Safety-Reaktionszeit für SLCv2

HINWEIS:

Dieses Thema gilt für Geräte der Systemgeneration SLCv2. Informationen zum SLCv1-System finden Sie im Kapitel "Safety-Reaktionszeit für SLCv1".

Dieses Thema enthält folgende Informationen:

Allgemeine Informationen über die Safety-Reaktionszeit

Die Safety-Reaktionszeit ist die Zeit zwischen dem Eintreffen des Sensorsignals am sicherheitsbezogenen Eingangsmodul und der Ausgabe des Anforderungssignals für den definierten sicheren Zustand am sicherheitsbezogenen Ausgangsmodul. Die sicherheitsbezogene Einrichtungen müssen auf Basis der berechneten Safety-Reaktionszeit projektiert und installiert werden. Die Safety-Reaktionszeit gibt z.B. den erforderlichen Mindestabstand eines Sicherheitssensors (z.B. Lichtschranke) vom abgesicherten Betriebsbereich vor.

Die folgende Abbildung zeigt die Einflüsse auf die Safety-Reaktionszeit:

Die Safety-Reaktionszeit (SRZ) setzt sich aus folgenden Zeitwerten zusammen:

SRZ = Safety-Verarbeitungszeit im sicherheitsbezogenen Eingangsmodul (SPTi)

      + SicherheitsdatenÜbertragungsdauer im Eingangspfad (SDDi) * (TolerierterPaketverlust + 1)

      + SicherheitsdatenÜbertragungsdauer im Ausgangspfad (SDDo) * (TolerierterPaketverlust + 1)

      + Safety-Verarbeitungszeit im sicherheitsbezogenen Ausgangsmodul (SPTo)

Die Safety-Reaktionszeit berechnet sich wie folgt:

SRT = SPTi + SDDi * (TPL +1) + SDDo * (TPL +1) + SPTo

Für SPT = größerer Wert von SPTi und SPTo und SDD = SDDi = SDDo (symmetrisches System) berechnet sich der Wert wie folgt:

SRT = 2 * SPT + 2* SDD * (TPL+1)

Wie in der Abbildung gezeigt, beinhaltet die Gesamt-Reaktionszeit der Sicherheitsfunktion (d.h. die verstreichende Zeit zwischen der Anforderung einer Sicherheitsfunktion, bis sich die Maschine/Anlage im definierten sicheren Zustand befindet) darüber hinaus auch die Signalverarbeitungszeit des Sicherheitssensors sowie die benötigte Zeit zum Stoppen des Aktors.

HINWEIS:

Die in Machine Expert – Safety berechnete Safety-Reaktionszeit (SRZ) ist Teil der Gesamt-Reaktionszeit der Sicherheitsfunktion.

Die Parameter SicherheitsdatenÜbertragungsdauer (SafeDataDuration, SDD) und TolerierterPaketverlust (ToleratedPacketLoss, TPL) müssen für den SLC und jedes beteiligte sicherheitsbezogene Modul im 'Geräte'-Fenster von Machine Expert – Safety angegeben werden.

Nach der obigen Formel für ein symmetrisches System wird der SDD-Wert wie folgt berechnet:

SDD = (SRT - 2*SPT) / (2*(TPL+1))

Im Dialog 'Reaktionszeitrechner' im 'Projekt'-Menü kann der SRZ-Wert verifiziert werden. Der Dialog gibt den SRZ-Wert für jeden Eingangs-Ausgangs-Signalpfad aus.

Technische Hintergrundinformationen

Die Signalverarbeitungszeit in sicherheitsbezogenen Ein- und Ausgangsmodulen (SPTi und SPTo) hängt vom jeweiligen Modul und den dort eingestellten Parametern ab (z.B. Filtereinstellungen etc.).

Signalverarbeitungszeit von Ein- und Ausgangsmodulen

Bei der Bestimmung des SicherheitsdatenÜbertragungsdauer-Parameters (und der Berechnung der Safety-Reaktionszeit) muss, wie in diesem Abschnitt beschrieben, die Signalverarbeitungszeit in den sicherheitsbezogenen Ein- und Ausgangsmodulen berücksichtigt (addiert) werden.

