Fehlererkennung - Sicherheitsmodul TM5SAI4AFS, 2x2AI, 4-20 mA, 24 Bits

Modulinterne Fehler

Über die rote SE-LED können folgende Fehlerzustände identifiziert werden:

Modulinterner Fehler (Hardwarefehler)
Über-/Untertemperatur
Über-/Unterspannung
Inkompatible Firmwareversion

HINWEIS: Fehler, die im Modul auftreten, werden gemäß den Anforderungen relevanter Standards und innerhalb der sicherheitstechnischen Antwortzeit erkannt, die in den technischen Daten der EcoStruxure Machine Expert - Safety-Software festgelegt ist.

Nach der Erkennung eines Fehlers im Modul kehrt das Modul in den definierten sicheren Zustand zurück.

Die dazu erforderlichen internen Modultests Wenn dieser Zustand nicht erreicht wird (beispielsweise weil das Modul in der Anwendung nicht konfiguriert ist), dann verbleibt das Modul im Boot-Zustand.

Der Boot-Zustand eines Moduls wird durch ein langsames Blinken der SE-LED ausgewiesen (2 Hz oder 1 Hz).

HINWEIS: Die in den technischen Kenndaten angegebene Fehlererkennungszeit ist nur für die Erkennung externer Fehler (z. B. Verdrahtungsfehler) bei Einkanalstrukturen relevant.

Externe Verdrahtungsfehler

Erkennbare Fehler werden vom Modul spätestens innerhalb der Fehleraufdeckzeit erkannt.

Bei Erkennung eines Fehlers durch ein Modul:

Die Kanal-LED leuchtet statisch rot.
Das SafeChannelOKxx-Signal wird auf SAFEFALSE gesetzt.
Das SafeCurrentOKxx-Signal wird auf SAFEFALSE gesetzt.
Im Safelogger von EcoStruxure Machine Expert wird ein Eintrag generiert.

Andere Fehler, die vom Modul nicht erkannt werden (oder nicht zeitnah erkannt werden) können zu unbeabsichtigten Zuständen der Anlage führen und müssen deshalb mit zusätzlichen Maßnahmen erkannt werden.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS Stellen Sie sicher, Fehler in Ihrer Risikobewertung zu berücksichtigen, die nicht vom Sicherheits-E/A-Modul erkannt werden können und implementieren Sie geeignete zusätzliche Maßnahmen gemäß Ihrer Risikobewertung. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben.

Weitere Informationen zu Fehlern, die vom Sicherheits-E/A-Modul erkannt bzw. nicht erkannt werden, finden Sie in der nachstehenden Tabelle unter Anschlussbeispiele.

Führen Sie alle notwendigen Reparaturen zeitnah aus, da ein aufgetretener Fehler zu Folgefehlern und daraufhin zu Gefahrensituationen führen können.

WARNUNG
	UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS Ersetzen Sie jedes und alle Module, die anzeigen, dass sie nicht betriebsbereit sind. Stellen Sie sicher, dass die Auswirkungen nicht reparierter Geräte bei Ihrer Risikobewertung berücksichtigt werden. Führen Sie alle notwendigen Reparaturmaßnahmen durch, bevor Sie die Maschine erneut starten oder deren Betrieb fortführen. Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben.

WARNUNG

UNBEABSICHTIGTER BETRIEBSZUSTAND DES GERÄTS

Ersetzen Sie jedes und alle Module, die anzeigen, dass sie nicht betriebsbereit sind.
Stellen Sie sicher, dass die Auswirkungen nicht reparierter Geräte bei Ihrer Risikobewertung berücksichtigt werden.
Führen Sie alle notwendigen Reparaturmaßnahmen durch, bevor Sie die Maschine erneut starten oder deren Betrieb fortführen.

Die Nichtbeachtung dieser Anweisungen kann Tod, schwere Verletzungen oder Sachschäden zur Folge haben.

Eingänge

Fehlererkennung für Sicherheitseingänge

Potenzieller Fehler	Erkennung	Kommentar
Nicht verdrahtete Eingänge	Erkannt	Allgemeiner Hinweis auf mindestens einen nicht verdrahteten Kanal.
Kurzschluss zwischen Signalleitungen	Nicht erkannt	Sie müssen geeignete Maßnahmen ergreifen, um Fehler zu erkennen und zu beheben, die vom Eingang nicht erkannt werden. Die Signal- und Versorgungsleitungen müssen gemäß EN ISO 13849-2:2010, Table D.5 installiert werden.
Kurzschluss zwischen Signal- und Versorgungsleitung	Nicht erkannt
Verpolung der Signalleitungen	Erkannt	Das Modul schaltet in einen definierten sicheren Zustand.
Störspannung	Nicht erkannt	Dieser Fehler führt zu einer Signalverzerrung, die in manchen Fällen durch eine Zwei-Kanal-Auswertung erkannt werden kann. Für Signalleitungen sind geschirmte Kabel obligatorisch. Für die Verdrahtung der zwei Signale des Signalpaars müssen separate Installationspfade verwendet werden.

HINWEIS: Sie müssen geeignete Maßnahmen ergreifen, um Fehler zu erkennen und zu beheben, die vom Eingang nicht erkannt werden.

HINWEIS: Die Signal- und Versorgungsleitungen müssen gemäß EN ISO 13849-2:2010, Table D.5 installiert werden.

