Parametrieren von ASi Gateways in EcoStruxure Machine Expert™ – Safety

Dieses Thema beschreibt, welche Einstellungen für das ASi Gateway in EcoStruxure Machine Expert™ – Safety vorzunehmen sind. Es enthält die folgenden Informationen:

HINWEIS:

Beachten Sie beim Parametrieren der ASi Gateway-Geräte die Hinweise in Abschnitt "Hinweise zu verteilten Automatisierungssystemen".

Hinzugefügte ASi Gateways in EcoStruxure Machine Expert™ – Safety bestätigen

Weitere Informationen:

Begriffsdefinition: Im Folgenden steht die Bezeichnung 'x Bytes Safe Sercos Data' je nach Gateway-Typ sowohl für das 8 als auch für das 12 Bytes große Objekt. (x = 8 für das BWU2984 und x = 12 für das ASi-5/ASi-3 Gateway.)

Nachdem Sie in der EcoStruxure Machine Expert™-Busstruktur ein ASi Gateway und das 'x Bytes Safe Sercos Data'-Geräteobjekt eingefügt haben, ist das ASi Gateway automatisch in das sicherheitsbezogene Projekt integriert. Beim Öffnen des sicherheitsbezogenen Projekts wird die Liste der sicherheitsbezogenen Geräte zwischen EcoStruxure Machine Expert™ und EcoStruxure Machine Expert™ – Safety synchronisiert. Diese Gerätesynchronisierung wird zyklisch wiederholt, solange das Projekt in EcoStruxure Machine Expert™ – Safety geöffnet ist. Beim Einfügen sicherheitsbezogener ASi Gateways muss dieses Einfügen manuell in EcoStruxure Machine Expert™ – Safety bestätigt werden.

Gehen Sie folgendermaßen vor:

Starten Sie EcoStruxure Machine Expert™ – Safety in EcoStruxure Machine Expert™, indem Sie im Gerätebaum auf das Symbol des Sicheren Logik-Controllers rechtsklicken und 'Machine Expert – Safety > Projekt editieren [ LMC PacDrive > SLC_TM5CSLCx00FS ]' aus dem Kontextmenü wählen.
Melden Sie sich auf Entwicklungsebene in EcoStruxure Machine Expert™ – Safety an (oder definieren Sie ein neues Kennwort).
Es erscheint erscheint der Dialog 'Bestätigung geänderter SDIO-Geräte'.

Bestätigen Sie jedes eingefügte ASi Gateway, indem Sie das zugehörige Kontrollkästchen aktivieren und bestätigen Sie anschließend den Dialog mit 'OK'. (Siehe (1) und (2) im folgenden Beispiel.)

Falls Sie die Änderungen in der Geräteliste ablehnen, indem Sie auf 'Abbrechen' klicken, wird EcoStruxure Machine Expert™ – Safety geschlossen.

Beispiel

Nach der Bestätigung erscheinen die hinzugefügten ASi Gateways im EcoStruxure Machine Expert™ – Safety-Gerätebaum ('Geräte'-Fenster) als Kindelemente des Sicheren Logik-Controllers.

Beispiel: ASi Gateway mit Gerätekennung SL1.SM2
Parametrieren Sie die ASi Gateway-Geräte wie im folgenden Abschnitt beschrieben.

Weitere Informationen:

Wie Sie die im 'x Bytes Safe Sercos Data'-Geräteobjekt enthaltenen Eingangs- und Ausgangsbits in den sicherheitsbezogenen Code einfügen (und dadurch den Status der ASi-Geräte lesen und deren Ausgänge schreiben können), erfahren Sie im Thema "Auswerten und Schreiben auf ASi-I/O-Geräte in EcoStruxure Machine Expert™ – Safety".

ASi Gateway in EcoStruxure Machine Expert™ – Safety parametrieren

Sie implementieren ein hochgradig verteiltes System, welches aus einer ASi-Applikation (ausgeführt vom ASi Gateway), einer nicht-sicherheitsbezogenen LMC-(PacDrive3)-Applikation und einer sicherheitsbezogenen SLC-Applikation besteht. Beachten Sie, dass die Erweiterung Ihrer Sicherheitsapplikation um die ASi-Feldbusebene Auswirkungen auf die Funktion, die Leistung und die Gesamt-Reaktionszeit Ihrer Systemapplikation haben kann. Es gibt keine übergeordnete, steuerungsübergreifende Verifizierungsinstanz (oder Kompiler), die prüft, ob die verschiedenen Logiken (Gateway, LMC, SLC) in der verteilten Steuerungsapplikation korrekt interagieren.