Die hier aufgelisteten Werte müssen nicht in Machine Expert – Safety eingegeben werden. Nachdem Sie im Reaktionszeitrechner ein Eingangsmodul, einen verfügbaren Kanal und einen Ausgangskanal ausgewählt haben, verwendet das System zur Berechnung der Safety-Reaktionszeit automatisch die relevanten Werte.

Sicherheitsbezogene digitale Eingangsmodule

Für die Signalverarbeitung in sicherheitsbezogenen digitalen Eingangsmodulen gelten folgende Werte:

  • Filterwert des Ausschaltfilters

  • 5000 µs bei Parametrierung externer Taktsignale ('Taktmode' = 'Extern')

Sicherheitsbezogene analoge Eingangsmodule, Temperatur- und Zähler-Eingangsmodule

Bei diesen sicherheitsbezogenen Eingangsmodulen hängt die Signalverarbeitungszeit von dem Zeitwert ab, den Sie für den Parameter 'Eingangsfilter' spezifiziert haben. Dieser Parameter definiert das Aktualisierungsintervall des Eingangsmoduls. Die folgenden Tabellen zeigen die Signalverarbeitungszeit der Module je nach eingestelltem 'Eingangsfilter'-Wert.

  • TM5SAI4AFS (SLCv2) (analoges Eingangsmodul):

    Konfigurierter Filterwert

    Maximale Signalverarbeitungszeit des Moduls

    1 ms

    17 ms

    2 ms

    19 ms

    10 ms

    35 ms

    16,7 ms

    50 ms

    20 ms

    55 ms

    33,3 ms

    82 ms

    40 ms

    95 ms

    66,7 ms

    122 ms

  • TM5STI4ATCFS (SLCv2) (Temperatur-Eingangsmodul):

    Konfigurierter Filterwert

    Maximale Signalverarbeitungszeit des Moduls

    1 ms

    32 ms

    2 ms

    40 ms

    10 ms

    86 ms

    16,7 ms

    132 ms

    20 ms

    152 ms

    33,3 ms

    240 ms

    40 ms

    284 ms

    66,7 ms

    372 ms

Sicherheitsbezogenes digitales Zähler-Eingangsmodul TM5SDC1FS (SLCv2)

Beim sicherheitsbezogenen digitalen Zählermodul TM5SDC1FS hängt die Signalverarbeitungszeit vom eingestellten Wert für den Parameter 'Abtastzeitraum' ab. Die folgende Tabelle zeigt die Signalverarbeitungszeit des Moduls je nach eingestelltem Wert für den Parameter 'Abtastzeitraum' und der zugehörigen I/O-Aktualisierungszeit.

Konfigurierter Wert für 'Abtastzeitraum'

I/O-Aktualisierungszeit

Zeit + I/O-Aktualisierungszeit

Modi A-A und A-B

Zeit + I/O-Aktualisierungszeit

Modus A-A/-B-B/

10 ms

2 ms

12 ms

22 ms

50 ms

2 ms

52 ms

102 ms

100 ms

2 ms

102 ms

202 ms

500 ms

5 ms

505 ms

1005 ms

1 s

10 ms

1010 ms

2010 ms

5 s

50 ms

5050 ms

10050 ms

10 s

100 ms

10100 ms

20,1 s

50 s

500 ms

50500 ms

100,5 s

100 s

1 s

101 s

201 s

20 ms

2 ms

22 ms

42 ms

200 ms

2 ms

202 ms

402 ms

2 s

20 ms

2020 ms

4020 ms

20 s

200 ms

20,2 s

40,2 s

Sicherheitsbezogene Ausgangsmodule, gemischte Module und Antriebe

Die Dauer der Signalverarbeitung in sicherheitsbezogenen Ausgangsmodulen beträgt:

  • TM5SDOxxxx (SLCv2): 800 µs

  • TM5SDM4DTRFS (SLCv2): maximal 51 ms

  • TM7SDM12DTFS (SLCv2): maximal 1 ms

  • ILM62FS und LXM62FS (SLVv2): maximal 2 ms

HINWEIS:

Die angezeigte resultierende Safety-Reaktionszeit hängt von der installierten Firmwareversion des sicherheitsbezogenen Geräts ab.

