1756-RM099 - Rockwell Automation
Contents
1. Router Firewall Switch IT Switch a 2 a mn ls lz la l o o la le 5 sj 3 s jZ j2 2 2 a ala la SS z 8 8 8 S SmartGuard SNN_1 SNN_3 SNN_5 CIP Safety E A CIP Safety E A CIP Safety E A j CIP Safety E A LF CIP Safety E A SNN_7 CIP Safety E A CIP Safety E A CIP Safety E A SNN_2 SNN_4 SNN_6 Jedes CIP Safety Ger t muss mit einer SNN konfiguriert werden Jedes Ger t von dem eine Sicherheitsverbindung zu einem anderen Sicherheitsger t ausgeht muss mit der SNN des Zielger ts konfiguriert werden Wenn sich das CIP Safety System vor der Pr fung der funktionalen Sicherheit des Systems im Inbetriebnahmevorgang befindet kann das Ausgangsger t dazu verwendet werden die eindeutige Netzknotenreferenz im Ger t einzurichten 34 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Hinweise zur Zuordnung der SNN Informationen zu CIP Safety und zur Sicherheitsnetzwerkrnummer Kapitel 4 Die vom System verwendete SNN ist eine hexadezimale Zahl mit sechs Byte Die SNN kann in einem von zwei Formaten eingerichtet und angezeigt werden zeitbasiert oder manuell Wenn das zeitbasierte Format ausgew hlt wird beinhaltet die SNN eine lokalisierte Datums und Uhrzeitangabe Wenn das manuelle Format ausgew hlt ist beinhaltet die SNN einen Netzwerktyp und einen Dezimalwert von 1 bis 9999 Abbildung 10 SNN Formate xi zi Form2. 88 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Checklisten f r GuardLogix Sicherheitsanwendungen Anhang D Checkliste f r F r die Programmierung oder Inbetriebnahme kann f r jeden SIL Eingangskanal Sicherheitseing nge in einem System eine eigene Checkliste ausgef llt werden Nur auf diese Weise ist sichergestellt dass die Anforderungen vollst ndig und genau erf llt werden Sie k nnen diese Checkliste auch als Dokumentation f r die Anbindung externer Verdrahtung an das Anwendungsprogramm verwenden Checkliste f r Eing nge im GuardLogix System Unternehmen Standort Definition der Sicherheitsfunktion SIL Eingangskan le g Erf llt Nummer Anforderungen an das Eingangsger t Kommentar Ja Nein 1 Haben Sie die Installationsanleitungen und Vorsichtsma nahmen befolgt und damit die anwendbaren Sicherheitsstandards eingehalten 2 Haben Sie am System und an den Ger ten Projektverifizierungstests durchgef hrt 3 Werden Steuerungs Diagnose und Alarmfunktionen in der Applikationslogik der Reihe nach ausgef hrt 4 Haben Sie die Konfiguration jedes Ger ts hochgeladen und mit der vom Konfigurationswerkzeug gesendeten Konfiguration verglichen 5 Sind die Ger te nach PLe Cat 4 gem ISO 13849 1 verdrahtet 7 6 Haben Sie sichergestellt dass die elektrischen Spezifikationen von Sensor und Ein
3. 2 Haben Sie die Sicherheitsreaktionszeit des Systems f r jede Sicherheitskette berechnet 3 Beinhaltet die Reaktionszeit des Systems sowohl den benutzerdefinierten berwachungszeitraum des Sicherheits Task Programms Software berwachungszeitraum als auch die Geschwindigkeit Periode der Sicherheits Task 4 Steht die Systemreaktionszeit in einem angemessenen Verh ltnis zur Toleranzzeit des Prozesses 5 Wurden die Wahrscheinlichkeitswerte PFD PFH entsprechend der Systemkonfiguration ermittelt 6 Haben Sie alle geeigneten Projektverifizierungstests durchgef hrt 7 Haben Sie festgelegt wie Ihr System auf St rungen reagiert 8 Verf gt jedes Netzwerk im Sicherheitssystem ber eine eindeutige SNN 9 Sind alle CIP Sicherheitsger te mit der korrekten SNN konfiguriert 10 Haben Sie eine Sicherheits Task Signatur erstellt 11 Haben Sie die Sicherheits Task Signatur f r zuk nftige Vergleiche hochgeladen und gespeichert 12 Haben Sie nach dem Herunterladen sichergestellt dass die Sicherheits Task Signatur in der Steuerung mit der gespeicherten Sicherheits Task Signatur bereinstimmt 13 Haben Sie einen alternativen Mechanismus implementiert um die Sicherheitsintegrit t des Systems beizubehalten w hrend Sie online Bearbeitungen vornehmen 14 Haben Sie die auf den Seiten 89 und 90 aufgef hrten Checklisten f r den Einsatz von SIL Eing ngen und Ausg ngen ber cksichtigt
4. ControlLogix in SIL 2 Applications Safety Publikation 1756 RM001 aufgef hrt sind WICHTIG Implementieren Sie keine sicherheitsspezifischen Funktionen in diese Routinen Die Sicherheitsbewertung muss in der 1756 GuardLogix Sicherheits Task vorgenommen werden SIL 2 Daten in die Sicherheits Task bertragen Verwenden Sie die Zuordnungsfunktionalit t f r Sicherheits Iags in der Anwendung Logix Designer um die SIL 2 Sicherheitsdaten von Kanal A und Kanal B in die GuardLogix Sicherheits Task zu bertragen Die hier verwendeten Tag Namen dienen nur als Beispiele Implementieren und befolgen Sie Namenskonventionen die sich f r Ihre Anwendung eignen Safety Tag Mapping Standard Tag Name 7 3 amp Safety Tag Name lt l Chn A Data Chn_A_SIL2_Data Chn_B_Data Chn_B_SIL2_Data e Zi Delete Row TIPP Um die Zuordnungsfunktion f r Sicherheits Tags zu verwenden w hlen Sie in der Anwendung Logix Designer im Men Logic Logik die Option Map Safety Tags Sicherheits Tags zuordnen aus 102 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Verwendung von 1794 FLEX I O Modulen und 1756 SIL 2 Eing ngen und Ausg ngen mit 1756 GuardLogix Steuerungen zur Einhaltung der EN 50156 Anhang G Verwendung von SIL 3 Guard Beachten Sie folgende Leitlinien zu SIL 2 Ausg ngen 1 O Ausgangsmodulen mit SIL 2 Ausg ngen Verwendung von 1756 oder 1794 SIL 2 Ausgangsmodulen mit SIL 2 Ausg ng
5. November 2014 Informationen zu SIL GuardLogix Steuerungssystem CIP Safety E A f r das GuardLogix Steuerungssystem Inhaltsverzeichnis Vorwort Studio 5000 Umgebung aa era 9 Verwendete Bestie n aesnnsus an een 10 Weitere Intormationsquellen us 22i 2a een ehr 10 Kapitel 1 SIL 3 Zertifizie rung RIED IE OaE RVE 13 Funktionspr fungen ae en Renee 14 GuardLogix Architektur f r SIL 3 Anwendungen 15 GuardLogix Systemkomponenten nn ann as 16 GuardLogix Zertifizierungen ann men 18 GuardLogix Spezifikationen f r PFD und PFH 18 SIL Einhaltung Safety Integrity Level Verteilung und Gewichtung ds uk en 19 Systemireaktionszeit eu Nee 19 Sicherheits Task Reaktionszeit 2222cseseseeneeeeeeen 20 Sicherheits Task Periode und Sicherheits Task berwachungszeitraums 2 Bir aa 20 Ansprechpartner bei Gertteaus All una nee 20 Kapitel 2 GuardLogix Steuerung 5570 Hardware u 22ceeenscennn 21 Prim rsteuenine erneuern 22 Sicherheitsparner anne aa a E E E a e D E a 22 SE E E E ee EE E EE 22 Netzteile erento 22 Sicherheitsprotokoll CIP Safety 2 Hua 22 Sicherheits E A Gerite ea ee Fa 23 Kommunikations Bridges nn as Hi 23 berblick ber die Programmierung 2222cceeeeeeeeeeeeee 25 Kapitel 3 l 272 3 Te A E EE GENE E OR RAR NEE SEE RENEERERE AEREEA 27 Typische Sicherheitsfunktionen von CIP Safety E A Ger ten 27 Damoseien reed ee E 28 Statusdaten a eg ana 28
6. Eine Liste der Bestellnummern f r GuardLogix Sicherheitssteuerungen finden Sie in Tabelle 2 auf Seite 16 Eine Liste der f r Sicherheitsanwendungen geeigneten ControlLogix Standardkomponenten finden Sie in Tabelle 3 auf Seite 17 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 21 Kapitel2 _GuardLogix Steuerungssystem Sicherheitsprotokoll CIP Safety 22 Prim rsteuerung Die Prim rsteuerung ist der Prozessor der Standard und Sicherheitssteuerungs funktionen ausf hrt und mit dem Sicherheitspartner f r sicherheitsrelevante Funktionen im GuardLogix Steuerungssystem kommuniziert Die Prim r steuerung besteht aus einem zentralen Prozessor einer E A Schnittstelle und einem Speicher Sicherheitspartner Damit SIL 3 Anforderungen erf llt werden muss ein Sicherheitspartner im Steckplatz direkt rechts neben der Prim rsteuerung installiert sein Der Sicherheitspartner ist ein Co Prozessor der Redundanz f r sicherheitsrelevante Funktionen des Systems bietet Die Prim rsteuerung konfiguriert den Sicherheitspartner Das Anwender programm muss nur einmal auf die Prim rsteuerung heruntergeladen werden Die Betriebsart des Sicherheitspartners wird von der Prim rsteuerung gesteuert Chassis Das Chassis stellt die physische Verbindung zwischen Modulen und dem GuardLogix System 1756 dar Jeder Ausfall auch wenn noch so unwahrschein lich w rde von mindestens einer aktiven Komponente des Systems erkannt
7. Fehler Korrigierbar 67 105 Nicht korrigierbare Sicherheitsfehler 66 Nicht korrigierbare Steuerungsfehler 66 berbr cken 66 Firmware Versionen 17 Forcen 58 Funktionspr fungen 14 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 109 Index 110 G Get System Variable GSV Erhalt des Systemwerts Definition 10 Grundlagen der Anwendungsentwicklung 50 GSV Befehle 65 Guard 1 0 Module SIL 2 Anwendungen 103 Hard Faults Wiederherstellung des Betriebs 66 HMI Schnittstellen Verwendung und Anwendung 43 45 IEC 61508 Safety Integrity Level 3 Zertifizierung SIL3 9 13 76 Inbetriebnahmeprozess 51 Installation einer Steuerung 21 150 13849 1 9 13 K Kapitel 49 Kommunikationsmodule Bestellnummern 17 Hardware berblick 23 Konfigurationssignatur 29 Konsumierte Sicherheits Tags Sicherheitsnetzwerknummer 35 Kontaktplanlogik Sicherheitsbefehle 70 Korrigierbare Fehler 67 105 L Logix Komponenten SIL 3 zertifiziert 16 Logix Systemreaktionszeit Berechnen 80 Netzteile 17 Hardware berblick 22 Nicht korrigierbare Sicherheitsfehler 66 105 Erneutes Starten der Sicherheits Task 66 Nicht korrigierbare Steuerungsfehler 66 105 0 Offline Bearbeitungen 60 Online Definition 105 Online Bearbeitung 57 60 P Partnerschaft Definition 106 Peer to Peer Kommunikation 23 Performance Level Definition 10 Periodische Task Definition 106 PFD Versagenswahrscheinlichkeit 18 19
8. Sie finden diese Informationen in den Publikationen die in der Tabelle SIL 3 zertifizierte GuardLogix Komponenten auf Seite 16 aufgelistet sind CIP Safety E A Ger te k nnen an Sicherheitseingangs und ausgangsger te beispielsweise an Sensoren und Aktoren angeschlossen werden sodass sich diese Ger te durch die GuardLogix Steuerung berwachen und steuern lassen Bei Sicherheitsdaten erfolgt die E A Kommunikation ber Sicherheitsverbindungen unter Verwendung des CIP Safety Protokolls Die Sicherheitslogik wird in der GuardLogix Steuerung verarbeitet Der folgende Zustand gilt f r CIP Safety E A Ger te als sicherer Zustand e Sicherheitsausg nge AUS e Sicherheitseingangsdaten an Steuerung AUS CIP Safety Netzwerk Sicherheits Status A Y Mar Sicherheitsausgang heitseingangs AUS daten Verwenden Sie die CIP Safety E A Ger te f r Anwendungen die sich im sicheren Zustand befinden nachdem der Sicherheitsausgang ausgeschaltet wurde Rockwell Automation Publikation 1756 RMO99B DE P November 2014 27 Kapitel3 CIP Safety E A f r das GuardLogix Steuerungssystem Reaktionszeit 28 Diagnose Die CIP Safety E A Ger te f hren beim Einschalten des Stroms sowie in regelm igen Abst nden w hrend des Betriebs eine Eigendiagnose durch Wird w hrend der Diagnose ein Fehler festgestellt dann werden die Sicherheitseingangsdaten zur Steuerung und die lokalen Sicherheitsausg nge in ihren sicheren Zustand
9. auf null gesetzt werden sicherer Zustand Fehler die einen spezifischen Eingangskanal betreffen f hren dazu dass dieser spezifische Kanal auf null gesetzt wird Ein Beispiel Ein Impulstestfehler der spezifisch Kanal 0 betrifft f hrt dazu dass die Eingangsdaten von Kanal 0 in den sicheren Zustand 0 versetzt werden Wenn ein Fehler das Ger t im Allgemeinen betrifft und nicht nur einen spezifischen Kanal dann zeigt das kombinierte Status Bit den Fehlerstatus an und alle Ger tedaten werden in den sicheren Zustand 0 versetzt Informationen dazu wie die Befehle der GuardLogix Sicherheitsanwendung verwendet werden finden Sie in Anhang F dieses Handbuchs und im Referenzhandbuch Befehlssatz f r GuardLogix Sicherheitsanwendungen Publikation 1756 RM095 Befehle Erhalt des Systemwerts GSV und Setzen des Systemwerts SSV Mit den Befehlen GSV und SSV k nnen Sie die in den Ger teobjekten gespeicherten Steuerungssystemdaten abrufen GSV und festlegen SSV Wenn Sie einen GSV SSV Befehl eingeben zeigt die Programmiersoftware die g ltigen Objektklassen Objektnamen und Attributnamen f r jeden Befehl an Es gelten Beschr nkungen f r die Verwendung der GSV und SSV Befehle mit Sicherheitskomponenten WICHTIG Die Sicherheits Task kann GSV oder SSV Operationen nicht f r Standardattribute ausf hren Die Attribute von Sicherheitsobjekten die von der Standard Task geschrieben werden k nnen dienen nur zur D
