Home

Dezentrale Sicherheitssteuerung PFF-HM31A für

Contents

1. 24 Allgemeines 24 Sicherheit von Aktoren enneennnnn 24 B Bestimmungsgem er Einsatz e 9 D Darstellungskonventionen uessneenenenn 7 Drehrichtungserkennung automatisch 21 E Eing nge der Sicherheitssteuerung 20 Allgemeines nenn 20 Sicherheit von Sensoren Encodern und Transmittern una 20 Sicherheitsgerichtete digitale Eing nge 20 Eingebettete Sicherheitshinweise 8 Einsatzbedingungen uuusssnnsenennenennnnen nennen 10 EMV Bedingungen uuseessnnseeenesssnnnnnennn nn 10 ESD Schutzma nahmen sser 11 Klimatische Bedingungen ee 10 Mechanische Bedingungen 10 Spannungsversorgung neeeeessnnneennnnnneenennnn 11 Einsatzhinweise nesennnennnnnnnnnnnnnnnnennnn nn 9 Entwicklung von Anwenderprogrammen Ab und Aufschlie en der Steuerung 39 C de Erzeugung escor an 40 FORON ces a RN 42 Laden und Starten des Anwenderprogramms 40 Online nderung von Systemparametern 42 Programm Dokumentation f r sicherheitsgerichtete Anwendungen 43 Reload ciiai aee eE EEEE 41 Vorghensweisen sssseessssseesrrressernnaserennenatsennaas 38 Zuordnung von Variablen zu Ein Ausg ngen 38 F Fehlertoleranzzeit 4sss04s nennen 14 G GIOSSAr obari 48 H Hinweise Kennzeichnung
2. Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 17 18 Sicherheitskonzept f r den Einsatz der PES Sicherheitsauflagen 3 4 2 Programmierung Personen die Anwenderprogramme erstellen m ssen die folgenden Sicherheitsaufla gen beachten Produktunabh ngige Auflagen In sicherheitsrelevanten Anwendungen ist auf eine korrekte Parametrierung der si cherheitsrelevanten Systemgr en zu achten Insbesondere ist die Festlegung von Systemkonfiguration maximaler Zykluszeit und Sicherheitszeit zu beachten Produktabh ngige Auflagen Auflagen f r die Verwendung des Programmierwerkzeugs 3 4 3 Kommunikation Zur Programmierung muss folgendes Werkzeug verwendet werden Ab Prozessorbetriebssystemversion V 8 SlLworx Nach der Applikationserstellung ist durch manuelles doppeltes Kompilieren und Ver gleich der CRCs sicherzustellen dass die Kompilierung korrekt erfolgte Die korrekte Umsetzung der Spezifikation der Applikation ist zu validieren und zu ve rifizieren Es muss eine vollst ndige Pr fung der Logik durch Erprobung erfolgen Nach jeder nderung der Applikation ist diese Prozedur zu wiederholen Die Fehlerreaktion des Systems bei Fehlern in den fehlersicheren Eingangsbaugrup pen Ausgangsbaugruppen und Remote I Os muss gem den anlagenspezifischen sicherheitstechnischen Gegebenheiten durch das Anwenderprogramm festgelegt werden Bei Verwendung der sicherheitsgerichteten Kommunikation zwischen
3. uurussssnsnnnnessnnnnnnnnennnnnnnnennnnnnnennnnnnnnn nn 31 6 4 1 Systemparameter ab CPU BS V 8 uunesensenennsssnnnnnnnennnnnnnn 31 6 5 Schutz vor Manipulationen esisiini anii Aaa aaa aiaa 35 7 Sicherheitstechnische Aspekte f r das Anwenderprogramm r 36 7 1 Rahmen f r den sicherheitsgerichteten Einsatz 36 7 1 1 Basis der Programmierung uurssssesnnennnnnennnnnnnnnnnnnn nenn 37 7 1 2 Funktionen des Anwenderprogramms usnnsssnnnnnnneennnnn 37 7 1 3 Variablen und Signaldeklaration 4e nennen 38 7 1 4 Abnahme durch Genehmigungsbeh rden 38 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Inhaltsverzeichnis 7 2 Morgehensweisen u anne een 38 7 2 1 Zuordnung von Variablen zu Ein Ausg ngen 38 7 2 2 Ab und Aufschlie en der Steuerung meesnnenneennn 39 7 2 3 Code Erzeug ng a nu nennen 40 7 2 4 Laden und Starten des Anwenderprogramms 40 7 2 5 Optionale Funktionen Multitasking und Reload 41 7 2 6 FOCO PRPRETRREIERIPETRENNPERCREHENEUTETENPERETTEENPPREUTERFELPRETETERPEPHERELERPERERFTT 42 7 2 7 Online nderung von Systemparametern ab CPU BS V 8 42 7 2 8 Programm Dokumentation f r sicherheitsgerichtete Anwendungen uessnnseneennsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 43 7 2 9 Abnahme durch Genehmigungsbe
4. Antriebstechnik Anriebsautomatisierung Systemintegration Services LITT EURODRIVE Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Ausgabe 05 2012 19388802 DE SEW EURODRIVE Driving the world WAL I jy 38 Ly Inhaltsverzeichnis Inhaltsverzeichnis 1 Allgemeine Hinweise uunssnnessnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnsnnnnnnnnnsnnnnnernnsnnnnnnrnnnnen 6 1 1 Aufbau und Gebrauch der Dokumentation 4444ess sn nennen 6 1 2 Zielgruppe eher ee anna heat nee enge 7 1 3 Darstellungskonventionen uusssss444eennsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn ran 7 1 4 Aufbau der Sicherheitshinweise u sennnnnnnnnnnnnnnnnnnnnnnn nennen nn 7 1 4 1 Bedeutung der Signalworte 2240sennnnnennennnnnnnnnnnen nme nn 7 1 4 2 Aufbau der abschnittsbezogenen Sicherheitshinweise 7 1 4 3 Aufbau der eingebetteten Sicherheitshinweise 8 2 Hinweise zum Einsatz u 02 elek 9 2 1 Bestimmungsgem er Einsatz uu 2s4444nnnennnnnnnnennnnnnnnen nennen nenn 9 2 1 1 Anwendungsbereich cee eeeeee cess eter ee eee nnnnnnnnnnnnnnnennnnnnnn nn 9 2 1 2 Nicht bestimmungsgem er Einsatz u een 9 2 2 Einsatzbedingungen 2 Marien ine a 10 2 2 1 Klimatische Bedingungen uursssnesnnennnnnnnnennnnnnnnnnn nennen
5. 3 5 Zertifizierung Die Sicherheitssteuerung PFF HM31A Programmierbares Elektronisches System PES ist gem den Normen f r die funktionale Sicherheit gepr ft und vom T V zertifi ziert sowie CE konform Das T V Zertifikat kann von der SEW Homepage www sew eurodrive de in der Ru brik Dokumentationen im Bereich safetyDrive heruntergeladen werden Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 19 20 4 4 1 4 2 4 3 4 3 1 Eing nge der Sicherheitssteuerung PFF HM31A Allgemeines Eing nge der Sicherheitssteuerung PFF HM31A Die Sicherheitssteuerung PFF HM31A verf gt ber 26 sicherheitsgerichtete digitale Eing nge 16 digitale Eing nge Typ EN 61131 2 e 8digitale Eing nge Typ Il OSSD f hig EN 61132 2 e 2 digitale Eing nge sind zur internen Diagnose reserviert Allgemeines Es ist m glich sicherheitsgerichtete Eing nge sowohl f r sicherheitsgerichtete als auch f r nicht sicherheitsgerichtete Signale zu benutzen Die Steuerung liefert Status und Fehlerinformation auf folgende Weisen e Durch Diagnose LEDs der Ger te und Baugruppen e Durch Systemsignale oder Systemvariablen die das Anwenderprogramm auswer ten kann e Durch Eintr ge im Diagnosespeicher die das PADT auslesen kann Sicherheitsgerichtete Eingangsbaugruppen f hren w hrend des Betriebes automatisch einen hochwertigen zyklischen Selbsttest durch Diese Testroutinen sind TUV
6. Nach Wartungs Reparatur und Instandhaltungsarbeiten an sicherheitsrelevanten Komponenten z B Geber Bremsen usw muss die Anlage neu kalibriert und die einwandfreie Funktion d h einwandfreier Durchlauf der Diagnosetests gepr ft wer den Diese Arbeiten m ssen f r die voneinander unabh ngigen Kan le zeitlich ver setzt erfolgen In den Instandhaltungsanweisungen muss vorgeschrieben sein dass alle Teile der redundanten Systeme z B Kabel usw die voneinander unabh ngig sein m ssen nicht ge ndert werden d rfen Die Instandhaltung aller Komponenten z B Leiterplatten sind in einem qualifi zierten Reparaturzentrum durchzuf hren Alle reparierten Einheiten sind vor der In stallation einem vollst ndigen Test zu unterziehen Die Instandhalter m ssen dazu ausgebildet werden mit Ausbildungs dokumentation die Ursachen und Folgen von Ausf llen infolge gemeinsamer Ursa che zu verstehen Der Zutritt f r Personal ist einzuschr nken z B durch verschlossene Bereiche un zug ngliche Position Orte Das System darf nur innerhalb des Temperatur Feuchte Korrosions Staub und Vibrationsbereiches f r das es getestet worden ist eingesetzt werden Die Systemkomponenten m ssen auf Best ndigkeit gegen alle wichtigen Umge bungseinfl sse z B EMV Temperatur Vibration Schock Feuchte entsprechend eines angemessenen in anerkannten Normen festgelegten Niveaus getestet wor den sein Sicherheitshandbuch
7. Spalten berschrift f r Art von Systemvariable signal SB Systembus modul SELV Safety Extra Low Voltage Schutzkleinspannung SFF Safe Failure Fraction Anteil der sicher beherrschbaren Fehler SIL Safety Integrity Level gem IEC 61508 SILworX Programmierwerkzeug f r Sicherheitssteuerung PFF HM31A SNTP Simple Network Time Protocol RFC 1769 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Anhang Glossar Begriff Beschreibung S R S System Rack Slot Adressierung eines Moduls SW Software S amp R Send und Receive im Zusammenhang mit TCP Protokoll TMO Timeout Ww Write Systemvariable signal wird mit Wert versorgt z B vom Anwenderprogramm Watchdog WD Zeit berwachung f r Module oder Programme Bei berschreiten der Watchdog Zeit geht das Modul oder Programm in den Fehlerstopp WDZ Watchdog Zeit Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 49 Stichwortverzeichnis Stichwortverzeichnis A Abschnittsbezogene Sicherheitshinweise 7 Allgemeine Hinweise eneesnnennennennnn 6 ANMANG isis feiedctaaceced ahi ee 48 Arbeitsstromprinzip 0 cccccececeeeeeeeeeeeecteeeeeeeeeeeeees 9 Aufbau und Gebrauch der Dokumentation 6 Aufgaben der Maschinen und Anlagenhersteller sowie des Betreibers s nennen 11 Ausg nge der Sicherheitssteuerung
8. Betrieb Name Name der Ressource Beliebig System ID SRS System ID der Ressource 60 000 Eindeutiger Wert inner 1 65 535 halb des Netzwerks der Steuerungen die potenzi Die System ID muss einen anderen nr ell miteinander verbun Wert als den Standardwert erhalten sonst ist das Projekt nicht ablauff den sind hig Sicherheitszeit ms Sicherheitszeit in Millisekunden 600 ms Applikationsspezifisch 20 22 500 ms Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 31 32 Software f r Sicherheitssteuerung PFF HM31A Parameter der Ressource Parameter Schalter Beschreibung Standardwert Einstellung f r sicheren Betrieb Watchdog Zeit ms Watchdog Zeit in Millisekunden 8 5000 ms 200 ms bei Steuerungen Applikationsspezifisch Hauptfreigabe ON Folgende Schalter Parameter sind im Betrieb RUN mit dem PADT nderbar System ID Watchdog Zeit der Ressource Sicherheitszeit Sollzykluszeit Sollzykluszeit Modus Autostart Globales Forcen erlaubt Globale Force Timeout Reak tion Laden erlaubt e Reload erlaubt Start erlaubt OFF Die Parameter sind nicht im Betrieb nderbar Hinweis Nur bei gestopptem PES ist es m glich Hauptfreigabe auf ON zu setzen e o o o o o o o ON OFF empfohlen Autostart ON Wird das Prozessorsystem an die Versorgungsspannung angeschlos sen startet das Anwen
9. Checkliste PFF_HM31_Checkliste pdf kann als PDF Dokument auf der SEW Homepage www sew eurodrive de unter der Rubrik Dokumentationen im Bereich safetyDrive heruntergeladen werden Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Sicherheitskonzept f r den Einsatz der PES 3 Sicherheit und Verf gbarkeit 3 Sicherheitskonzept f r den Einsatz der PES Dieses Kapitel behandelt wichtige allgemeine Fragen der funktionellen Sicherheit der Sicherheitssteuerung PFF HM31A e Sicherheit und Verf gbarkeit e F r Sicherheit wichtige Zeiten e Wiederholungsprifung e Sicherheitsauflagen e Zertifizierung 3 1 Sicherheit und Verf gbarkeit Die Sicherheitssteuerung ist f r Schutzsysteme und Maschinensteuerungen zertifiziert Von der Sicherheitssteuerung gehen keine unmittelbaren Gefahren aus A WARNUNG Gefahr durch falsch angeschlossene oder falsch programmierte sicherheitsgerichtete Automatisierungssysteme Tod oder schwere K rperverletzung Anschl sse vor Inbetriebnahme pr fen und Gesamtanlage testen 3 1 1 Selbsttest und Fehlerdiagnose Das Betriebssystem der Steuerungen f hrt beim Start und im laufenden Betrieb um fangreiche Selbsttests durch Getestet werden dabei vor allem e die Prozessoren e die Speicherbereiche RAM nichtfl chtiger Speicher der Watchdog die einzelnen E A Kan le Stellen diese Tests Fehler fest dann schaltet das Betriebssystem die defekte Siche