Wenn auf einem Gerät im ausgewählten Eingangs-/Ausgangssignalpfad nicht die neueste Firmware (wie in den Release Notes zum SLCv1- oder SLCv2-System angegeben) installiert ist, können sich die im 'Reaktionszeitrechner' angezeigten Werte vom tatsächlichen physikalischen Verhalten unterscheiden.

Um eine korrekte Anzeige und damit Konsistenz erhalten zu können, müssen Sie sicherstellen, dass die in den Release Notes angegebene Firmware-Version auf den Geräten installiert ist. Aktualisieren Sie ggf. die Firmware auf den betroffenen Geräten.

Die Übertragungszeit ist die Zeit, die benötigt wird, um Daten von einem Daten-Producer zu einem Consumer zu übertragen. Die Eingangs-Übertragungszeit (SDDi) bezieht sich auf den Datentransfer von einem sicherheitsbezogenen Eingangsmodul zum Sicheren Logik-Controller via TM5 (gilt nicht für As-i Gateway und Drive Safety Modul (DSM)) und SERCOS III-Bus. Entsprechend ist die Ausgangs-Übertragungszeit (SDDo) die Zeit für die Übertragung der Daten vom Sicheren Logik-Controller zu einem sicherheitsbezogenen Ausgangsmodul via SERCOS III- und TM5-Bus (gilt nicht für As-i Gateway und DSM).

 WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Führen Sie eine entsprechende Risikoanalyse durch, in der Sie die Auswirkungen einer möglichen Geräteabschaltung durch den Sicheren Logik-Controller berücksichtigen.

  • Berücksichtigen Sie in der Validierung der sicherheitsbezogenen Architektur die Auswirkungen der Geräteabschaltung und führen Sie eine sorgfältige Prüfung der Applikation durch.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Sicherheitsbezogene Datenkommunikation: Gemäß openSAFETY-Spezifikation kommunizieren Geräte (sicherheitsbezogene I/O-Module und Antriebe sowie der Sichere Logik-Controller), indem sie zyklisch Daten, sogenannte openSAFETY-Telegramme, senden und empfangen. Ein Gerät, das Telegramme erzeugt (sendet), wird als Producer bezeichnet, ein empfangendes Gerät als Consumer.

Überwachung der sicherheitsbezogenen Datenkommunikation: Um die sicherheitsbezogene Kommunikation zu prüfen, werden die Übertragungszeiten von openSAFETY-Telegrammen zwischen Producern und Consumern überwacht. Zur Verifizierung werden die auf Grundlage der Parameter SicherheitsdatenÜbertragungsdauer und TolerierterPaketverlust berechneten internen Parameter verwendet. Diese sind im Geräteparametrierungseditor für die beteiligten Module definiert. Sie werden auch für die Berechnung der Safety-Reaktionszeit herangezogen.

Parameter: SicherheitsdatenÜbertragungsdauer (SafeDataDuration, SDD)

Dieser Parameter gibt die maximal zulässige Zeit für die Datenübertragung von einem sicherheitsbezogenen Producer zu einem Consumer an, d. h. von einem Eingangsmodul zum SLC oder vom SLC zu einem Ausgangsmodul.

Aus diesem Parameterwert und dem Wert des Parameters 'TolerierterPaketverlust' (siehe unten) wird die Safety-Reaktionszeit (SRZ) des Systems berechnet.

TolerierterPaketverlust Parameter (ToleratedPacketLoss, TPL)

Dieser Parameter gibt an, wie viele Pakete während der Datenübertragung maximal verloren gehen dürfen. Die Anzahl der verlorenen Pakete wirkt sich auf die Safety-Reaktionszeit aus.

Aus diesem Parameterwert und dem Wert des Parameters 'SicherheitsdatenÜbertragungsdauer' wird die Safety-Reaktionszeit (SRZ) des Systems berechnet.