Insbesondere muss die Gesamt-Reaktionszeit für die Sicherheitsfunktion untersucht und präzise verifiziert werden, da diese Zeit durch die Integration des ASi-Feldbuses (mit angeschlossenen ASi-Geräten) erhöht wird.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS Prüfen Sie, ob die sicherheitsbezogenen Parameter Ihrer Risikoanalyse entsprechen und berücksichtigen Sie jede mögliche Betriebsart bzw. jedes Szenario, das die Sicherheitsapplikation abdecken soll. Prüfen Sie, ob die Gesamt-Reaktionszeit der Sicherheitsfunktion auch die spezifische Reaktionszeit für das ASi Gateway und die angeschlossenen ASi-I/Os berücksichtigt. Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die resultierende Gesamt-Reaktionszeit und prüfen Sie die Applikation sorgfältig. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Prüfen Sie, ob die sicherheitsbezogenen Parameter Ihrer Risikoanalyse entsprechen und berücksichtigen Sie jede mögliche Betriebsart bzw. jedes Szenario, das die Sicherheitsapplikation abdecken soll.
Prüfen Sie, ob die Gesamt-Reaktionszeit der Sicherheitsfunktion auch die spezifische Reaktionszeit für das ASi Gateway und die angeschlossenen ASi-I/Os berücksichtigt.
Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die resultierende Gesamt-Reaktionszeit und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

HINWEIS:

Der Sichere Logik-Controller erkennt nicht die ASi-I/O-Geräte am ASi-Feldbus. Er kommuniziert nur mit dem ASi Gateway als Sercos-Teilnehmer. Daher beziehen sich die einzustellenden, sicherheitsbezogenen Parameter in EcoStruxure Machine Expert™ – Safety nur auf die Funktionalität des ASi Gateway als Sercos-Busgerät. Die ASi-I/Os können in EcoStruxure Machine Expert™ – Safety nicht parametriert werden.

Doppelklicken Sie im Gerätebaum ('Geräte'-Fenster) auf das zu parametrierende ASi Gateway. Die Parameter werden nun im Geräteparametrierungseditor rechts neben dem Gerätebaum im 'Geräte'-Fenster angezeigt.
Stellen Sie die Parameter in den Gruppen 'Basic', 'SafetyResponseTime' und 'SafetyConfiguration' ein. Diese Parameter werden in den nachfolgenden Abschnitten beschrieben.

Parametergruppe: Basic

Parameter: MinErforderlicheFWVer

Standardwert	Basic Release
Einheit	-/-
Beschreibung	Dieser Parameter ist nur relevant, wenn andere Firmware-Versionen, als die vom Hersteller geladene Version ausgeführt werden. Um in den Betriebszustand zu gelangen, muss im Modul die hier parametrierte Firmware-Version oder eine neuere Version installiert werden. Der Eintrag 'Test Version' kennzeichnet eine Firmware-Version des Geräts, die noch nicht freigegeben ist. Eine Sicherheitsanwendung kann nicht abgenommen werden, wenn Geräte mit einer Firmware-Testversion beteiligt sind.

Parameter: Optional

Standardwert	Nein
Einheit	-/-
Beschreibung	Das Modul kann mit Hilfe dieses Parameters als optional konfiguriert werden. Optionale Module müssen nicht vorhanden sein (physikalisch oder kommunikativ), d.h. ein fehlendes optionales Modul wird vom Sicheren Logik-Controller nicht gemeldet. Dieser Parameter beeinflusst nicht das Signal oder die Statusdaten des Moduls.
Mögliche Werte	Nein: Dieses Modul ist nicht optional. Dieses Modul muss nach dem Start in den Betriebsmodus Operational gehen und es muss eine sicherheitsbezogene Kommunikation mit dem Sicheren Logik-Controller erfolgreich hergestellt werden (angezeigt durch SafeModuleOK = SAFETRUE). Die Verarbeitung der sicherheitsbezogenen Applikation im Sicheren Logik-Controller wird nach dem Starten solange verzögert, bis dieser Zustand für alle Module mit 'Optional = Nein' erreicht ist. Nach dem Starten werden erkannte Fehler in solchen sicherheitsbezogenen Modulen durch die schnell blinkende MXCHG-LED am Sicheren Logik-Controller angezeigt. Außerdem erfolgt ein Eintrag in das Logbuch. Ja: Dieses Modul ist optional, d.h. es ist für die sicherheitsbezogene Applikation nicht erforderlich. Dieses Modul wird während des Startens nicht berücksichtigt, d.h. die sicherheitsbezogene Applikation wird gestartet, auch wenn sich Module mit 'Optional = Ja' nicht im Betriebszustand 'Operational' befinden oder die sicherheitsbezogene Kommunikation nicht erfolgreich aufgebaut werden konnte. Nach dem Starten werden erkannte Fehler in solchen sicherheitsbezogenen Modulen NICHT am Sicheren Logik-Controller angezeigt. Es erfolgt auch kein Eintrag in das Logbuch. Hochlauf: Dieses Modul ist optional, Entscheidungen in Bezug auf sein weiteres Verhalten werden während des Hochlaufens getroffen. Falls während des Hochlaufens erkannt wird, dass das Modul physikalisch vorhanden ist (auch wenn es nicht im Betriebszustand 'Operational' ist), verhält sich das Modul als ob 'Optional = Nein' gesetzt war. Falls während des Hochlaufens erkannt wird, dass das Modul physikalisch nicht vorhanden ist, verhält sich das Modul als ob 'Optional = Ja' gesetzt war.

