TM5SDO4TAFS Digitales Sicherheits-Ausgangsmodul (SLCv2)

HINWEIS:

Dieses Thema gilt für ein Modul der Generation SLCv2 (in einem sicherheitsbezogenen System mit einem SLC300 oder SLC400). Welche Gerätegeneration in Ihrem Projekt konfiguriert ist, sehen Sie in der kurzen Gerätebeschreibung über der Parametertabelle (während das Gerät links im Baum markiert ist).

Typ-/sicherheitsbezogene Anwendungsbereiche des Moduls

Sicherheits-Ausgangsmodul, 4 sicherheitsbezogene Ausgangskanäle.

2 A Nennausgangsstrom, 5 A Summennennstrom.

Ausgangsschutz: Thermische Abschaltung bei Überstrom oder Kurzschluss und integrierter Schutz zum Schalten von induktiven Lasten.

24 VDC Nennspannung.

Die sicherheitsbezogenen Schneider Electric-Module können in sicherheitsbezogenen Anwendungen verwendet werden, gemäß:

EN ISO 13849, PL e
IEC 62061, SIL 3
IEC 61508, SIL 3

Gruppe: Basic

Parameter: MinErforderlicheFWVer

Standardwert	Basic Release
Einheit	-/-
Beschreibung	Dieser Parameter ist nur relevant, wenn eine andere Firmware-Version, als die vom Hersteller aufgespielte Version in Betrieb ist. Um in den Betriebszustand gelangen zu können, muss im Modul die hier eingestellte oder eine neuere Firmware-Version installiert sein. Basic Release: Wählen Sie diese Option, wenn das Gerät mit der ursprünglich installierten Firmware-Version betrieben wird. Test Version: Wählen Sie diese Option, wenn auf dem Gerät eine (noch) nicht freigegebene Firmware-Version installiert ist. Eine sicherheitsbezogene Applikation kann nicht abgenommen werden, wenn Geräte mit einer Firmware-Testversion beteiligt sind. Die hier gewählte Firmware-Version ist vor allem im Hinblick auf neue Parameter oder Prozessdaten-Elemente wichtig, die mit einer bestimmten Firmware-Version implementiert wurden. Falls das betreffende Gerät über neue Parameter oder Prozessdaten-Elemente verfügt, ist folgendes zu beachten: Wenn für MinErforderlicheFWVer ein falscher Wert eingestellt ist, gelangt entweder der SLC nicht in den Betriebszustand Run oder der neue Parameter bzw. das neue Prozessdaten-Element wird vom SLC nicht berücksichtigt. Beachten Sie hierzu den Gefahrenhinweis unter der Tabelle Weitere Informationen: Informationen zu neu hinzugefügten Parametern oder Prozessdaten-Elementen finden Sie in der Dokumentation (Release Notes), die der Firmware-Installation beiliegt. Darin erfahren Sie auch, wie Sie die Firmware-Version, die aktuell auf dem sicherheitsbezogenen Gerät installiert ist, bestimmen können.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS Stellen Sie sicher, dass der unter MinErforderlicheFWVer eingestellte Wert der Firmware-Version entspricht, die auf diesem sicherheitsbezogenen Gerät installiert ist. Stellen Sie anhand eines Funktiontests sicher, dass neu implementierte Parameter oder Prozessdaten-Elemente des sicherheitsbezogenen Moduls vom SLC berücksichtigt werden, wenn Ihre sicherheitsbezogene Applikation dies erfordert. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Stellen Sie sicher, dass der unter MinErforderlicheFWVer eingestellte Wert der Firmware-Version entspricht, die auf diesem sicherheitsbezogenen Gerät installiert ist.
Stellen Sie anhand eines Funktiontests sicher, dass neu implementierte Parameter oder Prozessdaten-Elemente des sicherheitsbezogenen Moduls vom SLC berücksichtigt werden, wenn Ihre sicherheitsbezogene Applikation dies erfordert.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Parameter: Optional