Allgemeine Schritte: Von der Parameterbestimmung zur Berechnung der Safety-Reaktionszeit

  1. Berechnen Sie für jeden Eingangs- und Ausgangspfad der funktionalen Sicherheitsapplikation den Wert für den Parameter SicherheitsdatenÜbertragungsdauer.

    Berechnung: SDD = (SRT - SPTi - SPTo) / (2* (TPL + 1))

    Für SPT = größerer Wert von SPTi und SPTo und SDD = SDDi = SDDo (symmetrisches System) berechnet sich der Wert wie folgt:

    SDD = (SRT - 2*SPT) / (2*(TPL+1))

    Die Risikoanalyse, die Sie für Ihre funktionale Sicherheitsapplikation ausgeführt haben, liefert die maximal zulässige Gesamt-Reaktionszeit Ihrer Sicherheitsfunktion und, als Teil davon, die Safety-Reaktionszeit (SRZ) der Signalkette.

    Ziehen Sie von der zulässigen SRZ die Verarbeitungszeiten des sicherheitsbezogenen Eingangsmoduls (Safety Processing Time Input, SPTi) und des Ausgangsmoduls (Safety Processing Time Output, SPTo) ab.

    Das Ergebnis ist die maximal zulässige Gesamtzeit für die Übertragung der sicherheitsbezogenen Daten auf dem gesamten Sicherheitspfad, d. h. vom Eingangsmodul zum Ausgangsmodul. Da sich der Parameter SicherheitsdatenÜbertragungsdauer nur auf einen Übertragungsweg bezieht (Eingangsmodul -> SLC oder SLC -> Ausgangsmodul), müssen Sie den Wert durch 2 teilen, um den Wert zu erhalten, den Sie in die Parametertabelle eingeben müssen.

    Wird ein Paketverlust größer als Null toleriert, so wird dies in die Berechnung mit einbezogen.

    HINWEIS:

    Auf Grundlage der von Ihnen für die beteiligten Module angegebenen Werte für SDD und TPL, berechnet Machine Expert – Safety beim Kompilieren interne Systemparameter und prüft diese gegen bekannte physikalische Einschränkungen hinsichtlich des zeitlichen Ablaufs.

    Werden Systemgrenzen erreicht, gibt der Compiler eine Warnung aus. Diese enthält Vorschläge zur Optimierung Ihres Systems (z.B. durch Reduzieren der Filterzeiten, der SLC-Zykluszeit oder SERCOS- bzw. BC-Zykluszeiten usw.)

  2. Für jedes sicherheitsbezogene Modul: Geben Sie die berechneten Werte im 'Geräte'-Fenster in die Parametergruppe 'SafetyResponseTime' ein.

    Beachten Sie dabei die Möglichkeit, dass für die beteiligten Module entweder individuelle Werte oder Standardparameterwerte verwendet werden können.

    • Wenn Sie für die beteiligten Module einen gemeinsamen Wert für SicherheitsdatenÜbertragungsdauer und TolerierterPaketverlust verwenden wollen, tragen Sie diesen bei den Parametern des Sicheren Logik-Controllers in die Gruppe 'SafetyResponseTimeDefaults' ein. Zusätzlich muss der Parameter 'ManuelleKonfiguration' für jedes Modul, welches diese Standardwerte vom SLC erben soll, auf 'Nein' eingestellt sein.

    • Falls für ein Modul individuelle Parameterwerte erforderlich sind, geben Sie die Werte in die Gruppe 'SafetyResponseTime' jedes betroffenen Moduls ein. Setzen Sie zusätzlich für jedes Modul, das modulspezifische Werte verwenden soll, den Parameter 'ManuelleKonfiguration' auf 'Ja'.

  3. Verwenden Sie den Dialog 'Reaktionszeitrechner' (Menüpunkt 'Projekt > Reaktionszeitrechner') zur Berechnung der Safety-Reaktionszeit für jedes ausgewählte Eingangsmodul, die verfügbaren Eingangskanäle und das Ausgangsmodul. Weitere Informationen finden Sie im folgenden Abschnitt.

