Descrizione del funzionamento

Interazione dei componenti interessati

I moduli drive Schneider Electric, come il LXM62 o il ILM62, sono moduli standard controllati da un controllore standard (non relativo alla sicurezza) (LMC x00C o LMCx01C). La funzionalità di sicurezza è integrata nella logica di sicurezza, come indicato in questo documento. La logica di sicurezza può risiedere in un modulo di sicurezza fisico, come nel caso del drive ILM62, o essere integrata nella firmware, come nel caso del drive LXM62.

L'applicazione di controllo del movimento deve essere programmata e parametrizzata nell'ambiente di sviluppo standard EcoStruxure Machine Expert e viene controllata da un controllore standard (non relativo alla sicurezza). Ciò include anche i movimenti che risultano dalle funzioni di sicurezza qui descritte, come la decelerazione dovuta a una funzione SS1 (Safe Stop 1 con coppia disinserita).

A tal fine, il controllore standard (non relativo alla sicurezza) legge anche i segnali (le richieste di funzioni di sicurezza) provenienti da dispositivi/sensori di sicurezza tramite il bus SERCOS e li valuta con i blocchi di funzione di controllo del movimento standard utilizzati nel programma applicativo del controllore standard (non relativo alla sicurezza). Poi controlla il modulo drive standard di conseguenza, ad esempio comandando l'accelerazione o decelerazione dell'asse.

Del monitoraggio delle funzioni di movimento relative alla sicurezza richieste dal processo collegato invece è responsabile l'applicazione di sicurezza SLC, programmata in EcoStruxure Machine Expert - Safety, che utilizza il blocco di funzione SF_SafeMotionControl:

Se il blocco di funzione è attivo (Activate = TRUE) e un elemento di dati SafeAxisIn valido è applicato all'ingresso S_AxisIN e un elemento di dati SafeAxisOut è collegato all'uscita S_AxisOUT, i segnali d'ingresso S_*_Request vengono valutati a questo scopo. (* è un fermaposto per le rispettive funzioni di sicurezza, ad esempio, STO). Quando il processo collegato richiede una funzione di sicurezza, il blocco di funzione di sicurezza richiede il monitoraggio di questa funzione di sicurezza da parte della logica di sicurezza.

Se tale funzione di sicurezza non è attivata correttamente e come richiesto (per motivi che possono essere guasti hardware o errori relativi ai valori di parametro), la logica di sicurezza avvia la funzione di fallback che è stata definita per la funzione di sicurezza inefficace. Il fallback può consistere della funzione STO, che esegue un arresto di categoria 0 o della funzione SS1 (arresto di categoria 1). Vedere le descrizioni delle funzioni di sicurezza dettagliate per maggiori informazioni.

In base alle informazioni di stato ricevute dalla logica di sicurezza, il blocco di funzione di sicurezza commuta di conseguenza le sue uscite visualizzando gli stati delle funzioni di sicurezza. In aggiunta, il blocco di funzione genera una word di stato sul suo parametro formale AxisStatus che si presta alla valutazione ulteriore nell'applicazione di sicurezza.

In tal modo, il blocco di funzione SF_SafeMotionControl funge da meccanismo di trasporto per i dati di processo costituendo un link univoco tra le funzioni di sicurezza implementate e l'accoppiamento di logica di sicurezza e drive.

NOTA:

Per la maggior parte, i parametri immessi in EcoStruxure Machine Expert - Safety sono parametri di monitoraggio. Definiscono il comportamento di monitoraggio e così determinano se una funzione di sicurezza viene eseguita come definito o se è necessario eseguire una funzione di fallback in caso di errore. La parametrizzazione del drive (parametri di decelerazione ecc.) viene definita in EcoStruxure Machine Expert; e del controllo del movimento si occupa il controllore standard (non relativo alla sicurezza).