Standardwert	Nein
Einheit	-/-
Beschreibung	Das Modul kann mit Hilfe dieses Parameters als optional konfiguriert werden. Optionale Module müssen nicht vorhanden sein (physikalisch oder kommunikativ), d.h. ein fehlendes optionales Modul wird vom Sicheren Logik-Controller nicht gemeldet. Dieser Parameter beeinflusst nicht das Signal oder die Statusdaten des Moduls.
Mögliche Werte	Nein: Dieses Modul ist nicht optional. Dieses Modul muss nach dem Start in den Betriebszustand 'Operational' gehen und es muss eine sicherheitsbezogene Kommunikation mit dem Sicheren Logik-Controller erfolgreich hergestellt werden (angezeigt durch SafeModulOK = SAFETRUE). Die Verarbeitung der sicherheitsbezogenen Applikation im Sicheren Logik-Controller wird nach dem Starten solange verzögert, bis dieser Zustand für alle Module mit 'Optional = Nein' erreicht ist. Nach dem Starten werden Fehler in solchen sicherheitsbezogenen Modulen durch die schnell blinkende MXCHG-LED am Sicheren Logik-Controller angezeigt. Außerdem erfolgt ein Eintrag in das Logbuch. Ja: Dieses Modul ist optional, d.h. es ist für die sicherheitsbezogene Applikation nicht erforderlich. Dieses Modul wird während des Startens nicht berücksichtigt, d.h. die sicherheitsbezogene Applikation wird gestartet, auch wenn sich Module mit 'Optional = Ja' nicht im Betriebszustand 'Operational' befinden oder die sicherheitsbezogene Kommunikation nicht erfolgreich aufgebaut werden konnte. Nach dem Starten werden Fehler in solchen sicherheitsbezogenen Modulen NICHT am Sicheren Logik-Controller angezeigt. Es erfolgt auch kein Eintrag in das Logbuch. Hochlauf: Dieses Modul ist optional, Entscheidungen in Bezug auf sein weiteres Verhalten werden während des Hochlaufens getroffen. Falls während des Hochlaufens erkannt wird, dass das Modul physikalisch vorhanden ist (auch wenn es nicht im Betriebszustand 'Operational' ist), verhält sich das Modul als ob 'Optional = Nein' gesetzt war. Falls während des Hochlaufens erkannt wird, dass das Modul physikalisch nicht vorhanden ist, verhält sich das Modul als ob 'Optional = Ja' gesetzt war.

Der Parameter Optional ist ein Mechanismus, um Ihr Sicherheitssystem an unterschiedliche Maschinenkonfigurationen anzupassen. Es ist jedoch möglich, dass als optional parametrierte Module in einer wechselnden/anderen Konfiguration erforderlich sind.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS Stellen Sie anhand eines Funktiontests sicher, dass die Module, für die Optional auf 'Ja' oder 'Hochlauf' eingestellt ist, vorhanden sind, wenn diese in wechselnden/anderen Maschinenkonfigurationen erforderlich sind. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Parameter: DeaktiviereOSSD

Standardwert	Nein
Einheit	-/-
Beschreibung	Dieser Parameter kann verwendet werden, um die automatische Prüfung des Ausgangstreibers für jeden Kanal des Moduls auszuschalten.
Mögliche Werte	Nein: Automatische Prüfung des Ausgangstreibers ist eingeschaltet. Ja-ACHTUNG: Automatische Prüfung des Ausgangstreibers ist ausgeschaltet. HINWEIS: Die Einstellung 'DeaktiviereOSSD = Ja-ACHTUNG' resultiert in einer reduzierten Fehlererkennung des Moduls und erfüllt nicht länger die Anforderungen nach SIL3 gemäß IEC 62061, oder PL e gemäß ISO 13849. Um die Anforderungen für Anwendungen bis SIL 2, entsprechend IEC 62061, oder PL d gemäß ISO 13849 zu erfüllen, ist eine tägliche Überprüfung der Sicherheitsfunktion von Seiten des Anwenders notwendig.

Gruppe: SafetyResponseTime

Die Safety-Reaktionszeit ist die Zeit zwischen dem Eintreffen des Sensorsignals am Eingangskanal eines sicherheitsbezogenen Eingangsmoduls und dem Abschaltsignal am Ausgangskanal eines sicherheitsbezogenen Ausgangsmoduls. Weitere detaillierte Hintergrundinformationen finden Sie im Thema "Safety-Reaktionszeit für SLCv2" im "Machine Expert – Safety - Anwenderhandbuch".

Die Parameter in dieser Gruppe beeinflussen die Safety-Reaktionszeit des Sicheren Logik-Controller-Systems. Die Parameter SicherheitsdatenÜbertragungsdauer und TolerierterPaketverlust in dieser Gruppe gelten für das Modul nur dann, wenn ManuelleKonfiguration auf 'Ja' gesetzt ist.