10. hrbaren Code f r das Projekt in einer Steuerung bereit Jedes Programm verf gt ber eine Hauptroutine Es k nnen auch optionale Routinen spezifiziert werden Ein Add On Befehl der die Befehle einer Sicherheitsanwendung verwenden kann Zus tzlich zur Befehlssignatur die f r Add On Befehle hoher Integrit t verwendet wird bieten Sicherheits Add On Befehle eine SIL 3 Sicherheits befehlssignatur zur Verwendung in sicherheitstechnischen Funktionen Sicherheits E A verf gen ber die meisten Eigenschaften der Standard E A au er dass sie Mechanismen besitzen die nach SIL 3 zertifiziert sind um Datenintegrit t sicherzustellen Ein Sicherheits Tag verf gt ber alle Eigenschaften eines Standard Tags wobei die GuardLogix Steuerung Mechanismen bereitstellt die nach SIL 3 zertifiziert sind um die Integrit t der verkn pften Daten zu sch tzen Sie k nnen im Programmbereich oder Steuerungsbereich liegen Eine Sicherheits Task verf gt ber alle Eigenschaften einer Standard Task au er dass sie nur in einer GuardLogix Steuerung g ltig ist und nur Sicherheits programme planen kann Es kann nur eine Sicherheits Task in einer GuardLogix Steuerung existieren Die Sicherheits Task muss eine periodische zeitgesteuerte Task sein Die Periode mit der die Sicherheits Task ausgef hrt wird Die Summe von Sicherheits Task Periode und Sicherheits Task berwachungs zeitraum Diese Zeit stellt die l ngstm gliche Verz gerung einer bei d
11. AUS versetzt Statusdaten Neben den Sicherheitseingangs und ausgangsdaten unterst tzen CIP Safety E A Ger te Statusdaten zur berwachung der Ger te und E A Schaltkreise Weitere Informationen zu den spezifischen Funktionen des Produkts entnehmen Sie bitte der Produktdokumentation zu Ihrem Ger t LED Statusanzeigen Die CIP Safety E A Ger te sind mit Statusanzeigen versehen Informationen zum Betrieb dieser Statusanzeigen finden Sie in der Produktdokumentation des von Ihnen eingesetzten Ger ts Funktion zur Ein oder Ausschaltverz gerung Einige CIP Safety E A Ger te k nnen Funktionen zur Ein oder Ausschalt verz gerung f r Eingangssignale unterst tzen Abh ngig von Ihrer Anwendung m ssen Sie in die Berechnung der Systemreaktionszeit Ein und oder Ausschalt verz gerungen einbeziehen Informationen zur Systemreaktionszeit finden Sie in AnhangC Die Eingangsreaktionszeit ist die Zeit ab der nderung des Signals an einer Eingangsklemme bis zum Zeitpunkt des Versands der Sicherheitsdaten an die GuardLogix Steuerung Die Ausgangsreaktionszeit ist die Zeit ab dem Empfang der Sicherheitsdaten von der GuardLogix Steuerung bis zum Zeitpunkt der nderung des Ausgangszustands Informationen zur Ermittlung der Eingangs und Ausgangsreaktionszeiten erhalten Sie in der Produktdokumentation des von Ihnen eingesetzten CIP Safety E A Ger ts Informationen zur Berechnung der Systemreaktionszeit finden Sie in Anhang C
12. Ausf hrung p Uberwacht zwei Analogwerte auf Abweichungen und Bereichstoleranz DCAF Dual Channel Input Analog floating point version Zweikanaleingang Analog Flie komma Ausf hrung DCS Dual Channel Input Stop berwacht mit zwei Eing ngen versehene Sicherheitsger te deren Hauptaufgabe darin besteht BG Zweikanaleingang Stopp eine Stoppfunktion wie z B einen Not Halt ein Lichtgitter oder einen Gate Switch zur Verf gung T V zu stellen DCST Dual Channel Input Stop With berwacht mit zwei Eing ngen versehene Sicherheitsger te deren Hauptaufgabe darin besteht BG Test Zweikanaleingang Stopp eine Stoppfunktion wie z B einen Not Halt ein Lichtgitter oder einen Gate Switch zur Verf gung e T V mit Test zu stellen Bietet die zus tzliche F higkeit einen Funktionstest des Stoppger ts zu initialisieren DCSTL Dual Channel Input Stop With berwacht mit zwei Eing ngen versehene Sicherheitsger te deren Hauptaufgabe darin besteht BG Test and Lock eine Stoppfunktion wie z B einen Not Halt ein Lichtgitter oder einen Gate Switch zur Verf gung T V Zweikanaleingang Stopp mit zu stellen Bietet die zus tzliche F higkeit einen Funktionstest des Stoppger ts zu initialisieren Test und Verriegelung Kann ein R ckf hrungssignal von einem Sicherheitsger t berwachen und eine Sperranforderung an ein Sicherheitsger t ausgeben DCSTM Dual Channel Input Stop With berwacht
13. Ausgang in den sicheren Zustand gesetzt und der Ausfall wird der Steuerung gemeldet Die Ausfallanzeige erfolgt ber den Ein oder Ausgangspunktstatus und wird ber einen konfigurierbaren Zeitraum beibehalten oder bis die St rung behoben wird WICHTIG Eine Kontaktplanlogik muss in das Anwendungsprogramm integriert werden um E A bei Punktausfall zu verriegeln und einen sicheren Neustart zu gew hrleisten Verbindungsstatus der E A Ger te Das CIP Safety Protokoll liefert den Status zu jedem E A Ger t im Sicherheitssystem Wenn ein Eingangsverbindungsfehler erkannt wird setzt das Betriebssystem alle Ger teeing nge in den ausgeschalteten sicheren Zustand und meldet den Ausfall der Kontaktplanlogik Wird ein Ausfall der Ausgangsverbindung erkannt kann das Betriebssystem den Ausfall nur an die Kontaktplanlogik berichten Die Ausg nge werden durch das Ausgangsger t deaktiviert WICHTIG Eine Kontaktplanlogik muss in das Anwendungsprogramm integriert werden um E A bei Punktausfall zu verriegeln und einen sicheren Neustart zu gew hrleisten Rockwell Automation Publikation 1756 RMO99B DE P November 2014 berwachung des Status und Handhabung von St rungen Kapitel 7 Ruhestromprinzip System Die GuardLogix Steuerungen sind Teil eines Ruhestromprinzip Systems d h eines Systems bei dem null der sichere Zustand ist Einige aber nicht alle Fehler im Sicherheits E A Ger t f hren dazu dass alle Ger teeing nge oder ausg nge
14. Bridge redundante Medien A 12 001 CNET IN005 CNET UM001 1756 CN2RXT XT ControlNet Bridge redundante Medien B 20 020 A Software RSLogix 5000 f r GuardLogix Steuerungen 5560 14 Programmier Software RSLogix 5000 f r GuardLogix Steuerungen 5570 XT n V 20 n V siehe Online software Hilfe 9324 xxxx Studio 5000 Umgebung f r GuardLogix Steuerungen 5570 XT 21 Speicherkarten 1784 CF128 128 MB CompactFlash Karte f r GuardLogix 5560 Steuerungen 1784 SD1 1 GB Secure Digital SD Karte f r GuardLogix Steuerungen 5570 n V n V n V n V 1784 5D2 2 GB Secure Digital SD Karte f r GuardLogix Steuerungen 5570 1 Diese Version oder h her 2 Software RSLogix 5000 Version 15 unterst tzt keine GuardLogix Sicherheitssteuerungen 3 Diese Publikationen stehen auf der Website von Rockwell Automation unter http www rockwellautomation com literature zum Abruf bereit Sie k nnen die Steckpl tze eines SIL 3 Systemchassis die nicht vom GuardLogix SIL 3 System verwendet werden mit anderen ControlLogix Modulen 1756 belegen die f r die Niederspannungs und die EMV Richtlinien zertifiziert sind WICHTIG Die ControlLogix XT Systemkomponenten sind nur dann f r extreme Umgebungsbedingungen ausgelegt wenn sie ordnungsgem mit anderen Logix XT Systemkomponenten eingesetzt werden Die Verwendung von ControlLogix XT Komponenten mit herk mmlichen ControlLogix oder GuardLogix Systemkomponenten hebt die Auslegung f r extreme Umgebun
15. Das Chassis ist damit f r die Sicherheitsfrage nicht relevant GuardLogix XT Steuerungen m ssen ein ControlLogix XT Chassis verwenden um die Einstufung f r extreme Umgebungsbedingungen zu erhalten Netzteile F r den SIL 3 Betrieb der ControlLogix Netzteile ist keine zus tzliche Konfiguration oder Verdrahtung erforderlich Jeder Ausfall w rde von mindestens einer aktiven Komponente des GuardLogix Systems erkannt Das Netzteil ist damit f r die Sicherheitsfrage nicht relevant GuardLogix XT Steuerungen m ssen ein ControlLogix XT Netzteil verwenden um die Einstufung f r extreme Umgebungsbedingungen zu erhalten Die sicherheitsrelevante Kommunikation zwischen GuardLogix Steuerungen findet ber produzierte und konsumierte Sicherheits Tags statt Diese Sicherheits Tags basieren auf dem Sicherheitsprotokoll CIP Safety das auf die Sicherung der Datenintegrit t w hrend der Kommunikation ausgerichtet ist Weitere Informationen zu Sicherheits Tags finden Sie in Kapitel 5 Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Sicherheits E A Ger te Kommunikations Bridges GuardLogix Steuerungssytem Kapitel 2 Informationen dazu welche CIP Safety E A Ger te mit GuardLogix Steuerungen eingesetzt werden k nnen finden Sie in Kapitel 3 Tabelle 5 listet die verf gbaren Kommunikationsschnittstellenmodule auf die die Kommuni
16. Die spezifischen Anwendungen des Anwenders bestimmen das Intervall f r die Funktionspr fung Dies gilt jedoch in erster Linie f r Sicherheits E A Ger te und die Feldinstrumentierung Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Informationen zu SIL Kapitel 1 Guard Logix Architektur f r gt nn zn zeigt eine typische SIL Funktion inklusive der SIL3 Anwendungen een e Gesamtsicherheitsfunktion e GuardLogix Anteil an der Gesamtsicherheitsfunktion e Anschluss der brigen Ger te z B HMI wenn sie au erhalb der Funktion in Betrieb sind Abbildung 1 Typische SIL Funktion Programmiersoftware HMI Zu unternehmensweitern Schreibgesch tzter Zugriff auf Sicherheits Tags Ethernet Netzwerk I nn TI SIL3 Guardlogix System nn x N l l CIP Safety l R E a Modul N eis J l FS ig x no l l CIP Safety CIP Safety E A Modul E A Modul l im Ethernet Netzwerk l l I WENDE BEER a a a a on Segen I I CIP Safet Bo EENET EE en nen I l E z CIP Safety E A Modul I l l im Ethernet Netzwerk I I l I l T e ll l Compact GuardLogix Steuerung mit Modul 1768 ENBT l l I l l l l l l l SIL
17. Informationen zum Sicherheits Task berwachungszeitraum finden Sie in Anhang C Reaktionszeiten Die Sicherheits Task Periode ist auf maximal 500 ms begrenzt und kann nicht online ge ndert werden Stellen Sie sicher dass der Sicherheits Task gen gend Zeit zum Abschluss bleibt bevor sie erneut ausgel st wird Ein Timeout des Sicherheits Task berwachungszeitraums ein nicht korrigierbarer Sicherheits fehler in der GuardLogix Steuerung tritt auf wenn die Sicherheits Task ausge l st wird w hrend sie noch ausgel st vom vorherigen Trigger ausgef hrt wird Weitere Informationen finden Sie in Kapitel 7 berwachung des Status und Handhabung von St rungen Ausf hrung der Sicherheits Task Die Sicherheits Task wird auf die gleiche Weise wie periodische Standard aufgaben ausgef hrt allerdings mit den folgenden Ausnahmen e Die Ausf hrung der Sicherheits Task beginnt erst wenn die Prim r steuerung und der Sicherheitspartner ihre Steuerungspartnerschaft festgelegt haben und die koordinierte Systemzeit CST synchronisiert ist Die Ausf hrung von Standardaufgaben beginnt jedoch sobald die Steuerung in den RUN Modus bergeht e Der konfigurierbare Bereich des angeforderten Paketintervalls RPI f r Sicherheitseing nge und konsumierte Sicherheits Tags liegt zwar zwischen 6 und 500 ms doch Sicherheitseingangs Tags und konsumierte Sicherheits Tags werden nur zu Beginn der Ausf hrung der Sicherheits Task aktualisiert
18. LE I Starusanzeigen sans nee ee 28 Funktion zur Ein oder Ausschaltverz gerung 28 Reaktionszeit ne ee 28 Sicherheits berlegungen zu CIP Safety E A Ger ten 29 Verwaltunsstechte een ee 29 Sicherheits E A Konfigurationssignatur ceessceeeecccnn 29 Austausch von E A Sicherheitsger ten 222222222 00 29 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 5 Inhaltsverzeichnis Informationen zu CIP Safety und zur Sicherheitsnetzwerknummer Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Entwicklung von Sicherheitsanwendungen Kapitel 4 Das Routing f hige CIP Safety Steuerungssystem 222 2200 Eindeutige Netzknotenteletenz ns Sicherheitsnetzwerknummer 2222sssseseeseeneseneeen nen Hinweise zur Zuordnung der SNN u SNN f r konsumierte Sicherheits Tags 22cessc00n Sicherheitsnetzwerknummer SNN f r Ger te im Anlieksrun szustnde nenne SNN f r Sicherheitsger te mit verschiedenen Konfiguratiohsverwalten sun SNN beim Kopieren eines Sicherheitsprojekts Kapitel 5 Unterscheidung zwischen Standard und Sicherheit Sicherheitsanwendungen nach SIE 2 nn ar Sicherheitssteuerung nach SIL 2 in der Sicherheits Task SIL 2 Sicherheitssteuerung in Standard Tasks SIL 3 Sicherheit die Sicherheits Task 2222ccececee Einschr