Ciò significa che, per poter essere implementata, ogni funzione di sicurezza deve essere progettata e implementata anche in EcoStruxure Machine Expert, il programma applicativo del controllore standard (non relativo alla sicurezza). Qui sono disponibili idonei blocchi di funzione di movimento standard e si possono impostare i parametri del modulo drive standard.

Fare riferimento alla documentazione EcoStruxure Machine Expert per ulteriori informazioni.

Illustrazione: Vista d'assieme del sistema e comunicazione dei componenti

La seguente figura illustra l'interazione dei componenti coinvolti. Un modulo drive LXM62 può essere usato al posto del modulo ILM62 usato nella figura sotto.

Moduli hardware: inserire nell'albero dei dispositivi

Prima di poter usare il blocco di funzione SF_SafeMotionControl, i dispositivi necessari devono essere inseriti nell'albero dei 'Dispositivi' di EcoStruxure Machine Expert usando il comando del menu contestuale 'Aggiungi dispositivo...' del nodo dell'albero. In questo esempio abbiamo bisogno dei seguenti dispositivi:

  • Un modulo drive del tipo ILM62 o LXM62.

    Per il drive ILM62 abbiamo bisogno di un Safety Option Module, che è il componente di sicurezza del drive ILM62. Questo componente gestisce il controllo e il monitoraggio del drive, implementando con ciò la funzionalità di sicurezza del drive.

  • Dispositivi d'ingresso digitali di sicurezza, come il TM5SDI*, per collegare i dispositivi di comando e i sensori di sicurezza.

Cliccare qui per vedere una possibile struttura bus come appare in EcoStruxure Machine Expert...

Inibizione di avvio/riavvio

Secondo la norma IEC 60204-1, la logica di sicurezza mette a disposizione sia un'inibizione di avvio sia un'inibizione di riavvio interne (solo per STO e SS1). Entrambe le inibizioni sono fisse, ossia non disattivabili.

Il blocco di funzione riflette queste inibizioni interne nella programmazione dell'applicazione di sicurezza e permette di resettarle con l'ingresso Reset.

  • Inibizione di avvio: Dopo l'avvio del SLC e/o dopo l'attivazione del blocco di funzione tramite l'ingresso Activate, l'inibizione di avvio è attiva. L'inibizione di avvio si può rimuovere solo con un fronte ascendente sull'ingresso Reset del blocco di funzione di sicurezza.

    Dopo l'avvio, la logica di sicurezza automaticamente entra in stato sicuro definito STO. In base alla rilevante norma IEC 60204-1, la funzione STO esegue un arresto di categoria 0. Questa categoria di arresto implica una seguente inibizione di avvio.

  • Un'inibizione di riavvio viene attivata in seguito a una richiesta di funzione STO o SS1 per contribuire a prevenire il riavvio accidentale dell'asse. Per le altre funzioni di sicurezza non è disponibile inibizione di riavvio. L'inibizione di riavvio si può rimuovere solo con un fronte ascendente sull'ingresso Reset del blocco di funzione di sicurezza.

    In base alla rilevante norma IEC 60204-1, la funzione STO esegue un arresto di categoria 0 e la funzione SS1 esegue un arresto di categoria 1. Entrambe le categorie di arresto implicano una seguente inibizione di riavvio.

La rimozione di un'inibizione di avvio/riavvio attiva mediante un fronte ascendente sull'ingresso Reset del blocco di funzione di sicurezza può causare la commutazione immediata delle uscite (a dipendere dagli stati degli altri ingressi) e può influire sulla velocità e sul comportamento dell'asse da controllare.

 AVVERTIMENTO

AVVIO INATTESO

  • Includere nella vostra analisi di rischio le conseguenze della rimozione di un'inibizione di avvio/riavvio attiva mediante un fronte ascendente sull'ingresso Reset.

  • Assicurare che siano state definite procedure e adottate misure idonee (secondo la normativa di settore applicabile) per contribuire ad evitare situazioni di pericolo causate dal reset del blocco di funzione.