Parameter: ManuelleKonfiguration

Standardwert	Nein
Einheit	-/-
Beschreibung	Gibt an, ob das Modul seine eigenen modulspezifischen Safety-Reaktionszeit-relevanten Parameter (SicherheitsdatenÜbertragungsdauer und TolerierterPaketverlust) verwendet oder die Werte, die in der Parametergruppe 'SafetyResponseTimeDefaults' des Sicheren Logik-Controllers vorgegeben sind. Die Verwendung modulspezifischer Parameter ermöglicht die optimale Anpassung des Systems an anwendungsspezifische Anforderungen hinsichtlich der Safety-Reaktionszeit.
Parameterwert	Nein: Das Modul übernimmt für die Parameter SicherheitsdatenÜbertragungsdauer und TolerierterPaketverlust die Werte aus der Parametergruppe 'SafetyResponseTimeDefaults' des Sicheren Logik-Controllers. Ja: Das Modul verwendet seine eigenen Parameterwerte.

Parameter: SicherheitsdatenÜbertragungsdauer

Standardwert	200
Wertebereich Schrittweite	25...9.380 1
Einheit	100 µs
Beschreibung	Dieser Parameter beeinflusst die Safety-Reaktionszeit der sicherheitsbezogenen Applikation. Der Parameter gibt die maximal zulässige Zeit für die Datenübertragung von einem sicherheitsbezogenen Producer zu einem Consumer an, d. h. von einem Eingangsmodul zum SLC oder vom SLC zu einem Ausgangsmodul. Aus diesem Parameterwert und dem Wert des Parameters 'TolerierterPaketverlust' (siehe unten) und weiteren modulspezifischen Verarbeitungszeiten wird die Safety-Reaktionszeit (SRZ) berechnet. Überprüfen Sie die aus den hier eingegebenen Parameterwerten resultierende SRZ im Dialog 'Reaktionszeitrechner' in Machine Expert – Safety (Menüpunkt 'Projekt > Reaktionszeitrechner').
Berechnung der Werte	Die Risikoanalyse, die Sie für Ihre sicherheitsbezogene Applikation ausgeführt haben, liefert die maximal zulässige Gesamt-Reaktionszeit der Sicherheitsfunktion und, als Teil davon, die Safety-Reaktionszeit (SRZ) der Signalkette. Die SRZ setzt sich aus folgenden Zeitwerten zusammen: `SRT = SPTi + SDDi * (TPL +1) + SDDo * (TPL +1) + SPTo` Mit `SPTi` = Safety-Verarbeitungszeit im sicherheitsbezogenen Eingangsmodul, (inkl. konfigurierte Filter-/Verzögerungszeiten), `SDDi` = SicherheitsdatenÜbertragungsdauer im Eingangspfad, `SDDi` = SicherheitsdatenÜbertragungsdauer im Ausgangspfad, `SPTo` = Safety-Verarbeitungszeit im sicherheitsbezogenen Ausgangsmodul, (inkl. konfigurierte Verzögerungszeiten), `TPL` = Anzahl der erlaubten Paketverluste. Dieser maximale SRZ-Wert dient als Basis für die Berechnung der Werte für SicherheitsdatenÜbertragungsdauer (SafeDataDuration, SDD) und TolerierterPaketverlust (ToleratedPacketLoss, TPL), die Sie in die Parametertabelle eingeben müssen. Ziehen Sie von der zulässigen SRZ die Verarbeitungszeiten des sicherheitsbezogenen Eingangsmoduls (SPTi) und des Ausgangsmoduls (SPTo) ab. Das Ergebnis ist die maximal zulässige Gesamtzeit für die Übertragung der sicherheitsbezogenen Daten auf dem gesamten Sicherheitspfad, d. h. vom Eingangsmodul zum Ausgangsmodul. Da sich der Parameter SicherheitsdatenÜbertragungsdauer nur auf einen Übertragungsweg bezieht (Eingangsmodul -> SLC oder SLC -> Ausgangsmodul), müssen Sie den Wert durch 2 teilen, um den Wert zu erhalten, den Sie in die Parametertabelle eingeben müssen. Wird ein Paketverlust größer als Null toleriert, muss dieser ebenfalls berücksichtigt werden. Der Formel für die Berechnung lautet wie folgt: `SDD = (SRT - SPTi - SPTo) / (2* (TPL + 1))` Für `SPT = größerer Wert von SPTi und SPTo` und `SDD = SDDi = SDDo` (symmetrisches System) berechnet sich der Wert wie folgt: `SDD = (SRT - 2SPT) / (2(TPL+1))`

Parameter: TolerierterPaketverlust

Standardwert	1
Wertebereich Schrittweite	0...10 1
Einheit	Datenpakete
Beschreibung	Dieser Parameter gibt an, wie viele Pakete während der Datenübertragung maximal verloren gehen dürfen. Die Anzahl der verlorenen Pakete wirkt sich auf die Safety-Reaktionszeit aus. Aus diesem Parameterwert und dem Wert des Parameters 'SicherheitsdatenÜbertragungsdauer' wird die Safety-Reaktionszeit (SRZ) des Systems berechnet. Überprüfen Sie die aus den hier eingegebenen Parameterwerten resultierende SRZ im Dialog 'Reaktionszeitrechner' in Machine Expert – Safety (Menüpunkt 'Projekt > Reaktionszeitrechner').