Der Parameter Optional ist ein Mechanismus, um Ihr Sicherheitssystem an unterschiedliche Maschinenkonfigurationen anzupassen. Es ist jedoch möglich, dass als optional parametrierte Module in einer wechselnden/anderen Konfiguration erforderlich sind.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND Stellen Sie anhand eines Funktiontests sicher, dass die Module, für die Optional auf 'Ja' oder 'Hochlauf' eingestellt ist, vorhanden sind, wenn diese in wechselnden/anderen Maschinenkonfigurationen erforderlich sind. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Safety-Reaktionszeit - allgemeine Informationen

Die Safety-Reaktionszeit ist die Zeit zwischen dem Eintreffen des Sensorsignals am Eingangskanal eines sicherheitsbezogenen Eingangsmoduls und dem Abschaltsignal am Ausgangskanal eines sicherheitsbezogenen Ausgangsmoduls.

Die in EcoStruxure Machine Expert™ – Safety berechnete Safety-Reaktionszeit beinhaltet nicht die spezifische Reaktionszeit des ASi Gateway und dessen angeschlossene ASi-I/Os. Sie berücksichtigt nur die Reaktionszeit des PacDrive 3-Systems bis zur Übertragung des Prozessabbildspeichers im ASi Gateway.

Das bedeutet: Durch die Integration eines ASi Gateway mit angeschlossenen ASi-Geräten erhöht sich die Gesamt-Reaktionszeit der Sicherheitsfunktion.

Die für die Safety-Reaktionszeit relevanten Parameter unterscheiden sich je nach Steuerungs-/Gerätegeneration (SLCv1 und SLCv2).

HINWEIS:

Welche Gerätegeneration (in EcoStruxure Machine Expert™ ausgewählt) Sie konfigurieren, wird in der kurzen Gerätebeschreibung über der Parametertabelle angezeigt (während das jeweilige Gerät im Baum links ausgewählt ist).

Einzelheiten zur Berechnung der Safety-Reaktionszeit und zu den Unterschieden zwischen den SLC-Generationen sind im Anwenderhandbuch zu EcoStruxure Machine Expert - Safety beschrieben. Dort finden Sie ein separates Kapitel für jede Gerätegeneration:

Safety-Reaktionszeit für SLCv1
Safety-Reaktionszeit für SLCv2

Im Dialog 'Reaktionszeitrechner' in EcoStruxure Machine Expert™ – Safety ('Projekt > Menüpunkt 'Reaktionszeitrechner') wird dies wie folgt angezeigt: Nachdem Sie ein ASi Gateway (Fremdgerät) als Eingangs- oder/und Ausgangsmodul ausgewählt haben, erscheint eine Meldung, dass die Reaktionszeiten des ASi Gateway und der angeschlossenen ASi-Geräte manuell zur berechneten Reaktionszeit hinzuaddiert werden müssen, um die Gesamt-Reaktionszeit der Sicherheitsfunktion zu bestimmen.

Diese ASi-spezifische Reaktionszeit wird in der folgenden Abbildung als t_{RT ASi} bezeichnet. t_{RT ASi} muss Folgendes beinhalten: ASi-Buszykluszeit, Übertragungszeiten zwischen Sercos und ASi-Bus, Verarbeitungszeit im Sensor und Applikationsverarbeitung im ASi Gateway (abhängig von Ihrer Applikation).

Weitere Informationen:

Weitere Informationen zur Berechnung und Bestimmung der ASi-spezifischen Reaktionszeiten finden Sie in der Dokumentation von Bihl+Wiedemann.

Safety-Reaktionszeit für ein sicherheitsbezogenes System mit einem Gerät der Generation SLCv1.

Safety-Reaktionszeit für ein sicherheitsbezogenes System mit einem Gerät der Generation SLCv2.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS Prüfen Sie, ob die Gesamt-Reaktionszeit der Sicherheitsfunktion auch die spezifische Reaktionszeit für das ASi Gateway und die angeschlossenen ASi-I/Os berücksichtigt. Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die resultierende Gesamt-Reaktionszeit und prüfen Sie die Applikation sorgfältig. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Prüfen Sie, ob die Gesamt-Reaktionszeit der Sicherheitsfunktion auch die spezifische Reaktionszeit für das ASi Gateway und die angeschlossenen ASi-I/Os berücksichtigt.
Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf die resultierende Gesamt-Reaktionszeit und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Parametergruppe: SafetyResponseTime (trifft nur für SLCv1 zu)

HINWEIS:

Dieser Abschnitt betrifft nur sicherheitsbezogene Systeme mit einem Gerät der Generation SLCv1 (SLC100 oder SLC200). Welche Gerätegeneration in Ihrem Projekt konfiguriert ist, sehen Sie in der kurzen Gerätebeschreibung über der Parametertabelle (während das Gerät links im Baum markiert ist).