19. Netzwerk EMV Umgebung des Systems Sicherheits Task Periode und Sicherheits Task Uberwachungszeitraum Einstellung des Zeitraums der Sicherheits Task Einstellung des berwachungszeitraums der Sicherheits Task Anzahl und Ausf hrungszeit der Befehle in der Sicherheits Task Tasks mit h herer Priorit t die vor der Sicherheits Task ausgef hrt werden Reaktionszeitbeschr nkung produzierte konsumierte Sicherheitsverbindung Einstellungen f r konsumierte Tags f r e RPI e Timeout Multiplikator e Verz gerungsmultiplikator Menge des Datenverkehrs im Netzwerk EMV Umgebung des Systems Reaktionszeitbeschr nkung Ausgangsverbindung Einstellung des Zeitraums der Sicherheits Task Einstellungen des Ausgangsger ts f r e Timeout Multiplikator e Verz gerungsmultiplikator Menge des Datenverkehrs im Netzwerk EMV Umgebung des Systems Verz gerung Ausgangsmodul Reaktionszeit Ausgangsmodul Die folgenden Abschnitte erl utern wie Sie auf die Daten oder Einstellungen f r viele dieser Faktoren zugreifen Zugriff auf die Einstellungen f r die Verz gerungszeit des Guard 1 0 Eingangsmoduls Gehen Sie wie im Folgenden beschrieben vor um in der Anwendung Logix Designer die Verz gerungszeit f r das Eingangsmodul zu konfigurieren 1 Klicken Sie in der Baumstruktur mit der rechten Maustaste auf das gew nschte Guard I O Modul und w hlen Sie Properties Eigensc
20. OK schalten Sie auf die Anzeige die den fehlerhaften Ausgang anzeigt Node30 l OutputStatus Node300utputsFaulted 0 VE L gt Wird die Anstiegsflanke des Fehler Reset Signals erkannt und ist der Eingangszustand OK setzen Sie die Anzeige f r den fehlerhaften Eingang zur ck FaultReset InputFaultResetOneShot Node30 l OutputStatus Node300utputsFaulted mE Lons J E D Node300utputsFaulted RedundantOutputTag 01 Node30 0 Pt00Data 2 2 E JE gt RedundantOutputTag O2 Node30 0 Pt01Data J E C2 Rockwell Automation Publikation 1756 RM099B DE P November 2014 99 Anhang F Software RSLogix 5000 ab Version 14 Beschreibung der Befehle f r Sicherheitsanwendungen Notizen 100 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Zweikanalige SIL 2 Eing nge Standardseite der GuardLogix Steuerungen Anhang G Verwendung von 1794 FLEX 1 0 Modulen und 1756 SIL 2 Eing ngen und Ausg ngen mit 1756 GuardLogix Steuerungen zur Einhaltung der EN 50156 Thema Seite Verwendung von SIL 3 Guard I O Ausgangsmodulen mit SIL 2 Ausg ngen 103 Verwendung von 1756 oder 1794 SIL 2 Ausgangsmodulen mit SIL 2 Ausg ngen 103 Sicherheitsfunktionen in der 1756 GuardLogix Sicherheits Task 104 Zur Einhaltung der beh rdlichen Bestimmungen ist in bestimmten sicherheits technischen Anwendungen eine Zweikanalkonfiguration erforderlich hierzu geh ren auch brennerbezogene Sicherheitsfunktionen Die
21. Properties Safety Task Task Eigenschaften Sicherheits Task in Ihrem Logix Designer Projckt aus Um die Einstellungen f r die Sicherheits Task Periode und den berwachungs zeitraum aufzurufen klicken Sie mit der rechten Maustaste auf die Sicher heits Task und w hlen dann Properties Eigenschaften Task Properties SafetyTask x General Configuration Program Phase Schedule Monitor Type Period 20 ms Priority f 0 Lower Number Yields Higher Priority Watchdog 20 000 ms Die Priorit t der Sicherheits Task stellt kein Sicherheitsproblem dar da der Sicherheits Task berwachungszeitraum berwacht ob die Task durch eine Task mit h herer Priorit t unterbrochen wird 84 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Reaktionszeiten Anhang C Zugriff auf produzierte konsumierte Tag Daten Gehen Sie wie folgt vor um die Verbindungsdaten der Sicherheits Tags anzuzeigen oder zu konfigurieren 1 Klicken Sie in der Baumkonfiguration mit der rechten Maustaste auf Controller Tags Steuerungs Tags und w hlen Sie Edit tags Tags bearbeiten 2 Klicken Sie im Tag Editor mit der rechten Maustaste auf den Namen des Tags und w hlen Sie Edit Properties Eigenschaften bearbeiten 3 Klicken Sie auf Connection Verbindung x Description a Cancel Help Usage normal gt y Type Consumed X Connection Alias For Data
22. Read wiite Decimal SIL2_Qutputs SIL2_TempB INT Safety _ Readwiite Decimal SIL2_Dutputs SIL2_Yalvel BOOL Safety Read write Binary 5IL2_Outputs SIL2_Yalve2 BOOL Safety Read write Binary TIPP In diesem Beispiel wird kein Consumer f r das produzierte Tag gezeigt Wenn Sie keinen Consumer konfigurieren wird f r den Verbindungsstatus ein Fehler ausgegeben Allerdings brauchen Sie den Verbindungsstatus des produzierten Tags in dieser Konfigurationsart nicht zu berwachen weshalb der Fehler kein Problem darstellt Halten Sie alle Vorschriften ein die f r die 1756 E A Module und die 1794 FLEX E A Module im Referenzhandbuch Using ControlLogix in SIL 2 Applications Safety Publikation 1756 RM001 aufgef hrt sind Rockwell Automation Publikation 1756 RMO99B DE P November 2014 103 AnhangG Verwendung von 1794 FLEX I 0 Modulen und 1756 SIL 2 Eing ngen und Ausg ngen mit 1756 GuardLogix Steuerungen zur Einhaltung der EN 50156 Sicherheitsfunktionen Beachten Sie folgende Leitlinien um SIL 2 und SIL 3 Sicherheitsfunktionen in in der 1756 Guard Logix der Sicherheits Task zu verwenden i itc e Es k nnen alle verf gbaren Befehle der Sicherheitsanwendung verwendet icherheits Tas S 8 8 werden e Die SIL CL3 Sicherheitseingangsmodule d h Guard O Module k nnen mit einer Finkanalkonfiguration f r SIL 2 Sicherheitsfunktionen verwendet werden e Die Verwendung der Sicherheits Task Signatur und die Si
23. Reaktionszeit Ihres spezifischen Regelkreises steht im Ordner Tools auf der DVD mit der Studio 5000 Umgebung eine Microsoft Excel Kalkulationstabelle zur Verf gung 80 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Reaktionszeiten Anhang C Logikkette mit produzierten konsumierten Sicherheits Tags Abbildung 21 Logix Systemreaktionszeit f r die Kette Eingang Steuerung A Logik Steuerung B Logik Ausgang 4 Reaktionszeitbeschr nkung P C Sicherheitsverbindung EtherNet Switch EtherNet Netzwerk EtherNet Netzwerk 5 Sicherheits Task Periode Sicherheits Task berwachungszeitraum 3 Sicherheits Task Periode Sicherheits Task berwachungszeitraum DeviceNet Modul DeviceNet Modul Steuerung A EtherNet Modul Steuerung B EtherNet Modul GuardLogix GuardLogix 6 Reaktionszeitbeschr nkung 7 Verz gerung Sicherheitsausgangsverbindung des Sicherheits ausgangsger ts 1 Verz gerung 2 Reaktionszeitbeschr nkung des Sicherheits Sicherheitseingangsverbindung eingangsger ts CIP Safety Netzwerk CIP Safety Netzwerk Die Logix Systemreaktionszeit f r die Kette Eingang Steuerung A Logik Steuerung B Logik Ausgang besteht aus den folgenden sieben Komponenten 1 Reaktionszeit des Sicherheitseingangsger ts plus Eingangsverz gerungszeit sofern zutreffend 2 Reaktionszeitbeschr nkung Sicherheitseingangsverbi
24. Sicherheits E A Ger te 23 Kommunikations Bridges 23 berblick ber die Programmierung 25 Eine kurze Auflistung der Komponenten die f r die Verwendung in SIL 3 Anwendungen Safety Integrity Level geeignet sind finden Sie in der Tabelle auf Seite 16 Aktuelle ausf hrliche Informationen finden Sie unter http www rockwellautomation com products certification safety Bei der Installation einer GuardLogix Steuerung der Serie 5570 sind die Informationen im Benutzerhandbuch GuardLogix 5570 Controllers User Manual Publikation 1756 UM022 zu beachten Die GuardLogix Steuerung umfasst eine Prim rsteuerung ControlLogix 557xS und einen Sicherheitspartner ControlLogix 557SP Diese beiden Module werden in einer 1002 Architektur eingesetzt und bilden zusammen eine SIL 3 f hige Steuerung In den folgenden Abschnitten werden diese Module beschrieben Sowohl die Prim rsteuerung als auch der Sicherheitspartner f hren Funktionstests zur Einschalt und Laufzeitdiagnose aller sicherheitstechnischen Komponenten der Steuerung durch Informationen zum Betrieb der Statusanzeigen finden Sie im Benutzerhandbuch GuardLogix 5570 Controllers User Manual Publikation 1756 UM022 WICHTIG Statusanzeigen sind keine zuverl ssigen Anzeigen f r Sicherheits funktionen Nutzen Sie sie daher nur zur allgemeinen Diagnose w hrend der Inbetriebnahme oder Fehlerbehebung Statusanzeigen sind daher nicht als Betriebsanzeigen zu verwenden
25. Sichtpr fung sicherstellen dass die beiden Variablen gleich sind und den korrekten Wert aufweisen Rockwell Automation Publikation 1756 RM099B DE P November 2014 Sicherheitsprogramme Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Kapitel 5 e Geschulte Bediener m ssen manuell quittieren dass die Werte auf dem HMI Bildschirm der einen Befehl an die Sicherheitslogik sendet wodurch die neuen Werte in der Sicherheitsfunktion verwendet werden k nnen korrekt sind In jedem Fall muss der Bediener die G ltigkeit der nderungen best tigen bevor sie im Sicherheitsregelkreis akzeptiert und bernommen werden e Testaller nderungen im Rahmen der Sicherheitsvalidierung e Ausreichende Dokumentation aller sicherheitstechnischen nderungen die ber die Bedienerschnittstelle vorgenommen wurden einschlie lich Berechtigung Einflussanalyse Ausf hrung Testinformationen Versionsinformationen nderungen am sicherheitstechnischen System m ssen die IEC 61511 Norm zur Prozesssicherheit Abschnitt 11 7 1 Anforderungen an Bedienerschnittstellen erf llen nderungen am sicherheitstechnischen System m ssen die IEC 62061 Norm zur Maschinensicherheit erf llen e Der Entwickler muss die gleichen bew hrten Entwicklungstechniken und Verfahrensvorschriften einhalten wie bei der Entwicklung anderer Anwendungssoftware Das schlie t auch das Verifizieren und Testen der B
26. Steuerungssystem besteht aus einer Reihe von untereinander verbundenen CIP Safety Ger ten Das Routing f hige System stellt den Umfang m glicher fehlgeleiteter Pakete vom Originator zu einem Ziel innerhalb des CIP Safety Steuerungssystems dar Das System ist isoliert es bestehen also keine anderen Verbindungen in das System Da zum Beispiel das in Abbildung 8 abgebildete System nicht mit einem anderen CIP Safety System ber einen gr eren d h unternehmensweiten Ethernet Backbone verbunden werden kann stellt es den Umfang eines Routing f higen CIP Safety Systems dar Abbildung 8 Beispiel f r ein CIP Safety System 4 a Switch Switch Firewall Ss 8 3lz S 5 53 8 s 2 3 3 K z S 8 ka 2 SmartGuard I CIP Safety E A CIP Safety E A CIP Safety E A CIP Safety E A CIP Safety E A CIP Safety E A CIP Safety E A CIP Safety E A 1 Router oder Firewall werden so konfiguriert dass sie den Datenverkehr begrenzen Rockwell Automation Publikation 1756 RM099B DE P November 2014 33 Kapitel4 Informationen zu CIP Safety und zur Sicherheitsnetzwerknummer Eindeutige Netzknotenreferenz Das Protokoll CIP Safety stellt ein Endknoten zu Endknoten Sicherheits protokoll dar Dieses Sicherheitsprotokoll erm
27. TSSM Two Sensor Symmetrical Muting Deaktiviert die Schutzfunktion eines Lichtgitters mithilfe zweier symmetrisch angeordneter T V Muting mit zwei Sensoren in Muting Sensoren vor bergehend automatisch symmetrischer Anordnung FSBM Four Sensor Bidirectional Muting Deaktiviert die Schutzfunktion eines Lichtgitters mithilfe von vier Sensoren die vor und nach dem T V Muting mit vier Sensoren in bidirektionaler Anordnung Abtastungsfeld des Lichtgitters hintereinander angeordnet sind vor bergehend automatisch Rockwell Automation Publikation 1756 RMO99B DE P November 2014 69 Anhang A Sicherheitsbefehle Tabelle 10 Befehle f r Sicherheitsanwendungen Umformverfahren Mnemonik Name Aufgabe Zertifizierung CBCM Clutch Brake Continuous Mode Wird f r Pressenanwendungen verwendet in denen ein kontinuierlicher Betrieb erw nscht ist BG Dauerbetrieb Kupplungsbremse e T V CBIM Clutch Brake Inch Mode Wird f r Pressenanwendungen verwendet in denen kleine Anpassungen des Pressenst els e BG Tippbetrieb Kupplungsbremse erforderlich sind z B die Konfiguration der Presse e T V CBSSM Clutch Brake Single Stroke Mode Wird in Pressenanwendungen mit Einzelzyklus verwendet BG Einzelhubbetrieb T V Kupplungsbremse CPM Crankshaft Position Monitor Dient dazu die Position des Pressenst els zu berwachen BG berwachung T V Kurbelwellenposition CSM Camshaft Monitor berwach