Gruppe: SafeDigitalOutput01 bis SafeDigitalOutput04

Parameter: AutomatischerWiederanlauf

Standardwert	Nein
Einheit	-/-
Beschreibung	Aktiviert oder deaktiviert den automatischen Wiederanlauf des Modulausgangs.
Mögliche Werte	Nein: 'Automatische Wiederanlauf'-Funktion ist deaktiviert. Ja-ACHTUNG: 'Automatische Wiederanlauf'-Funktion ist aktiviert. Der Modulausgang kann ohne vorhergehende positive Flanke des Freigabesignals aktiviert werden. HINWEIS: In beiden Fällen muss, nachdem im Modul ein Kanalfehler erkannt wurde (und die Fehlerquelle beseitigt oder anderweitig unwirksam gemacht wurde), der betroffene Ausgang zunächst deaktiviert und anschließend durch eine positive Flanke des Freigabesignals wieder aktiviert werden.

HINWEIS:

Das Konfigurieren eines automatischen Wiederanlaufs kann im Hinblick auf die Sicherheit zu kritischen Situationen führen. Ergreifen Sie zusätzliche Maßnahmen, um eine korrekte, sichere Funktionalität sicherzustellen.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSSTART Stellen Sie sicher, dass Ihre Risikoanalyse eine Auswertung für den Fall eines automatischen Wiederanlaufs des Modulausgangs enthält. Stellen Sie sicher, dass geeignete organisatorische Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen im Falle eines automatischen Wiederanlaufs zu verhindern. Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSSTART

Stellen Sie sicher, dass Ihre Risikoanalyse eine Auswertung für den Fall eines automatischen Wiederanlaufs des Modulausgangs enthält.
Stellen Sie sicher, dass geeignete organisatorische Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen im Falle eines automatischen Wiederanlaufs zu verhindern.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Prozessdaten-Elemente des Moduls

Zweck und Verwendung von Prozessdaten-Elementen

Jedes Modul verfügt über Prozessdaten-Elemente (Signale). Prozessdaten-Elemente können sein:

I/O-Signale, die von einer Anschlussklemme des Moduls gelesen oder auf diese geschrieben werden.
Diagnosesignale zur Auswertung des Status eines Eingangs-/Ausgangssignals oder des gesamten Moduls.
Steuersignale, um beispielsweise einen Kanal freizugeben oder das Modul einzustellen.

Die verfügbaren Prozessdaten-Elemente eines Moduls sind unter dem Modulknoten im Baum links im 'Geräte'-Fenster aufgelistet. Um ein Prozessdaten-Element anzuzeigen und zu verwenden, erweitern Sie den Modulknoten im Baum durch Anklicken des '+'-Symbols.

Beispiel

Das Modul mit der Kennung SL1.SM3 stellt (unter anderem) das Diagnosesignal SafeModuleOK und das Eingangssignal SafeDigitalInput01 zur Verfügung.

Sie können Prozessdaten-Elemente aus dem Baum per Drag & Drop in den sicherheitsbezogenen FBS/KOP-Code einfügen (siehe folgende Anweisung). Beim Einfügen in den Code, wird eine (nicht-sicherheitsbezogene) Standard-Variable oder eine sicherheitsbezogene Variable erzeugt (je nach Datentyp des Prozessdaten-Elements).

Vorgehensweise: So fügen Sie Prozessdaten-Elemente in den Code ein

Öffnen Sie das Code-Arbeitsblatt an der Stelle, an der Sie das Prozessdaten-Element einfügen wollen und erstellen/verwenden Sie die dazu zugewiesene globale Variable.
Öffnen Sie links im 'Geräte'-Fenster den Gerätebaum und erweitern Sie das Modul (den Baumknoten), der das zu verwendende Prozessdatum enthält.
Ziehen Sie das Prozessdaten-Element in das Code-Arbeitsblatt. Beim Loslassen der Maustaste erscheint der Dialog 'Variable'.