Die Parameter in dieser Gruppe beeinflussen die Safety-Reaktionszeit des Sicheren Logik-Controller-Systems.

Die Parameter KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit in dieser Gruppe gelten nur dann für dieses Modul, wenn ManuelleKonfiguration auf 'Ja' gesetzt ist.

Parameter: ManuelleKonfiguration

Standardwert	Nein
Einheit	-/-
Beschreibung	Gibt an, ob das Modul seine eigenen modulspezifischen Safety-Reaktionszeit-relevanten Parameter (KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit) verwendet oder die Standardwerte, die in der Parametergruppe 'SafetyResponseTimeDefaults' des Sicheren Logik-Controllers vorgegeben sind. Die Verwendung modulspezifischer Parameter kann die optimale Anpassung des Systems an anwendungsspezifische Anforderungen hinsichtlich der Safety-Reaktionszeit ermöglichen.
Parameterwert	Nein: Das Modul übernimmt für die Parameter KommunikationsWatchdog, MinDatenübertragungszeit und MaxDatenübertragungszeit die Werte aus der Parametergruppe 'SafetyResponseTimeDefaults' des Sicheren Logik-Controllers. Ja: Das Modul verwendet seine eigenen Parameterwerte.

Parameter: MinDatenübertragungszeit

Standardwert	12
Einheit	100 µs
Beschreibung	Legt die benötigte Mindestzeit für die Übertragung eines Datentelegramms zwischen Producer und Consumer fest. Wird ein Telegramm früher (vom Consumer) empfangen, als durch diesen Parameterwert vorgegeben, so wird die Kommunikation als ungültig betrachtet. EcoStruxure Machine Expert™ – Safety verfügt über einen Berechnungsdialog für die Bestimmung dieses Parameterwertes. Begriffsdefinition und Hintergrundinformation Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer. Jedes Telegramm enthält einen Zeitstempel für die Zeitvalidierung der Kommunikation. Beim Empfang eines Telegramms vergleicht der Consumer diesen Zeitstempel mit der aktuellen Zeit. Falls der Zeitplan eingehalten wurde, wird die Kommunikation als gültig betrachtet. Wird ein Telegramm früher empfangen, als durch diesen Parameter definiert, wird die Kommunikation als ungültig betrachtet und nicht weiter fortgesetzt. Dadurch steuert auch das Prozessdaten-Element 'SafeModuleOK' auf SAFEFALSE und zeigt damit an, dass die sicherheitsbezogene Kommunikation des Moduls nicht länger gültig ist. Die Auswirkungen für den Rest der sicherheitsbezogenen Systeme hängen von der definierten sicherheitsbezogenen Funktion ab.
Berechnung der Werte	So berechnen Sie den modulspezifischen MinDatenübertragungszeit-Wert Wählen Sie 'Projekt > Reaktionszeit Relevante Parameter'. Öffnen Sie im erscheinenden Dialog das Register 'Manuell'. Abschnitt 'Variable Parameter': Falls zur Berechnung des Parameterwerts MinDataTransportTime eine andere Sercos III-Zykluszeit als die in EcoStruxure Machine Expert™ eingestellte verwendet wird (z.B. um Änderungen der Zykluszeit durch das Anwendungsprogramm zu berücksichtigen), markieren Sie 'Selektierbar' und wählen unter 'Sercos III Zykluszeit' die gewünschte Zeit aus bzw. geben diese ein. Das Kontrollkästchen 'Ring/Doppellinie' beeinflusst nur den Wert MaxDatenübertragungszeit. Das Kontrollkästchen 'Ring/Doppellinie' beeinflusst nicht den Wert MinDatenübertragungszeit. Ein eingegebener 'Paketverlust' beeinflusst nicht den Wert für MinDatenübertragungszeit, sondern nur den KommunikationsWatchdog-Wert. Der Abschnitt 'System Parameter' ist schreibgeschützt und zeigt System-/Moduleigenschaften an, die in EcoStruxure Machine Expert™ eingestellt wurden. Werden diese Parameter dort verändert während der Dialog geöffnet ist, aktualisieren sich die Werte automatisch ohne Schließen des Berechnungsdialogs. Der berechnete modulspezifische Wert für MinDatenübertragungszeit wird im Bereich 'Ergebnis' angezeigt. Notieren Sie den Ergebniswert und geben Sie ihn für den Parameter MinDatenübertragungszeit in die Parametertabelle des aktuellen Moduls ein.
Praktische Werte	Die Verwendung des in EcoStruxure Machine Expert™ – Safety berechneten Werts für MinDatenübertragungszeit hilft beim Aufbau eines stabil laufenden Systems. Zulässiger Wertebereich: 12-500