10. Eing nge der Sicherheitssteuerung PFF HM31A Sicherheitsgerichtete Z hler 4 3 3 Reaktion im Fehlerfall Wenn die Testroutinen f r digitale Eing nge einen Fehler feststellen verarbeitet das Anwenderprogramm f r den fehlerhaften Kanal entsprechend dem Ruhestromprinzip ein Low Pegel Das Anwenderprogramm muss zus tzlich zum Signalwert des Kanals den entspre chenden Fehlercode ber cksichtigen Die Sicherheitssteuerung PFF HM31A aktiviert die LED ERROR Durch Verwendung des Fehlercodes bestehen zus tzliche M glichkeiten im Anwen derprogramm die externe Beschaltung zu berwachen und Fehlerreaktionen zu pro grammieren Version Zugang zum Fehlercode Name des Fehlercodes Ab CPU BS V 8 Im Register Kan le in der Detailansicht gt Fehlercode Byte in der Zeile mit der der Baugruppe oder des Ger teteils Kanalnummer 4 3 4 Surge auf digitalen Eing ngen 4 4 il Bedingt durch die kurze Zykluszeit der Sicherheitssteuerung k nnen digitale Eing nge einen Surge Impuls nach EN 61000 4 5 als kurzzeitigen High Pegel einlesen Folgende Ma nahmen vermeiden Fehlfunktionen in Umgebungen in denen Surges auftreten k nnen 1 Installation abgeschirmter Eingangsleitungen 2 St raustastung im Anwenderprogramm aktivieren ein Signal muss mindestens zwei Zyklen anstehen bevor es ausgewertet wird HINWEISE e Die Aktivierung der St raustastung verl ngert die Reaktionszeit der Sicherheits steuerung
11. IP Adressen f r safeethernet auf folgende Punkte achten e Die Adressen m ssen eindeutig im verwendeten Netz sein Beim Verbinden des safeethernet mit einem anderen Netz betriebsinternes LAN usw darauf achten dass keine St rungen auftreten k nnen M gliche St rquellen sind z B der dort anfallende Datenverkehr Kopplung mit weiteren Netzen z B Internet In solchen F llen geeignete Ma nahmen treffen z B Einsatz von Ethernet Switches Firewall um den St rungen entgegenzuwirken Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 47 Anhang Glossar 9 Anhang 9 1 Glossar Begriff Beschreibung DC 24V Die Sicherheitssteuerung verf gt ber folgende DC 24 V Eingangsspannungspotenziale 24V_CU DC 24V Eingang Steuerung 24V _L DC 24V Eingang Last 24V_S DC 24V Eingang Sensorversorgung Bezugspotenzial 0V24 ARP Address Resolution Protocol Netzwerkprotokoll zur Zuordnung von Netzwerkadres sen zu Hardware Adressen BS Betriebssystem BL Boot Loader BWS Ber hrungslos Wirkende Schutzeinrichtung COM Kommunikationsmodul COE CANopen Softwaremodul CRC Cyclic Redundancy Check Pr fsumme CUT Com User Task DCS Distributed Control System Prozessleitsystem DI Digital Input Bin reingang DO Digital Output Bin rausgang EMV Elektromagnetische
12. PFF HM31A gelten fol gende Sicherheitsauflagen 3 4 1 Hardware Projektierung Personen die die Hardware der Sicherheitssteuerung PFF HM31A projektieren m s sen die folgenden Sicherheitsauflagen beachten Produktunabh ngige Auflagen Fur sicherheitsgerichteten Betrieb darf nur hierf r zugelassene fehlersichere Hard ware und Software verwendet werden Die zugelassene Hardware und Software ist aufgef hrt in der Versionsliste der Sicherheitssteuerung PFF HM31A Zertifikats nummer 968 EZ 529 00 11 e Die spezifizierten Einsatzbedingungen siehe Kapitel Einsatzbedingungen bez g lich EMV mechanischen chemischen und klimatischen Einfl ssen m ssen einge halten werden e Nicht fehlersichere jedoch r ckwirkungsfreie Hardware und Software darf f r die Verarbeitung nicht sicherheitsrelevanter Signale eingesetzt werden nicht jedoch f r die Bearbeitung sicherheitstechnischer Aufgaben e Bei allen extern an das System angeschlossenen Sicherheitsstromkreisen ist das Ruhestromprinzip einzuhalten Produktabh ngige Auflagen An das System d rfen nur Ger te angeschlossen werden die eine sichere Trennung zum Netz aufweisen e Die sichere elektrische Trennung der Stromversorgung muss in der 24 V Versor gung des Systems erfolgen Es d rfen nur Netzger te in den Ausf hrungen PELV oder SELV eingesetzt werden 16 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Sicherheitskonzept f r
13. Vertr glichkeit EN Europ ische Norm ESD Electrostatic Discharge elektrostatische Entladung FB Feldbus Schnittstelle der Steuerung FBS Funktionsbausteinsprache FIFO First In First Out Datenspeicher FTA Field Termination Assembly FTZ Fehlertoleranzzeit ICMP Internet Control Message Protocol Netzwerkprotokoll f r Status und Fehlermel dungen IEC Internationale Normen f r die Elektrotechnik IF InterFace MAC Adresse Hardware Adresse eines Netzwerkanschlusses Media Access Control PADT Programming and Debugging Tool gem IEC 61131 3 PC mit SlLworX NVRam Non Volatile Random Access Memory nicht fl chtiger Speicher PE Protective Earth Schutzerde PELV Protective Extra Low Voltage Funktionskleinspannung mit sicherer Trennung PES Programmierbares elektronisches System POE Programm Organisationseinheiten gem IEC 61131 1 PFD Probability of Failure on Demand Wahrscheinlichkeit eines Fehlers bei Anforderung einer Sicherheitsfunktion PFF HM31A Sicherheitssteuerung PFH Probability of Failure per Hour Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde R Read Systemvariable signal liefert Wert z B an Anwenderprogramm Ruckwirkungsfrei Es seien zwei Eingangsschaltungen an dieselbe Quelle z B Transmitter ange schlossen Dann wird eine Eingangsschaltung r ckwirkungsfrei genannt wenn sie die Signale der anderen Eingangsschaltung nicht verf lscht R W Read Write
14. Zuordnung der Steuerungen Codegenerator bersetzen des Anwenderprogramms in den Maschinencode e Hardware Konfiguration e Konfiguration der Kommunikation Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Sicherheitstechnische Aspekte f r das Anwenderprogramm 7 Rahmen f r den sicherheitsgerichteten Einsatz 7 1 1 Basis der Programmierung Die Steuerungsaufgabe soll in Form einer Spezifikation oder eines Pflichtenheftes vor liegen Diese Dokumentation ist die Basis der berpr fung der korrekten Umsetzung in das Anwenderprogramm Die Art der Darstellung der Spezifikation richtet sich nach der Aufgabenstellung Dies kann sein e Kombinatorische Logik Ursache Wirkungs Schema cause effect diagram Logik der Verkn pfung mit Funktionen und Funktionsbausteinen Funktionsbl cke mit spezifizierten Eigenschaften e Sequentielle Steuerungen Ablaufsteuerungen Verbale Beschreibung der Schritte mit Fortschaltbedingungen und der zu steu ernden Aktoren Ablaufplane Matrix oder Tabellenform der Fortschaltbedingungen und der zu steuernden Ak toren Definition der Randbedingungen z B Betriebsarten NOTAUS usw Das E A Konzept der Anlage muss die Analyse der Feldkreise d h die Art der Sen soren und Aktoren enthalten e Sensoren digital oder analog Signal im Normalbetrieb Ruhestromprinzip bei digitalen Sensoren life zero bei analogen Sensoren Sign
15. aufschlie en Bei einem Fehler im entsprechenden digitalen Eingangsger t oder der Eingangsbaugruppe ist die Steuerung aufgeschlossen Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 39 Sicherheitstechnische Aspekte f r das Anwenderprogramm Vorgehensweisen 7 2 3 Code Erzeugung Nach der vollst ndigen Eingabe des Anwenderprogramms und der E A Belegung der Steuerung den Code erzeugen Dabei bildet der Codegenerator den Konfigurations CRC Dieser ist eine Signatur ber die gesamte Konfiguration von CPU Ein Ausg n gen und Kommunikation und wird als Hex Code im 32 Bit Format ausgegeben Die Si gnatur umfasst alle konfigurierbaren oder ver nderbaren Elemente wie Logik Variable und Schaltereinstellungen Um Einfl sse des nicht sicheren PC auszuschlie en Code zweimal erzeugen Der Kon figurations CRC muss bei beiden Durchl ufen gleich sein Code f r sicherheitsgerichteten Betrieb erzeugen 1 Codegenerator starten um Code mit Konfigurations CRC zu erzeugen Ablauff higer Code 1 mit CRC 1 2 Codegenerator erneut starten um Code mit Konfigurations CRC zu erzeugen Ablauff higer Code 2 mit CRC 2 3 CRC 1 mit CRC 2 vergleichen Beide sind gleich Der erzeugte Code ist fur den sicherheitsgerichteten Betrieb benutzbar auch zur Zerti fizierung durch Pr fstellen 7 2 4 Laden und Starten des Anwenderprogramms Der Ladevorgang Download eines PES der Sicherheitssteuerung PFF HM31A
16. den Einsatz der PES Sicherheitsauflagen Applikationsabh n Durch konstruktive Ma nahmen des Applikationsaufbaus oder organisatorische MaR gige Auflagen nahmen muss auf ein punktuell vermindertes Sicherheitsniveau reagiert werden Um die Wahrscheinlichkeit von Fehlern gemeinsamer Ursache gering zu halten sind fol gende Vorgaben einzuhalten Dar berhinaus sind je nach Applikation weitere aner kannte Ma nahmen zur Erh hung der Sicherheit zu ber cksichtigen Die Signalkabel m ssen f r alle Kan le an allen Stellen getrennt gef hrt werden Alle Signal und Energieleitungen m ssen voneinander getrennt verlegt werden Die Ein und Ausg nge m ssen vor m glichen berspannungen und berstr men gesch tzt werden Alle mechanischen Komponenten sind so zu dimensionieren dass die Anforderung bez glich funktionaler Sicherheit erf llt werden Dies kann z B durch berdimensi onierung mit Faktor 2 oder h her erreicht werden Alle Ausf lle im Feld sind vollst ndig zu analysieren und den Herstellern umgehend mitzuteilen damit diese im Zuge ihrer QM Prozesse ggf Verbesserungsma nahmen einleiten k nnen Dabei ist ein dokumentierter Nachweis des Verfahrens notwendig Es ist eine schriftliche Arbeitsanweisung zu erstellen die gew hrleistet dass alle Bauteilausf lle oder Verschlechterungen erkannt deren Ursachen festgestellt und hnliche Objekte im Hinblick auf m gliche hnliche Ausfallursachen berpr ft wer den
17. e Auf obige Ma nahmen kann verzichtet werden wenn durch die Auslegung der An lage Surges im System ausgeschlossen werden k nnen Zur Auslegung geh ren insbesondere Schutzma nahmen betreffend berspannung Blitzschlag Erdung und Anlagenverdrahtung e Ausf hrliche Informationen zum Thema EMV finden Sie in der Druckschrift Pra xis der Antriebstechnik EMV in der Antriebstechnik Die aktuelle Version dieser Dokumentation finden Sie auf der SEW Homepage www sew eurodrive de in der Rubrik Dokumentationen Sicherheitsgerichtete Z hler E Die Sicherheitssteuerung ist mit 2 unabh ngigen Z hlern ausgestattet deren Eing nge f r die Spannungspegel 5 V oder 24 V konfigurierbar sind Der gew nschte Spannungs pegel wird mit dem Systemparameter Z hler 0x 5 24V Modus eingestellt Eingang A und Eingang B sind Z hleing nge Der Z hler kann ber das Anwenderprogramm zu r ckgesetzt werden HINWEIS Die Z hler k nnen nicht als Decoder f r Gray Code benutzt werden Der Systempa rameter Z hler 0x Gray Code muss daher auf FALSE eingestellt werden Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 21 4 Eing nge der Sicherheitssteuerung PFF HM31A Sicherheitsgerichtete Z hler ACHTUNG il Besch digung des Antriebssystems oder seiner Umgebung Eine Verpolung der Z hlereing nge ist nicht zul ssig Konfiguration Die beiden Z hler werden ber Systemvariablen konfigurie
18. ein maximalen Reaktionszeit maximale Reaktionszeit Tp Worst Case vom Wechsel eines Eingangs des PES 1 zur Reaktion des Ausgangs des PES 2 kann wie folgt berechnet werden 2 4 5 4784751883 Eingang Sicherheitssteuerung PES 1 Sicherheitsgerichtetes Protokoll Sicherheitssteuerung PES 2 Ausgang Trrt ttottz TR t t2 t3 46 Worst Case Reaktion Time 2 x Watchdog Zeit der Sicherheitssteuerung 1 Receive TMO 2 x Watchdog Zeit der Sicherheitssteuerung 2 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Konfiguration der Kommunikation Sicherheitsgerichtetes Protokoll safeethernet Die maximale Reaktionszeit ist abh ngig vom Prozess und mit der abnehmenden Pr f stelle abzustimmen 8 2 5 Begriffe Begriff Beschreibung ReceiveTMO Uberwachungszeit in Steuerung 1 in der eine g ltige Antwort von Steuerung 2 empfan gen werden muss Nach Ablauf der Zeit wird die sicherheitsgerichtete Kommunikation geschlossen Production Rate Mindestabstand zwischen zwei Datensendungen Watchdog Zeit Maximal zul ssige Dauer des RUN Zyklus einer Steuerung Worst Case Maximale Reaktionszeit f r die bertragung der nderung des Signals eines physika Reaction Time lischen Einganges einer Steuerung 1 bis zur nderung des physikalischen Ausgangs einer Steuerung 2 8 2 6 Vergabe der safeethernet Adressen Bei der Vergabe der Netzwerkadressen
19. einer entsprechenden nderung der Schritt kette diese in einen undefinierten Zustand zu versetzen Die Verantwortung hierf r liegt beim Anwender Beispiele L schen des aktiven Schritts Danach hat kein Schritt der Schrittkette den Zustand aktiv Umbenennen des Initialschritts w hrend ein anderer Schritt aktiv ist Dies f hrt zu einer Schrittkette mit zwei aktiven Schritten Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 41 42 Sicherheitstechnische Aspekte f r das Anwenderprogramm Vorgehensweisen E 7 2 6 Forcen N IN HINWEIS Beim Reload von Actions zu beachten Reload l dt Actions mit ihren kompletten Daten Die Konsequenzen daraus sind vor dem Reload sorgf ltig zu berdenken Beispiele Entfernen eines Timer Bestimmungszeichens durch den Reload f hrt dazu dass der Timer sofort abgelaufen ist Dadurch kann der Ausgang Q in Abh ngigkeit von der restlichen Belegung auf TRUE gehen Entfernen des Bestimmungszeichens bei haftenden Elementen z B Bestim mungszeichen S die gesetzt waren f hrt dazu dass die Elemente gesetzt blei ben Entfernen eines Bestimmungszeichens PO das TRUE gesetzt war l st den Trig ger aus Forcen bedeutet das Ersetzen des aktuellen Wertes einer Variablen durch einen Force Wert Eine Variable kann ihren aktuellen Wert durch einen physikalischen Eingang durch die Kommunikation oder durch eine logische Verkn pfun
