Fehlererkennung - Sicherheitsmodul TM5STI4ATCFS, 2x2AI, Thermoelement

Modulinterne Fehler

Über die rote SE-LED können folgende Fehlerzustände ausgewertet werden:

  • Modulinterner Fehler (Hardwarefehler)

  • Über-/Untertemperatur

  • Über-/Unterspannung

  • Inkompatible Firmwareversion

HINWEIS: Fehler, die im Modul auftreten, werden gemäß den Anforderungen relevanter Standards und innerhalb der sicherheitstechnischen Antwortzeit erkannt, die in den technischen Daten der EcoStruxure Machine Expert - Safety-Software festgelegt ist.

Nach der Erkennung eines Fehlers im Modul kehrt das Modul in den definierten sicheren Zustand zurück.

Die dazu erforderlichen internen Modultests Wenn dieser Zustand nicht erreicht wird (beispielsweise weil das Modul in der Anwendung nicht konfiguriert ist), dann verbleibt das Modul im Boot-Zustand.

Der Boot-Zustand eines Moduls wird durch ein langsames Blinken der SE-LED ausgewiesen (2 Hz oder 1 Hz).

HINWEIS: Die in den technischen Kenndaten angegebene Fehlererkennungszeit ist nur für die Erkennung externer Fehler (z. B. Verdrahtungsfehler) bei Einkanalstrukturen relevant.

Externe Verdrahtungsfehler

Erkennbare Fehler werden vom Modul spätestens innerhalb der Fehleraufdeckzeit erkannt.

Bei Erkennung eines Fehlers durch ein Modul:

  • Die Kanal-LED leuchtet statisch rot.

  • Das SafeChannelOKxx-Signal wird auf SAFEFALSE gesetzt.

  • Das SafeTemperatureOKxx-Signal wird auf SAFEFALSE gesetzt.

  • Im Safelogger von EcoStruxure Machine Expert wird ein Eintrag generiert.

Andere Fehler, die vom Modul nicht erkannt werden (oder nicht zeitnah erkannt werden) können zu unbeabsichtigten Zuständen der Anlage führen und müssen deshalb mit zusätzlichen Maßnahmen erkannt werden.

 WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
Stellen Sie sicher, Fehler in Ihrer Risikobewertung zu berücksichtigen, die nicht vom Sicherheits-E/A-Modul erkannt werden können und implementieren Sie geeignete zusätzliche Maßnahmen gemäß Ihrer Risikobewertung.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben.

Weitere Informationen zu Fehlern, die vom Sicherheits-E/A-Modul erkannt bzw. nicht erkannt werden, finden Sie in der nachstehenden Tabelle unter Anschlussbeispiele.

Führen Sie alle notwendigen Reparaturen zeitnah aus, da ein aufgetretener Fehler zu Folgefehlern und daraufhin zu Gefahrensituationen führen können.

 WARNUNG
UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS
  • Ersetzen Sie jedes und alle Module, die anzeigen, dass sie nicht betriebsbereit sind.
  • Stellen Sie sicher, dass die Auswirkungen nicht reparierter Geräte bei Ihrer Risikobewertung berücksichtigt werden.
  • Führen Sie alle notwendigen Reparaturmaßnahmen durch, bevor Sie die Maschine erneut starten oder deren Betrieb fortführen.
Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben.

Eingänge - Thermoelement

Fehlererkennung für Sicherheitseingänge des Typs: Thermoelement

Potenzieller Fehler

Erkennung

Kommentar

Nicht verdrahtete Eingänge

Erkannt

Das Modul schaltet in den definierten sicheren Zustand.

Kurzschluss zwischen T+ oder T- und externem 24-V- oder GND-Anschluss

Nicht erkannt

Die Signalverzerrung ist nicht auf die Potenzialtrennung der Kanäle zurückzuführen. Es müssen dennoch geschirmte Signalleitungen verwendet werden.

Kurzschluss zwischen T+ und T-

Nicht erkannt

Dieser Fehler führt zu einer Signalverzerrung, die in manchen Fällen durch eine Zwei-Kanal-Auswertung erkannt werden kann.

Verpolung T+ und T-

Nicht erkannt

Dieser Fehler führt zu einer Signalverzerrung, die in manchen Fällen durch eine Zwei-Kanal-Auswertung erkannt werden kann.

Störspannung

Nicht erkannt

Dieser Fehler führt zu einer Signalverzerrung, die in manchen Fällen durch eine Zwei-Kanal-Auswertung erkannt werden kann. Für Signalleitungen sind geschirmte Kabel obligatorisch.

Für die Verdrahtung der zwei Signale des Signalpaars müssen separate Installationspfade verwendet werden.

HINWEIS: Sie müssen geeignete Maßnahmen ergreifen, um Fehler zu erkennen und zu beheben, die vom Eingang nicht erkannt werden.
HINWEIS: Die Signal- und Versorgungsleitungen müssen gemäß EN ISO 13849-2:2010, Table D.5 installiert werden.