28. Type meet ype f Scope fa L635_v17 Class Saey O pei prae Style I 2 F Constant F Open Configuration 4 Klicken Sie auf die Registerkarte Safety Sicherheit xl Connection Safety l Status Requested Packet Interval RPI 20 a ms 1 500 Advanced Connection Reaction Time Limit 80 0 ms Max Network Delay ms ResetMax Cancel Help Rockwell Automation Publikation 1756 RM099B DE P November 2014 85 Anhang C 86 Reaktionszeiten 5 Klicken Sie auf Advanced Erweitert um die aktuellen Einstellungen anzuzeigen oder zu bearbeiten Advanced Connection Reaction Time Limit Configuration x Requested Packet Interval RPI 204 ms 1 500 Timeout Multiplier 2501 4 Network Delay Multiplier 200 H of RPI 10 600 Connection Reaction Time Limit B0 0 ms Cancel Help N here Informationen hierzu finden Sie in der Publikation 1756 UM022 GuardLogix 5570 Steuerungen Benutzerhandbuch Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Anhang D Checklisten f r GuardLogix Sicherheitsanwendungen Thema Seite Checkliste f r GuardLogix Steuerungssystem 88 Checkliste f r Sicherheitseing nge 89 Checkliste f r Sicherheitsausg nge Checkliste f r die Entwicklung eines Programms f r 91 Sicherheitsanwendungen Die Checklisten in diesem Anhang sind erforderlich damit eine SIL 3 zertifizierte GuardLogix Anwen
29. abgebildeten einfachen Beispiel PFH Beispielberechnung zu berechnen addieren Sie die PFH Werte f r jede Komponente des Regelkreises Die Tabelle PFH Berechnungen nach Sicherheitsregelkreis enth lt ein vereinfachtes Beispiel f r PFH Wertberechnungen f r jeden Sicherheitsregelkreis in der Abbildung mit dem PFH Berechnungsbeispiel Tabelle 4 PFH Berechnungen nach Sicherheitsregelkreis F r diesen Regelkreis Die PFH Werte dieser Komponente addieren Summe PFH f r Regelkreis 1 1791DS 1B12 GuardLogix Steuerung 1791DS IB4XOX4 Summe PFH f r Regelkreis 2 1791DS IB8X0B8 GuardLogix Steuerung 1791DS IBAX0X4 Bei der Berechnung der PFH Werte sind die spezifischen Anforderungen der eingesetzten Applikation einschlie lich Testzeitintervalle zu ber cksichtigen Nach konservativen Einsch tzungen entf llt 10 der Sicherheitslast auf GuardLogix Steuerung und E A System In ein SIL 3 System m ssen u U mehrere Eing nge f r wichtige Sensoren und Eingangsger te sowie je nach SIL Beurteilung des sicherheitstechnischen Systems zwei mit zwei Aktoren in Serie geschaltete Ausg nge integriert werden Abbildung 3 Sicherheitslast Sensor 10 der PFD Or Ein Steuerung Aus gangs gangs modul modul Systemreaktionszeit 50 der PFD Die Systemreaktionszeit ist der Zeitraum zwischen dem Eingang eines sicherheitsrelevanten Ereignisses im Sy
30. diversit ren Eingangs in den sicheren Zustand 1 NodesonputFa lted Node30 l Pt01Data J F AS Node30 1 Pt03Data L Rockwell Automation Publikation 1756 RMO99B DE P November 2014 97 Anhang F 98 Software RSLogix 5000 ab Version 14 Beschreibung der Befehle f r Sicherheitsanwendungen Abbildung 24 Kontaktplanlogik Beispiel 2 Netzknoten 30 ist ein 8 Punkt Eingangs 8 Punkt Ausgangs Kombinationsmodul Netzknoten 31 ist ein 12 Punkt Eingangsmodul Ist der Eingangszustand nicht OK schalten Sie auf die Anzeige die den fehlerhaften Eingang anzeigt Node30 l InputStatus Node30lnputsFaulted AN L aiia Ah Node31 1 CombinedStatus Node31InputsFaulted x E JE J E Wird die Anstiegsflanke des Fehler Reset Signals erkannt und ist der Eingangszustand OK setzen Sie die Anzeige f r den fehlerhaften Eingang zur ck FaultReset InputFaultResetOneShot Node30 l InputStatus u Node30lnputsFaulted JE CONS f Node31 am Bine dus Node31InputsFaulted U U Liegt an den Eing ngen kein Fehler vor schreiben Sie die Werte f r die Eingangs Tags in die interne Darstellung der Eing nge Node30lnputsFaulted U Node30 l Pt00Data _Node30Input0O IE C3 im E Node30 1 Pt01Data Node30InputO1 A Node30 l Pt07Data 0000 Z Node30Input07 Liegt an den Eing ngen kein Fehler vor schreiben Sie die We
31. eine Speicherkarte f r den nichtfl chtigen Speicher Wenn Sie ein Sicherheitsprojekt auf einer Speicherkarte speichern dann empfiehlt Rockwell Automation Ihnen die Option Remote Program als Load Mode auszuw hlen d h der Modus in den die Steuerung nach dem Laden wechselt Vor dem eigentlichen Maschinenbetrieb ist der Eingriff des Bedieners erforderlich um die Maschine zu starten Sie k nnen den Ladevorgang aus dem nichtfl chtigen Speicher nur unter folgenden Bedingungen starten e Wenn der Typ der Steuerung der durch das im nichtfl chtigen Speicher gespeicherte Projekt spezifiziert wird mit dem Typ Ihrer Steuerung bereinstimmt e Wenn die gr eren und kleineren nderungen an dem im nichtfl chtigen Speicher gespeicherten Projekt mit den gr eren und kleineren nderungen an Ihrer Steuerung bereinstimmen e Wenn sich Ihre Steuerung nicht im Run Modus befindet Es ist nur dann zul ssig ein Projekt in eine sicherheitsverriegelte Steuerung zu laden wenn die Sicherheits Task Signatur des im nichtfl chtigen Speicher gespeicherten Projekts mit dem Projekt in der Steuerung bereinstimmt Wenn die Signaturen nicht bereinstimmen oder wenn die Steuerung ohne Sicherheits Task Signatur sicherheitsverriegelt wurde dann m ssen Sie zuerst die Steuerung entriegeln bevor Sie versuchen die Steuerung ber den nichtfl chtigen Speicher zu aktualisieren WICHTIG Wenn Sie die Steuerung entriegeln und den Ladevorgang
32. folgenden Beispiele zeigen die Werte f r die Versagenswahrscheinlichkeit PFD und die Wahrscheinlichkeit eines Ausfalls pro Stunde PFH f r GuardLogix 1002 SIL 3 Systeme die GuardLogix E A Module verwenden Die Einsatzzeit Mission Time f r GuardLogix Steuerungen und Guard I O Module betr gt 20 Jahre PFD Werte Tabelle 14 Anhand des Intervalls f r die Funktionspr fung berechnete PFD Berechnete PFD Bestellnummer Beschreibung 2 Jahre 5 Jahre 10 Jahre 20 Jahre 17 520 Stunden 43 800 Stunden 87 600 Stunden 175 200 Stunden 1756 L7x5 und 1756 L7SP GuardLogix Steuerung 5 7E 06 1 5E 05 3 5E 05 8 9E 05 1756 173SXT und 1756 L7SPXT GuardLogix XT Steuerung 5 7E 06 1 5E 05 3 5E 05 8 9E 05 1791DS 1B12 CIP Safety basiertes 12 Punkt Eingangsmodul 4 73E 07 1 18E 06 2 35E 06 4 71E 06 1791DS IB16 CIP Safety basiertes 16 Punkt Eingangsmodul 4 11E 06 1 03E 05 2 06E 05 4 11E 05 1791DS IB8X0B8 CIP Safety basiertes 8 Punkt Eingangs 4 73E 07 1 18E 06 2 35E 06 4 718 06 8 Punkt Ausgangsmodul 1791DS IBAXOW4 CIP Safety basiertes 4 Punkt Eingangs 2 21E 05 7 05E 05 1 92E 04 5 88E 04 4 Punkt Relaisausgangsmodul 1791DS IB8XOBV4 cp Safety basiertes 8 Punkt Eingangs 4 16E 06 1 04E 05 2 08E 05 4 16E 05 1732D5 1B8XOBV4 bipolares 4 Punkt Ausgangsmodul 1732DS IB8 CIP Safety basiertes 8 Punkt Eingangsmodul 4 11E 06 1 03E 05 2 06E 05 4 11E 05 1791ES IB16 CIP Safety basiertes 16 Punkt Eingangsmodul
33. glicht das Routing von CIP Safety Meldungen zu und von CIP Safety Ger ten ber nicht zertifizierte Bridges Switches und Router Um zu verhindern dass Fehler bei nicht zertifizierten Bridges Switches oder Routern gef hrliche Bedingungen verursachen muss jeder Endknoten mit einem Routing f higen CIP Safety Steuerungssystem ber eine eindeutige Netzknotenreferenz verf gen Die eindeutige Netzknotenreferenz ist eine Kombination aus der Sicherheitsnetzwerknummer SNN und der Netzknotenadresse des Netzknotens Sicherheitsnetzwerknummer Die Sicherheitsnetzwerknummer SNN wird automatisch durch die Software oder manuell durch Sie zugeordnet Jedes CIP Safety Netzwerk das Sicherheits E A Knoten enth lt muss ber mindestens eine eindeutige SNN verf gen Jedes Chassis das mindestens ein Sicherheitsger t enth lt muss ber mindestens eine eindeutige SNN verf gen Sicherheitsnetzwerknummern die einem Sicherheitsnetzwerk oder Netzwerk Subnetz zugeordnet sind m ssen eindeutig sein TIPP Mehrere SNNs k nnen einem CIP Safety Subnetz oder Chassis zugeordnet werden das mehrere Sicherheitsger te enth lt Der Einfachheit halber wird jedoch empfohlen jedem CIP Safety Subnetz nur eine einzige eindeutige SNN zuzuordnen Diese Empfehlung gilt auch f r die jeweiligen Chassis Abbildung 9 Beispiel f r CIP Safety mit mehreren SNN
34. ist Rockwell Automation Publikation 1756 RMO99B DE P November 2014 47 Kapitel5 Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Notizen 48 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Voraussetzungen f r das Sicherheitskonzept Kapitel 6 Entwicklung von Sicherheitsanwendungen Thema Voraussetzungen f r das Sicherheitskonzept Seite 49 Grundlagen der Anwendungsentwicklung und pr fung 50 Inbetriebnahme prozess 51 Herunterladen eines Sicherheitsanwendungsprogramms 57 Hochladen eines Sicherheitsanwendungsprogramms 57 Online Bearbeitung 57 Speichern und Laden eines Projektes aus einem nichtfl chtigen Speicher 58 Forcen 58 Sperren eines Ger ts 59 Bearbeiten Ihrer Sicherheitsanwendung Das Sicherheitskonzept geht davon aus dass 59 e es sich bei den f r das Erstellen den Betrieb und die Pflege der Anwendung Verantwortlichen um umfassend qualifiziertes speziell geschultes Personal handelt das ber Erfahrung im Einsatz von Sicherheitssystemen verf gt e der Anwender die Logik korrekt anwendet d h Programmierfchler erkannt werden Programmierfehler k nnen durch die strikte Einhaltung von Spezifikationen Programmier und Benennungsregeln erkannt werden e der Anwender seine Applikation einer kritischen Analyse unterzieht und alle m glichen Ma nahmen zur Ausfallerkennung nut
35. l schen cop Copy Kopieren Kopieren Wert kopieren Bewegen MOV Move Bewegen Kopieren Wert kopieren MVM Masked Move Maskierte Verschiebung Bestimmten Teil einer Ganzzahl kopieren Maskierte Verschiebung swPB Swap Byte Byte tauschen Byte eines Werts neu anordnen AND Bitwise AND Logische Und Operation Bitweise UND Vorg nge durchf hren Logische Und Operation NOT Bitwise NOT Logisches Nicht Bitweise NICHT Vorg nge durchf hren Logisch Logisches Nicht OR Bitwise OR Logisches Oder Logisches Oder Bitweise ODER Vorg nge durchf hren XOR Bitwise Exclusive OR Exklusives Oder Bitweise exklusive ODER Vorg nge durchf hren Exklusives Oder JMP Jump To Label Sprung Logikabschnitt berspringen der nicht immer ausgef hrt werden muss Sprung springt zum darauf verweisenden LBL Befehl LBL Label Marke Marke Kennzeichnen eines Befehls sodass ber einen JMP Befehl auf diesen verwiesen werden kann JSR Jumpto Subroutine Sprung Sprung ins Unterprogramm Zu separater Routine springen ins Unterprogramm RET Return R ckkehr vom R ckkehr vom Unterprogramm Ergebnisse eines Unterprogramms zur ckgeben Unterprogramm SBR Subroutine Unterprogramm Daten an ein Unterprogramm senden Programm Unterprogramm steuerung TND Temporary End Tempor res Ende Kennzeichnung die die Ausf hrung einer Routine unterbricht Tempor res Ende MCR Master Control Reset Jeden Strompfad in einem Logikabschnitt de
36. nkungen der Sicherheits Task 2222020 Ausf hrung der Sicherheits Task aan aan Verwendung von HMI Schnittstellen 2cse2ceeencccnn Vorsichtsma nahmen ass Zugriff auf sicherheitstechnische Systeme 2cs22200 Sicherheitsprogramme cn an Sicherheitstontineny seen nei Sicherheits Tas u en Verwendung von Standard Tags in Sicherheitsroutinen as Zustinans ee ee Nase erae Kapitel 6 Voraussetzungen f r das Sicherheitskonzept 2cessc000 Grundlagen der Anwendungsentwicklung und pr fung Inbetriebnahme prozess ten enter Steuerungsfunktion spezifizieren 22eeesseeeneeeeneenennn Brojckt ers lien anna Anwend ngsprogrammitesten nes nn Sicherheits Task Signatur erzeugen ne tn Projektverifizierungstest nn Proj kt best tigen una unseren Sicherheitsvalidierung ee mend GuardLogix Steuerung verriegeln 222 eeenceeenecenn Herunterladen eines Sicherheitsanwendungsprogramms Hochladen eines Sicherheitsanwendungsprogramms Online Beatberuns Aussee ee Speichern und Laden eines Projektes aus einem nichtkl chtigen Speicher us ER Forcen er A a a E a AEE aN Sperren eines Ger a else Rockwell Automation Publikation 1756 RMO099B DE P November 2014 berwachung des Status und Handhabung von St rungen Sicherheitsbefehle Sicherheits Add On Befehle Inhaltsverzeichnis Bearbeiten Ihrer Sicherheitsanwendung 2