20. eingestellten Abwartszahler ee ee ee a EU I ot Il I ill al l l B oli Ee ac ba pod go a loi le Es al Karel ge iay EBENE heat we 20 1918 17161514 1312 1110 9 8 7654 3210 4904286603 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 23 24 5 5 1 5 2 5 3 5 3 1 Ausgange der Sicherheitssteuerung PFF HM31A Allgemeines Ausgange der Sicherheitssteuerung PFF HM31A Die Sicherheitssteuerung PFF HM31A verf gt Uber 8 sicherheitsgerichtete 2 polige Ausgange Allgemeines Die Steuerung beschreibt die sicherheitsgerichteten Ausgange einmal in jedem Zyklus liest die Ausgangssignale zur ck und vergleicht sie mit den vorgegebenen Ausgangs daten Bei den Ausg ngen ist der Wert 0 der sichere Zustand In den sicherheitsgerichteten Ausgangskan len sind zwei testbare Schalter in Serie in tegriert Somit ist der sicherheitstechnisch erforderliche unabh ngige zweite Abschalt weg auf dem Ausgangskanal integriert Diese integrierte Sicherheitsabschaltung schal tet im Fehlerfall alle Kan le der defekten Ausgangsbaugruppe sicher ab energieloser Zustand Au erdem ist auch das Watchdog Signal der CPU die zweite M glichkeit der Sicher heitsabschaltung Ein Wegfall des Watchdog Signals bewirkt das sofortige Einnehmen des sicheren Zustandes Diese Funktion ist nur wirksam f r alle digitalen Ausg nge der Steuerung Die Verwen dung des jewei
21. gepr ft und berwachen die sichere Funktion der jeweiligen Baugruppe Bei einem Fehler stellt die Steuerung dem Anwenderprogramm einen Low Pegel zur Verf gung ab CPU BS V 8 den festgelegten Initialwert und erzeugt eine Fehlerinfor mation wenn m glich Das Anwenderprogramm kann diese Fehlerinformation durch Auslesen des Fehlercodes auswerten Bei einem kleinen Teil der Bauelemente Ausf lle welche die Sicherheit nicht beeinflus sen wird keine Diagnoseinformation erzeugt Sicherheit von Sensoren Encodern und Transmittern In einer sicherheitsgerichteten Anwendung m ssen sowohl die Steuerung als auch die daran angeschlossenen Sensoren Encoder und Transmitter den Sicherheitsanforde rungen und dem spezifizierten SIL PL entsprechen Sicherheitsgerichtete digitale Eing nge Allgemeines Die digitalen Eing nge werden einmal in jedem Zyklus gelesen und intern gespeichert sie werden zyklisch auf sichere Funktion getestet Eingangssignale die k rzer als die Zeit zwischen zwei Abtastungen also k rzer als f r eine Zykluszeit anstehen werden unter Umst nden nicht erfasst Test Routinen Die Online Testroutinen pr fen ob die Eingangskan le in der Lage sind unabh ngig von den anstehenden Eingangssignalen beide Signalpegel LOW und HIGH durchzu schalten Dieser Funktionstest wird bei jedem Lesen der Eingangssignale durchgef hrt Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO
22. in der Dokumentation 7 K Konfiguration der Kommunikation 44 Sicherheitsgerichtetes Protokoll safeethernet 44 Standardprotokolle 442 4 44 L Leitungs berwachung uusessnnseenessnnnnnnens nennen 26 M Mehrfehlereintrittszeit nennen 14 P PAD T rriaren Rural Hanne 14 Parameter der Ressource s een 31 Systemparameter ab CPU BS V 8 31 R Rahmen f r den sicherheitsgerichteten Einsatz Abnahme durch Genehmigungsbeh rden 38 Basis der Programmierung 37 Funktionen des Anwenderprogramms 37 Variablen und Signaldeklarartion 38 Reaktionszeit sss02s44nnenensnnnnnnnnnnnnnnnn nn 14 RuhestromprinZip c s cececcecceceeeeeeeeeeeeseeeeeaeees 9 S Selbsttest und Fehlerdiagnose 13 Sicherheitsauflagen u 44 nn 16 Hardware Projektierung 44 nn 16 Kommunikation reiini 18 Programmierung uuerssnnneesennnnnnennennnnnennnnnnn 18 Wartungseingriffe usnssnnnneeennnennnenennn en 18 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Stichwortverzeichnis Sicherheitsgerichtete digitale Eing nge 20 Allgemeinesz n see hrssne 20 Reaktion im Fehlerfall 44 21 Surge auf digitalen Eing ngen 21 Test Rou
23. 1 4 Abnahme durch Genehmigungsbeh rden 7 2 7 2 1 SEW EURODRIVE empfiehlt bei der Projektierung einer abnahmepflichtigen Anlage so fr h wie m glich die Genehmigungsbeh rden einzuschalten Vorgehensweisen Dieses Kapitel beschreibt eine typische Vorgehensweise bei der Entwicklung von An wenderprogrammen f r die Sicherheitssteuerung PFF HM31A Zuordnung von Variablen zu Ein Ausg ngen Die erforderlichen Testroutinen f r die sicherheitsgerichteten Ein und Ausg nge wer den vom Betriebssystem automatisch ausgef hrt Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Sicherheitstechnische Aspekte f r das Anwenderprogramm Vorgehensweisen Ab Betriebssystem Version 8 Variable einem E A Kanal zuweisen 1 Eine globale Variable mit geeignetem Typ definieren 2 Bei der Definition einen geeigneten Initialwert angeben 3 Die globale Variable dem Kanalwert des E A Kanals zuweisen 4 Im Anwenderprogramm den Fehlercode Fehlercode Byte auswerten und eine sicherheitsgerichtete Reaktion programmieren Die globale Variable ist einem Ein Ausgangskanal zugewiesen 7 2 2 Ab und Aufschlie en der Steuerung Ab CPU BS V 8 Abschlie en der Steuerung bedeutet das Verriegeln von Funktionen und Eingriffsm g lichkeiten des Anwenders w hrend des Betriebs Eine Manipulation des Anwenderpro gramms wird damit verhindert Der Umfang der Verriegelungen ist in Abh ngigkeit zur Sicherhei
24. 10 2 2 2 Mechanische Bedingungen uuussnsessnensnnnennnnnnnnnnnnnnnnnnnnnn 10 2 2 3 EMV Bedingungen uusersnnnennnennnnnnnnennnnnnnnnennnnnnnnnnenne nen 10 2 2 4 Spannungsversorgung uuersssssnnnnnnnnesnnnnnnnennnnnnnnennnnnn nenn 11 2 2 5 ESD Schutzma nahmen ussssesnennennnnnnennnennnnnnnnennnn nn 11 2 3 Aufgaben der Maschinen und Anlagenhersteller sowie des Betreibers 11 2 4 Weitere Systemdokumentationen u 2224444mss ss nnnnnnnnnsnnnnnnnn sans nnnn anna 11 2 5 Checkliste zur Projektierung Programmierung und Inbetriebnahme 12 3 _ Sicherheitskonzept f r den Einsatz der PES uesuusssnsnnnnnnnnnnnnnnnnnnnunnnnnnnnnnn 13 3 1 Sicherheit und Verf gbarkeit u 24444nnnnnnnnnnnennnnnennennnnnnennen nn 13 3 1 1 Selbsttest und Fehlerdiagnose 22244400n ss nnnnnnn nennen 13 3 1 2 P DT au 402er a ies eiaa 14 3 2 Fur die Sicherheit wichtige Zeiten esnnnnnnssnnnnennnnnnnnnnnnnn nen 14 3 2 1 Fehlertoleranzzeit FTZ cccccceeseeeeeeeeseeeeeeeeeneeeeseeesnaeeeeeeeaaas 14 3 2 2 Sicherheitszeit des PES u nenne 14 3 2 3 Sicherheitszeit des Anwenderprogramms 244me nennen 14 3 2 4 Mehrfehlereintrittszeit usnnnnnnnnnnnnennennnnnnennnnnnnnn 14 3 2 5 Reaktionszeit nissen 14 3 2 6 Watchdog Zeit des Prozessorsystems 4ss nennen 15 3 2 7 Watchdog Zeit des Anwenderprogramms uer
25. 2 poliger Anschluss A ZEN A A 4 iC Die digitalen Ausg nge k nnen wie folgt konfiguriert werden e Digitaler Ausgang mit 2 poligem Anschluss mit Leitungsdiagnose e Digitaler Ausgang mit 2 poligem Anschluss ohne Leitungsdiagnose e Digitaler Ausgang mit 1 poligem 24V_CU schaltenden DO x x_P Digitaler Ausgang mit 1 poligem 0V24 schaltenden DO x x_M ACHTUNG Unbeabsichtigtes Einschalten eines am Ausgang angeschlossenen Relais oder Aktors m glich Bei Anwendungen mit erh htem Risiko muss das Statussignal der Leitungsdi agnose dazu benutzt werden um die Ausg nge DO x x_P DO x x_M im Fehler fall abzuschalten HINWEIS Wenn die obigen Anforderungen nicht erf llt werden k nnen ist folgender Fall zu be achten Bei einem Leitungsschluss von DO x x_M nach 0V24 kann ein Relais anziehen oder ein sonstiger Aktor in einen anderen Schaltzustand versetzt werden Grund W hrend der f r die Leitungsdiagnose laufenden Uberwachungszeit liegt ein 24 V Spannungspegel DO x x_P Ausgang am Verbraucher Relais schaltender Ak tor an so dass dieser gen gend elektrische Energie aufnehmen k nnte um in einen anderen Zustand zu schalten ACHTUNG St rung der Leitungsbruch Erkennung m glich Bei 2 poligem Anschluss darf kein DI Eingang mit einem DO Ausgang verbun den sein Dies w rde die Erkennung des Leitungsbruches verhindern ACHTUNG St rungen der Steuerung oder benachbarter elektronischer Ger te
26. 4 2 Manuelle Drehrichtung 4444 nn ennnennennnnnnnnen nennen 23 5 Ausg nge der Sicherheitssteuerung PFF HM31A uuuennsssnnnnnnnnnnnnnnnnnnennnnn 24 91 Allgemeines en 24 5 2 Sicherheit von Aktoren ssrsnnesnnnnnnennnnennnnnnnnnennnnnnnnnnnnnnnnnn nn nenn 24 5 3 Sicherheitsgerichtete 2 polige digitale Ausg nge nnnn 24 5 3 1 Testroutinen f r 2 polige digitale Ausg nge ne 24 5 3 2 1 poliger 2 poliger Anschluss u 42444n nennen nennen 25 5 3 3 Reaktion im Fehlerfall 2424244444444440HHRnRnHHnn nn 25 5 3 4 Verhalten bei externem Kurzschluss oder berlast 26 54 Taktausg nge t TO sales 26 5 4 1 Taktausgabe 2 22u 202 Hei ia 27 6 Software f r Sicherheitssteuerung PFF HM31A uuuusennsssnnennnnnnnnnnnnnnnennnnnn 28 6 1 Sicherheitstechnische Aspekte f r das Betriebssystem 28 6 2 Arbeitsweise und Funktionen des Betriebssystems ne 28 6 3 Sicherheitstechnische Aspekte f r die Programmierung 29 6 3 1 Sicherheitskonzept des Programmierwerkzeugs 29 6 3 2 berpr fung der Konfiguration und des Anwenderprogramms 30 6 3 3 Archivierung eines Projekts u4444eesennnnnnnennnnnnnennnnnnn 30 6 3 4 M glichkeit zur Programm und Konfigurations Identifizierung 31 6 4 Parameter der Ressource
27. Anforderungen aus den Anwendungsnormen zu beachten z B kann eine Leitungsdiagnose der Ein und Ausg nge erforderlich sein 2 1 2 Nicht bestimmungsgem er Einsatz Die bertragung der sicherheitsrelevanten Daten ber ffentliche Netze z B Internet ist zul ssig mit Zusatzma nahmen zur Erh hung der Sicherheit z B VPN Tunnel Firewall etc Mit den Feldbus Schnittstellen ist keine sicherheitsgerichtete Kommuni kation m glich Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 2 Hinweise zum Einsatz Einsatzbedingungen 2 2 Einsatzbedingungen Der Einsatz der Sicherheitssteuerung ist nur zul ssig unter Umgebungsbedingungen die innerhalb der im Folgenden genannten Bedingungen liegen Die Sicherheitssteuerung wurde f r die Einhaltung der Anforderungen der folgenden Normen f r EMV Klima und Umweltanforderungen entwickelt Norm Inhalt EN 61800 5 1 2007 Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl Teil 5 1 Anforde rungen an die Sicherheit Elektrische thermische und energetische Anforderungen EN 61800 3 2004 Drehzahlver nderbare elektrische Antriebe Teil 3 EMV Anforderungen einschlie lich spezieller Pr fverfahren EN 62061 2005 Sicherheit von Maschinen Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer und programmierbarer elektronischer Steuerungssysteme F r den Einsatz des sicherheitsger
28. DRIVE Driving the world th 2 EF Pi el m SEW EURODRIVE Driving the world i AI oo EURODRIVE SEW EURODRIVE GmbH amp Co KG P O Box 3023 D 76642 Bruchsal Germany Phone 49 7251 75 0 Fax 49 7251 75 1970 sew sew eurodrive com gt www sew eurodrive com
29. PU BS V 8 4 5000 ms 200 ms 3 2 7 Watchdog Zeit des Anwenderprogramms Jedes Anwenderprogramm hat einen eigenen Watchdog und eine eigene Watchdog Zeit Die Watchdog Zeit des Anwenderprogramms l sst sich nicht unmittelbar einstellen Die Sicherheitssteuerung PFF HM31A errechnet die Watchdog Zeit eines Anwenderpro gramms aus den Parametern Max Watchdog Zeit der Ressource und Maximale Zyk lenanzahl Es ist darauf zu achten dass die errechnete Watchdog Zeit h chstens so gro ist wie die resultierende Reaktionszeit die f r den vom Anwenderprogramm bearbeiteten Teil des Prozesses gefordert ist 3 3 Wiederholungspr fung Eine Wiederholungspr fung ist eine Pr fung zur Aufdeckung verdeckter Fehler in einem sicherheitstechnischen System so dass das System wenn n tig wieder in einen Zu stand gebracht werden kann in dem es seine geplante Funktion erf llt SEW Sicherheitssysteme m ssen in Intervallen einer Wiederholungspr fung unterzo gen werden Durch eine Analyse der realisierten Sicherheitskreise mittels Berechnung kann das Intervall h ufig verl ngert werden 3 3 1 Durchf hrung der Wiederholungspr fung Die Durchf hrung der Wiederholungspr fung h ngt davon ab wie die Anlage EUC Equipment Under Control beschaffen ist und welches Gef hrdungspotential sie hat und welche der Normen daher f r den Betrieb der Anlage zur Anwendung kommen und von der zust ndigen Pr fstelle als Grundlage f r die Ge
