem PC und dem SLC bereits auf Über LMC mit SLC verbunden eingestellt. Bei dieser Einstellung werden Datenübertragungen (wie z. B. der Download des Projekts, die Verwaltung der Debug-Daten, der Upload von Online-Werten usw.) über den mit dem SLC kommunizierenden Logic/Motion Controller durchgeführt.

Ändern Sie diese Einstellung, wenn eine direkte Verbindung zum SLC benötigt wird, beispielsweise zu Testzwecken. Um den Kommunikationspfad in Machine Expert - Safety zu bearbeiten, wählen Sie Online > TCPIP-Kommunikationsparameter aus und aktivieren Sie die Option SLC100 oder SLC200 direkt verbunden im Dialogfeld.

Detaillierte und weiterführende Informationen finden Sie im Kapitel zu den Kommunikationseinstellungen im Benutzerhandbuch von EcoStruxure Machine Expert - Safety.

Bearbeiten der sicherheitsbezogenen Geräteparameter - Allgemeine Schritte

Schritt	Aktion
1	Doppelklicken Sie in der Baumstruktur auf der linken Seite im Fenster Geräte auf das Modul, das konfiguriert werden soll. HINWEIS: Wenn Sie ein Modul mit einem Linksklick auswählen, werden am oberen Rand des Fensters der Modultyp sowie eine Kurzbeschreibung angezeigt. Ergebnis: Der Modulparameter können in den Rastern auf der rechten Seite bearbeitet werden.
2	Suchen und bearbeiten Sie den Parameter, der eingestellt werden soll. Verwenden Sie nach Wunsch die Registerkarten am unteren Rand des Rasters, wenn nur eine bestimmte Parameterkategorie angezeigt werden soll.

Schritt

Aktion

Doppelklicken Sie in der Baumstruktur auf der linken Seite im Fenster Geräte auf das Modul, das konfiguriert werden soll.

HINWEIS: Wenn Sie ein Modul mit einem Linksklick auswählen, werden am oberen Rand des Fensters der Modultyp sowie eine Kurzbeschreibung angezeigt.

Ergebnis: Der Modulparameter können in den Rastern auf der rechten Seite bearbeitet werden.

Suchen und bearbeiten Sie den Parameter, der eingestellt werden soll. Verwenden Sie nach Wunsch die Registerkarten am unteren Rand des Rasters, wenn nur eine bestimmte Parameterkategorie angezeigt werden soll.

Definieren der SLC-Zykluszeit im SLC

Der Parameter CycleTime legt die Zykluszeit für den SLC fest. Der Wert muss größer sein als die Verarbeitungszeit für die sicherheitsbezogene Anwendung. Wenn der Parameter CycleTime kleiner ist als die Verarbeitungszeit oder zu nahe an dieser Zeit liegt, wird ggf. ein Zykluszeitfehler (Watchdog-Timeout) erkannt.

Der CycleTime-Wert muss ein Integer-Vielfaches der Sercos-Zykluszeit sein.

Schritt	Aktion
1	Stellen Sie den maximalen CycleTime-Wert (20000) als temporären Inbetriebnahmewert ein. Ergebnis: Aufgrund dieser maximalen Zykluszeit ist die Sicherheitsreaktionszeit der Sicherheitsfunktion während dieser Inbetriebnahmephase unter Umständen nicht für Ihre Sicherheitsfunktion geeignet. Siehe die Warnmeldung unter dieser Tabelle.
2	Generieren und laden Sie die sicherheitsbezogene Anwendung in den SLC herunter.
3	Wählen Sie Online > SafePLC aus, während EcoStruxure Machine Expert - Safety im Online-Modus ausgeführt wird. Ergebnis: Das Dialogfeld SafePLC wird geöffnet.
4	Klicken Sie im Dialogfeld SafePLC auf die Schaltfläche Info. Ergebnis: Das Dialogfeld SafePLC Info wird geöffnet und zeigt die aktuelle Verarbeitungszeit an.
5	Ermitteln Sie die SLC-Zykluszeit, indem Sie den für die Verarbeitungszeit angezeigten Wert auf das nächste Vielfache der Sercos-Zykluszeit aufrunden. Geben Sie diesen Wert als CycleTime im Parametereditor ein.
6	Generieren Sie das sicherheitsbezogene Projekt neu und laden Sie erneut in den SLC herunter. Ergebnis: Nach dem Neustart sollte der SLC im Normalbetrieb laufen.