  • Non entrare nella zona di operazione mentre resettate il blocco di funzione.

  • Assicurare che nessun altro possa accedere alla zona di operazione durante il reset del blocco di funzione.

  • Utilizzare interblocchi di sicurezza adatti ovunque esista pericolo per il personale e/o il macchinario.

Il mancato rispetto di queste istruzioni può provocare morte, gravi infortuni o danni alle apparecchiature.

Priorità delle funzioni di sicurezza

Quando diverse funzioni di sicurezza vengono richieste allo stesso tempo, vale il seguente ordine fisso di priorità:

  1. STO, SMS (monitoraggio continuo della velocità)

  2. SS1

  3. SOS

  4. SS2

NOTA:

Quando diverse funzioni dello stesso tipo vengono richieste allo stesso tempo, la priorità più alta spetta al numero più basso. Esempi: SLS1 ha priorità su SLS4.

NOTA:

Se SDIpos e SDIneg vengono richieste contemporaneamente, la funzione SS1 viene eseguita automaticamente come funzione di fallback definita.

STO cablato

A dipendere dalla parametrizzazione della logica di sicurezza, la funzione di sicurezza STO può essere richiesta

  • cablata tramite un collegamento di segnale diretto al modulo drive.

  • via software tramite il parametro d'ingresso S_STO_Request del blocco di funzione.

    (Il blocco di funzione scrive la richiesta di STO nella word di controllo interna dei dati di processo che viene trasferita alla logica di sicurezza tramite il bus SERCOS.)

Se la funzione STO può essere richiesta solo via software o, in aggiunta, anche tramite il link cablato dipende dal parametro di sicurezza HW_STO.

In questo modo diventa possibile, ad esempio, continuare ad usare implementazioni di sicurezza di tipo convenzionale in macchine/impianti esistenti durante la transizione a soluzioni di sicurezza software con richiesta STO trasmessa dal bus di campo SERCOS.

Come editare i rilevanti parametri del dispositivo di sicurezza: Nella finestra 'Dispositivi' di EcoStruxure Machine Expert - Safety, ...

  1. cliccare sul modulo di sicurezza nell'albero dei dispositivi.

  2. Nell'Editore di parametrizzazione dispositivi a destra, immettere il parametro HW_STO contenuto nella sezione parametri Basic (si veda la tabella sotto per una descrizione).

Le impostazioni possibili del parametro HW_STO hanno il seguente significato:

  • HW_STO = Activated:

    Si può usare anche il collegamento di segnale cablato. La funzione STO può essere richiesta sia tramite il blocco di funzione (ingresso S_STO_Request = SAFEFALSE) sia tramite il collegamento di segnale cablato al drive.

    HW: richiesta

    HW: nessuna richiesta

    SW: richiesta

    STO attivato

    STO attivato

    SW: nessuna richiesta

    STO attivato

    STO non attivato

    SW = richiesta software di STO tramite l'ingresso S_STO_Request del blocco di funzione

    HW = richiesta hardware (cablata) di STO

  • HW_STO = Deactivated:

    Il collegamento di segnale cablato non si può usare. La funzione STO si può richiedere solo tramite il blocco di funzione (ingresso S_STO_Request = SAFEFALSE).

    HW: richiesta

    HW: nessuna richiesta

    SW: richiesta

    STO attivato

    STO attivato

    SW: nessuna richiesta

    STO non attivato

    STO non attivato

    SW = richiesta software di STO tramite l'ingresso S_STO_Request del blocco di funzione

    HW = richiesta hardware (cablata) di STO

Principio a circuito chiuso

La richiesta di funzioni di sicurezza agli ingressi del blocco di funzione segue il principio a circuito chiuso:

Un valore SAFEFALSE applicato a un ingresso del blocco di funzione S_*_Request richiede la relativa funzione di sicurezza. Perciò questi ingressi devono essere collegati a dispositivi di sicurezza con contatti chiusi a riposo (NC).