30. Systeme m glich Der Anschluss induktiver Lasten muss mit einer Freilaufdiode am Verbraucher erfolgen 5 3 3 Reaktion im Fehlerfall DO x x_M Ausg n ge DO x x_P Ausg n ge Bei Feststellen eines fehlerhaften Signals setzt die Sicherheitssteuerung den betrof fenen Ausgang ber die Sicherheitsschalter in den sicheren energielosen Zustand Ein Fehler der Sicherheitssteuerung f hrt zum Abschalten aller Ausg nge Beide Fehlerar ten zeigt die Sicherheitssteuerung PFF HM31A zus tzlich mit der LED ERROR an Bei Feststellen eines fehlerhaften Signals setzt die Sicherheitssteuerung den betrof fenen Ausgang ber die Sicherheitsschalter in den sicheren energielosen Zustand Ein Fehler der Sicherheitssteuerung f hrt zum Abschalten aller Ausg nge Beide Fehler zeigt die Sicherheitssteuerung PFF HM31A zus tzlich mit der LED ERROR an Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 25 Ausg nge der Sicherheitssteuerung PFF HM31A Taktausg nge TO 5 3 4 Verhalten bei externem Kurzschluss oder berlast Bei einem Schluss des Ausgangs nach 0V24 24V_CU oder berlast bleibt die Testbar keit der Sicherheitssteuerung erhalten Eine Abschaltung ber die Sicherheitsabschal tung ist nicht notwendig Die Gesamtstromaufnahme der Sicherheitssteuerung wird berwacht Bei berschrei ten der Schwelle setzt die Sicherheitssteuerung alle Kan le in den sicheren Zustand Die Sicherheitssteueru
31. al im Fehlerfall Festlegung von sicherheitstechnisch erforderlichen Redundanzen 1002 2003 Diskrepanz berwachung und Reaktion e Aktoren Stellung und Ansteuerung im Normalbetrieb Sichere Reaktion Stellung bei Abschaltung oder Energieausfall Ziele bei der Programmierung des Anwenderprogramms e leicht zu verstehen e leicht nachzuvollziehen e leicht zu ndern e leicht zu testen 7 1 2 Funktionen des Anwenderprogramms Die Programmierung unterliegt keiner Einschr nkung durch die Hardware Die Funkti onen des Anwenderprogramms sind frei programmierbar e Innerhalb der Logik werden ausschlie lich Elemente nach IEC 61131 3 mit ihren je weiligen Funktionsbedingungen verwendet e Die physikalischen Ein und Ausg nge arbeiten generell im Ruhestromprinzip d h ihr sicherer Zustand ist 0 Dies ist bei der Programmierung zu ber cksichtigen Das Anwenderprogramm enth lt sinnvolle logische und oder arithmetische Funkti onen ohne R cksicht auf das Ruhestromprinzip der physikalischen Ein und Ausg n ge Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 37 38 Sicherheitstechnische Aspekte f r das Anwenderprogramm Vorgehensweisen e Die Logik soll bersichtlich konzipiert sein und verst ndlich dokumentiert f r leichte Fehlersuche Das schlie t die Verwendung von Funktionsdiagrammen ein Beliebige Negierungen sind zul ssig e Fehlersignale von Ein Ausg ngen oder aus L
32. atz 2 Aufgaben der Maschinen und Anlagenhersteller sowie des Betreibers 2 2 4 Spannungsversorgung Die wichtigsten Pr fungen und Grenzwerte f r die Spannungsversorgung der Sicher heitssteuerung sind in nachstehender Tabelle aufgelistet IEC EN 61131 2 Nachpr fung der Eigenschaften der Gleichstromversorgung Die Spannungsversorgung muss folgende Normen erf llen IEC EN 61131 2 SELV Safety Extra Low Voltage oder PELV Protective Extra Low Voltage Die Absicherung der Sicherheitssteuerung muss gem den Angaben dieses Hand buchs erfolgen Pr fung des Spannungsbereichs 24 VDC 20 bis 25 19 2 V bis 30 0 V Pr fung auf Unempfindlichkeit gegen Kurzzeitunterbrechung der externen Stromver sorgung DC PS 2 10 ms Polarit tsumkehr der Versorgungsspannung Hinweis im entsprechenden Kapitel des Systemhandbuchs oder im Datenblatt der Stromversorgung 2 2 5 ESD Schutzma nahmen Nur Personal das Kenntnisse ber ESD Schutzma nahmen besitzt darf nderungen oder Erweiterungen des Systems oder den Austausch einer Baugruppe durchf hren ACHTUNG Elektrostatische Entladungen k nnen die in der Sicherheitssteuerung einge bauten elektronischen Bauteile zerst ren E e F r die Arbeiten einen antistatisch gesicherten Arbeistplatz benutzen und ein Erdungsband tragen e Baugruppen bei Nichtbenutzung elektrostatisch gesch tzt aufbewahren z B in der Verpackung 2 3 Aufgaben de
33. blen die ser safeethernet Verbindung verhalten sich gem dem eingestellten Parameter Freeze Daten bei Verbindungsverlust ms F r sicherheitsgerichtete Funktionen die ber safeethernet realisiert werden darf nur die Einstellung Verwende Initialdaten benutzt werden Da die Receive TMO sicherheitsrelevant und Bestandteil der Worst Case Reaction Time Tr maximale Reaktionszeit siehe Sicherheitshandbuch Kapitel 8 2 4 ist muss die Re ceive TMO wie folgt berechnet und im safeethernet Editor eingetragen werden ReceiveTMO 2 4 x Delay 5 x max Zykluszeit Bedingung Die Kommunikations Zeitscheibe muss ausreichend gro sein um in einem CPU Zyklus alle safeethernet Verbindungen abzuarbeiten Delay Verz gerung auf der bertragungsstrecke z B durch Switch Satellit Max Zykluszeit maximale Zykluszeit der beiden Steuerungen HINWEISE e Eine erw nschte Fehlertoleranz der Kommunikation kann ber eine Erh hung der ReceiveTMO erreicht werden sofern dies f r den Anwendungsprozess zeitlich zu l ssig ist Der maximal zul ssige Wert f r Receive TMO h ngt vom Anwendungsprozess ab und wird im safeethernet Editor zusammen mit der maximal zu erwartenden Re sponse Time und dem Profil eingestellt 8 2 2 Response Time Die Response Time ist die Zeit in Millisekunden ms die verstreicht bis der Absender einer Nachricht die Empfangsbest tigung des Empf ngers erh lt F r die Parametrierung unter Verwendung eines safeeth
34. d 2 5000 ms 60 ms Applikationsspezifisch Max Dauer Konfigurati onsverbindungen ms Definiert wie viel Zeit innerhalb eines CPU Zyklus f r die Prozess daten Kommunikation zur Verf gung steht 6 5 000 ms 6 ms Sollzykluszeit ms Gew nschte oder maximale Zyklus zeit siehe Sollzykluszeit Modus 0 7 500 ms Die Sollzykluszeit darf h chstens so gro sein wie die eingestellte Watchdog Zeit 6 ms andernfalls lehnt das PES sie ab O ms Multitasking Modus Mode 1 Die L nge eines Zyklus der CPU richtet sich nach der ben tigten Ausf hrungsdauer aller Anwender programme Mode 2 Prozessor stellt von Anwenderpro grammen niederer Priorit t nicht ben tigte Ausf hrungszeit den Anwenderprogrammen hoher Prio rit t zur Verf gung Betriebsart f r hohe Verf gbarkeit Mode 3 Prozessor wartet nicht ben tige Ausf hrungszeit von Anwenderpro grammen ab und verl ngert so den Zyklus Mode 1 Sollzykluszeit Modus Verwendung der Sollzykluszeit ms fest Das PES h lt die Sollzykluszeit ein und verl ngert den Zyklus falls n tig Dies gilt nicht falls die Abar beitungszeit der Anwenderpro gramme die Sollzykluszeit berschreitet fest tolerant Wie bei fest aber beim 1 Aktivie rungszyklus des Reload findet die Sollzykluszeit keine Beachtung dynamisch tolerant Das PES h lt m glichst die Soll zykluszeit ein f hrt aber den Zyklus in m glichst kur
35. den kann steht zur berwa chung der Response Time eine entsprechende Systemvariable der Verbindung zur Verf gung Kommt es nicht nur in seltenen Einzelf llen zu einer berschrei tung der gemessenen Response Time ber die halbe ReceiveTMO muss die pa rametrierte Response Time erh ht werden Die Receive Timeout ist der neu parametrierten Response Time anzupassen In den folgenden Beispielen gelten die Formeln f r die Berechnung der maximalen Reaktionszeit im Fall einer Verbindung mit der Sicherheitssteuerung nur dann wenn auf diesen die Sicherheitszeit 2 x Watchdog Zeit eingestellt ist 8 2 3 Maximale Zykluszeit der Sicherheitssteuerung Zur Bestimmung der maximalen Zykluszeit f r eine Sicherheitssteuerung PFF HM31A em Ma 1 pfiehlt SEW EURODRIVE die folgende Vorgehensweise ximale Zykluszeit der Sicherheitssteuerung PFF HM31A bestimmen System unter voller Last betreiben Dabei m ssen alle Kommunikationsverbin dungen in Betrieb sein sowohl ber safeethernet als auch ber Standardprotokolle Die Zykluszeit im Control Panel fter ablesen und die maximale Zykluszeit notieren 2 Schritt 1 f r den Kommunikationspartner zweite Sicherheitssteuerung wiederholen 3 Die gr ere der beiden ermittelten maximalen Zykluszeiten ist die gesuchte maxi Die 8 2 4 Berechnung der Die bis 1 1 2 3 4 5 male Zykluszeit maximale Zykluszeit ist ermittelt und geht in die nachfolgenden Berechnungen
36. derpro gramm automatisch OFF Kein automatischer Start nach Zuschalten der Versorgungsspan nung OFF Applikationsspezifisch Start erlaubt ON Kaltstart oder Warmstart durch PADT im Zustand RUN oder STOPP erlaubt OFF Kein Start erlaubt ON Applikationsspezifisch Laden erlaubt ON Download des Anwenderpro gramms erlaubt OFF Download des Anwenderpro gramms nicht erlaubt ON Applikationsspezifisch Reload erlaubt ON Reload des Anwenderprogramms erlaubt OFF Reload des Anwenderprogramms nicht erlaubt Ein laufendes Reload wird beim Umschalten auf OFF nicht abgebrochen ON Globales Forcen erlaubt ON Globales Forcen f r diese Res source erlaubt OFF Globales Forcen f r diese Res source nicht erlaubt ON Applikationsspezifisch Globale Force Timeout Reaktion Legt fest wie sich die Ressource beim Ablauf des globalen Force Timeout verh lt Forcen beenden e Ressource stoppen Forcen beenden Applikationsspezifisch Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Software f r Sicherheitssteuerung PFF HM31A Parameter der Ressource Parameter Schalter Beschreibung Standardwert Einstellung f r sicheren Betrieb Max Kom Zeitscheibe ASYNC ms H chstwert in ms der Zeitscheibe die innerhalb des Zyklus der Res source f r Kommunikation verwen det wir
37. ebssystem mit 24 Stunden definiert 3 2 5 Reaktionszeit Die maximale Reaktionszeit von zyklisch arbeitenden Sicherheitssteuerungen ist die doppelte Zykluszeit dieser Systeme wenn nicht durch Parametrierung oder die Logik des Anwenderprogramms eine Verz gerung erfolgt 14 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Sicherheitskonzept f r den Einsatz der PES Wiederholungspr fung Die Zykluszeit einer Steuerung besteht aus folgenden wesentlichen Teilen e Lesen der Eing nge e Verarbeiten des Anwenderprogramms Schreiben der Ausg nge e Prozessdaten Kommunikation e Ausf hren der Testroutinen Zus tzlich sind bei der Worst Case Betrachtung des gesamten Systems die Schalt zeiten der Eing nge und Ausg nge zu ber cksichtigen 3 2 6 Watchdog Zeit des Prozessorsystems Die Watchdog Zeit wird als Zeit im Men f r die Einstellung der Eigenschaften des PES vorgegeben Sie ist die maximal zul ssige Dauer eines RUN Zyklus Zykluszeit ber schreitet die Zykluszeit die vorgegebene Watchdog Zeit so schaltet das System ab An schlie end startet das System neu falls Autostart parametriert wurde Falls Autostart nicht parametriert wurde geht das System in den Zustand STOPP G LTIGE KONFI GURATION Die Watchdog Zeit des Prozessorsystems darf eingestellt werden auf Max 0 5 x Sicherheitszeit des PES Betriebssystem Version Wertebereich Watchdog Zeit Standardwert Steuerungen Ab C
38. en einsetzen 2 1 Bestimmungsgem er Einsatz 2 1 1 Anwendungsbereich Die sicherheitsgerichtete Steuerung ist einsetzbar bis zum Sicherheits Integrit tslevel SIL 3 gem IEC 61508 und PL e gem EN ISO 13849 1 Die Sicherheitssteuerung PFF HM31A ist f r Schutzsysteme und Maschinensteue rungen zertifiziert Bei der Verwendung der sicherheitsgerichteten Kommunikation zwischen verschie denen Ger ten ist zu beachten dass die Gesamtreaktionszeit des Systems nicht die Fehlertoleranzzeit berschreitet Die im Kapitel Konfiguration der Kommunikation auf gef hrten Berechnungsgrundlagen sind anzuwenden An die Kommunikations Schnittstellen d rfen nur Ger te angeschlossen werden die eine sichere elektrische Trennung gew hrleisten Ruhestromprinzip Arbeitsstromprinzip Die Automatisierungsger te sind f r das Ruhestromprinzip konzipiert Ein System das nach dem Ruhestromprinzip funktioniert ben tigt keine Energie um seine Sicherheits funktion auszuf hren deenergize to trip Als sicherer Zustand im Fehlerfall wird damit bei Eingangs und Ausgangssignalen der spannungs oder stromlose Zustand einge nommen Die Sicherheitssteuerungen k nnen auch in Arbeitsstrom Anwendungen eingesetzt werden Ein System das nach dem Arbeitsstromprinzip funktioniert ben tigt Energie z B elektrische oder pneumatische Energie um seine Sicherheitsfunktion auszuf hren energize to trip Bei der Konzeption der Steuerung sind die