Parameter: MaxDatenübertragungszeit

Standardwert	250
Einheit	100 µs
Beschreibung	Definiert die erlaubte maximale Zeit für die Übertragung eines Datentelegramms zwischen Producer und Consumer. Wird ein Telegramm später (vom Consumer) empfangen, als durch diesen Parameterwert vorgegeben, so wird die Kommunikation als ungültig angesehen. EcoStruxure Machine Expert™ – Safety verfügt über einen Berechnungsdialog für die Bestimmung dieses Parameterwertes. HINWEIS: Der Parameterwert beeinflusst die von EcoStruxure Machine Expert™ – Safety berechnete Safety-Reaktionszeit. Begriffsdefinition und Hintergrundinformation Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer. Jedes Telegramm enthält einen Zeitstempel für die Zeitvalidierung der Kommunikation. Beim Empfang eines Telegramms vergleicht der Consumer diesen Zeitstempel mit der aktuellen Zeit. Falls der Zeitplan eingehalten wurde, wird die Kommunikation als gültig betrachtet. Wird ein Telegramm später empfangen, als durch diesen Parameter definiert, wird die Kommunikation als ungültig betrachtet und nicht weiter fortgesetzt. Die Auswirkungen für den Rest der sicherheitsbezogenen Systeme hängen von der definierten sicherheitsbezogenen Funktion ab.
Berechnung der Werte	So berechnen Sie den modulspezifischen Wert für MaxDatenübertragungszeit Wählen Sie 'Projekt > Reaktionszeit Relevante Parameter'. Öffnen Sie im erscheinenden Dialog das Register 'Manuell'. Abschnitt 'Variable Parameter': Falls zur Berechnung des Parameterwerts MaxDatenübertragungszeit eine andere Sercos III-Zykluszeit als die in EcoStruxure Machine Expert™ eingestellte verwendet wird (z.B. um Änderungen der Zykluszeit durch das Anwendungsprogramm zu berücksichtigen), markieren Sie 'Selektierbar' und wählen unter 'Sercos III Zykluszeit' die gewünschte Zeit aus bzw. geben diese ein. Kontrollkästchen 'Ring/Doppellinie': Ring- und Doppellinienstrukturen erfordern zum Aufbau eines stabil laufenden Systems höhere Parameterwerte. Selektieren Sie 'Ring/Doppellinie', um die Busstruktur zu berücksichtigen. Das Kontrollkästchen ist standardmäßig markiert und so für eine Ringstruktur wie auch für eine Doppellinienstruktur geeignet. Wenn Sie eine Linienstruktur realisieren, kann das Kontrollkästchen deaktiviert werden, um den resultierenden Parameterwert zu verringern. Werte, die für eine Ring-/Doppellinienstruktur berechnet wurden, können für eine Linienstruktur verwendet werden, umgekehrt jedoch nicht. Ein eingegebener 'Paketverlust' beeinflusst nicht die MaxDatenübertragungszeit, sondern nur den KommunikationsWatchdog-Wert. Der berechnete modulspezifische MaxDatenübertragungszeit-Wert wird angezeigt. Modulspezifische Parameter (z.B. in EcoStruxure Machine Expert™ eingestellte Zykluszeiten) werden zu Ihrer Information ebenfalls in der Tabelle angezeigt. Werden diese Parameter dort verändert während der Dialog geöffnet ist, aktualisieren sich die Werte automatisch ohne Schließen des Berechnungsdialogs. Notieren Sie den resultierenden modulspezifischen Wert und geben Sie ihn in das Tabellenfeld des Parameters MaxDatenübertragungszeit für das aktuelle Modul ein.
Praktische Werte	Die Verwendung des in EcoStruxure Machine Expert™ – Safety berechneten Werts für MaxDatenübertragungszeit hilft beim Aufbau eines stabil laufenden Systems. Zulässiger Wertebereich: 12-65.000