WARNUNG

NICHT-KONFORMITÄT MIT DEN ANFORDERUNGEN AN DIE SICHERHEITSFUNKTION

oPrüfen Sie die Auswirkungen der erhöhten Sicherheitsreaktionszeit.

oStellen Sie sicher, dass geeignete Verfahren und Maßnahmen (gemäß den geltenden Industriestandards) implementiert wurden, um Gefahrensituationen bei der Inbetriebnahme zu vermeiden.

oBetreten Sie den Betriebsbereich nicht, wenn der SLC mit der maximalen Zykluszeit betrieben wird.

oStellen Sie sicher, dass bei einem Betrieb des SLC mit maximaler Zykluszeit keine anderen Personen Zugang zum Betriebsbereich haben.

oBei Gefahr für Personal und/oder Geräte sind geeignete Sicherheitssperren zu verwenden.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben.

Definieren des Parameters SSDOCreation

Der Parameter SSDOCreation (SSDO = Safety protocol Service Data Object) legt die Anzahl der azyklischen Verarbeitungsschritte pro SLC-Zyklus fest.

Der SLC sendet SSDO-Telegramme hauptsächlich während des Systemstarts, um die SADR (Safety protocol Address) der SNs zuzuweisen und zu prüfen, die Eindeutigkeit der UDIDs innerhalb des Sicherheitsnetzwerks zu prüfen und Parameter und DVI (Device Vendor Information) in die SNs herunterzuladen.

Der Parameter SSDOCreation kann zur Optimierung des Neustartverhaltens des Systems verwendet werden, vorausgesetzt, der Sercos-Bus verfügt über ausreichend Bandbreite auf seinem asynchronen Kanal. (Im Kapitel Festlegen der Sercos-Buszykluszeit werden die verschiedenen Möglichkeiten zur Erhöhung der Bandbreite des asynchronen Sercos-Kanals beschrieben.)

Je höher die Anzahl asynchroner Verarbeitungsschritte pro SLC-Zyklus, desto schneller der Neustart des Sicherheitssystems.

Detaillierte Informationen zu den möglichen Werten finden Sie im Kapitel Safety Logic Controller TM5CSLCx00FS (Abschnitt Basis) im Referenzhandbuch der Sicherheitsmodule.

Best Practice: Die Boot-Up-Zeit des Systems lässt sich durch die Einstellung von SSDOCreation auf 5 per cycle reduzieren. Bei dieser Einstellung überträgt der SLC fünf SSDO-Telegramme pro Zyklus. Dadurch kann der SLC die Sicherheitsknoten in kurzer Zeit identifizieren.

Definieren des Parameters NodeGuardingTimeout

Der Parameter NodeGuardingTimeout legt den Zeitraum (Timeout-Wert) fest, in dem die sicherheitsbezogenen Module in den Anlaufzustand „Pre-Operational“ gesetzt werden müssen, wenn der SLC nicht kommuniziert oder wenn eine Unterbrechung der Kommunikation zwischen dem sicherheitsbezogenen Modul und dem SLC erkannt wird. Er gibt zudem die Zeitverzögerung für die Erkennung eines nicht verfügbaren Moduls für den SLC vor.

Der NodeGuardingTimeout-Wert ist nicht kritisch für die Funktionssicherheit. Die Zeit für die Deaktivierung der Stellglieder wird unabhängig davon unter Verwendung der für die Sicherheitsreaktionszeit relevanten Parameter bestimmt.