39. ende Funktionen aus e Lesen der Eingangsdaten e Verarbeiten der Logikfunktionen die gem IEC 61131 3 programmiert worden sind e Schreiben der Ausgangsdaten Hinzu kommen folgende wesentlichen Funktionen e Umfangreiche Selbsttests e Tests der Eing nge und Ausg nge w hrend des Betriebs e Daten bertragung e Diagnose Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Software f r Sicherheitssteuerung PFF HM31A Sicherheitstechnische Aspekte f r die Programmierung 6 3 Sicherheitstechnische Aspekte f r die Programmierung 6 3 1 Sicherheitskonzept des Programmierwerkzeugs Ab CPU BS V 8 Das Sicherheitskonzept des Programmierwerkzeugs SILworX Bei der Installation des Programmierwerkzeugs sichert eine CRC Pr fsumme die In tegrit t des Programmpakets auf dem Weg vom Hersteller zum Anwender Das Programmierwerkzeug f hrt Plausibilit tspr fungen durch um Fehler bei der Eingabe zu verringern Doppelte Kompilierung mit anschlie endem Vergleich der erzeugten CRC Pr fsum men stellt sicher dass Verf lschungen der Anwendung durch tempor re Fehlfunkti onen des benutzten PCs erkannt werden Programm doppelt kompilieren und Ergebnisse vergleichen 1 Kompilierung starten Bei Abschluss der Kompilierung zeigt das Programmierwerkzeug eine CRC Pr f summe an Kompilierung erneut starten Bei Abschluss der Kompilierung zeigt das Programmierwerkzeug eine CRC Pr f summe a
40. er CPU Dazu wird im Hardware Ma nagement die Steuerung ausgew hlt und im Kontextmen Konfigurationsinformation werden die Versionen angezeigt Zum Bestimmen einer Version geh ren rootcpu config zeigt die sicherheitsgerichtete Konfiguration der CPU an den Kon figurations CRC der CPU rootcom config zeigt die nicht sicherheitsgerichtete Konfiguration der COM root config zeigt die Gesamtkonfiguration einschlie lich der Remote I Os CPU COM an 4 Archiv des Projekts auf Speichermedium erstellen und mit Namen der Anwenderpro gramme Konfigurations CRCs der CPUs und Datum versehen Diese Empfehlung ersetzt nicht die internen Dokumentationserfordernisse des Anwenders Das Projektarchiv ist erstellt Archivierung eines Projekts ab CPU BS V 8 SILworX legt ein Projekt in einer Projektdatei an Diese kann auf einem Speicherme dium z B USB Stick gespeichert werden Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Software f r Sicherheitssteuerung PFF HM31A Parameter der Ressource 6 3 4 M glichkeit zur Programm und Konfigurations Identifizierung Projektdateien ab CPU BS V 8 Die Anwenderprogramme werden eindeutig an den Konfigurations CRCs des Projekts identifiziert Dieser l sst sich mit dem Konfigurations CRC des geladenen Projekts ver gleichen Um sicherzustellen dass die gesicherte Projektdatei unver ndert ist die enthaltene Ressource kompilieren und den Ko
41. ernet Profils muss eine durch die physikalischen Gegebenheiten der Ubertragungsstrecke erwartete Response Time vorgegeben werden Die vorgegebene Response Time hat Einfluss auf die Konfiguration aller Parameter der safeethernet Verbindung die wie folgt zu berechnen sind ResponseTime lt ReceiveTMO n n 2 3 4 5 6 7 8 Das Verh ltnis der ReceiveTMO und der ResponseTime beeinflusst die F higkeit zur Fehlertoleranz z B bei Paketverlusten Wiederholung von verloren gegangenen Da tenpaketen oder Verz gerungen auf dem Ubertragungsweg In einem Netzwerk in dem es zu Paketverlusten kommen kann muss die folgende Be dingung erf llt sein Min Response Time lt ReceiveTMO 2 2 2 x Delay 2 5 x max Zykluszeit Ist diese Bedingung erf llt kann der Verlust wenigstens eines Datenpaketes abgefan gen werden ohne dass die safeethernet Verbindung unterbrochen wird Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 45 8 Konfiguration der Kommunikation Sicherheitsgerichtetes Protokoll safeethernet HINWEISE Ist diese Bedingung nicht erf llt kann die Verf gbarkeit einer safeethernet Verbin dung nur in einem kollisions und st rungsfreien Netzwerk garantiert werden Dies bedeutet jedoch kein Sicherheitsproblem f r das Prozessormodul Es ist sicherzustellen dass das Kommunikationssystem die parametrierte Re sponse Time einh lt F r F lle in denen dies nicht immer garantiert wer
42. fisch Steuerung in von Anwenderpro gramm erkannten St rfallen Read only in RUN Nach dem Starten der Steuerung ist FALSE Applikationsspezifisch keine Bedienaktion Stopp Start Download ber SILworX mehr m glich Ausnahmen Forcen und Reload Reload Deaktivierung Verhindert ein Laden der Steuerung FALSE Applikationsspezifisch mittels Reload User LED 1 2 Steuert die entsprechende LED an FALSE Applikationsspezifisch sofern vorhanden Diesen Systemvariablen lassen sich globale Variablen zuweisen deren Werte durch einen physikalischen Eingang oder durch die Logik des Anwenderprogramms ver ndert werden Beispiel An einen digitalen Eingang ist ein Schl sselschalter angeschlossen Der digi tale Eingang ist einer globalen Variablen zugewiesen die der Systemvariablen Read only in Run zugewiesen ist Dann kann der Besitzer eines Schl ssels mit dem Schl s selschalter die Bedienaktionen Stopp Start und Download zulassen oder sperren Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Software f r Sicherheitssteuerung PFF HM31A 6 Schutz vor Manipulationen 6 5 Schutz vor Manipulationen Der Anwender muss zusammen mit der zust ndigen Pr fstelle definieren welche Ma nahmen zum Schutz vor Manipulation angewendet werden Im PES und im Programmiertool sind Schutzmechanismen integriert die versehentliche oder nicht genehmigte Ver nderungen am Sicherheitss
43. g ltigen vom T V zertifizierten Form f r sicherheitsgerichtete Anwendungen einzusetzen Das Programmiertool dient zur Erstellung des Anwenderprogramms das die anlagen spezifischen Funktionen enth lt die das Automatisierungsger t ausf hren soll Die Pa rametrierung und Bedienung f r Betriebssystemfunktionen erfolgt ebenfalls ber das Programmiertool Der Codegenerator des Programmiertools bersetzt das Anwenderprogramm in den Maschinencode Das Programmiertool bertr gt diesen Maschinencode ber eine Ethernet Schnittstelle in die Flash EPROMs des Automatisierungsger tes Sicherheitstechnische Aspekte f r das Betriebssystem Jedes zugelassene Betriebssystem ist durch seine Bezeichnung gekennzeichnet Zur besseren Unterscheidung sind die Revision und die CRC Signatur angegeben Die je weils g ltigen vom T V f r sicherheitsgerichtete Automatisierungsger te zugelas senen Versionen des Betriebssystems und die dazugeh rigen Signaturen CRCs un terliegen der Revisionskontrolle und werden auf einer Liste dokumentiert die gemein sam mit dem T V erstellt wird Ein Auslesen der laufenden Betriebssystemversion ist nur mit dem Programmiertool m glich Eine Kontrolle durch den Anwender ist erforderlich vgl Kapitel Checkliste zur Erstellung eines Anwenderprogramms Arbeitsweise und Funktionen des Betriebssystems Das Betriebssystem arbeitet das Anwenderprogramm zyklisch ab Dabei f hrt es in stark vereinfachter Form folg
44. g erhalten Wird die Va riable geforct so h ngt ihr Wert nicht mehr vom Prozess ab sondern wird vom Anwen der vorgegeben A WARNUNG St rung des sicherheitsgerichteten Betriebs durch geforcte Werte m glich Tod oder schwere K rperverletzung m glich e Geforcte Werte k nnen zu falschen Ausgangswerten f hren Forcen verl ngert die Zykluszeit Dadurch kann die Watchdog Zeit berschritten werden Forcen ist nur nach R cksprache mit der f r die Anlagenabnahme zust ndigen Pr f stelle zul ssig Weitere Informationen finden Sie im Systemhandbuch 7 2 7 Online nderung von Systemparametern ab CPU BS V 8 Es ist m glich einige Systemparameter Schalter online in der Steuerung zu ndern Ein Anwendungsfall ist die vor bergehende Erh hung der Watchdog Zeit um ein Re load durchf hren zu k nnen Parameter die online nderbar sind Parameter Hardware Layout Betriebsystem Version System ID Alle Alle Watchdog Zeit der Ressource Alle Alle Sicherheitszeit Alle Alle Sollzykluszeit Alle Ab CPU BS V 8 Sollzykluszeit Modus L3 Ab CPU BS V 8 Hauptfreigabe Alle Alle Autostart Alle Alle Start erlaubt Alle Alle Laden erlaubt Alle Alle Reload erlaubt L3 Ab CPU BS V 8 Globales Forcen erlaubt Alle Alle Globale Force Timeout Reaktion Alle Alle Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Sicherheitstechnische Aspekte f r da
45. h rden 43 8 Konfiguration der Kommunikation urs 4r2snssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnn 44 8 1 Standardprotokolle 2442444444444Hennnnennnnnnnnennnnnnnnnnnnnnennnnnnnnnnn nn 44 8 2 Sicherheitsgerichtetes Protokoll safeethernet 4 nn 44 8 2 1 Receive Timeout 45 8 2 2 Response Time ussssnenssnennnennnnnnnnnnneennnnnnnnnnennnnnnenn nn 45 8 2 3 Maximale Zykluszeit der Sicherheitssteuerung 46 8 2 4 Berechnung der maximalen Reaktionszeit 46 8 2 5 RCT EE E E ANE T E A E PEST FETEEETLER 47 8 2 6 Vergabe der safeethernet Adressen snnn 47 9 Anhan PRRRPPEESRRSBEREAFABENNE BEN RENEREFEAER NEREEEFRERHE LEGE BENEEETSOERENEEEEEFHERRELEREFEEREERTEETEEREREESFHRERE 48 94 GIOSSAr enalrireaeeie nee ef adele 48 Stichwortverzeichnis unnuesnnnsennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnrnnsnnnnnnnnsnnnnnnnnnsnnnen 50 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Allgemeine Hinweise Aufbau und Gebrauch der Dokumentation 1 Allgemeine Hinweise Dieses Handbuch enth lt Informationen f r den bestimmungsgem en Gebrauch der Sicherheitssteuerung Voraussetzung f r die gefahrlose Installation Inbetriebnahme und f r die Sicherheit bei Betrieb und Instandhaltung sind Kenntnis von Vorschriften e Technisch einwandfreie Umsetzung der in die
46. hmigungsbeh rden Es wird empfohlen bei der Projektierung einer abnahmepflichtigen Anlage so fr h wie m glich die Genehmigungsbeh rden einzuschalten Die Abnahme bezieht sich nur auf die Anwenderfunktion nicht aber auf die Sicherheitssteuerung die bereits baumuster gepr ft ist Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 44 8 8 1 8 2 Z Konfiguration der Kommunikation Standardprotokolle Konfiguration der Kommunikation Neben den physikalischen Eingangs und Ausgangsvariablen k nnen Variablen auch ber eine Datenverbindung mit einem anderen System ausgetauscht werden Hierzu werden die Variablen der jeweiligen Ressource im Protokolleditor des Programmiertools deklariert Dieser Datenaustausch kann sowohl lesend als auch schreibend sein Standardprotokolle Eine Reihe von Kommunikationsprotokollen erlaubt nur eine nicht sicherheitsgerichtete Ubertragung von Daten Diese k nnen f r nicht sicherheitsgerichtete Teile einer Auto matisierungsaufgabe verwendet werden A WARNUNG Verwendung unsicherer Importdaten Tod oder schwere K rperverletzung Aus nicht sicheren Quellen importierte Daten nicht f r die Sicherheitsfunktionen des Anwenderprogramms verwenden Die folgenden Standardprotokolle stehen der Sicherheitssteuerung zur Verf gung e SNTP Server Client e Modbus TCP Master Sicherheitsgerichtetes Protokoll safeethernet Die sicherheitsgerichtete Kommunikati
47. ichteten Steuerungssystems PFF HM31A sind die nachfolgenden allgemeinen Bedingungen einzuhalten Art der Bedingung Inhalt der Bedingung Aufstellh he lt 2000 m Geh use Standard IP54 2 2 1 Klimatische Bedingungen Die wichtigsten Pr fungen und Grenzwerte f r klimatische Bedingungen sind in nach stehender Tabelle aufgelistet EN 61800 5 1 Klimapr fungen Betriebstemperatur 5 C bis 50 C Lagertemperatur 25 C bis 70 C Trockene W rme konstant Best ndigkeitspr fungen gem IEC 60068 2 2 2007 Pr fung Bd Feuchte W rme konstant Best ndigkeitspr fungen gem IEC 60068 2 78 2001 Pr fung Cab 2 2 2 Mechanische Bedingungen Die wichtigsten Pr fungen und Grenzwerte f r mechanische Bedingungen sind in nach stehender Tabelle aufgelistet EN 61800 5 1 Mechanische Pr fungen Unempfindlichkeitspr fung gegen Schwingungen gem IEC 60068 2 6 2007 Pr fung Fc 2 2 3 EMV Bedingungen F r die Sicherheitssteuerung PFF HM31A werden erh hte Pegel bei der St rbeeinflus sung gefordert Die Sicherheitssteuerung PFF HM31A erf llt die St raussendungsan forderungen gem EN 61800 3 2004 Grenzwertklasse C2 und die St rfestigkeitsan forderungen gem EN 62061 2005 und EN 61800 3 2004 zweite Umgebung 10 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Hinweise zum Eins