Parameter: KommunikationsWatchdog

Standardwert	200
Einheit	100 µs
Beschreibung	Definiert die maximale Zeitspanne, in der ein Consumer ein gültiges Datentelegramm von einem Producer empfangen muss, damit die sicherheitsbezogene Kommunikation als gültig betrachtet und die Applikation fortgesetzt wird. Der Parameter stellt einen Watchdog-Timer ein, der den rechtzeitigen Empfang der Telegramme vom Producer im Consumer überwacht. Läuft der Watchdog ab, so wird die Kommunikation als ungültig betrachtet. EcoStruxure Machine Expert™ – Safety verfügt über einen Berechnungsdialog für die Bestimmung dieses Parameterwertes. HINWEIS: Der Parameterwert beeinflusst die von EcoStruxure Machine Expert™ – Safety berechnete Safety-Reaktionszeit. Begriffsdefinition und Hintergrundinformation Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer. Der KommunikationsWatchdog-Wert hängt physikalisch von der Übertragungszeit ab, die für die Übertragung des Telegramms von einem Producer zu einem Consumer benötigt wird, und wird zur Berechnung der ungünstigsten Gesamtreaktionszeit des Systems verwendet. Deshalb hängt der berechnete Wert vom Wert des Parameters MaxDatenübertragungszeit ab. Falls der Empfänger das Telegramm rechtzeitig erhält (KommunikationsWatchdog ist nicht abgelaufen und die Übertragungszeit liegt innerhalb der durch die Parameter MinDatenübertragungszeit und MaxDatenübertragungszeit vorgegeben Zeitgrenzen), wird der Watchdog-Timer erneut gestartet und die Kommunikation wird als gültig betrachtet. Der Zeitstempel im eingehenden Telegramm wird dabei nicht ausgewertet. Relevant ist nur, dass das Telegramm empfangen wird. Falls kein Telegramm empfangen wird (wegen Verzögerung oder Verlust) und der KommunikationsWatchdog im Consumer abläuft, nimmt das Modul seinen definierten sicheren Zustand ein. Dadurch steuert auch das Prozessdaten-Element 'SafeModuleOK' auf SAFEFALSE und zeigt damit an, dass die sicherheitsbezogene Kommunikation des Moduls nicht länger gültig ist.
Berechnung der Werte	So berechnen Sie den modulspezifischen KommunikationsWatchdog-Wert Wählen Sie 'Projekt > Reaktionszeit Relevante Parameter'. Öffnen Sie im erscheinenden Dialog das Register 'Manuell'. Abschnitt 'Variable Parameter': Falls zur Berechnung des KommunikationsWatchdog-Parameterwerts eine andere Sercos III-Zykluszeit als die in EcoStruxure Machine Expert™ eingestellte verwendet wird (z.B. um Änderungen der Zykluszeit durch das Anwendungsprogramm zu berücksichtigen), markieren Sie 'Selektierbar' und wählen unter 'Sercos III Zykluszeit' die gewünschte Zeit aus bzw. geben diese ein. Kontrollkästchen 'Ring/Doppellinie': Ring- und Doppellinienstrukturen erfordern zum Aufbau eines stabil laufenden Systems höhere Parameterwerte. Selektieren Sie 'Ring/Doppellinie', um die Busstruktur zu berücksichtigen. Das Kontrollkästchen ist standardmäßig markiert und so für eine Ringstruktur wie auch für eine Doppellinienstruktur geeignet. Wenn Sie eine Linienstruktur realisieren, kann das Kontrollkästchen deaktiviert werden, um den resultierenden Parameterwert zu verringern. Werte, die für eine Ring-/Doppellinienstruktur berechnet wurden, können für eine Linienstruktur verwendet werden, umgekehrt jedoch nicht. Durch Erhöhen der Anzahl an erlaubten Paketverlusten wird das System toleranter. Dadurch erhöht sich das berechnete minimale Watchdogintervall. Geben Sie einen ganzzahligen Wert zwischen 0 und 99 ein, um die Anzahl an Telegrammen festzulegen, die verloren gehen dürfen. Der eingegebene Wert gilt für alle beteiligten sicherheitsbezogenen Module. Der berechnete KommunikationsWatchdog-Wert wird für das Modul angezeigt. Modulspezifische Parameter (z.B. in EcoStruxure Machine Expert™ eingestellte Zykluszeiten) werden zu Ihrer Information ebenfalls in der Tabelle angezeigt. Werden diese Parameter dort verändert während der Dialog geöffnet ist, aktualisieren sich die Werte automatisch ohne Schließen des Berechnungsdialogs. Notieren Sie den resultierenden modulspezifischen Wert und geben Sie ihn in das entsprechende Tabellenfeld für den Parameter KommunikationsWatchdog des aktuellen Moduls ein.
Praktische Werte	Für den KommunikationsWatchdog-Wert, den Sie in die Parametertabelle ('Geräte'-Fenster) eingeben müssen, gilt Folgendes: Für die Inbetriebnahme eines Systems sollte der KommunikationsWatchdog-Wert gleich groß oder größer sein als die größte Zykluszeit im System (z.B. die Sercos III-Zykluszeit). Ein höherer Wert als der berechnete KommunikationsWatchdog-Wert erhöht die Verfügbarkeit des Systems aber auch die ungünstigste Gesamtreaktionszeit (wodurch sich die erforderlichen physikalischen Abstände für die Montage der Sicherheitsbarrieren und Perimeter an der Maschine vergrößern). Zulässiger Wertebereich: 1-65.535

Parametergruppe: SafetyResponseTime (trifft nur für SLCv2 zu)

HINWEIS:

Dieser Abschnitt betrifft nur sicherheitsbezogene Systeme mit einem Gerät der Generation SLCv2 (SLC300 oder SLC400). Welche Gerätegeneration in Ihrem Projekt konfiguriert ist, sehen Sie in der kurzen Gerätebeschreibung über der Parametertabelle (während das Gerät links im Baum markiert ist).