Definierter sicherer Zustand

Beim Öffnen der Strommesseingänge wechselt das Modul in den definierten sicheren Zustand.

Schritt	Aktion
1	Schalten Sie das Modul aus.
2	Jeder offene Strommesseingang des Moduls muss mit einer Steckbrücke verdrahtet werden. Ergebnis: Das Modul kann wieder eingeschaltet werden.

Schritt

Aktion

Schalten Sie das Modul aus.

Jeder offene Strommesseingang des Moduls muss mit einer Steckbrücke verdrahtet werden.

Ergebnis: Das Modul kann wieder eingeschaltet werden.

Signalfehler

HW_LIMIT_MIN kennzeichnet den unteren Grenzwert und HW_LIMIT_MAX den oberen Grenzwert des im Kapitel Beschreibung des Moduls TM5SAI4AFS angegebenen Messbereichs.

Die Signalauswertung erfolgt in drei Schritten:

Schritt 1: Auswertung der Signale im Vergleich mit den absoluten Zeitgrenzen

Schritt 2: Auswertung der Signale im Vergleich mit den konfigurierbaren Zeitgrenzen

Schritt 3: Auswertung der Signale im Vergleich mit den konfigurierbaren Signalpaar-Grenzen

Es muss ein Reset durchgeführt werden, um einen Fehlerzustand aufzuheben. Dazu muss für die Dauer der E/A-Aktualisierung ein gültiges Signal am Analogeingang eingehen. Der Fehler kann dann durch eine steigende Flanke des Signals SafeRelease0x0y quittiert werden.

Kanaldiagnose

Die Kanalelektronik wird automatisch intern vom Modul getestet. Im Modul wird ein Testsignal erzeugt und alle 75 Minuten während maximal 1 s auf jeden Kanal angewendet. Um eine Signalverzerrung zu vermeiden, wird der getestete Signalwert des Kanals während dieses Zeitraums in einen statischen Zustand gesetzt. Zu einem Zeitpunkt wird jeweils nur ein Kanal getestet. Gemäß EN IEC 61508:2010 wird das Modul für die Dauer des Kanaltests als eines von zwei Diagnosesystemen betrachtet.

Bei der Firmwareversion 302 des Moduls strukturiert sich das Verhalten während der Kanaldiagnose folgendermaßen:

Die sicherheitsbezogenen analogen Eingangskanäle (Datentyp SAFEINT) ergeben den arithmetischen Mittelwert von zwei separaten Signalen. Da der Signalwert des getesteten Kanals während der Kanaldiagnose in einem statischen Zustand gehalten wird, wird der arithmetische Mittelwert für das Sicherheitssignal während dieses Zeitraums vom statischen Wert des diagnostizierten Kanals und vom Signalwert des nicht diagnostizierten Kanals abgeleitet.

Ab Firmwareversion 322 strukturiert sich das Verhalten während der Kanaldiagnose folgendermaßen:

Die sicherheitsbezogenen analogen Eingangskanäle (Datentyp SAFEINT) ergeben den arithmetischen Mittelwert von zwei separaten Signalen. Für die Dauer der Kanaldiagnose wird jedoch nicht der arithmetische Mittelwert verwendet, sondern der Signalwert des Kanals, der gerade keiner Diagnose unterzogen wird. Wenn aus Kompatibilitätsgründen das Verhalten der Firmwareversion 302 benötigt wird, kann das mithilfe des Parameters Measurement Result while Testing = Averaged implementiert werden. Ein aktiver Kanaltest wird über den Kanal TestActive ausgewiesen:

Sequenz der Kanaldiagnose

Die Sequenz für die Kanaldiagnose ist unabhängig von der Firmwareversion und ist folgendermaßen strukturiert:

Diagnosefenster	Zeitsequenz	Kanalsequenz
Diagnosefenster 1	Alle 75 Min.	SAI1
Diagnosefenster 2	15 Min: nach Diagnosefenster 1	SAI3
Diagnosefenster 3	30 Min. nach Diagnosefenster 1	SAI4
Diagnosefenster 4	45 Min. nach Diagnosefenster 1	SAI2

Weitere Informationen zu Variablen und Parametern finden Sie im EcoStruxure Machine Expert - Safety Benutzerhandbuch in der Online-Hilfe.

Um den Anforderungen der Kategorie 4 nach EN ISO 13849-1:2015 zu genügen, müssen die Shunts der Kanalelektrik trotz der Mehrkanal-Struktur getestet werden (Shunt-Test). Für den Shunt-Test muss die Flankensteilheit der Eingangssignale auf 200 μA/ms begrenzt werden.

Bei einer höheren Flankensteilheit und der Parameterkonfiguration Disable Shunttest = Yes-ATTENTION schaltet das Modul in den definierten sicheren Zustand, sofern erforderlich, was sich auf das gesamte Modul auswirkt.

HINWEIS: Verrauschte Signalquellen oder Signale mit hohen Frequenzen können zu übermäßig hohen Signalflanken führen und einen Shunt-Test-Fehler auslösen

HINWEIS: Bei Auftreten von Problemen in Verbindung mit der Flankensteilheit der Eingangssignale oder dem Shunt-Test kann der Shunt-Test über den Parameter Disable Shunttest = Yes-ATTENTION deaktiviert werden. In diesem Fall entspricht das Modul nur den Anforderungen der Kategorie 3 nach EN ISO 13849-1:2015.