48. kann nur erfolgen wenn es zuvor in STOPP gesetzt worden ist Anzahl der Anwenderprogramme pro Steuerung 1 32 Das vollst ndige Laden eines Anwenderprogramms wird berwacht Danach kann das Anwenderprogramm gestartet werden d h die zyklische Abarbeitung der Routine be ginnt HINWEIS il SEW EURODRIVE empfiehlt nach jedem Laden eines Anwenderprogramms in die Steuerung die Projektdaten zu sichern z B auf einem Wechselspeichermedium Damit soll gew hrleistet werden dass die zur Konfiguration auf der Steuerung pas senden Projektdaten weiterhin verf gbar sind auch wenn das PADT ausf llt SEW EURODRIVE empfiehlt eine regelm ige Datensicherung auch unabh ngig vom Laden des Programms Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Sicherheitstechnische Aspekte f r das Anwenderprogramm 7 Vorgehensweisen 7 2 5 Optionale Funktionen Multitasking und Reload HINWEIS il Die optionalen Funktionen k nnen in der Ger teoption PFF HM31A1 E61 1111 00 000 000 ohne Aktivierung f r 5000 Betriebsstunden zu Testzwecken verwendet werden Bei der Verwendung der nicht aktivierten Funktionen leuchtet die System LED ERROR dauerhaft rot Nach Ablauf der 5000 Betriebsstunden l uft die Steuerung nicht mehr an e Bestellen Sie rechtzeitig die Ger teoption mit den ben tigten Funktionen e Multitasking Multitasking bezeichnet die Fahigkeit der Sicherheitssteuerung bis
49. ligen Fehlercodes bietet zus tzliche M glichkeiten Fehlerreaktionen im Anwenderprogramm zu konfigurieren Sicherheit von Aktoren In einer sicherheitsgerichteten Anwendung m ssen sowohl die Steuerung als auch die daran angeschlossenen Aktoren den Sicherheitsanforderungen und dem spezifizierten SIL entsprechen Sicherheitsgerichtete 2 polige digitale Ausg nge Testroutinen f r 2 polige digitale Ausg nge Die Ger te testen sich automatisch w hrend des Betriebes Die wesentlichen Testfunk tionen sind e Rucklesen des Ausgangssignals des Schaltverst rkers Die Schaltschwelle f r einen zur ckgelesenen Low Pegel ist 2 V Die eingesetzten Dioden verhindern ein R ck speisen von Signalen e Pr fen der integrierten zweifachen Sicherheitsabschaltung e Ein Abschalttest der Ausg nge erfolgt innerhalb der MEZ f r jeweils max 200 us Der Mindestabstand zwischen zwei Tests betragt 2 20 Sekunden e Leitungsdiagnose bei 2 poligem Anschluss Kurzschluss gegen 24V_CU 0V24 Kurzschluss zwischen 2 poligen Anschl ssen Leitungsbruch in einer der beiden 2 poligen Anschl sse berwachung des Ausgangsstroms Das System berwacht seine Betriebsspannung und steuert alle Ausg nge bei einer Unterspannung lt 13 V ab Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Ausg nge der Sicherheitssteuerung PFF HM31A Sicherheitsgerichtete 2 polige digitale Ausg nge 5 3 2 1 poliger
50. n Sind beide CRC Pr fsummen gleich hat keine Verf lschung bei der Kompilierung statt gefunden Bei der ersten Inbetriebnahme einer sicherheitsgerichteten Steuerung ist die Sicherheit des gesamten Systems durch einen vollst ndigen Funktionstest zu pr fen Funktionstest der Steuerung 1 berpr fung der korrekten Umsetzung der Steuerungsaufgabe anhand der Daten und Signalfl sse Vollst ndige Funktionspr fung der Logik durch Erprobung siehe berpr fung der Konfiguration und des Anwenderprogramms Die Steuerung und das Anwenderprogramm sind hinreichend berpr ft Nach einer nderung des Anwenderprogramms sind nur diejenigen Programmteile zu testen die von der nderung betroffen sind Der sichere Revisionsvergleicher von SlLworX kann die nderungen gegen ber der Vorversion ermitteln und anzeigen Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 29 Software f r Sicherheitssteuerung PFF HM31A Sicherheitstechnische Aspekte f r die Programmierung 6 3 2 berpr fung der Konfiguration und des Anwenderprogramms Um das erstellte Anwenderprogramm auf Einhaltung der spezifischen Sicherheitsfunk tion zu berpr fen sind geeignete Testf lle zu erzeugen welche die Spezifikation ab decken In der Regel ist der unabh ngige Test jedes Loops bestehend aus Eingang den aus Anwendungssicht wichtigen Verkn pfungen und Ausgang ausreichend Das Program miertool und die i
51. n diesem Sicherheitshandbuch definierten Ma nahmen machen es hinreichend unwahrscheinlich dass ein semantisch und syntaktisch korrekter Code er zeugt wird der noch unerkannte systematische Fehler aus dem Prozess der Code Er zeugung enth lt Auch f r die numerische Auswertung von Formeln sind geeignete Testf lle zu generie ren Sinnvoll sind quivalenzklassentests das sind Tests innerhalb definierter Wertebe reiche an den Grenzen oder in unzul ssigen Wertebereichen Die Testf lle sind so zu w hlen dass die Korrektheit der Programmlogik nachgewiesen wird Die notwendige Anzahl der Testf lle h ngt von der verwendeten Programmlogik ab und muss kritische Wertepaare umfassen Nur eine aktive Simulation mit Quellen kann eine korrekte Verdrahtung der Sensoren und Aktoren des Systems auch ber Kommunikation mit Remote I Os angeschlossene nachweisen Au erdem ist auch nur so die Systemkonfiguration berpr fbar Diese Vorgehensweise betrifft die Ersterstellung eines Anwenderprogramms ebenso wie dessen nderungen 6 3 3 Archivierung eines Projekts SEW EURODRIVE empfiehlt nach jedem Laden des Programms in die Steuerung das Projekt zu archivieren Dies gilt f r Download wie f r Reload Erstellung eines Projekt Archivs 1 Ausdrucken des Anwenderprogramms zum Vergleich der Logik mit den Vorgaben 2 bersetzen des Anwenderprogramms zum Erzeugen des Konfigurations CRC der CPU 3 Notieren der Version des Konfigurations CRC d
52. ndig Eine Trennung von PADT und PES in der normalen Betriebsphase sch tzt vor unzul ssigen Eingriffen Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 35 Sicherheitstechnische Aspekte f r das Anwenderprogramm Rahmen f r den sicherheitsgerichteten Einsatz 7 Sicherheitstechnische Aspekte f r das Anwenderprogramm Allgemeiner Ablauf der Programmierung der Sicherheitssteuerung PFF HM31A f r si cherheitstechnische Anwendungen e Spezifikation der Steuerungsfunktion Schreiben des Anwenderprogramms Kompilieren des Anwenderprogramms mit dem C Code Generator e Zweimaliges bersetzen des Anwenderprogramms beide Ergebnisse CRC sind zu vergleichen Das Programm ist fehlerfrei erzeugt und lauff hig e Verifikation und Validation Anschlie end kann das PES den sicherheitsgerichteten Betrieb aufnehmen 7 1 Rahmen f r den sicherheitsgerichteten Einsatz Vorgaben und Regeln Erl uterungen zu den Sicherheitsauflagen siehe Kapitel Si cherheitsauflagen Das Anwenderprogramm mit dem zul ssigen Programmiertool eingeben SlLworX f r Betriebssysteme mit einer Version ab CPU BS V 8 Die freigegebenen Betriebssysteme f r Personalcomputer sind den Freigabemittei lungen des Programmiertools zu entnehmen Das Programmiertool enth lt im Wesentlichen Eingabe Funktionsbaustein Editor berwachung und Dokumentation e Variablen mit symbolischen Namen und Datentyp BOOL UINT usw e
53. nehmigung benutzt wurden Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 3 Sicherheitskonzept f r den Einsatz der PES Sicherheitsauflagen Nach den Normen IEC 61508 1 7 IEC 61511 1 3 IEC 62061 und VDI VDE 2180 Blatt 1 bis 4 hat bei sicherheitsgerichteten Systemen der Betreiber f r eine Wiederholungs pr fung zu sorgen 3 3 2 H ufigkeit der Wiederholungspr fungen Die Sicherheitssteuerung PFF HM31A kann einer Wiederholungspr fung unterzogen werden indem der gesamte Sicherheitskreis berpr ft wird In der Praxis wird f r die Eingangs und Ausgangs Feldger te ein k rzeres Intervall f r die Wiederholungspr fung z B alle 6 oder 12 Monate gefordert als f r die Sicherheits steuerung Wenn der Anwender den kompletten Sicherheitskreis wegen des Feldger ts pr ft dann ist die Sicherheitssteuerung in diesen Test automatisch eingeschlossen Es sind dann keine zus tzlichen Wiederholungspr fungen f r die Sicherheitssteuerung er forderlich Falls die Wiederholungspr fung der Feldger te die Sicherheitssteuerung nicht mit ein bezieht dann muss diese f r SIL 3 mindestens einmal in 20 Jahren ersetzt werden Dies wird erreicht indem die Sicherheitssteuerung ausgetauscht wird siehe Betriebsanlei tung Dezentrale Sicherheitsteuerung PFF HM31A f r MOVIPRO Kapitel Sicher heitskennwerte PFF HM31A 3 4 Sicherheitsauflagen F r den Einsatz der sicherheitsgerichteten PES des Systems
54. nennen 15 3 3 Wiederholungspr fung 44400 444444000n0nnnnnnnnnonnnnnn nennen 15 3 3 1 Durchf hrung der Wiederholungspr fung e 15 3 3 2 H ufigkeit der Wiederholungsprufungen 22444 nn 16 3 4 Sicherheitsauflagen 4 aaa 16 3 4 1 Hardware Projektierung 220ssernnnnennennnnnnnnnennnnnnnnnnennen nn 16 3 4 2 Programmierung asien 18 3 4 3 Kommunikation a 18 3 4 4 Wartungseingriffe l nengselalneiteei 18 3 9 ZORNO a nee ae aaa anne he naher anna sete analeens 19 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Inhaltsverzeichnis 4 Eing nge der Sicherheitssteuerung PFF HM31A uuensessnnnsnnnnnnnnnnnnnnnnennnnn 20 4 1 Allgemeinesi n 42 lehrer ieh 20 4 2 Sicherheit von Sensoren Encodern und Transmittern 20 4 3 Sicherheitsgerichtete digitale Eing nge nssennnnnennnnennnnenennennn 20 4 3 1 Allgemeines de cecevvetecceereaeadcecevvandcdeevvadndieeuvaadaceciuvaanceeds 20 4 3 2 Test Routinen 2 4 Kerne ale 20 4 3 3 Reaktion im Fehlerfall 2224444444444440RRRnnnHHn nennen 21 4 3 4 Surge auf digitalen Eing ngen uus2ssnnsnnnnennnnnnnnennnnnn 21 4 4 Sicherheitsgerichtete Z hler unrr2444004RnHnnnHannnnnnnnnnnnnnnnnnannnnnnn 21 4 4 1 Automatische Drehrichtungserkennung ueeennnn 22 4
55. nfigurations CRC mit dem CRC der geladenen Kon figuration vergleichen Dieser kann mit SlLworX angezeigt werden 6 4 Parameter der Ressource A G A WARNUNG Fehlerhafte Konfiguration Tod oder schwere K rperverletzungen Weder das Programmiersystem noch die Steuerung k nnen einige projektspezifisch festgelegte Parameter berpr fen Deshalb unbedingt diese Parameter korrekt ins Programmiersystem eintragen und den erfolgten Eintrag berpr fen Diese Parameter sind System ID Sicherheitszeit Watchdog Zeit Hauptfreigabe Autostart Start erlaubt Laden erlaubt Reload erlaubt Globales Forcen erlaubt Die nachfolgend angef hrten Parameter werden im Programmierwerkzeug f r die zu l ssigen Aktionen im sicherheitsgerichteten Betrieb des Automatisierungsger ts festge legt und als sicherheitsgerichtete Parameter bezeichnet Die w hrend des sicherheitsgerichteten Betriebs m glichen Festlegungen sind nicht starr an eine bestimmte Anforderungsklasse gebunden sondern sind f r jeden Einsatz der Steuerung mit der zust ndigen Pr fstelle abzustimmen 6 4 1 Systemparameter ab CPU BS V 8 Systemparameter der Ressource Ab CPU BS V 8 gibt es eine Aufteilung in Systemparameter der Ressource und System parameter der Hardware Diese Parameter legen das Verhalten der Steuerung wahrend des Betriebs fest und werden in SlLworX eingestellt Parameter Schalter Beschreibung Standardwert Einstellung f r sicheren
56. ng pr ft in diesem Zustand zyklisch im Abstand weniger Sekun den ob die berlast der Ausg nge noch vorhanden ist Bei Normalzustand schaltet die Sicherheitssteuerung die Ausg nge wieder zu 5 4 Taktausgange TO Das System besitzt vier nicht sicherheitsgerichtete strombegrenzte digitale Ausg nge 24 V Die Ausg nge sind nicht galvanisch von der Versorgungseinheit getrennt Mit der Quer strom berwachung Line Control der 24 V Ausg nge besteht die M glichkeit einer Lei tungsbruch und Leitungsschlusserkennung Hierzu werden die Taktausg nge einzeln kurzzeitig abgesteuert und die Signale an den zugeh rigen digitalen Eing ngen gele sen F r die Querstrom berwachung m ssen immer unterschiedliche Taktausg nge verwendet werden In SILworX k nnen f r die Taktausg nge zusammen mit den digitalen Eing ngen fol gende Parameter eingestellt werden e Zuordnung zwischen Taktausgang und digitalem Eingang e Wartezeit min 400 us zwischen dem Absteuern des Taktausgangs und dem Lesen des Eingangs einstellbar Uber den Parameter DI Taktverz gerung us Die Wartezeit verl ngert die Zykluszeit um den eingestellten Wert Die folgende Darstellung zeigt Ihnen das Prinzip einer Leitungs berwachung 4 5 4948012171 1 Anbindung an E A Bus 2 Kanal 1 3 Kanal 2 4 Not Aus Schalter 5 Schnittstelle zu den digitalen Eingangen Sicherheit