37. ssig Parameter in einem sicherheitstechnischen Regelkreis ber ein externes Ger t zu ndern d h ein Ger t das sich au erhalb des Sicherheitsregelkreises befindet wie z B ein HMI e Nur entsprechend autorisierte speziell geschulte Mitarbeiter Bediener d rfen ber eine Bedienerschnittstelle die Parameter in sicherheits technischen Systemen ndern e Der Bediener der ber ein HMI nderungen in einem sicherheits technischen System vornimmt ist f r die Auswirkungen verantwortlich die diese nderungen auf den Sicherheitsregelkreis haben e Sie m ssen alle Variablen die ge ndert werden sollen deutlich dokumentieren e Sie m ssen eine klare umfassende und explizite Bedienerverfahrens vorschrift nutzen um ber ein HMI sicherheitstechnische nderungen vorzunehmen nderungen k nnen in einem sicherheitstechnischen System nur dann akzeptiert werden wenn die nachfolgende Abfolge von Ereignissen eingehalten wird a Die neue Variable muss zweimal an zwei verschiedene Tags gesendet werden d h die beiden Werte d rfen nicht mit einem Befehl geschrieben werden b Der sicherheitstechnische Code der in der Steuerung ausgef hrt wird muss beide Tags auf quivalenz pr fen und sicherstellen dass sie innerhalb des zul ssigen Bereichs liegen berpr fung der Grenzen c Die beiden neuen Variablen m ssen zur ckgelesen und auf dem HMI Ger t angezeigt werden d Geschulte Bediener m ssen anhand einer
38. von 1794 FLEX 1 0 Modulen und 1756 SIL 2 Eing ngen und Ausg ngen mit 1756 GuardLogix Steuerungen zur Einhaltung der EN 50156 Einleitung einer St rung anna Hk Anhang G Zweikanalige SIL 2 Eing nge Standardseite der GuardLogix Steuerungen en nel Verwendung von SIL 3 Guard I O Ausgangsmodulen mit SIE 2 Ausp neen anne a ren Verwendung von 1756 oder 1794 SIL 2 Ausgangsmodulen m SIE 2 Aussansen ae nee een Sicherheitsfunktionen in der 1756 GuardLogix Sicherheits Task Glossar Index Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Studio 5000 Umgebung Vorwort Thema Seite Studio 5000 Umgebung 9 Verwendete Begriffe 10 Weitere Informationsquellen 10 Dieses Handbuch beschreibt das GuardLogix 5570 Steuerungssystem das baumustergepr ft und f r den Einsatz in Sicherheitsanwendungen bis einschlie lich SIL CL 3 gem IEC 61508 und IEC 62061 sowie f r den Einsatz in Sicherheitsanwendungen bis einschlie lich Performance Level PLe Kategorie 4 gem ISO 13849 1 zertifiziert ist Verwenden Sie dieses Handbuch wenn Sie f r die Entwicklung Bedienung oder Wartung eines auf einer GuardLogix 5570 Steuerung basierenden Sicherheitssystems verantwortlich sind das mit Studio 5000 Logix Designer ab Version 21 000 arbeitet Sie m ssen die Sicherheitskonzepte und die Anforderungen die in diesem Handbuch vorgestellt werden vor der Inbetriebnahme eines auf einer GuardLogix 5570 Steuerung basi
39. 07 Sicherheits Tags 46 Definition 106 G ltige Datentypen 46 Sicherheits Task Ausf hrung 42 Definition 106 Priorit t 84 Reaktionszeit 20 106 berblick 41 berwachungszeitraum 84 Sicherheits Task Periode 20 Definition 106 Einschr nkungen 42 berblick 20 Sicherheits Task Signatur Definition 107 Eingeschr nkte Operationen 54 Erstellung 53 L schung 54 Sicherheits Task berwachungszeitraum 20 ndern 20 Definition 107 Einstellung 20 Timeout 42 berblick 20 Sicherheitsverriegelung 56 Eingeschr nkte Operationen 56 Kennw rter 56 Standard 56 Sicherheitszertifizierungen und richtlinien 18 Signatur History 77 SIL2 EN50156 101 Software ndern Ihres Anwendungsprogramms 59 Software RSLogix 5000 17 Speicherkarte 17 Sperren eines Moduls 59 Standarddaten beschreiben 47 Steuerungs und Informationsprotokoll Definition 10 Steuerungsfunktion Spezifikation 52 Studio 5000 Umgebung 17 Systemreaktionszeit 19 Berechnen 79 Index T Tags Produzierte konsumierte Sicherheitsdaten 46 Sicherheits E A 46 Siehe auch Sicherheits Tags Timeout Multiplikator 82 Definition 108 U berlappung Definition 108 Uberwachungszeitraum 84 V Verbindungsstatus 64 Versagenswahrscheinlichkeit PFD Definition 10 Verwaltungsrechte 29 Verwendete Begriffe 10 Ww Wahrscheinlichkeit eines Ausfalls pro Stunde PFH Definition 10 X XT Komponenten 17 Z Zertifizierungen 18 Zuordnung vo
40. 2e2200 Durchf hren von Oftline Bearbeitungen 22022 Durchf hren von Online Bearbeitungen nderungseinflusstest 2 yes see Kapitel 7 berwachen des Systemstatus lea CONNECTION_STATUS Daten 22222ccceeceenn Eingangs und Ausgangsdiagnose 2eenceeeeneeennenenn Verbindungsstatus der E A Ger te aus re Ruhsstiomprinzip System an re Befehle Erhalt des Systemwerts GSV und Setzen des Systemwertsn SSsV Lenin sn Me GuardLogix Systemst rungen ae Nicht korrigierbare Steuerungsfehler 2 ss Nicht korrigierbate Sicherheitsfehler u mem Kortigierbare Fehler au na H aan Anhang A Anhang B Erstellen und Verwenden eines Sicherheits Add On Befehls Add On Befehl Testprojekt erstellen e22ccnn Sicherheits Add On Befehl erstellen 2c2c2c2220 Befehlssignatur erzeugen aa aan Sicherheitsbefehlssignatur herunterladen und erzeugen SIL 3 Qualifizierungstest zu Add On Befehlen Projekt best tigen era RB Add On Befehle einer Sicherheitsvalidierung unterziehen Eintrag in der Signatur History erstellen Sicherheits Add On Befehl exportieren und importieren Signaturen des Sicherheits Add On Befehls verifizieren Anwendungsprogramm testen unse ee seen Projektverifizierungstest een Projekt einer Sicherheitsvalidierung unterziehen Weitere Inform
41. 3 Compact GuardLogix System l L Ga a a a r a a J l Rockwell Automation Publikation 1756 RM099B DE P November 2014 15 Kapitel1 Informationen zu SIL Guard Logix Die Tabellen in diesem Abschnitt listen die nach SIL 3 zertifizierten Systemkomponenten werden k nnen GuardLogix Komponenten sowie die nicht nach SIL 3 zertifizierten Komponenten auf die mit den SIL 3 GuardLogix Systemen verwendet Eine aktuelle Liste der f r GuardLogix Steuerungen und CIP Safety E A Ger te zertifizierten Produktreihen und Firmware Versionen finden Sie unter http www rockwellautomation com products certification safety Firmware Versionen sind unter http support rockwellautomation com ControlFLASH verf gbar Tabelle 2 SIL 3 zertifizierte GuardLogix Komponenten Verwandte Dokumentationen Bestell Installations Ger tetyp nummer Beschreibung anleitung Benutzerhandbuch 1756 1715 Steuerung mit 2 MB Standard 1 MB Sicherheitsspeicher 1756 GuardLogix 1756 1725 Steuerung mit 4 MB Standard 2 MB Sicherheitsspeicher u 1756 1735 Steuerung mit 8 MB Standard 4 MB Sicherheitsspeicher Mit Studio 5000 Umgebung ontrolLogix i 1756 3 1756 L735XT Steuerung XT mit 8 MB Standard n v 9 g De 4 MB Sicherheitsspeicher bis Version 20 1756 UMO20 1756 GuardLogix 1756 L7SP Sicherheitspartner Sicherheitspartner gt 5 ControlLogix557SP 1756 L7SPXT Sicherheitspartner XT 17
42. 4 13E 06 1 03E 05 2 06E 05 1791ES IB8XOBV4 CIP Safety basiertes 8 Punkt Eingangs 4 17E 06 1 04E 05 2 09E 05 bipolares 4 Punkt Ausgangsmodul 1734 185 Serie A CIP Safety basiertes 8 Punkt Eingangsmodul 4 23E 06 1 06E 05 2 11E 05 4 23 05 1734 1B8S Serie B CIP Safety basiertes 8 Punkt Eingangsmodul 4 36E 06 1 09E 05 2 18E 05 4 36E 05 1734 0B8S Serie A CIP Safety basiertes 8 Punkt Ausgangsmodul 4 27E 06 1 07E 05 2 13E 05 4 27E 05 1734 0B8S Serie B CIP Safety basiertes 8 Punkt Ausgangsmodul 4 32E 06 1 08E 05 2 16E 05 4 32E 05 1734 IE4S CIP Safety basiertes 4 Punkt Analog Eingangsmodul 4 7E 07 1 2E 06 2 4E 06 4 8E 06 einkanaliger Betrieb 1734 IE4S CIP Safety basiertes 4 Punkt Analog Eingangsmodul 3 2E 07 8 1E 07 1 6E 06 3 3E 06 zweikanaliger Betrieb 1 Diese Daten gelten f r den ein und zweikanaligen Betrieb 2 Die f r den Zeitraum von 20 Jahren angegebenen PFD Daten f r dieses Produkt gelten nur f r Produkte mit dem auf das Herstellungsdatum bezogenen Datumscode 2009 01 01 1 Januar 2009 oder sp ter Sie finden den Datumscode auf dem Typenschild Allen Bradiey CATNO SERIES DATE CODE 1791DS IBSXOB8 A yapan ART N 10000041926 VER 00 PLY Rockwell Automation Publikation 1756 RM099B DE P November 2014 93 AnhangE _ Sicherheitsdaten der GuardLogix Systeme PFH Werte Tabelle 15 PFH Berechnung Die nachfolgenden Daten gelten f r Funktionspr fintervalle von bis zu einschli
43. 56 1615 Steuerung mit 2 MB Standard 1 MB Sicherheitsspeicher 1756 GuardLogix gt RER Prim rsteuerung 1756 1625 Steuerung mit 4 MB Standard 1 MB Sicherheitsspeicher ControlLogix55605 1756 1635 Steuerung mit 8 MB Standard a 3 75 MB Sicherheitsspeicher n V 1756 UM020 1756 GuardLogix 1756 LSP Sicherheitspartner Sicherheitspartner ControlLogix55Sp 1768 Compact 1768 1435 Steuerung mit Unterst tzung f r zwei 1768 Module n v 1768 UM002 a 1768 1455 Steuerung mit Unterst tzung f r vier 1768 Module s 1791DS IN001 a 1791D5 1N002 17910S uMoo Eine aktuelle Liste der zertifizierten Produktreihen und Firmware Versionen 1732DS IN001 i finden Sie im Sicherheitszertifikat unter 4 Eur A A http www rockwellautomation com products certification safety Ta 1771ES UMO01 POINT Guard 1 0 Module n v 1734 UM013 Kinetix 5500 Servoantriebe Eine aktuelle Liste der zertifizierten Produktreihen und Firmware Versionen 2198 IN001 2198 UM001 Bestellnummern die mit finden Sie im Sicherheitszertifikat unter ERS2 enden http www rockwellautomation com products certification safety 1 F r den Einsatz mit der Software RSLogix 5000 Version 14 Version 16 und h her zertifiziert 2 F r den Einsatz mit der Software RSLogix 5000 ab Version 18 zertifiziert 3 Diese Publikationen stehen auf der Website von Rockwell Automation unter http www rockwellautomation com literature zum Abruf bereit 4 Installationsanleitung siehe Benu
44. 756 A13 17 1756 417 17 1756 A4 17 1756 A5XT 17 1756 A7 17 1756 A7XT 17 1756 CN2 17 23 1756 CN2R 17 23 1756 CN2RXT 17 23 1756 DNB 17 23 1756 EN2F 17 23 1756 EN2T 17 23 1756 EN2TR 23 1756 EN2TXT 17 23 1756 EN3TR 23 1756 ENBT 17 23 1756 PB72 17 1756 PB75 17 1768 CNB 23 1768 CNBR 23 1768 ENBT 23 1784 CF128 17 1784 SD1 17 1784 SD2 17 A Add On Befehl Befehlssignatur 75 Sicherheitsbefehlssignatur 76 Zertifizieren 73 Amtliche Zulassungen 18 ndern Ihres Anwendungsprogramms 59 Anstehende Bearbeitungen 57 Anwendungsprogramm ndern 59 Siehe Programm Ausgangsverz gerungszeit 28 Befehl Set System Variable SSV Festlegen des Systemwerts 65 Befehle f r die Sicherheitsanwendung Definition 105 Befehlssignatur 75 Definition 105 Brennerbezogene Sicherheitsfunktionen 101 Index C Chassis Bestellnummern 17 Hardware berblick 22 Checkliste GuardLogix Steuerungssystem 25 88 Programmentwicklung 91 SIL 3 Ausg nge 90 SIL 3 Eing nge 89 CONNECTION_STATUS Datentyp 63 ControlNet Bridge Modul Hardware berblick 23 D DeviceNet Scannerschnittstellenmodul Hardware berblick 23 DeviceNet Sicherheit Kommunikations berblick 24 Diagnose Deckungsgrad Definition 10 E A Module Austausch 29 31 Eindeutige Netzknotenreferenz Definiert 34 EN50156 101 EN954 1 CAT 49 13 EtherNet IP Kommunikations berblick 23 EtherNet IP Kommunikations schnittstellenmodul Hardware berblick 23 Europ ische Norm Definition 10
45. Befehle die f r die Programmierung einer Sicherheitsanwendung geeignet sind 5 Unterscheidet das Programm f r die Sicherheitsanwendung eindeutig zwischen Sicherheits und Standard Tags 6 Werden f r Sicherheitsroutinen nur Sicherheits Tags verwendet 7 Haben Sie sichergestellt dass die Sicherheitsroutinen nicht versuchen von Standard Tags zu lesen oder auf diese zu schreiben 8 Haben Sie sichergestellt dass keine Sicherheits Tags mit Standard Tags verbunden sind und umgekehrt 9 Sind alle Sicherheits Tags des Ausgangs korrekt konfiguriert und mit einem physischen Ausgangskanal verbunden 10 Haben Sie sicherstellt dass alle zugeordneten Tags in der Logik der Sicherheitsanwendung konditioniert wurden 11 Haben Sie die Prozessparameter definiert die durch Fehlerroutinen berwacht werden 12 Haben Sie andere Sicherheits Add On Befehle mit einer Befehlssignatur abgeschlossen und die Sicherheitsbefehlssignatur aufgezeichnet 13 Wurde das Programm von einem unabh ngigen Sicherheitspr fer berpr ft falls erforderlich 14 Wurde die berpr fung dokumentiert und unterschrieben Rockwell Automation Publikation 1756 RMO99B DE P November 2014 91 AnhangD Checklisten f r GuardLogix Sicherheitsanwendungen Notizen 92 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Anhang E Sicherheitsdaten der GuardLogix Systeme PFD Werte PFH Werte Die