Um eine boolesche Variable als Kontakt in den grafischen Code einzufügen, halten Sie die <Strg>-Taste gedrückt, wenn Sie nach dem Ziehen der Variable aus der Geräteanschlussklemmen-Tabelle in das Code-Arbeitsblatt die Maustaste loslassen.
Im Dialog 'Variable' wird ein Name vorgeschlagen, der sich aus dem Namen des Prozessdaten-Elements ableitet. Akzeptieren Sie den vorgegebenen Namen, oder wählen Sie eine bereits vorhandene globale Variable aus, oder deklarieren Sie eine neue globale Variable durch Eingeben eines neuen 'Namens', Definieren des 'Datentyps' und Auswählen einer 'Gruppe'.
Bestätigen Sie den Dialog 'Variable' mit 'OK'.

Der Umriss der Variablen erscheint nun am Mauszeiger. Die Variable kann per Linksklick an der gewünschten Position abgelegt werden. Sie können die Variable direkt an ein anderes Objekt anschließen (z.B. an einen Formalparameter, wie unten gezeigt) oder an einer beliebigen freien Position ablegen.

Datenrichtung hängt vom Signaltyp an

Eingangssignale können von der sicherheitsbezogenen Applikation nur gelesen werden, Ausgangssignale können geschrieben werden.

Diagnosesignale dienen zur Auswertung und Überwachung des sicherheitsbezogenen Moduls oder beispielsweise auch einzelner I/O-Kanäle. Deshalb können globale Variablen, die für Diagnosesignale erzeugt wurden und diesen zugeordnet sind, von der Applikation nur gelesen werden.

Mit Steuersignalen lässt sich das Modul freigeben oder auf den aktuellen Anwendungsfall anpassen (beispielsweise durch Einstellen eines Messbereichs oder eines bestimmten Modulverhaltens). Globale Variablen, die für ein Steuersignal erzeugt wurden und diesem zugeordnet sind, können von der Applikation geschrieben werden und dadurch das Modul steuern.

Darstellung von Prozessdaten-Elementen im Gerätebaum:

Symbol	Signaltyp	Zugriffsart
	Sicherheitsbezogenes Eingangssignal oder Diagnosesignal.	Lesen
	Nicht-sicherheitsbezogenes Eingangssignal (nur für den Sicheren Logik-Controller verfügbar).	Lesen
	Nicht-sicherheitsbezogenes Ausgangssignal (nur für den Sicheren Logik-Controller verfügbar) oder Steuersignal.	Schreiben
	Sicherheitsbezogenes Ausgangssignal oder Steuersignal.	Schreiben

HINWEIS:

Wird ein Standard-Signal (nicht-sicherheitsbezogen) mit einem physikalischen Eingang oder Ausgang verbunden, muss der Datentyp der zugehörigen globalen Variablen von sicherheitsbezogen nach Standard konvertiert werden (z.B. von SAFEBOOL nach BOOL), um eine falsche Verwendung des Signals im Code auszuschließen. Dasselbe gilt, wenn ein sicherheitsbezogenes Signal im Code nur als Standard-Signal verwendet wird. Die Änderung des Datentyps kann entweder im zugehörigen Variablen-Arbeitsblatt oder mit Hilfe der Funktionen zur Typumwandlung erfolgen.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS Verifizieren Sie die Auswirkung von Standard-Signalen (nicht-sicherheitsbezogen) auf sicherheitsbezogene Ausgänge. Verifizieren Sie, dass die Funktionen zur Umwandlung von "Standard auf sicherheitsbezogen" im Code korrekt verwendet werden. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Verifizieren Sie die Auswirkung von Standard-Signalen (nicht-sicherheitsbezogen) auf sicherheitsbezogene Ausgänge.
Verifizieren Sie, dass die Funktionen zur Umwandlung von "Standard auf sicherheitsbezogen" im Code korrekt verwendet werden.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Nachfolgend sind die I/O-Signale, die Diagnosesignale und die Steuersignale jedes Moduls aufgelistet (in der Reihenfolge wie im Gerätebaum).

SafeModuleOK

Beschreibung	Zeigt den Status der Kommunikation zwischen dem sicherheitsbezogenen Modul und dem Sicheren Logik-Controller an und gibt somit, aus Sicht der sicherheitsbezogenen Applikation, den Modulstatus an.
Signaltyp	Diagnose
Datentyp	SAFEBOOL
Zugriffsart	Variable kann von der sicherheitsbezogenen Applikation gelesen werden
Mögliche Werte	SAFEFALSE: Sicherheitsbezogenes Modul ist nicht im Betriebsmodus, oder die Kommunikation mit dem Sicheren Logik-Controller wurde nicht korrekt aufgebaut, oder das Modul hat einen Fehler im Kommunikationskanal erkannt. SAFETRUE: Sicherheitsbezogenes Modul ist im Betriebsmodus und die Kommunikation mit dem Sicheren Logik-Controller wurde korrekt aufgebaut und das Modul hat keinen Fehler im Kommunikationskanal erkannt.