57. ngswerkzeug installiert ist 3 2 F r die Sicherheit wichtige Zeiten Diese sind e Fehlertoleranzzeit e Watchdog Zeit Sicherheitszeit e Reaktionszeit 3 2 1 Fehlertoleranzzeit FTZ Die Fehlertoleranzzeit ist eine Eigenschaft des Prozesses und beschreibt die Zeit spanne in der der Prozess durch fehlerhafte Signale beaufschlagt werden kann ohne dass ein gef hrlicher Zustand eintritt 3 2 2 Sicherheitszeit des PES Die Sicherheitszeit ist die Zeit in der das PES im RUN Zustand nach Auftreten eines internen Fehlers reagieren muss Von der Prozessseite her gesehen ist die Sicherheitszeit die maximale Zeit in der das Sicherheitssystem bei einer Anderung von Eingangssignalen an den Ausgangen rea gieren muss Reaktionszeit Betriebssystem Version Sicherheitszeit im Bereich Ab CPU BS V 8 20 22500 ms 3 2 3 Sicherheitszeit des Anwenderprogramms Die Sicherheitszeit des Anwenderprogramms l sst sich nicht unmittelbar einstellen Die Sicherheitssteuerung PFF HM31A errechnet die Sicherheitszeit eines Anwenderpro gramms aus den Parametern Sicherheitszeit der Ressource und Maximale Zyklenan zahl Zu Einzelheiten siehe Kapitel Multitasking 3 2 4 Mehrfehlereintrittszeit Die Eintrittszeit f r Mehrfachfehler ist die Zeitspanne in der die Wahrscheinlichkeit f r das Auftreten von Mehrfachfehlern die in Kombination sicherheitskritisch sind hinrei chend gering ist Die Mehrfehlereintrittszeit ist im Betri
58. ogik Bausteinen sind auszuwerten Wichtig ist die Kapselung von Funktionen in selbst erstellten Funktionsbausteinen und Funktionen aus Standardfunktionen Dadurch kann ein Programm in Module Funkti onen Funktionsbausteine klar strukturiert werden Jedes Modul kann f r sich einzeln betrachtet werden und durch das Zusammenschalten der Module zu einem gr eren Modul oder zu einem Programm ergibt sich eine fertige komplexe Funktion 7 1 3 Variablen und Signaldeklaration Eine Variable ist ein Platzhalter f r einen Wert innerhalb der Programmlogik ber den Variablennamen wird der Speicherplatz mit dem gespeicherten Wert symbolisch adres siert Eine Variable wird in der Variablendeklaration des Programms oder eines Funkti onsbausteins erstellt Anzahl Zeichen f r Variablennamen Ab CPU BS V 8 31 Die Verwendung von symbolischen Namen an Stelle der physikalischen Adresse hat zwei wesentliche Vorteile e Im Anwenderprogramm k nnen die Anlagenbezeichnungen von Eing ngen und Ausg ngen verwendet werden nderungen der Zuordnung der Variablen zu den Eingangs und Ausgangskan len haben keinen Einfluss auf das Anwenderprogramm Ab CPU BS V 8 gibt es keine Signale mehr nur noch Variable Nicht initialisierte Variable haben nach einem Kaltstart den Initialwert 0 bzw FALSE Variable deren Quelle ung ltig ist z B durch Hardware Fehler bei physikalischem Ein gang nehmen den konfigurierten Initialwert an 7
59. on ber safeethernet ist bis SIL 3 zertifiziert Die Uberwachung der sicherheitsgerichteten Kommunikation ist im safeethernet Edi tor Peer to Peer Editor zu parametrieren F r die Berechnung der safeethernet Parameter Receive Timeout und Response Time gilt folgende Bedingung Die Kommunikations Zeitscheibe muss ausreichend gro sein um in einem CPU Zy klus alle safeethernet Verbindungen abzuarbeiten F r sicherheitsgerichtete Funktionen die ber safeethernet realisiert werden darf nur die Einstellung Verwende Initialdaten benutzt werden HINWEIS Unbeabsichtigter bergang in den sicheren Zustand m glich ReceiveTMO ist ein sicherheitsgerichteter Parameter Der Wert eines Signals muss l nger als ReceiveTMO anstehen oder ber Loop Back berwacht werden falls jeder Wert bertragen werden soll ReceiveTMO ist die berwachungszeit auf Steuerung 1 innerhalb der eine korrekte Antwort von Steuerung 2 empfangen werden muss Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Konfiguration der Kommunikation Sicherheitsgerichtetes Protokoll safeethernet 8 2 1 Receive Timeout il ReceiveTMO ist die Uberwachungszeit in Millisekunden ms innerhalb der eine kor rekte Antwort des Kommunikationspartners empfangen werden muss Trifft innerhalb der ReceiveTMO keine korrekte Antwort des Kommunikationspartners ein wird die sicherheitsgerichtete Kommunikation geschlossen Die Input Varia
60. pe Dieses Dokument wendet sich an Planer Projekteure und Programmierer von Automa tisierungsanlagen sowie Personen die zu Inbetriebnahme Betrieb und Wartung der Ger te und Systeme berechtigt sind Vorausgesetzt werden spezielle Kenntnisse auf dem Gebiet der sicherheitsgerichteten Automatisierungssysteme 1 3 Darstellungskonventionen Zur besseren Lesbarkeit und zur Verdeutlichung gelten in diesem Dokument folgende Schreibweisen Schreibweise Bedeutung Fett Hervorhebung wichtiger Textteile Bezeichnungen von Schaltfl chen Men punkten und Registern im Programmierwerkzeug auf die Sie klicken k nnen Kursiv Parameter und Systemvariablen Courier Wortliche Benutzereingaben RUN Bezeichnungen von Betriebszust nden in Gro buchstaben Kap 1 2 3 Querverweise auf andere Kapitel 1 4 Aufbau der Sicherheitshinweise 1 4 1 Bedeutung der Signalworte Die folgende Tabelle zeigt die Abstufung und Bedeutung der Signalworte f r Sicher heitshinweise Warnungen vor Sachsch den und weitere Hinweise Signalwort Bedeutung Folgen bei Missachtung A GEFAHR Unmittelbar drohende Gefahr Tod oder schwere K rperverletzungen A WARNUNG M gliche gef hrliche Situation Tod oder schwere K rperverletzungen A VORSICHT M gliche gef hrliche Situation Leichte K rperverletzungen ACHTUNG M gliche Sachsch den Besch digung des Antriebssystems oder seiner Umgebung HINWEIS N t
61. r heitssteuerung oder den defekten E A Kanal ab Bei einem System ohne Redundanz bedeutet dies dass Teilfunktionen oder das ge samte PES abgeschaltet werden k nnen Alle Sicherheitssteuerungen verf gen jeweils ber eigene LEDs zur Anzeige der ent deckten Fehler Damit ist im St rungsfall eine schnelle Fehlerdiagnose ber ein als feh lerhaft gemeldetes Ger t oder der externen Beschaltung m glich Zus tzlich kann das Anwenderprogramm verschiedene Systemvariablen oder System signale auswerten die den Zustand der Sicherheitssteuerung anzeigen Eine umfangreiche diagnostische Aufzeichnung des Systemverhaltens und erkannter Fehler werden im Diagnosespeicher der Steuerungen abgelegt Die Aufzeichnung kann auch nach einer Systemst rung ber das PADT ausgelesen werden Bei einem sehr kleinen Teil der Bauelement Ausf lle die die Sicherheit nicht beeinflus sen erzeugt die Sicherheitssteuerung keine Diagnoseinformation Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 13 3 Sicherheitskonzept f r den Einsatz der PES F r die Sicherheit wichtige Zeiten 3 1 2 PADT Mit dem PADT erstellt der Anwender das Programm und konfiguriert die Steuerung Das Sicherheitskonzept des PADT unterst tzt den Anwender bei der korrekten Umsetzung der Steuerungsaufgabe Das PADT f hrt zahlreiche Ma nahmen zur Pr fung der ein gegebenen Informationen durch Das PADT ist ein Personalcomputer auf dem das Planu
62. r Maschinen und Anlagenhersteller sowie des Betreibers Die Maschinen und Anlagenhersteller sowie der Betreiber sind daf r verantwortlich dass die sichere Anwendung der Sicherheitssteuerung in Automatisierungsanlagen und in Gesamtanlagen gew hrleistet ist Die korrekte Programmierung der Sicherheitssteuerung muss durch die Maschinen und Anlagenhersteller ausreichend validiert werden 2 4 Weitere Systemdokumentationen e Betriebsanleitung Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO e Systemhandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Sie finden die jeweils aktuelle Version der Dokumentation auf der SEW Homepage www sew eurodrive de in der Rubrik Dokumentationen Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 11 12 2 5 Hinweise zum Einsatz Checkliste zur Projektierung Programmierung und Inbetriebnahme Checkliste zur Projektierung Programmierung und Inbetriebnahme Diese Checkliste ist eine Empfehlung f r den Anwender e zur Projektierung Programmierung und Inbetriebnahme von sicherheitsgerichteten Ein und Ausg ngen e zur Erstellung eines Anwenderprogramms mit dem Programmierwerkzeug SILworX Durch das Ausf llen der Checkliste kann sichergestellt werden dass die Anforderungen vollst ndig und bersichtlich erfasst sind Die Checkliste ist auch eine Dokumentation ber die Verbindung zwischen externer Verdrahtung und Anwenderprogramm Die
63. ramms usssssnseeeessnnnnnnnn nn 30 Sicherheitszeit des Anwenderprogramms 14 Sicherheitszeit des PES un 14 Signalworte in Sicherheitshinweisen 7 Software f r die Sicherheitssteuerung 28 Arbeitsweise und Funktionen des Betriebssystems nennen 28 Parameter der Ressource ennn 31 Schutz vor Manipulationen 35 Sicherheitstechnische Aspekte f r das Betriebssystem 40usnsn nennen 28 Sicherheitstechnische Aspekte f r die Programmierung sussssrenneenne nennen 29 Systemparameter ab CPU BS V 8 nn 31 Systemparameter der Hardware 34 Systemparameter der Ressource 31 T Taktausg nge nicht sicherheitsgerichtet 26 Taktverz gerung uernnnsensnennennennnnnnnnnnnnnnnnnnnnn 26 Ww Watchdogzeit des Anwenderprogramms 15 Watchdogzeit des ProzessorsystemsS 15 Weitere Systemdokumentationen 11 Wiederholungspr fung seenneeennenn 15 Durc hURTUNG e esinin 15 H ufigkeit eieaa E 16 Z Z hler sicherheitsgerichtet 21 Zertifizierung 19 Zielgruppe der Dokumentation gt 7 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 51 SEW EURO
64. rt Die Spezifikation der Sicherheitgerichteten Z hler finden Sie in der Betriebsanleitung im Kapitel Technische Daten 4 4 1 Automatische Drehrichtungserkennung Bei automatischer Drehrichtungserkennung arbeiten die Z hler als Quadraturz hler Das Z hlen erfolgt mit jeder Flanke der beiden Eing nge A und B Die Z hlrichtung wird automatisch aus der Phasenlage der beiden Eing nge bestimmt Ein Drehen der Z hl richtung ist jederzeit m glich F r einen Aufw rtsz hler muss der Eingang A gegen ber dem Eingang B voreilen siehe folgende Darstellung Ly ly boy ly y ba 10 11 12 13 14 15 16 17 18 4900833419 Bei einen Abw rtsz hler muss der Eingang B dem Eingang A voreilen siehe folgende Darstellung 4901181067 22 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Eing nge der Sicherheitssteuerung PFF HM31A Sicherheitsgerichtete Z hler 4 4 2 Manuelle Drehrichtung Die Z hler k nnen auch f r manuelle Drehrichtungserkennung konfiguriert werden Die Drehrichtung wird ber den Parameter Zahler 0x Richtung eingestellt Das Z hlen er folgt mit jeder Flanke der beiden Eing nge A und B Die folgende Darstellung zeigt einen manuell eingestellten Aufw rtsz hler ly Il I 10 1112 13141516 1 ba cre i HE Bus li l Lo ad E 718 1920 21 22 23 24 2526 27 28 2930 4904273931 Die folgende Darstellung zeigt einen manuell
65. s Anwenderprogramm Vorgehensweisen Vor dem Setzen der Parameter durch ein Online Kommando ist zu bedenken ob diese Parameter nderung zu einem gef hrlichen Zustand f hren kann Falls n tig sind orga nisatorische und oder technische Ma nahmen zu treffen um einen Schadensfall zu ver meiden Hauptfreigabe erlaubt das ndern der brigen Parameter Hauptfreigabe kann nur im Zustand STOPP auf TRUE gesetzt werden Die Werte der Sicherheitszeit und Watchdog Zeit sind gegen die von der Anwendung geforderte Sicherheitszeit bzw gegen die tats chliche Zykluszeit zu pr fen Diese Werte k nnen vom PES nicht verifiziert werden nderungen an Systemparametern w hrend des Betriebs sind auch durch Reload m glich 7 2 8 Programm Dokumentation f r sicherheitsgerichtete Anwendungen Das Programmiertool erm glicht den automatischen Ausdruck der Dokumentation eines Projektes Die wichtigsten Dokumentationsarten sind Schnittstellendeklaration e Signalliste e Logik e Beschreibung der Datentypen e Konfigurationen f r System Module und Systemparameter e Konfiguration des Netzwerks e Signal Querverweisliste e Code Generator Informationen Die Dokumentation ist Bestandteil der Funktionsabnahme einer genehmigungspflichti gen Anlage durch eine Priifstelle z B TUV Die Funktionsabnahme bezieht sich nur auf die Anwenderfunktion nicht aber auf die Sicherheitssteuerung die bereits baumus tergepr ft ist 7 2 9 Abnahme durch Gene