46. Dies bedeutet dass sich die Daten w hrend der Ausf hrung der Sicherheits Task auch dann nicht ndern wenn das angeforderte Paketintervall der E A k rzer ist als der Zeitraum der Sicherheits Task Die Daten sind nur einmal zu Beginn der Ausf hrung der Sicherheits Task schreibgesch tzt e Sicherheitseingangswerte werden beim Start der Ausf hrung der Sicherheits Task eingefroren Daher haben timerbezogene Befehle z B TON TOF usw keinen Einfluss auf die Zeit die w hrend einer Ausf hrung einer Sicherheits Iask abl uft Sie messen genau die Zeit von einer Task Ausf hrung zur anderen wobei sich die Zeitbasis w hrend der Ausf hrung der Sicherheits Task nicht ndert von Logix Standard Tasks hnelt jedoch dem Verhalten von SPS A ACHTUNG Dieses Verhalten unterscheidet sich von der Ausf hrung oder SLC 42 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Verwendung von HMI Schnittstellen Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Kapitel 5 e Bei Standard Tags die Sicherheits Tags zugewiesen sind werden die Standard Tag Werte beim Start der Sicherheits Task in den Sicherheits speicher kopiert und bleiben w hrend der Ausf hrung der Sicherheits Task unver ndert e Die Werte des Sicherheitsausgangs Tags ausgegeben und produziert werden aktualisiert sobald die Ausf hrung der Sicherheits Task endet e Die Sicherheits Task reagiert auf Modus nderu
47. E A gehen in den sicheren Zustand ber Zur Wiederherstellung des Betriebs nach einem nicht korrigierbaren Steuerungsfehler muss das Anwendungsprogramm erneut heruntergeladen werden Nicht korrigierbare Sicherheitsfehler Bei einem nicht korrigierbaren Sicherheitsfehler protokolliert die Steuerung die St rung in der Fehlerbehandlung im Steuerungsbereich und schaltet die Sicherheits Task einschlie lich Sicherheits E A und Sicherheitslogik aus Zur Wiederherstellung des Betriebs nach einem nicht korrigierbaren Sicherheits fehler wird der Sicherheitsspeicher von der Sicherheits Task Signatur geschicht automatisch wenn Sie die St rung beheben oder falls keine Sicherheits Task Signatur existiert ber ein explizites Herunterladen des Sicherheitsprojekts neu initialisiert Sie k nnen den Sicherheitsfehler berbr cken indem Sie den Eintrag im Fehlerlog ber die Sicherheitsfehlerbehandlung im Steuerungsbereich l schen Dadurch k nnen Standard Tasks weiter ausgef hrt werden Sie den Sicherheitsfehler berbr cken obliegt es Ihnen zu beweisen dass dabei N ACHTUNG Der Sicherheitsfehler wird durch berbr cken nicht gel scht Wenn weiterhin SIL 3 beibehalten wird Rockwell Automation Publikation 1756 RMO99B DE P November 2014 berwachung des Status und Handhabung von St rungen Kapitel 7 Korrigierbare Fehler Steuerungsfehler die durch Anwenderprogrammierfehler in einem Sicherheitsprogramm verursacht werden ver
48. Einflussanalyse festgelegt erneut validieren bevor Sie den Betrieb wieder aufnehmen k nnen Das Flussdiagramm auf Seite 61 zeigt das Verfahren zur Online Bearbeitung TIPP Beschr nken Sie Online Bearbeitungen auf kleinere Programm nderungen wie Sollwert nderungen oder kleine Logikerg nzungen l schungen und nderungen Online Bearbeitungen sind von den Funktionen Sicherheitsverriegelung und Sicherheits Task Signatur der GuardLogix Steuerung betroffen Weitere Informationen finden Sie unter Sicherheits Task Signatur erzeugen auf Seite 53 und unter GuardLogix Steuerung verriegeln auf Seite 56 Detaillierte Informationen zur Online Bearbeitung der Kontaktplanlogik in der Anwendung Logix Designer entnehmen Sie der Kurzanleitung Steuerungen Logix5000 Schnellstart Publikation 1756 QS001 nderungseinflusstest Jede nderung Erweiterung oder Anpassung Ihrer validierten Software muss geplant und der Einfluss auf das funktionale Sicherheitssystem analysiert werden Alle entsprechenden Phasen des Software Sicherheitslebenszyklus m ssen wie in der Einflussanalyse angegeben durchgef hrt werden So muss die gesamte betroffene Software mindestens einem Funktionstest unterzogen werden Alle nderungen an Ihren Software Spezifikationen sind Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Entwicklung von Sicherheitsanwendungen Kapitel 6 zu dokumentieren Die Testergebnisse m ssen ebenfalls dokumentier
49. M oder PROG steht Wenn eine Sicherheits Task Signatur vorhanden ist sind die folgenden Aktionen in der Sicherheits Task nicht gestattet e Online oder Offline Programmierung oder Bearbeitung von Sicherheitskomponenten e Forcen von Sicherheits E A e Datenmanipulation au er durch Routinelogik oder eine andere GuardLogix Steuerung Projektverifizierungstest Um zu berpr fen ob Ihr Anwendungsprogramm die Spezifikation einh lt m ssen Sie eine geeignete die Anwendung abdeckende Testreihe erstellen Diese Testf lle m ssen als Testspezifikation archiviert werden Sie m ssen eine Reihe von Tests durchf hren die die G ltigkeit der in der Applikationslogik verwendeten Berechnungen Formeln best tigen Gleichwertige Bereichstests sind akzeptabel Dabei handelt es sich um Tests innerhalb der definierten Wertbereiche an den Grenzbereichen oder in ung ltigen Wertbereichen Die notwendige Anzahl von Testf llen h ngt von den verwendeten Formeln ab und muss kritische Wertepaare umfassen Eine aktive Simulation mit Quellen Feldger ten muss ebenfalls enthalten sein da dies die einzige M glichkeit darstellt die korrekte Verdrahtung der Sensoren und Aktoren im System zu best tigen Pr fen Sie den Betrieb der programmierten Funktionen indem Sie Sensoren und Aktoren manuell manipulieren Die Testreihe muss auch Tests zur berpr fung der Reaktion auf Verdrahtungs st rungen und Netzwerkkommunikationsst rungen einsc
50. NDANT_OUTPUT SAFETY _MAT SERIAL_PORT_CONTROL SFC_ACTION SFC_STEP SFC_STOP SINT STRING THRS_ENHANCED TIMER TWO_HAND_RUN_STATION Die Anwendung Logix Designer verhindert die direkte Erzeugung von ung ltigen Tags in einem Sicherheitsprogramm Wenn Sie ung ltige Tags importieren k nnen diese nicht verifiziert werden WICHTIG anwendungen nicht zul ssig Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Aliasing zwischen Standard und Sicherheits Tags ist in Sicherheits Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Kapitel 5 Als Sicherheits Tags klassifizierte Tags werden entweder im Steuerungsbereich oder im Sicherheitsprogrammbereich ausgef hrt Sicherheits Tags im Steuerungsbereich k nnen von jeder Standard oder Sicherheitslogik oder von anderen Kommunikationsger ten gelesen jedoch nur durch Sicherheitslogik oder eine andere GuardLogix Sicherheitssteuerung geschrieben werden Auf Sicherheits Tags im Programmbereich kann nur durch die lokalen Sicherheitsroutinen zugegriffen werden Hierbei handelt es sich um Routinen die sich innerhalb des Sicherheitsprogramms befinden Mit Sicherheits E A verkn pfte Tags und produzierte oder konsumierte Sicherheitsdaten m ssen Tags im Sicherheitssteuerungsbereich sein WICHTIG Jedes Sicherheits Tag im Steuerungsbereich kann von jeder Standard routine gelesen werden wobei die Aktualisierungsgeschwindigkeit von der Ausf h
51. PFH Wahrscheinlichkeit eines Ausfalls pro Stunde 18 19 PLe 9 13 Prim rsteuerung Definition 106 Hardware berblick 22 Programm Bearbeitungsprozess 61 Checkliste 91 Herunterladen 57 Hochladen 57 Identifizierung 53 Offline Bearbeitung 60 Online Bearbeitung 60 Verifizierung 54 Projekt Best tigung 55 Projektverifizierungstest 54 78 Reaktionszeit F r System berechnen 79 Sicherheits Task 20 System 19 108 Requested Packet Interval Bereich 42 Definition 106 5 Safety Integrity Level SIL Einhaltung Verteilung und Gewichtung 19 Funktionsbeispiel 16 Richtlinie 13 20 Safety Integrity Level SIL 3 Zertifizierung Logix Komponenten 16 TUV Rheinland 14 Verantwortung des Anwenders 14 Safety Integrity Level 3 Zertifizierung SIL3 9 13 76 Schnittstelle HMI Verwendung und Anwendung 43 45 Secure Digital SD Karte 17 Sicherheitsbefehlssignatur 76 Definition 107 Sicherheitsfunktionen CIP Safety E A 27 Sicherheitsausgang 28 Sicherheitskonzept Voraussetzungen 49 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Sicherheitslast 19 Sicherheitsnetzwerknummer 34 Definition 107 Konsumierte Sicherheits Tags 35 Manuelle Zuordnung 34 Module im Anlieferungszustand 36 Sicherheitspartner Definition 107 Hardware berblick 22 Position 22 Sicherheitsprogramm 45 Definition 107 Sicherheitsprotokoll CIP Safety Definition 107 Routing f higes System 33 berblick 22 Sicherheitsroutine 46 Definition 1
52. Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Sicherheits berlegungen zu CIP Safety E A Ger ten CIP Safety E A f r das GuardLogix Steuerungssystem Kapitel 3 Sie m ssen f r alle Ger te falls erforderlich eine Netzknoten oder IP Adresse und eine Kommunikationsgeschwindigkeit angeben bevor Sie sie in ein Sicherheitsnetzwerk installieren Verwaltungsrechte Jedes CIP Safety E A Ger t in einem GuardLogix System wird nur von einer GuardLogix Steuerung verwaltet Bei Bedarf k nnen auch mehrere GuardLogix Steuerungen und mehrere CIP Safety E A Ger te ohne Einschr nkung in Geh usen oder Netzwerken eingesetzt werden Wenn eine Steuerung ein E A Ger t verwaltet speichert sie die Konfigurationsdaten des Ger ts gem Anwenderdefinition Diese Konfiguration steuert wie sich die Ger te im System verhalten Aus Sicht der Steuerung k nnen Sicherheitsausgangsger te nur durch eine einzige Steuerung gesteuert werden Alle Sicherheitseingangsger te werden ebenfalls von einer einzigen Steuerung verwaltet die Sicherheitseingangsdaten k nnen jedoch von mehreren GuardLogix Steuerungen gemeinsam genutzt konsumiert werden Sicherheits E A Konfigurationssignatur Die Konfigurationssignatur definiert die Konfiguration des Ger ts Die Signatur kann gelesen und berwacht werden Die Konfigurationssignatur dient der eindeutigen Definition der Konfiguration eines Ger ts Bei Verwendung einer GuardLogix Steuerung m
53. S und 1756 L7xSXT unterst tzt F r den Datentyp REAL wird auf den Steuerungen 1756 L7xS und 1756 L7xSXT ein Flie kommaformat f r Sicherheitsroutinen unterst tzt Erweiterte Operanden wie SIN COS und TAN werden in Sicherheitsroutinen nicht unterst tzt Der L ngenoperand muss eine Konstante sein wenn der COP Befehl in einer Sicherheitsroutine verwendet wird Die L ngen von Quelle und Ziel m ssen identisch sein Besondere Hinweise zur Verwendung der GSV und SSV Befehle finden Sie in der Publikation 1756 UM022 GuardLogix 5570 Steuerungen Benutzerhandbuch Der Ereignisbefehl l st einen Scan der Standard Task aus WICHTIG Wenn Sie direkte Achssteuerungsbefehle mit einem Kinetix 5500 Servoantrieb verwenden finden Sie im Benutzerhandbuch Kinetix 5500 Servoantriebe Publikation 2198 UM001 Informationen zur Verwendung dieser Funktion in Sicherheitsanwendungen Weitere Informationen finden Sie in den folgenden Publikationen Tabelle 12 Weitere Informationsquellen Quelle Referenzhandbuch Befehlssatz f r GuardLogix Sicherheitsanwendungen Publikation 1756 RM095 Beschreibung Enth lt Informationen zu den Befehlen f r die Sicherheitsanwendung Referenzhandbuch Logix5000 Steuerungen Allgemeine Befehle Publikation 1756 RM003 Enth lt detaillierte Informationen zum Logix Befehlssatz Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Erstellen und Verwend
54. Sicherheitsreferenzhandbuch Allen Bradley Steuerungssysteme GuardLogix 5570 Bestellnummer 1756 1715 1756 1725 1756 1735 1756 173SXT 1756 L7SP 1756 17SPXT 1756 L72EROMS Studio 5000 Logix Designer Anwendungen bersetzung der Originalbetriebsanleitung Allen Bradley Rockwell Software Automation Wichtige Hinweise f r den Anwender Lesen Sie die in diesem Dokument und in den im Abschnitt Weitere Informationsquellen aufgef hrten Dokumenten enthaltenen Informationen bevor Sie dieses Produkt installieren konfigurieren bedienen oder warten Anwender m ssen sich neben den Bestimmungen aller anwendbaren Vorschriften Gesetze und Normen zus tzlich mit den Installations und Verdrahtungsanweisungen vertraut machen Arbeiten im Rahmen der Installation Anpassung Inbetriebnahme Verwendung Montage Demontage oder Instandhaltung d rfen nur durch ausreichend geschulte Mitarbeiter und in bereinstimmung mit den anwendbaren Ausf hrungsvorschriften vorgenommen werden Wenn dieses Produkt nicht gem den Anweisungen des Herstellers verwendet wird k nnen die Schutzfunktionen des Produkts m glicherweise beeintr chtigt sein Rockwell Automation ist in keinem Fall verantwortlich oder haftbar f r indirekte Sch den oder Folgesch den die durch den Einsatz oder die Anwendung dieses Ger ts entstehen Die in diesem Handbuch aufgef hrten Beispiele und Abbildungen dienen ausschlie lich der Veranschaulichung Aufgrun