Verpflichtende Zuweisungskontrolle für das Prozessdaten-Element SafeModuleOK:

Die Verifizierung/Validierung der Zuordnung zwischen Prozessdaten-Elementen und globalen I/O-Variablen ist verpflichtend. Dies gilt insbesondere für das Prozessdatenelement SafeModuleOK, welches für jedes sicherheitsbezogene Modul verfügbar ist und dessen Status meldet. Da das Prozessdatum SafeModuleOK nicht geschrieben werden kann, z.B. durch Anlegen eines Signals an einen Moduleingang, muss das zu prüfende Modul physikalisch vom TM5-Bus entfernt, d.h. abgezogen werden. Als Folge dieses Abziehens schaltet SafeModuleOK auf SAFEFALSE, und die zugewiesene globale Variable muss diesem Wechsel folgen. Weitere Informationen zum Aus- und Wiedereinbau eines Moduls entnehmen Sie bitte der Bedienungsanleitung des betreffenden Moduls.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS Entfernen Sie jedes sicherheitsbezogene Modul vom TM5-Bus, um den Zustand von SafeModuleOK zu prüfen. Prüfen Sie, ob die globale I/O-Variable, die dem Prozessdaten-Element SafeModuleOK des entfernten Moduls zugewiesen ist, auf SAFEFALSE wechselt. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Entfernen Sie jedes sicherheitsbezogene Modul vom TM5-Bus, um den Zustand von SafeModuleOK zu prüfen.
Prüfen Sie, ob die globale I/O-Variable, die dem Prozessdaten-Element SafeModuleOK des entfernten Moduls zugewiesen ist, auf SAFEFALSE wechselt.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeDigitalOutputxx

Beschreibung	Sicherheitsbezogenes Ausgangssignal des Moduls (Freigabesignal für die Applikation), Kanal xx. HINWEIS: Die einkanaligen Signale SafeDigitalOutputxx können nicht gleichzeitig mit den kombinierten Ausgangssignalen SafeDigitalOutputxxyy des Moduls verwendet werden. Allgemeine Informationen Sicherheitsbezogene Ausgänge können grundsätzlich nur vom Sicheren Logic Controller (SLC) aktiviert werden. Je nach Konfiguration des betreffenden sicherheitsbezogenen TM5/TM7-Ausgangsmoduls, muss zusätzlich die nicht-sicherheitsbezogene Steuerung den sicherheitsbezogenen Ausgang freigeben (dem sicherheitsbezogenen Signal zustimmen). Zu diesem Zweck gibt es im Editor 'Benutzerdefinierte Parameter' des SDO-Moduls im Logic Builder je einen Parameter `CentralControl_DigitalOutputs_xx` pro Ausgangskanal. Sie öffnen diesen Editor, indem Sie im Logic Builder in der 'Gerätebaumstruktur' auf das SDO-Modul doppelklicken und dann das Register 'Benutzerdefinierte Parameter' öffnen. Der Parameter `CentralControl_DigitalOutputs_xx` hat zwei mögliche Werte: `Direct`: Einwirken auf den Ausgangskanal ist direkt im SLC möglich, ohne dass die nicht-sicherheitsbezogene Applikation zustimmen muss. `Central`: um auf den Ausgangskanal einwirken zu können, muss die nicht-sicherheitsbezogene Logic/Motion Controller-Applikation dem sicherheitsbezogenen Signal aus dem SLC zustimmen (d.h. es freigeben). Nur mit der Einstellung `Central` kann ein sicherheitsbezogener Ausgang aus der nicht-sicherheitsbezogenen Applikation freigegeben