66. sem Handbuch enthaltenen Sicher heitshinweise durch qualifiziertes Personal In folgenden F llen k nnen durch St rungen oder Beeintr chtigungen von Sicherheits funktionen schwere Personen Sach oder Umweltsch den eintreten f r die SEW EURODRIVE keine Haftung bernehmen kann e Bei nicht qualifizierten Eingriffen in die Ger te e Bei Abschalten oder Umgehen Bypass von Sicherheitsfunktionen e Bei Nichtbeachtung von Hinweisen dieses Handbuchs SEW EURODRIVE entwickelt fertigt und pr ft Sicherheitssteuerungen unter Beach tung der einschl gigen Sicherheitsnormen Die Verwendung der Ger te ist nur zul ssig wenn alle folgenden Voraussetzungen erf llt sind e Nur die in den Beschreibungen vorgesehenen Einsatzf lle e Nur die spezifizierten Umgebungsbedingungen e Nurin Verbindung mit zugelassenen Fremdger ten 1 1 Aufbau und Gebrauch der Dokumentation Dieses Sicherheitshandbuch enth lt folgende Themen Bestimmungsgemafer Einsatz e Sicherheitskonzept e Zentrale Funktionen e Eing nge e Ausg nge Software e Sicherheitstechnische Aspekte f r das Anwenderprogramm e Konfiguration der Kommunikation Das Handbuch beschreibt folgende Variante Programmierwerkzeug Prozessor Betriebssystem Kommunikations Betriebssystem SILworX Ab CPU BS V 8 Ab COM BS V 13 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Allgemeine Hinweise Zielgruppe 1 2 Zielgrup
67. shandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Ausg nge der Sicherheitssteuerung PFF HM31A Taktausg nge TO A WARNUNG Verlust der Sicherheitsklasse Performance Level durch falsche Ansteuerung Tod oder schwere K rperverletzung e Taktausgange d rfen nicht als sicherheitsgerichtete Ausg nge verwendet werden z B zur Ansteuerung von sicherheitsgerichteten Aktoren Die Spezifikation der Taktausg nge finden Sie in der Betriebsanleitung im Kapitel Technische Daten 5 4 1 Taktausgabe Die Steuerung taktet die digitalen Ausg nge um Leitungsschluss und Leitungsbruch der Leitungen zu den digitalen Eing ngen zu erkennen Hierzu in SiLworX die System variable Wert BOOL parametrieren Die Variablen f r die Taktausgaben m ssen bei Kanal 1 beginnen und direkt nacheinander liegen siehe Systemvariable signale im Systemhandbuch T2 T 1 1 I 1 Konfigurator 5 2000 us 4784626827 Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 27 6 6 1 6 2 Software f r Sicherheitssteuerung PFF HM31A Sicherheitstechnische Aspekte f r das Betriebssystem Software f r Sicherheitssteuerung PFF HM31A Die Software der Sicherheitssteuerung gliedert sich in die folgenden Teile Betriebssystem e Anwenderprogramm e Programmiertool nach IEC 61131 3 Das Betriebssystem wird in den Zentralteil CPU der Steuerung geladen und ist in der jeweils
68. tinen u ee 20 Sicherheitsgerichtete 2 polige digitale Ausg nge 24 Reaktion im Fehlerfall 44 25 Testroufinen 42244444444444HHaennnnnnnnnnenne nn 24 Verhalten bei externem Kurzschluss oder berl ast n u le 26 1 poliger 2 poliger Anschluss 25 Sicherheitsgerichtetes Protokoll safeethernet Begriffe 47 Berechnung der maximalen Reaktionszeit 46 Maximale Zykluszeit der Sicherheitssteuerung 46 Receive Timeout senneseesssnnnnnnnsssnnnnnnn nn 45 Response Time u u444 nennen 45 Vergabe der safeethernet Adressen 47 Sicherheitshinweise Aufbau der abschnittsbezogenen 7 Aufbau der eingebetteten 8 Kennzeichnung in der Dokumentation 7 Sicherheitskonzept ecceeceeeeeeeeeeeeeeeeeeseees 13 Sicherheitstechnische Aspekte fur das Anwenderprogramm uuusssssnsennsessnnnnnnnnennnnn nen 36 Rahmen f r den sicherheitsgerichteten Einsatz 36 Vorgehensweisen uuunsensnennnnennnnnnnennnnnnn 38 Sicherheitstechnische Aspekte f r die Programmierung Archivierung eines Projekts 30 M glichkeit zur Programm und Konfigurations Identifizierung 244444444400 nennen 31 Sicherheistkonzept des Programmierwerkzeugs uu snnneeens nennen nenn 29 berpr fung der Konfiguration und des Anwenderprog
69. tsanforderung an den Einsatz des PES zu sehen kann aber auch in Abspra che mit der f r die Anlagenabnahme zust ndigen Pr fstelle erfolgen Aufschlie en der Steuerung bedeutet Entfernen der aktiven Verriegelung zum Beispiel zur Durchf hrung von Ma nahmen an der Steuerung Zum Verriegeln dienen drei Systemvariablen Variable Funktion Read only in run ON Start Stopp und Download der Steuerung sind gesperrt OFF Start Stopp und Download der Steuerung sind m glich Reload Deaktivierung ON Reload ist gesperrt OFF Reload ist m glich Force Deaktivierung ON Forcen wird abgeschaltet OFF Forcen ist m glich Sind alle drei Systemvariablen ON dann ist kein Zugriff auf die Steuerung mehr m g lich In diesem Fall kann die Steuerung nur durch Neustart wieder in den Zustand STOPP G LTIGE KONFIGURATION versetzt werden Dann ist ein Neuladen eines An wenderprogramms m glich Beispiel f r die Nutzung dieser Systemvariablen Steuerung abschlie bar machen 1 Globale Variable vom Typ BOOL definieren Initialwert auf OFF setzen 2 Globale Variable den drei Systemvariablen Read only in Run Reload Deaktivierung und Force Deaktivierung zuweisen 3 Globale Variable dem Kanalwert eines digitalen Eingangs zuweisen 4 Schl sselschalter an den digitalen Eingang anschlie en 5 Programm kompilieren auf die Steuerung laden und starten Der Besitzer eines passenden Schl ssels kann die Steuerung ab und
70. verschie denen Ger ten ist zu beachten dass die Gesamtreaktionszeit des Systems nicht die Fehlertoleranzzeit berschreitet Die im Kapitel 8 2 aufgef hrten Berechnungsgrund lagen sind anzuwenden Eine bertragung der sicherheitsrelevanten Daten ber ffentliche Netze z B In ternet ist ohne zus tzliche Sicherheitsma nahmen z B VPN Tunnel nicht zul s sig Falls die bertragung der Daten ber firmen fabrikinterne Netze erfolgt muss durch administrative oder technische Ma nahmen daf r Sorge getragen werden dass ausreichender Schutz vor Manipulation gegeben ist z B Abschottung des sicher heitsrelevanten Teiles des Netzes von anderen Netzen mit einer Firewall Die Standard Protokolle d rfen nicht f r die bertragung von sicherheitsrelevanten Daten eingesetzt werden An alle Kommunikations Schnittstellen d rfen nur Ger te angeschlossen werden die eine sichere elektrische Trennung gew hrleisten 3 4 4 Wartungseingriffe F r Wartungseingriffe die jeweils aktuelle Version des Dokuments Maintenance Override des T V Rheinland und T V Product Service www tuvasi com beachten Erforderlichenfalls muss der Betreiber in Absprache mit der f r die Applikation zu st ndigen Abnahmestelle administrative Ma nahmen f r den Zugangsschutz zu den Systemen festlegen Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Sicherheitskonzept f r den Einsatz der PES Zertifizierung
71. ystem verhindern Eine nderung des Anwenderprogramms oder der Konfiguration f hrt zu einem neuen CRC e Die Bedienm glichkeiten sind abh ngig vom Anmelden des Anwenders beim PES Das Programmiertool ben tigt f r die Verbindung zum PES beim Anmelden des An wenders ein Passwort Eine Verbindung zwischen PADT und PES ist w hrend des RUN Betriebs nicht not wendig und kann unterbrochen werden Die Anforderungen der Sicherheits und Anwendungsnormen bez glich des Schutzes vor Manipulationen sind zu beachten Die Autorisierung von Personal und die notwen digen Schutzma nahmen unterliegen der Verantwortung des Betreibers HINWEIS il Nur befugtes Personal darf Zugriff auf die Sicherheitssteuerung haben Zum Schutz vor unbefugten nderungen an der Steuerung folgende Ma nahmen er greifen e Standardeinstellungen f r Benutzername und Passwort ndern Jeder Benutzer muss sein Passwort geheim halten e Das PADT nach Abschluss der Inbetriebnahme von der Steuerung trennen und nur dann erneut verbinden wenn nderungen erforderlich sind Der Zugang zu Daten des PES ist nur m glich wenn das verwendete PADT ber das Programmiertool und das Anwenderprojekt in der aktuell laufenden Version Archiv Pflege verf gt Die Verbindung zwischen PADT und PES ist nur f r den Download des Anwenderpro gramms oder f r das Auslesen von Variablen Signalen notwendig W hrend des norma len Betriebs ist das PADT nicht notwe
72. zer Zeit aus Beim 1 Aktivierungszyklus des Reload fin det die Sollzykluszeit keine Beach tung fest Minimale Konfigurations version Aufbau der Konfigurationsdateien und Codegenerierung wie bei der genannten SILworX Version au er bei neueren Funktionen SiLworX V4 Codegenerierung wie bei SILworX V4 Mit dieser Einstellung ist die Kompatibilit t zu sp teren Versi onen gesichert SILworX V4 Maximale Systembus Latenzzeit us Fur die Sicherheitssteuerung PFF HM31A nicht anwendbar O ms safeethernet CRC Aktuelle Version Die Bildung des CRC f r safeether net erfolgt mit dem aktuellen Algo rithmus Aktuelle Version Applikationsspezifisch Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO 33 Software f r Sicherheitssteuerung PFF HM31A Parameter der Ressource Systemvariablen Diese Variablen dienen dazu das Verhalten der Steuerung im laufenden Betrieb bei be der Hardware ab stimmten Zust nden zu ver ndern Diese Variablen sind einstellbar im Hardware Editor CPU BS V 8 von SILworX in der Detailansicht der Hardware Parameter Schalter Funktion Standardwert Einstellung f r sicheren Betrieb Force Deaktivierung Dient zum Verhindern und unmittel FALSE Applikationsspezifisch baren Abschalten des Forcens Leer 0 Leer 16 Keine Funktion NOTAUS 1 NOTAUS 4 Notausschalter zum Abschalten der FALSE Applikationsspezi
73. zlicher Hinweis oder Tipp Erleichtert die Handhabung des Antriebssystems 1 4 2 Aufbau der abschnittsbezogenen Sicherheitshinweise Die abschnittsbezogenen Sicherheitshinweise gelten nicht nur f r eine spezielle Hand lung sondern f r mehrere Handlungen innerhalb eines Themas Die verwendeten Piktogramme weisen entweder auf eine allgemeine oder spezifische Gefahr hin Hier sehen Sie den formalen Aufbau eines abschnittsbezogenen Sicherheitshinweises A SIGNALWORT A Art der Gefahr und ihre Quelle M gliche Folge n der Missachtung Ma nahme n zur Abwendung der Gefahr As Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Allgemeine Hinweise Aufbau der Sicherheitshinweise 1 4 3 Aufbau der eingebetteten Sicherheitshinweise Die eingebetteten Sicherheitshinweise sind direkt in die Handlungsanleitung vor dem gef hrlichen Handlungsschritt integriert Hier sehen Sie den formalen Aufbau eines eingebetteten Sicherheitshinweises A SIGNALWORT Art der Gefahr und ihre Quelle M gliche Folge n der Missachtung Ma nahme n zur Abwendung der Gefahr Sicherheitshandbuch Dezentrale Sicherheitssteuerung PFF HM31A f r MOVIPRO Hinweise zum Einsatz Bestimmungsgem er Einsatz 2 Hinweise zum Einsatz Die Sicherheitsinformationen Hinweise und Anweisungen in diesem Handbuch unbe dingt lesen Das Produkt nur unter Beachtung aller Richtlinien und Sicherheitsrichtlini
74. zu 32 Anwender programme innerhalb des Prozessormoduls abzuarbeiten Dadurch lassen sich Teilfunktionen eines Projekts voneinander trennen Die einzel nen Anwenderprogramme lassen sich unabh ngig voneinander starten stoppen und auch durch Reload laden ACHTUNG Gegenseitige Beeinflussung von Anwenderprogrammen m glich Verwendung derselben globalen Variablen in mehreren Anwenderprogrammen kann zu gegenseitiger Beeinflussung von Anwenderprogrammen mit unterschiedlichen Auswirkungen f hren e Verwendung von globalen Variablen in mehreren Anwenderprogrammen genau planen e Querverweise in SlLworX nutzen um die Verwendung globaler Daten zu pr fen Globale Daten d rfen nur an einer Stelle mit Werten beschrieben werden entwe der in einem Anwenderprogramm von sicherheitsgerichteten Eing ngen oder durch sicherheitsgerichtete Kommunikationsprotokolle Es liegt in der Verantwortung des Anwenders St rungen des Betriebs durch gegen seitige Beeinflussung von Anwenderprogrammen auszuschlie en Reload Wurden nderungen an Anwenderprogrammen vorgenommen dann k nnen diese im laufenden Betrieb auf das PES bertragen werden Das Betriebssystem pr ft und aktiviert das ge nderte Anwenderprogramm das dann die Steuerungsaufgabe ber nimmt HINWEIS il Beim Reload von Schrittketten zu beachten Die Reload Information f r Schrittketten ber cksichtigt nicht den aktuellen Status der Kette Daher ist es m glich durch Reload

Download Pdf Manuals

Related Search

Related Contents

LD Systems D 1 USB  Biermer Atrophic Gastritis DOT  Fujitsu S7010 User's Manual  Lexmark Z43 User's Manual  RocketStor 6424TS User Manual  Balanza de refrigerante programable  Bosch GKS 85 G  Réussirses photos  Samsung GT-S5750E 用戶手冊  

Copyright © All rights reserved. Failed to retrieve file