  4. Verwenden Sie die Ergebnisse für die Projektierung Ihrer Sicherheitsfunktion. Validieren Sie jeden Parameter und den daraus resultierenden Wert für die Safety-Reaktionszeit mit Bezug auf Ihre Risikoanalyse.

    Beachten Sie folgende Warnung.

 WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

  • Stellen Sie für den SLC und für jedes an Applikation beteiligte Gerät sicher, dass die Werte für die Parameter 'SicherheitsdatenÜbertragungsdauer' und 'TolerierterPaketverlust' Ihrer Risikoanalyse entsprechen.

  • Stellen Sie sicher, dass Ihre Risikoanalyse eine Auswertung für den Fall von falsch eingestellten Werten für die Parameter 'SicherheitsdatenÜbertragungsdauer' und 'TolerierterPaketverlust' enthält.

  • Stellen Sie sicher, dass die Signalverarbeitungszeit im Sensor in den Berechnungen der Gesamt-Reaktionszeit der Sicherheitsfunktion berücksichtigt ist.

  • Stellen Sie sicher, dass die Zeit, die der Aktor bis zum Stillstand benötigt, in den Berechnungen der Gesamt-Reaktionszeit der Sicherheitsfunktion berücksichtigt ist.

  • Validieren Sie die gesamte sicherheitsbezogene Funktion in Bezug auf die resultierende Gesamt-Reaktionszeit der Sicherheitsfunktion und prüfen Sie die Applikation sorgfältig.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Körperverletzungen oder Sachschäden zur Folge haben.

Safety-Reaktionszeit in Machine Expert – Safety anzeigen und verifizieren

  1. Stellen Sie sicher, dass im 'Geräte'-Fenster für die beteiligten Module alle Safety-Reaktionszeit-relevanten Parameter korrekt spezifiziert sind. Diese Parameter sind:

    • ManuelleKonfiguration

    • SicherheitsdatenÜbertragungsdauer

    • TolerierterPaketverlust

  2. Wählen Sie in Machine Expert – Safety den Menüpunkt 'Projekt > Reaktionszeitrechner'.

    Der Abschnitt 'Ergebnis' am unteren Dialogrand zeigt die ungünstigste Gesamtreaktionszeit für das benutzerdefinierte funktionale Sicherheitssystem an.

    Sie können nun die Safety-Reaktionszeit für einzelne Eingangs-Ausgangs-Signalpfade (Eingangsmodul, der verfügbare Kanal und das Ausgangsmodul) wie folgt anzeigen:

  3. Wählen Sie das Eingangsmodul, für welches die Reaktionszeit berechnet werden soll und (falls für das ausgewählte Modul verfügbar) einen Eingangskanal.

    Die eingestellten Reaktionszeit-abhängigen Parameter für das ausgewählte Modul bzw. den ausgewählten Kanal werden nun im unteren Bereich angezeigt. Wenn kein Ausgangsmodul ausgewählt ist, sind die Parameterwerte anfänglich auf Null gesetzt.

  4. Wählen Sie im rechten Listenfeld 'Modul' das Ausgangsmodul, für das die Reaktionszeit berechnet werden soll.

    Das Dialogfenster zeigt automatisch die berechnete(n) Reaktionszeit(en) an.

    Beachten Sie, dass die sicherheitsbezogenen Parameterwerte, die für die Ermittlung der Safety-Reaktionszeit verwendet werden, nur angezeigt werden, wenn ein Eingangsmodul, ein verfügbarer Kanal und ein Ausgangskanal ausgewählt sind.

    HINWEIS:

    Falls für die Module 'ManuelleKonfiguration = Nein' eingestellt ist, unterscheiden sich ihre Reaktionszeiten nur aufgrund modulspezifischer Verarbeitungszeiten, da sie den selben gemeinsamen SicherheitsdatenÜbertragungsdauer- und TolerierterPaketverlust-Wert verwenden, der für den SLC angegeben ist.