werden. Das Freigabesignal darf den Prozess nur direkt steuern, wenn dies nicht zur Beeinträchtigung der Sicherheitsfunktion führt. Beachten Sie hierzu den ersten Gefahrenhinweis unter der Tabelle. HINWEIS: Im 'Geräte'-Fenster in Machine Expert – Safety zeigt die Spalte 'LogicBuilder-Variable' den Namen der Variablen an, die dem Freigabesignal im 'TM5 Modul E/A-Abbild' in Logic Builder zugewiesen wurde. Diese Darstellung darf nicht falsch interpretiert werden: Obwohl das Freigabesignal (Spalte 'ChannelName'), die sicherheitsbezogene 'Variable' und die LogicBuilder-Variable in einer Zeile angezeigt werden, kann die LogicBuilder-Variable nicht auf den sicherheitsbezogenen Ausgang schreiben. Die LogicBuilder-Variable stimmt der Aktivierung des Ausgangs lediglich zu. Die physikalische Aktivierung kann jedoch ausschließlich vom SLC initiiert werden. Bestätigung der Gültigkeit Die Gültigkeit dieses Eingangssignals wird durch das zugehörige Diagnosesignal SafeOutputOKxx bestätigt. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagnosesignal jedes mal ausgewertet werden, wenn das SafeDigitalOutputxx-Signal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeDigitalOutputxx hin. In diesem Fall darf das Signal SafeDigitalOutputxx in der sicherheitsbezogenen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden. Beachten Sie hierzu den zweiten Gefahrenhinweis unter der Tabelle. Weitere Informationen: Weitere Informationen finden Sie im Thema "Überwachung/Auswertung von Diagnoseinformationen der Maschine". Wiederanlaufsperre aktiv Falls eine Wiederanlaufsperre für den Kanal xx aktiv ist (Parameter 'AutomatischerWiederanlauf = Nein'), bleibt der sicherheitsbezogene Ausgang nach Rücknahme der Sicherheitsanforderung oder, im Falle eines Modulfehlers, nach Beseitigung der Fehlerursache im definierten sicheren Zustand. Damit wird ein ungewollter Neustart der Maschine/Anlage verhindert. Im Fall einer vorgegebenen Wiederanlaufsperre muss diese durch eine steigende Flanke des entsprechenden ReleaseOutputxx-Signals aufgehoben werden, um die Funktion der Maschine/Anlage zu ermöglichen (siehe Beschreibung unten).
Signaltyp	I/O-Signal
Datentyp	SAFEBOOL
Zugriffsart	Variable kann von der sicherheitsbezogenen Applikation geschrieben werden. Die Auswirkung des Variablenwerts hängt vom eingestellten Wert des Modulparameters CentralControl_DigitalOutput_xx in der Machine Expert -Applikation ab (siehe "Beschreibung" oben).
Mögliche Werte	SAFETRUE: Keine Sicherheitsanforderung erkannt, und keine Wiederanlaufsperre des Kanals ist aktiv, und SafeModuleOK = SAFETRUE SAFEFALSE: SafeModuleOK = SAFEFALSE, oder Sicherheitsanforderung erkannt, oder Wiederanlaufsperre des Kanals ist aktiv
Relevante Modulparameter	In der Parametergruppe mit derselben Kanalnummer xx: AutomatischerWiederanlauf Die Parameterbeschreibungen finden Sie oben in diesem Thema. In der Machine Expert-Applikation, 'Benutzerdefinierte Parameter' des Ausgangsmoduls: CentralControl_DigitalOutput_xx (siehe "Beschreibung" oben).