55. aktivieren Hauptsteuerbefehl AFI Always False Instruction Immer unwahr Strompfad deaktivieren Immer unwahr NOP No Operation Kein Betrieb Kein Betrieb Platzhalter in Logik einf gen EVENT Trigger Event Task Eine Ausf hrung einer Ereignis Task ausl sen Ereignis Task ausl sen Rockwell Automation Publikation 1756 RMO99B DE P November 2014 71 Anhang A Sicherheitsbefehle Tabelle 11 Kontaktplanlogik Sicherheitsbefehle Typ Mnemonik Name Aufgabe Add Addition Add Addition Addition Zwei Werte addieren cp Compute Berechnen Die im Ausdruck definierte Rechenoperation durchf hren SUB Subtract Subtraktion Subtraktion Zwei Werte subtrahieren MUL Multiply Multiplikation Multiplikation Zwei Werte multiplizieren DIV Divide Division Division Zwei Werte teilen Berechnen MOD Modulo Restwert bestimmen nachdem ein Wert durch einen anderen Wert geteilt wurde SOR Square Root Quadratwurzel eines Werts berechnen Quadratwurzel NEG Negate Negation Negation Entgegengesetztes Zeichen eines Werts annehmen ABS Absolute Value Absolutwert Absoluten Wert eines Werts annehmen Absolutwert asv Get System Value Erhalt des Systemwerts Informationen zum Steuerungsstatus abrufen EJA Erhalt des Systemwerts ss Set System Value Setzen des Systemwerts Informationen zum Steuerungsstatus einrichten Setzen des Systemwerts 72 Nur auf den Steuerungen 1756 L7x
56. anlassen die Steuerung die in der Fehlerbehandlung des Sicherheitsprogramms des Projekts enthaltene Logik zu verarbeiten Die Fehlerbehandlung des Sicherheitsprogramms gibt der Anwendung die M glichkeit den Fehlerzustand zu beheben und danach den Betrieb wiederherzustellen dass die automatische Wiederherstellung des Betriebs nach korrigierbaren i ACHTUNG Sie m ssen Ihrer Zertifizierungsstelle den Nachweis erbringen St rungen SIL 3 beibeh lt Wenn keine Fehlerbehandlung des Sicherheitsprogramms existiert oder die St rung von ihr nicht korrigiert wird verarbeitet die Steuerung die Logik in der Fehlerbehandlung im Steuerungsbereich und beendet damit die Ausf hrung der Sicherheitsprogrammierlogik und l sst die Sicherheits E A Verbindungen aktiv aber leer laufend WICHTIG Wenn die Ausf hrung der Sicherheitsprogrammierlogik aufgrund eines korrigierbaren Fehlers beendet wird der nicht von der Fehlerbehandlung des Sicherheitsprogramms gehandhabt wird werden die Sicherheits E A Verbindungen geschlossen und erneut ge ffnet um die Sicherheits verbindungen neu zu initialisieren Falls Anwenderlogik infolge einer korrigierbaren St rung die nicht korrigiert wird beendet wird werden Sicherheitsausg nge in den sicheren Zustand gesetzt und der Producer der sicherheitsbezogen konsumierten Tags gibt dem Consumer den Befehl diese in einen sicheren Zustand zu setzen TIPP Bei Verwendung von Sicherheits E A f r Standardapplikationen wir
57. as gew nschte Sicherheits E A Ger t und w hlen Sie Properties Eigenschaften aus 2 Klicken Sie auf die Registerkarte Safety Sicherheit General Connection Safety Module Info Input Configuration Test Output Dutput Configuration Connection Requested Packet Connection Reaction Max Observed Type Safety Input Safety Output Interval RPI ms Time Limit ms Network Delay ms Advanced Rockwell Automation Publikation 1756 RM099B DE P November 2014 83 AnhangC Reaktionszeiten 3 Klicken Sie auf Advanced Erweitert um das Dialogfeld Advanced Connection Reaction Time Limit Erweiterte Reaktionszeitbeschr n kung der Verbindung zu ffnen Advanced Connection Reaction Time Lima m Input Requested Packet Interval RPI T ms 6 500 Timeout Multiplier 2 4 1 4 Network Delay Multiplier 200 10 600 Connection Reaction Time Limit 40 1 ms r Output Requested Packet Interval RPI 20 ms Safety Task Period Timeout Multiplier 2 H 1 4 Network Delay Multiplier 200 10 600 zd Connection Reaction Time Limit 60 0 ms Cancel Help Konfigurieren der Sicherheits Task Periode und des berwachungszeitraums Die Sicherheits Task ist eine periodische d h zeitgesteuerte Task Sie w hlen die Task Priorit t Priority und den berwachungszeitraum Watchdog ber das Dialogfeld Task
58. at Format Generate C Time based C Manual Manual Bastalanz Decimal Backplane 9999 Decimal Number Number 3409_03F9_676D Hex Copy 0001_0000_270F Hex Copy Faste aste Cancel Help Die Zuordnung einer zeitbasierten SNN erfolgt automatisch wenn Sie ein GuardLogix Sicherheitssteuerungsprojekt erstellen und neue CIP Safety E A Ger te hinzuf gen Eine manuelle Manipulation der SNNS ist in den folgenden Situationen erforderlich e Wenn konsumierte Sicherheits Tags verwendet werden e Wenn das Projekt Sicherheitseingangsdaten von einem Ger t konsumiert dessen Konfiguration von einem anderen Sicherheitsger t verwaltet wird e Wenn ein Sicherheitsprojekt in eine andere Hardwareinstallation innerhalb desselben Routing f higen CIP Safety Systems kopiert wird WICHTIG Wenn Sie SNNs manuell zuordnen vergewissern Sie sich dass die Systemerweiterung nicht zu einer Verdoppelung der Kombinationen aus SNN und Netzknotenadresse f hrt Ein Verifizierungsfehler tritt auf wenn Ihr Projekt eine Kombination aus doppelter SNN und Netzknotenadresse umfasst Die Zuordnung der SNN h ngt von Faktoren ab wie z B der Konfiguration der Steuerung oder des CIP Safety E A Ger ts SNN f r konsumierte Sicherheits Tags Wenn eine Sicherheitssteuerung mit produzierten Sicherheits Tags der E A Konfigurationsstruktur hinzugef gt wird muss die SNN der produzierenden Steuerung eingegeben werden Die SNN kann aus dem Projekt d
59. ationsquellen u sense ae ein Rockwell Automation Publikation 1756 RM099B DE P November 2014 Inhaltsverzeichnis Reaktionszeiten Checklisten f r GuardLogix Sicherheitsanwendungen Sicherheitsdaten der GuardLogix Systeme Software RSLogix 5000 ab Anhang C Systemreaktionszeit Zaun HH BB Logix Systemreaktionszeit teen Einfache Kette Eingang Logik Ausgang Logikkette mit produzierten konsumierten Sicherheits Tags Faktoren die die Komponenten der Logix Systemreaktionszeit Beeinlluseh ser reed Zugriff auf die Einstellungen f r die Verz gerungszeit des Guard YO Eingangsmoduls 22222ceeenceeneenenn Zugriff auf die Reaktionszeitbeschr nkungen der Eingangs und Ausgangssicherheitsverbindung ccs22000 Konfigurieren der Sicherheits Task Periode und des berwachungszeitraums li anarssnsenras Zugriff auf produzierte konsumierte Tag Daten Anhang D Checkliste f r GuardLogix Steuerungssystem 222cessscenenn Checkliste f r Sicherheitseing nge 22cesssceeneeenen Checkliste f r Sicherheitsausg nge ans aaa Checkliste f r die Entwicklung eines Programms f r Sicherheitsanwendungen 2 NE Anhang E PFD Werte era a E PEFI WCHEeND Sn re en ef Anhang F R hestromprinzip System 2 ee Version 14 Beschreibung der Befehle Verwenden von Verbindungsstatusdaten zur programmatischen f r Sicherheitsanwendungen Verwendung
60. aus dem nichtfl chtigen Speicher starten dann werden sobald der Ladevorgang abgeschlossen ist der Status der Sicherheitsverriegelung die Kennw rter und die Sicherheits Task Signatur auf die Werte gesetzt die im nichtfl chtigen Speicher vorhanden sind Alle in einem E A einem produzierten oder konsumierten Sicherheits Tag einschlie lich CONNECTION_STATUS enthaltenen Daten k nnen einem Force unterzogen werden w hrend das Projekt sicherheitsentriegelt ist und keine Sicherheits Task Signatur existiert Forces m ssen jedoch bei allen Sicherheits Tags deinstalliert nicht nur deaktiviert werden bevor das Sicherheitsprojckt sicherheitsverriegelt oder eine Sicherheits Task Signatur erzeugt werden kann Sie k nnen keine Sicherheits Tags forcen w hrend das Projekt sicherheitsverriegelt ist oder wenn eine Sicherheits Task Signatur vorhanden ist TIPP Sie k nnen Forces bei Standard Tags unabh ngig vom sicherheits verriegelten oder entriegelten Zustand installieren und deinstallieren 58 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Entwicklung von Sicherheitsanwendungen Kapitel 6 Sperren eines Ger ts Sie k nnen CIP Safety E A Ger te oder Producer Steuerungen nicht sperren oder entsperren wenn das Anwendungsprogramm sicherheitsverriegelt ist oder eine Sicherheits Task Signatur existiert Folgendes Vorgehen f hrt zum Sperren eines Sicherheits E A Ger ts 1 Klicken Sie in der Anwendung Logi
61. bedingungen verantwortlich Zudem k nnen die Standard Tasks in den GuardLogix Steuerungen entweder f r Standardanwendungen oder f r Sicherheitsanwendungen nach SIL 2 genutzt werden wie in Publikation 1756 RM001 Using ControlLogix in SIL 2 Applications Reference Manual beschrieben In beiden F llen d rfen Sie keine SIL 2 oder Standard Tasks und Variablen verwenden um Sicherheitsregelkreise einer h heren Ebene zu erstellen Die Sicherheits Task ist die einzige f r SIL 3 Anwendungen zertifizierte Task Verwenden Sie die Anwendung Studio 5000 Logix Designer um Programme f r GuardLogix 5570 Steuerungen zu erzeugen Rockwell Automation Publikation 1756 RMO99B DE P November 2014 13 Kapitel1 Informationen zu SIL Funktionspr fungen Der T V Rheinland hat GuardLogix Steuerungssysteme der Serie 5570 f r den Einsatz in sicherheitstechnischen Anwendungen bis zu SIL CL 3 zugelassen bei denen der nicht eingeschaltete Zustand als sicherer Zustand gilt Alle in diesem Handbuch enthaltenen E A spezifischen Beispiele sind darauf ausgerichtet f r typische Systeme zur Gew hrleistung der Maschinensicherheit und zur Notfallabschaltung den nicht eingeschalteten Zustand als sicheren Zustand zu erreichen WICHTIG Als Anwender des Systems sind Sie f r Folgendes verantwortlich e Konfiguration SIL Einstufung und Validierung aller an das GuardLogix System angeschlossenen Sensoren und Aktoren e _Projektverwaltung und Durchf hrun
62. cherheits verriegelung der Anwendung werden empfohlen WICHTIG Sie d rfen SIL 2 Daten nicht zur direkten Steuerung eines SIL 3 Ausgangs verwenden 104 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Add On Befehl Anstehende Bearbeitung Bearbeitungen assemblieren Bearbeitungen l schen Befehle f r die Sicherheitsanwendung Befehlssignatur G ltige Verbindung Konfigurationssignatur Korrigierbarer Fehler Nicht korrigierbarer Sicherheitsfehler Nicht korrigierbarer Steuerungsfehler online Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Glossar In diesem Handbuch werden die folgenden Begriffe und Abk rzungen verwendet Definitionen zu hier nicht aufgef hrten Begriffen finden Sie im Industrial Automation Glossary von Allen Bradley Publikation AG 7 1 Ein Befehl den Sie optional zum Logix Befehlssatz erstellen Einmal definiert kann ein Add On Befehl wie jeder andere Logix Befehl verwendet und in einer Vielzahl von Projekten genutzt werden Ein Add On Befehl besteht aus Parametern lokalen Tags Logikroutine und optionalen Scan Modus Routinen Eine nderung an einer Routine die in der Anwendung Logix Designer vorgenommen wurde aber der Steuerung noch nicht durch bernahme der nderung mitgeteilt wurde Der Anwender f hrt diese Aktion aus wenn er Online Bearbeitungs nderungen am Steuerprogramm vorgenommen hat und diese nderungen dauerhaft festlegen
63. d Sicherheits E A infolge des oben Beschriebenen der Befehl gegeben in den sicheren Zustand berzugehen Falls ein korrigierbarer Sicherheitsfehler in der Fehlerbehandlung im Steuerungsbereich berbr ckt wird werden nur Standard Tasks weiter ausgef hrt Wird der Fehler nicht berbr ckt werden auch die Standard Tasks abgeschaltet Sie den Sicherheitsfehler berbr cken obliegt es Ihnen zu beweisen dass dabei N ACHTUNG Der Sicherheitsfehler wird durch berbr cken nicht gel scht Wenn weiterhin SIL 3 beibehalten wird Rockwell Automation Publikation 1756 RMO99B DE P November 2014 67 Kapitel 7 Notizen 68 berwachung des Status und Handhabung von St rungen Rockwell Automation Publikation 1756 RM099B DE P November 2014 Anhang A Sicherheitsbefehle Die neuesten Informationen finden Sie in unseren Sicherheitszertifikaten unter http www rockwellautomation com products certification safety Tabelle 9 und Tabelle 10 enthalten die Befehle zu den Sicherheitsanwendungen die f r die Verwendung in SIL 3 Anwendungen zertifiziert sind Tabelle 9 Allgemeine Befehle f r Sicherheitsanwendungen Mnemonik Name Aufgabe Zertifizierung CROUT Configurable Redundant Output Steuert und berwacht redundante Ausg nge BG Konfigurierbarer redundanter T V Ausgang DCA Dual Channel Input Analog T V integer version Zweikanaleingang Analog ganzzahlige