Detaillierte Informationen zu den möglichen Werten finden Sie im Kapitel Safety Logic Controller TM5CSLCx00FS (Abschnitt Basis) im Referenzhandbuch der Sicherheitsmodule.

HINWEIS: Nach einem Herunterfahren von Sercos sollte der nächste Sercos-Hochlauf nicht vor Ablauf des über den Parameter NodeGuardingTimeout vorgegebenen Zeitraums ausgeführt werden. Andernfalls können die SNs in einem umfangreichen System vom SLC innerhalb der vorgegebene Zeitgrenze nicht erfasst und konfiguriert werden, was dann ein Timeout zur Folge hat.

Definieren des Parameters NumberOfScans

Der Parameter NumberOfScans legt die Anzahl der Modulscans fest, die der SLC durchführt, bevor er signalisiert, ob Module nicht verfügbar sind (schnelles Blinken der MXCHG-LED) Der Suchvorgang wird auch nach Auslösung der LED für nicht verfügbare Module durch den SLC fortgesetzt.

Definieren des Parameters RemoteControlAllowed

Der Parameter RemoteControlAllowed aktiviert bzw. deaktiviert die Fernsteuerung des Safety Logic Controller.

Stellen Sie diesen Parameter auf Yes-ATTENTION ein, da das Beispielprojekt auf dem Beispiel SlcRemoteController beruht.

Berücksichtigen Sie mit einer Fernsteuerung einhergehenden Gefahren, um einen unbeabsichtigten Gerätebetrieb zu vermeiden.

WARNUNG

UNBEABSICHTIGTER GERÄTEBETRIEB

Stellen Sie sicher, dass bei der Bedienung der Steuerung von einem externen Standort aus ein kompetenter und qualifizierter Beobachter vor Ort ist.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben.

Konfigurieren der für die Sicherheitsreaktionszeit relevanten Parameter

Bei der Sicherheitsreaktionszeit handelt es sich um die Zeit zwischen der Ankunft des Sensorsignals am Eingangskanal eines sicherheitsbezogenen Eingangsmoduls und dem Abschaltsignal am Ausgangskanal eines sicherheitsbezogenen Moduls.

Der SLC sowie jedes sicherheitsbezogene TM5/TM7-Modul stellt drei Parameter bereit, die sich auf die Sicherheitsreaktionszeit der sicherheitsbezogenen Anwendung auswirken.

Die für die Sicherheitsreaktionszeit relevanten Parameter werden zur Bestätigung des Zeitablaufs genutzt:

oMinDataTransportTime definiert die Mindestzeit, die für die Übertragung eines Datentelegramms von einem sicherheitsbezogenen Producer zu einem Consumer erforderlich ist. Wenn ein Telegramm (vom Consumer) früher als über diesen Parameterwert angegeben empfangen wird, gilt die Kommunikation als ungültig.

oMaxDataTransportTime definiert die Höchstzeit, die für die Übertragung eines Datentelegramms von einem Producer zu einem Consumer zulässig ist. Wenn ein Telegramm (vom Consumer) später als über diesen Parameterwert angegeben empfangen wird, gilt die Kommunikation als ungültig.

oCommunicationWatchdog definiert den maximalen Zeitraum, in dem ein Consumer ein gültiges Datentelegramm von einem Producer empfangen muss, damit die sicherheitsbezogene Kommunikation als gültig angesehen und die Anwendung fortgesetzt wird.

Für den SLC sind diese Parameter in der Gruppe SafetyResponseTimeDefaults untergebracht.

Wählen Sie Projekt > Für die Reaktionszeit relevante Parameter aus, um das Dialogfeld zur Parameterberechnung zu öffnen. Öffnen Sie im Dialogfeld der Berechnung die Registerkarte Standard. Gehen Sie vor wie beschrieben im Kapitel Safety Logic Controller TM5CSLCx00FS (Abschnitt Gruppe: SafetyResponseTimeDefaults) des Referenzhandbuchs der Sicherheitsmodule, um die richtigen Parameterwerte für Ihre Anwendung zu ermitteln.