Eingänge - PT100 / PT1000

Fehlererkennung für Sicherheitseingänge des Typs: PT100 / PT1000

Potenzieller Fehler

Erkennung

Kommentar

Offener Stromkreis an Sense+ oder Sense-

Erkannt

Allgemeiner Hinweis auf mindestens einen nicht verdrahteten Kanal.

Kurzschluss zwischen Sense+, Sense- und externem 24-V- oder GND-Anschluss

Nicht erkannt

Die Signalverzerrung ist in der Regel nicht auf die Potenzialtrennung der Kanäle zurückzuführen. Es müssen dennoch geschirmte Signalleitungen verwendet werden.

Kurzschluss zwischen Sense+ und Sense-

Erkannt

Allgemeiner Hinweis auf mindestens einen nicht verdrahteten Kanal.

Störspannung

Nicht erkannt

Dieser Fehler führt zu einer Signalverzerrung, die in manchen Fällen durch eine Zwei-Kanal-Auswertung erkannt werden kann. Für Signalleitungen sind geschirmte Kabel obligatorisch.

Für die Verdrahtung der zwei Signale des Signalpaars müssen separate Installationspfade verwendet werden.

HINWEIS: Sie müssen geeignete Maßnahmen ergreifen, um Fehler zu erkennen und zu beheben, die vom Eingang nicht erkannt werden.
HINWEIS: Die Signal- und Versorgungsleitungen müssen gemäß EN ISO 13849-2:2010, Table D.5 installiert werden.

Definierter sicherer Zustand

Beim Öffnen der Thermoelement-Eingänge wechselt das Modul in den definierten sicheren Zustand.

Schritt

Aktion

1

Schalten Sie das Modul aus.

2

Jeder offene Thermoelement-Eingang des Moduls muss mit einer Steckbrücke verdrahtet werden.

Ergebnis: Das Modul kann wieder eingeschaltet werden.

Signalfehler

HW_LIMIT_MIN kennzeichnet den unteren Grenzwert und HW_LIMIT_MAX den oberen Grenzwert des im Kapitel Beschreibung des Moduls TM5STI4ATCFS angegebenen Messbereichs.

Die Signalauswertung erfolgt in drei Schritten:

Schritt 1: Auswertung der Signale im Vergleich mit den absoluten Zeitgrenzen

Schritt 2: Auswertung der Signale im Vergleich mit den konfigurierbaren Zeitgrenzen

Schritt 3: Auswertung der Signale im Vergleich mit den konfigurierbaren Signalpaar-Grenzen

Es muss ein Reset durchgeführt werden, um einen Fehlerzustand aufzuheben. Dazu muss für die Dauer der E/A-Aktualisierung ein gültiges Signal am Analogeingang eingehen. Der Fehler kann dann durch eine steigende Flanke des Signals SafeRelease0x0y quittiert werden.

Kanaldiagnose

Die Kanalelektronik wird automatisch intern vom Modul getestet. Im Modul wird ein Testsignal erzeugt und alle 75 Minuten während maximal 1 s auf jeden Kanal angewendet. Um eine Signalverzerrung zu vermeiden, wird der getestete Signalwert des Kanals während dieses Zeitraums in einen statischen Zustand gesetzt. Zu einem Zeitpunkt wird jeweils nur ein Kanal getestet. Gemäß EN IEC 61508:2010 wird das Modul für die Dauer des Kanaltests als eines von zwei Diagnosesystemen betrachtet.

Ab Firmwareversion 322 strukturiert sich das Verhalten während der Kanaldiagnose folgendermaßen:

Die sicherheitsbezogenen analogen Eingangskanäle (Datentyp SAFEINT) ergeben den arithmetischen Mittelwert von zwei separaten Signalen. Für die Dauer der Kanaldiagnose wird jedoch nicht der arithmetische Mittelwert verwendet, sondern der Signalwert des Kanals, der gerade keiner Diagnose unterzogen wird. Ein aktiver Kanaltest wird über den Kanal TestActive ausgewiesen:

Sequenz der Kanaldiagnose

Die Sequenz für die Kanaldiagnose ist unabhängig von der Firmwareversion und ist folgendermaßen strukturiert:

Diagnosefenster

Zeitsequenz

Kanalsequenz

Diagnosefenster 1

Alle 75 Min.

TC1, Sense 1

Diagnosefenster 2

15 Min: nach Diagnosefenster 1

TC4, Sense 2

Diagnosefenster 3

30 Min. nach Diagnosefenster 1

TC3

Diagnosefenster 4

45 Min. nach Diagnosefenster 1

TC4

Weitere Informationen zu Variablen und Parametern finden Sie im EcoStruxure Machine Expert - Safety Benutzerhandbuch in der Online-Hilfe.