WARNUNG
	UNBEABSICHTIGTER GERÄTEBETRIEB Prüfen Sie, dass das Freigabesignal den Prozess nur direkt steuert, wenn dies nicht zur Beeinträchtigung der Sicherheitsfunktion führt. Validieren Sie die gesamte Sicherheitsfunktion, inklusive des Anlaufverhaltens des Prozesses und prüfen Sie die Applikation sorgfältig. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER GERÄTEBETRIEB

Prüfen Sie, dass das Freigabesignal den Prozess nur direkt steuert, wenn dies nicht zur Beeinträchtigung der Sicherheitsfunktion führt.
Validieren Sie die gesamte Sicherheitsfunktion, inklusive des Anlaufverhaltens des Prozesses und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG
	UNBEABSICHTIGTER GERÄTEBETRIEB Verifizieren Sie, dass das SafeDigitalOutputxx-Signal in der sicherheitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist). Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER GERÄTEBETRIEB

Verifizieren Sie, dass das SafeDigitalOutputxx-Signal in der sicherheitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).
Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

SafeChannelOKxx (für Ausgangskanäle)

Beschreibung	Dieses Diagnosesignal zeigt den Status des sicherheitsbezogenen Ausgangskanals (Freigabesignal für die Applikation) an. xx spezifiziert die Kanalnummer. Das Diagnosesignal bestätigt die Gültigkeit des Signals SafeOutputxx. Abhängig von den Ergebnissen der Risikoanalyse, die Sie für Ihre Applikation ausgeführt haben, muss das Diagnosesignal jedesmal ausgewertet werden, wenn das SafeOutputxx-Signal in der sicherheitsbezogenen Applikation verwendet wird. Der Wert SAFEFALSE des Diagnosesignals deutet auf einen ungültigen Wert von SafeOutputxx hin. In diesem Fall darf das Signal SafeOutputxx in der sicherheitsbezogenen Applikation nicht weiter verwendet, verarbeitet oder ausgewertet werden. Beachten Sie hierzu den Gefahrenhinweis unter dieser Tabelle. HINWEIS: Diagnosesignale müssen in der sicherheitsbezogenen Applikation ausgewertet werden, um Fehlerzustände in Modulen/Kanälen in Ihrer Applikation erkennen zu können. Ein Programmierbeispiel und weitere Informationen finden Sie im Thema "Überwachung/Auswertung von Diagnoseinformationen der Maschine".
Signaltyp	Diagnosesignal
Datentyp	SAFEBOOL
Zugriffsart	Variable kann von der sicherheitsbezogenen Applikation gelesen werden
Mögliche Werte	SAFEFALSE: SafeModuleOK = SAFEFALSE, oder Kanal xx arbeitet nicht korrekt, beispielsweise wegen eines Kabelbruchs. SAFETRUE: SafeModuleOK = SAFETRUE, und Kanal xx arbeitet korrekt, das Ausgangssignal (Freigabe für die Applikation) wird gemäß der programmierten sicherheitsbezogenen Applikation angewendet. HINWEIS: Zur Fehleranzeige beachten Sie auch die entsprechenden LEDs der betroffenen Module.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS Verifizieren Sie, dass das SafeOutputxx-Signal in der sicherheitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist). Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Verifizieren Sie, dass das SafeOutputxx-Signal in der sicherheitsbezogenen Applikation nur verwendet wird, so lange das zugehörige Diagnosesignal SAFETRUE ist (falls dies durch die Ergebnisse Ihrer Risikoanalyse vorgegeben ist).
Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die Verarbeitung von Eingangswerten und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

ReleaseOutputxx und ReleaseOutputxxyy

Beschreibung	ReleaseOutputxx ist das Freigabesignal für das einkanalige Ausgangssignal SafeOutputxx. ReleaseOutputxxyy ist das Freigabesignal für das zweikanalige Ausgangssignal SafeOutputxxyy, welches die Kombination aus den Ausgangskanälen xx und yy ist. Falls eine Wiederanlaufsperre für den Kanal xx/xxyy aktiv ist (Parameter 'AutomatischerWiederanlauf = Nein'), bleibt der sicherheitsbezogene Ausgang nach Rücknahme der Sicherheitsanforderung oder, im Falle eines Modulfehlers, nach Beseitigung der Fehlerursache im definierten sicheren Zustand. Damit wird ein ungewollter Neustart der Maschine/Anlage verhindert. Im Fall einer vorgegebenen Wiederanlaufsperre muss diese durch eine steigende Flanke des entsprechenden Freigabe-Signals aufgehoben werden, um die Funktion der Maschine/Anlage zu ermöglichen. Das Rücksetzen eines Diagnosestatus und das Setzen eines Ausgangs darf zu keinerlei Gefährdung führen. Setzen Sie im Zweifelsfall anstelle des einzelnen Kanals das gesamte System zurück. Beachten Sie hierzu den Gefahrenhinweis unter der Tabelle Weitere Informationen: Weitere Informationen und ein Anwendungsbeispiel finden Sie im Thema "Überwachung/Auswertung von Diagnoseinformationen der Maschine". HINWEIS: Wenn ein sicherheitsbezogenes Modul im definierten sicheren Zustand und SafeModuleOK = SAFEFALSE ist, kann das Signal ReleaseOutputxx/xxyy nicht zur Freigabe des Kanals verwendet werden. Stattdessen ist ein Neustart des Moduls erforderlich. Beispiel: Nachdem Eingangswerte den zugelassenen elektrischen Maximalwert gemäß technischer Daten des Geräts überschritten haben, muss das Modul neu gestartet werden.
Signaltyp	Steuersignal
Datentyp	SAFEBOOL
Zugriffsart	Variable kann von der sicherheitsbezogenen Applikation geschrieben werden
Mögliche Werte	SAFEFALSE: Ausgangssignal bleibt gesperrt. Flanke SAFEFALSE > SAFETRUE: Aufhebung der Wiederanlaufsperre und Freigabe des Ausgangskanals (Kanalpaars).
Relevante Modulparameter	In der Parametergruppe mit derselben Kanalnummer xx/xxyy: AutomatischerWiederanlauf Die Parameterbeschreibungen finden Sie oben in diesem Thema.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen des Rücksetzens des Diagnosestatus eines Moduls oder I/O-Kanals und dem Setzen eines Ausgangskanals. Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht. Validieren Sie die gesamte Sicherheitsfunktion und prüfen Sie die Applikation sorgfältig. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen des Rücksetzens des Diagnosestatus eines Moduls oder I/O-Kanals und dem Setzen eines Ausgangskanals.
Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
Validieren Sie die gesamte Sicherheitsfunktion und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.