Die Parameter in dieser Gruppe beeinflussen die Safety-Reaktionszeit des Sicheren Logik-Controller-Systems. Die Parameter SicherheitsdatenÜbertragungsdauer und TolerierterPaketverlust in dieser Gruppe gelten für das Modul nur dann, wenn ManuelleKonfiguration auf 'Ja' gesetzt ist.

Parameter: ManuelleKonfiguration

Standardwert	Nein
Einheit	-/-
Beschreibung	Gibt an, ob das Modul seine eigenen modulspezifischen Safety-Reaktionszeit-relevanten Parameter (SicherheitsdatenÜbertragungsdauer und TolerierterPaketverlust) verwendet oder die Werte, die in der Parametergruppe 'SafetyResponseTimeDefaults' des Sicheren Logik-Controllers vorgegeben sind. Die Verwendung modulspezifischer Parameter kann die optimale Anpassung des Systems an anwendungsspezifische Anforderungen hinsichtlich der Safety-Reaktionszeit ermöglichen.
Parameterwert	Nein: Das Modul übernimmt für die Parameter SicherheitsdatenÜbertragungsdauer und TolerierterPaketverlust die Werte aus der Parametergruppe 'SafetyResponseTimeDefaults' des Sicheren Logik-Controllers. Ja: Das Modul verwendet seine eigenen Parameterwerte.

Parameter: SicherheitsdatenÜbertragungsdauer

Standardwert	200
Wertebereich Schrittweite	25...9.380 1
Einheit	100 µs
Beschreibung	Dieser Parameter beeinflusst die Safety-Reaktionszeit der sicherheitsbezogenen Applikation. Der Parameter gibt die maximal zulässige Zeit für die Datenübertragung von einem sicherheitsbezogenen Producer zu einem Consumer an, d. h. von einem Eingangsmodul zum SLC oder vom SLC zu einem Ausgangsmodul. Aus diesem Parameterwert und dem Wert des Parameters 'TolerierterPaketverlust' (siehe unten) und weiteren modulspezifischen Verarbeitungszeiten wird die Safety-Reaktionszeit (SRZ) berechnet. Überprüfen Sie die aus den hier eingegebenen Parameterwerten resultierende SRZ im Dialog 'Reaktionszeitrechner' in EcoStruxure Machine Expert™ – Safety (Menüpunkt 'Projekt > Reaktionszeitrechner').
Berechnung der Werte	Die Risikoanalyse, die Sie für Ihre sicherheitsbezogene Applikation ausgeführt haben, liefert die maximal zulässige Gesamt-Reaktionszeit der Sicherheitsfunktion und, als Teil davon, die Safety-Reaktionszeit (SRZ) der Signalkette. Die SRZ für das ASi Gateway setzt sich aus folgenden Zeitwerten zusammen: `SRT = SDDi * (TPL +1) + SDDo * (TPL +1) + SPTo` Mit `SDDi` = SicherheitsdatenÜbertragungsdauer im Eingangspfad, `SDDi` = SicherheitsdatenÜbertragungsdauer im Ausgangspfad, `SPTo` = Safety-Verarbeitungszeit im sicherheitsbezogenen Ausgangsmodul, (inkl. konfigurierte Verzögerungszeiten), `TPL` = Anzahl der erlaubten Paketverluste. Dieser erlaubte SRZ-Wert dient als Basis für die Berechnung der Werte für SicherheitsdatenÜbertragungsdauer (SafeDataDuration, SDD) und TolerierterPaketverlust (ToleratedPacketLoss, TPL), die Sie in die Parametertabelle eingeben müssen. Ziehen Sie von der zulässigen SRZ die Verarbeitungszeit des sicherheitsbezogenen Ausgangsmoduls (SPTo) ab. Das Ergebnis ist die maximal zulässige Gesamtzeit für die Übertragung der sicherheitsbezogenen Daten auf dem gesamten Sicherheitspfad, d. h. vom ASi Gateway zum Ausgangsmodul. Da sich der Parameter SicherheitsdatenÜbertragungsdauer nur auf einen Übertragungsweg bezieht (ASi Gateway -> SLC oder SLC -> Ausgangsmodul), müssen Sie den Wert durch 2 teilen, um den Wert zu erhalten, den Sie in die Parametertabelle eingeben müssen. Wird ein Paketverlust toleriert, muss dieser ebenfalls berücksichtigt werden. Die Formel für die Berechnung lautet wie folgt: `SDD = (SRT - SPTo) / (2* (TPL + 1))`

Parameter: TolerierterPaketverlust

Standardwert	1
Wertebereich Schrittweite	0...10 1
Einheit	Datenpakete
Beschreibung	Dieser Parameter gibt an, wie viele Pakete während der Datenübertragung maximal verloren gehen dürfen. Die Anzahl der verlorenen Pakete wirkt sich auf die Safety-Reaktionszeit aus. Aus diesem Parameterwert und dem Wert des Parameters 'SicherheitsdatenÜbertragungsdauer' wird die Safety-Reaktionszeit (SRZ) des Systems berechnet. Überprüfen Sie die aus den hier eingegebenen Parameterwerten resultierende SRZ im Dialog 'Reaktionszeitrechner' in EcoStruxure Machine Expert™ – Safety (Menüpunkt 'Projekt > Reaktionszeitrechner').