Best Practice:

oSetzen Sie den Parameter Network Package Loss im Dialogfeld Für die Reaktionszeit relevante Parameter auf 1 (Standardwert). Dies entspricht der Konfiguration von Sercos (ein Datenverlust ist zulässig).

oWenn die SNs nicht den Betriebszustand mit den berechneten Werten erreichen (z. B. in einem umfangreichen System oder bei der Konfiguration optionaler Geräte), verringern Sie den Parameter MaxDataTransportTime leicht. Maximaler Wert: Das 1,5-Fache des Betrags des berechneten Werts.

Detaillierte und weiterführende Hintergrundinformationen finden Sie im Kapitel zur Sicherheitsreaktionszeit im Benutzerhandbuch von EcoStruxure Machine Expert - Safety.

Die für die Reaktionszeit relevanten Parameter werden vom Wert der TM5-Buszykluszeit beeinflusst. Nach der Änderung der TM5-Buszykluszeit in den Parametern des TM5NS31-Buskopplers müssen Sie das Standardprojekt generieren, um den geänderten Zeitwert in das sicherheitsbezogene Projekt zu übertragen. Je nach geändertem Wert müssen Sie die für die Reaktionszeit relevanten Parameter und die Sicherheitsreaktionszeit in EcoStruxure Machine Expert - Safety neu berechnen (und anpassen).

Die TM5-Buszykluszeit kann ebenfalls über den IEC-Code der Standardanwendung geändert werden. Die Berechnung der für die Reaktionszeit relevanten Parameter basiert jedoch auf dem im Parametereditor des TM5NS31-Buskopplers definierten CycleTime-Wert.

Wenn sich die tatsächliche TM5-Buszykluszeit von dem in den Parametern des TM5NS31-Buskopplers eingestellten Wert unterscheidet, müssen Sie Folgendes beachten:

WARNUNG

NICHT-KONFORMITÄT MIT DEN ANFORDERUNGEN AN DIE SICHERHEITSFUNKTION

oWenn die TM5-Buszykluszeit im IEC-Anwendungsprogramm festgelegt wird, müssen Sie sicherstellen, dass der Parameter CycleTime im TM5NS31-Parametereditor auf den richtigen Wert eingestellt wird.

oBerechnen Sie nach jeder Bearbeitung des CycleTime-Werts im TM5NS31-Parametereditor die Parameter neu, die von der Reaktionszeit abhängen.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben.

Aktueller Status Ihres Sicherheitsprojekts

Die sicherheitsbezogenen Geräteparameter des SLC sind jetzt konfiguriert und dank des partiellen Sercos-Hochlaufs (bis Phase 2), die Sie bereits durchgeführt haben (siehe den Abschnitt Sercos-Hochlauf) wurde vom Sercos-Master eine IP-Adresse zugewiesen. Sie können jetzt eine Verbindung zum SLC herstellen.

Wenn Sie das leere sicherheitsbezogene Projekt zu diesem Zeitpunkt zu Testzwecken kompilieren, meldet der Compiler Fehler. Das liegt daran, dass Ihr sicherheitsbezogenes Projekt nicht verwendete sicherheitsbezogene TM5/TM7-Module enthält. Nicht verwendet bedeutet, dass keines der unter den Geräteknoten im Fenster Geräte in Machine Expert - Safety aufgeführten Signale im sicherheitsbezogenen Projekt verwendet wird. Mindestens ein Signal jedes Moduls muss einer globalen sicherheitsbezogenen Variablen in Machine Expert - Safety zugewiesen werden. Dasselbe gilt für die SLC-Austauschsignale, die Sie in Logic Builder definiert haben (siehe den Abschnitt Konfiguration des Datenaustauschs für den SLC).