Parametergruppe: SafetyConfiguration

Parameter: ConfigID

Jede ASi-Applikation wird durch eine eindeutige Prüfsumme verifiziert. Diese wird in ASIMON360 vor dem Kopieren der Konfigurationsdaten in das ASi Gateway und der Inbetriebnahme der ASi-Applikation erzeugt. In ASIMON360 heißt diese Prüfsumme ConfigID.

Die Prüfsumme wird in EcoStruxure Machine Expert™ – Safety verwendet, um zu verifizieren, ob die im ASi Gateway geladene Konfiguration gültig ist und der in EcoStruxure Machine Expert™ – Safety bekannten Konfiguration entspricht.

HINWEIS:

Jede Modifikation in der ASi-Applikation führt zu einer neu berechneten ConfigID. Nach einer Modifikation der ASi-Applikation, dem daraus resultierenden Eintragen des neuen ConfigID-Wertes in EcoStruxure Machine Expert™ – Safety und dem Neuerzeugen (Kompilieren) der sicherheitsbezogenen SLC-Applikation, ändert sich auch die 'Projekt-CRC' der SLC-Applikation. (Die 'Projekt-CRC' wird im 'Projekt-Info'-Dialog in EcoStruxure Machine Expert™ – Safety angezeigt.) Beachten Sie, dass eine geänderte 'Projekt-CRC' eine erneute Abnahmeprüfung für das gesamte sicherheitsbezogene Projekt zur Folge hat.

Entnehmen Sie die ConfigID-Prüfsumme aus dem ASIMON360-Konfigurationstool und geben Sie sie im Parametrierungseditor als ConfigID-Wert ein.

Sie können die ConfigID auch am ASi Gateway-Gerät anzeigen. Drücken Sie dazu am Gerät die 'OK'-Taste, um ins Menü zu gelangen und wählen Sie 'Safety > Safe Sercos > Config IDs (Node and Manager)', um die ConfigID anzuzeigen.

Der Eintrag 'Node' zeigt die aktuell im ASi Gateway-Gerät konfigurierte ConfigID.
Der Eintrag 'Manager' zeigt den ConfigID-Wert an, der in den sicherheitsbezogenen ASi Gateway-Parametern in EcoStruxure Machine Expert™ – Safety eingetragen ist.

HINWEIS:

Wenn dort der Wert 0 oder eine ungültige ConfigID eingetragen ist, dann besteht entweder keine Kommunikationsverbindung zwischen EcoStruxure Machine Expert™ – Safety und dem ASi Gateway, oder die Kommunikation ist aufgrund der ungültigen ConfigID nicht möglich.

Indem Sie die Prüfsumme in EcoStruxure Machine Expert™ – Safety eingeben, bestätigen Sie, dass Sie das Mapping der sicherheitsbezogenen Daten auf das 'x Bytes Safe Sercos Data'-Geräteobjekt in der ASi-Applikation kennen und berücksichtigen (mit x = 8 für das BWU2984 und x = 12 für das ASi-5/ASi-3 Gateway).

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND Prüfen Sie das Mapping der ASi-I/O-Daten auf das 'x Bytes Safe Sercos Data'-Geräteobjekt (mit x = 8 für das BWU2984 und x = 12 für das ASi-5/ASi-3 Gateway) und die Verwendung der ASi-Eingangs-/Ausgangsdatenbits in der sicherheitsbezogenen SLC-Applikation. Prüfen Sie das Zusammenwirken der Applikation für das ASi Gateway (mit seinen angeschlossenen I/O-Geräten) und der PacDrive 3-Applikation (LMC- und SLC-Programme). Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND

Prüfen Sie das Mapping der ASi-I/O-Daten auf das 'x Bytes Safe Sercos Data'-Geräteobjekt (mit x = 8 für das BWU2984 und x = 12 für das ASi-5/ASi-3 Gateway) und die Verwendung der ASi-Eingangs-/Ausgangsdatenbits in der sicherheitsbezogenen SLC-Applikation.
Prüfen Sie das Zusammenwirken der Applikation für das ASi Gateway (mit seinen angeschlossenen I/O-Geräten) und der PacDrive 3-Applikation (LMC- und SLC-Programme).

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Weitere Informationen:

Lesen Sie hierzu auch den Abschnitt "ConfigID von B+W entspricht sicherheitsbezogenem ConfigID-Parameter".