64. d der unterschiedlichen Anforderungen der jeweiligen Anwendung kann Rockwell Automation keine Verantwortung oder Haftung f r den tats chlichen Einsatz der Produkte auf der Grundlage dieser Beispiele und Abbildungen bernehmen Rockwell Automation bernimmt keine patentrechtliche Haftung in Bezug auf die Verwendung von Informationen Schaltkreisen Ger ten oder Software die in dieser Publikation beschrieben werden Die Vervielf ltigung des Inhalts dieser Publikation ganz oder auszugsweise bedarf der schriftlichen Genehmigung von Rockwell Automation In dieser Publikation werden folgende Hinweise verwendet um Sie auf bestimmte Sicherheitsaspekte aufmerksam zu machen WARNUNG Dieser Hinweis macht sie auf Vorgehensweisen und Zust nde aufmerksam die in Gefahrenbereichen zu einer Explosion und damit zu Tod Sachsch den oder wirtschaftlichen Verlusten f hren k nnen ACHTUNG Dieser Hinweis macht Sie auf Vorgehensweisen oder Zust nde aufmerksam die zu Verletzungen oder Tod IN Sachsch den oder wirtschaftlichen Verlusten f hren k nnen Die Achtungshinweise helfen Ihnen eine Gefahr zu erkennen die Gefahr zu vermeiden und die Folgen abzusch tzen WICHTIG Dieser Hinweis enth lt Informationen die f r den erfolgreichen Einsatz und das Verstehen des Produkts besonders wichtig sind Etiketten die am oder im Produkt angebracht sind k nnen auf besondere Vorsichtsma nahmen hinweisen STROMSCHLAGGEFAHR An der Au ens
65. dd On Befehl mithilfe der in der Anwendung Logix Designer enthaltenen Schutzfunktion f r Quellen zu sch tzen dann m ssen Sie den Quellenschutz vor dem Erzeugen der Befehlssignatur aktivieren Sicherheitsbefehlssignatur herunterladen und erzeugen Wenn ein versiegelter Sicherheits Add On Befehl zum ersten Mal herunter geladen wird dann wird automatisch eine SIL 3 Sicherheitsbefehlssignatur erzeugt Bei der Sicherheitsbefehlssignatur handelt es sich um eine ID Nummer die die Ausf hrungsmerkmale des Sicherheits Add On Befehls identifiziert SIL 3 Qualifizierungstest zu Add On Befehlen SIL 3 Tests zu Sicherheits Add On Befehlen m ssen in einer separaten eigenen Anwendung durchgef hrt werden um sicherzustellen dass unerw nschte Einfl sse minimiert werden Sie m ssen einen gut ausgearbeiteten Testplan befolgen und einen Einheitentest des Sicherheits Add On Befehls durchf hren bei dem alle m glichen Ausf hrungspfade durch die Logik sowie die g ltigen und ung ltigen Bereiche aller Eingangsparameter ausgef hrt werden Die Entwicklung aller Sicherheits Add On Befehle hat gem IEC 61508 Requirements for software module testing zu erfolgen Diese Norm enth lt detaillierte Anforderungen die an den Einheitentest gestellt werden Projekt best tigen Sie m ssen das Projekt ausdrucken oder anzeigen und die hochgeladenen Sicherheits E A und Steuerungskonfigurationen Sicherheitsdaten Sicherheits Add On Befehle sow
66. deaktiviert ist Ausschaltverz gerung RTO Retentive Timer On Speichernder Timer EIN Zeit akkumulieren Zeitwerk Speichernder Timer EIN CTU Count Up Aufw rtsz hlung Aufw rtsz hlung CTD Count Down Abw rtsz hlung Abw rtsz hlung RES Reset R cksetzen R cksetzen Zeitwerk oder Z hler zur cksetzen cmp OO Compare Vergleichen Vergleich zu den Rechenoperationen durchf hren die Sie im Ausdruck angegeben haben EQU Equal To Gleich Gleich Testen ob zwei Werte gleich sind GEQ Greater Than Or Equal To Gr er als oder gleich Pr fen ob ein Wert gr er als ein anderer oder gleich einem anderen Wert ist Gr er als oder gleich GRT Greater Than Gr er als Gr er als Pr fen ob ein Wert gr er als ein anderer Wert ist LEQ Less Than Or Equal To Kleiner als oder gleich Pr fen ob ein Wert kleiner als ein anderer oder gleich einem anderen Wert ist Vergleichen Kleiner als oder gleich LES Less Than Kleiner als Kleiner als Pr fen ob ein Wert kleiner als ein anderer Wert ist MEQ Masked Comparison for Maskierter Vergleich auf gleich Ausgangs und Vergleichswerte durch eine Maske leiten und pr fen Equal Maskierter Vergleich ob sie gleich sind auf gleich NEQ Not Equal To Ungleich Ungleich Pr fen ob ein Wert nicht gleich einem anderen Wert ist LIM Limit Test Grenzwerttest Grenzwerttest Pr fen ob ein Wert innerhalb eines bestimmten Bereichs liegt CLR Clear L schen L schen Wert
67. den beiden Verdrahtungsbeispiele zeigen wie SIL 2 Sicherheits schaltungen mit Guard I O Sicherheitseingangsmodulen verdrahtet werden In diesen Beispielen kommen die integrierten Testquellen T0 Tx zum Einsatz die sich auf allen Sicherheitseingangsmodulen der Serien 1791 und 1732 befinden Abbildung 11 Eingangsverdrahtung Auf den Guard O Modulen sind die Eing nge paarweise zusammengefasst um Sicherheitsfunktionen nach Kategorie 3 Kategorie 4 und SIL 3 zu vereinfachen Bei der Verwendung in Sicherheitsfunktionen nach Kategorie 1 Kategorie 2 und SIL 2 sollten die Moduleing nge weiterhin wie abgebildet paarweise verwendet werden Die Abbildung zeigt zwei SIL 2 Sicherheitsfunktionen die mit den Eing ngen I0 und Il verdrahtet sind und die Testquellen TO bzw T1 verwenden Rockwell Automation Publikation 1756 RMO99B DE P November 2014 39 Kapitel5 Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Abbildung 12 Paarweise Eingangsverdrahtung F r Sicherheitsfunktionen nach Kategorie 1 Kategorie 2 und SIL 2 ben tigen die Guard I O Sicherheitsmodule eine spezifische Konfiguration im GuardLogix Projekt In diesem Beispiel sind die Eing nge 0 1 6 7 8 9 10 und 11 Teil einer Sicherheitsfunktion nach Kategorie 1 2 oder SIL 2 Die Eing nge 2 und 3 sowie die Eing nge 4 und 5 sind Teil einer Sicherheitsfunktion nach Kategorie 3 Kategorie 4 oder SIL 3 Abbildung 13 Eingangskonf
68. der USA oder Kanada Nutzen Sie den Worldwide Locator unter http www rockwellautomation com rockwellautomation support overview page oder wenden Sie sich an den f r Sie zust ndigen Mitarbeiter von Rockwell Automation R ckgabeverfahren bei neuen Produkten Rockwell Automation testet alle Produkte um sicherzustellen dass sie beim Verlassen des Werks voll funktionsf hig sind Sollte trotzdem eines Ihrer Produkte nicht ordnungsgem arbeiten und an Rockwell Automation zur ckgesendet werden m ssen dann gehen Sie dazu bitte wie im Folgenden beschrieben vor USA Wenden Sie sich an Ihren Distributor Sie m ssen Ihrem Distributor eine Kundendienst Bearbeitungsnummer angeben diese erhalten Sie ber die oben genannte Telefonnummer damit das R ckgabeverfahren abgewickelt werden kann Au erhalb der USA Bitte wenden Sie sich bei Fragen zum R ckgabevorgang an den f r Sie zust ndigen Mitarbeiter von Rockwell Automation Feedback zur Dokumentation Ihre Kommentare helfen uns dabei Ihre Dokumentationsanforderungen noch besser zu erf llen Falls Sie Verbesserungsvorschl ge zu diesem Dokument haben f llen Sie bitte das folgende Formular aus Publikation RA DU002 verf gbar unter http www rockwellautomation com literature Rockwell Automation verwaltet aktuelle Informationen zu Produktumgebungen auf seiner Website unter http www rockwellautomation com rockwellautomation about us sustainability ethics product
69. die Zeit des Sicherheits Task berwachungszeitraums hinausgeht tritt beim bergang von Steuerung und Ausgang in den sicheren Zustand automatisch ein nicht korrigierbarer Sicherheitsfehler auf Die Zeit des Sicherheits Task berwachungszeitraums ist benutzerdefiniert muss aber kleiner als oder gleich der Sicherheits Task Periode sein Die Zeit des Sicherheits Task berwachungszeitraums wird in der Anwendung Logix Designer im Fenster f r die Task Eigenschaften eingerichtet Dieser Wert kann unabh ngig vom Steuerungsmodus online ge ndert werden Eine nderung ist jedoch nicht m glich wenn die Steuerung sicherheitsverriegelt wurde oder wenn eine Sicherheits Task Signatur erstellt wurde Wenn Sie eine St rung an einem SIL 3 zertifizierten Ger t feststellen wenden Sie sich an Ihren Allen Bradley Distributor vor Ort damit folgende Ma nahmen eingeleitet werden k nnen e Sie k nnen das Ger t an Rockwell Automation zur cksenden damit die St rung f r die betroffene Bestellnummer entsprechend protokolliert und ein Datensatz f r die St rung erstellt wird e Sie k nnen eine St rungsanalyse anfordern falls erforderlich um zu versuchen die Ursache der St rung zu ermitteln Rockwell Automation Publikation 1756 RM099B DE P November 2014 GuardLogix Steuerung 5570 Hardware Kapitel 2 GuardLogix Steuerungssystem Thema Seite GuardLogix Steuerung 5570 Hardware 21 Sicherheitsprotokoll CIP Safety 2
70. die internen Tags kopiert Bestimmen Sie anhand der Abbildung Ablaufdiagramm zum Verriegeln und Zur cksetzen eines Ausgangs welche Strompfade der Kontaktplanlogik in Kontaktplanlogik Beispiel 3 auf Seite 99 erforderlich sind Abbildung 22 Ablaufdiagramm zum Verriegeln und Zur cksetzen eines Eingangs Erfordert diese Sicherheitsfunktion das Eingreifen eines Bedieners nach einem Sicherheitseingangsfehler Werden die Eing nge zum Aktivieren der Befehle der Sicherheitsapplikation verwendet Vergewissern Sie sich dass Kann der Befehl Circuit Reset Sie als Befehl f r die Schaltkreis zur cksetzen als Bedienereingriff Sicherheitsanwendung verwendet werden Manual Reset Manuelles Zur cksetzen ausw hlen Schreiben Sie Logik zum Verriegeln eines fehlerhaften Eingangs Beispielstrompfad 0 Sind Eingangsfehlerdaten f r Diagnosezwecke erforderlich Schreiben Sie Logik zum Setzen der Eing nge in den sicheren Zustand Beispielstrompfad 2 und 3 Schreiben Sie Logik zum Verriegeln eines fehlerhaften Eingangs Beispielstrompfad 0 Schreiben Sie Logik zum Entriegeln eines fehlerhaften Eingangs Beispielstrompfad 1 Nein Werden Eing nge in einem Befehl mit diversit ren Eing ngen verwendet DIN oder THRS Schreiben Sie Logik zum Setzen des Werts f r den sicheren Zustand wenn an einem Eingang ein Fehler auftritt Beispielst
71. dung geplant programmiert und gestartet werden kann Sie k nnen sowohl als Leitlinien f r die Planung als auch w hrend der Projektverifizierungstests verwendet werden Bei der Verwendung als Leitlinien k nnen die Checklisten als Datens tze f r den Plan gespeichert werden Die Checklisten auf den folgenden Seiten sind als Beispiel f r Sicherheits betrachtungen zu verstehen und stellen keine vollst ndige Liste der zu verifizierenden Elemente dar F r Ihre spezifische Sicherheitsanwendung bestehen m glicherweise zus tzliche Sicherheitsanforderungen f r die in den Checklisten gen gend Platz gelassen wurde TIPP Kopieren Sie die Checklisten und bewahren Sie diese Seiten f r die zuk nftige Verwendung sorgf ltig auf Rockwell Automation Publikation 1756 RMO99B DE P November 2014 87 AnhangD Checklisten f r GuardLogix Sicherheitsanwendungen Checkliste f r GuardLogix Steuerungssystem Checkliste f r GuardLogix System Unternehmen Standort Definition der Sicherheitsfunktion Nummer Systemanforderungen Erf llt Ja Kommentar 1 Verwenden Sie nur die unter SIL 3 zertifizierte GuardLogix Komponenten auf Seite 16 und auf der Website http www rockwellautomation com products certification safety aufgef hrten Komponenten mit der entsprechenden Firmware Version
72. e lich 20 Jahren Bestellnummer Beschreibung PFH 1 Stunde 1756 17x5 und 1756 L7SP GuardLogix Steuerung 1 2E 09 1791DS 1B12 CIP Safety basiertes 12 Punkt Eingangsmodul 5778 110 1791DS IB16 CIP Safety basiertes 16 Punkt Eingangsmodul 4 96E 10 1791DS IBAXOW4 CIP Safety basiertes 4 Punkt Eingangs 4 Punkt Relaisausgangsmodul 9 03E 09 1791DS IB8X0BV4 CIP Safety basiertes 8 Punkt Eingangs bipolares 4 Punkt Ausgangsmodul 5 02E 10 1732DS IB8X0BV4 1732DS IB8 CIP Safety basiertes 8 Punkt Eingangsmodul 4 96E 10 1791ES I1B16 CIP Safety basiertes 16 Punkt Eingangsmodul 4 98E 10 1791ES IB8XOBV4 CIP Safety basiertes 8 Punkt Eingangs bipolares 4 Punkt Ausgangsmodul 5 04E 10 1734 1885 Serie A CIP Safety basiertes 8 Punkt Eingangsmodul 5 10E 10 1734 1885 Serie B CIP Safety basiertes 8 Punkt Eingangsmodul 5 27E 10 1734 0B8S Serie A CIP Safety basiertes 8 Punkt Ausgangsmodul 5 14E 10 1734 0B8S Serie B CIP Safety basiertes 8 Punkt Ausgangsmodul 5 20E 10 1734 IE45 CIP Safety basiertes 4 Punkt Analog Eingangsmodul einkanaliger Betrieb 5 6E 11 CIP Safety basiertes 4 Punkt Analog Eingangsmodul zweikanaliger Betrieb 3 9E 11 1 Die f r dieses Produkt angegebenen PFH Daten gelten nur f r Produkte mit dem auf das Herstellungsdatum bezogenen Datumscode 2009 01 01 1 Januar 2009 oder sp ter Sie auf dem Typenschild 94 Rockwell Automation Publikation 1756 RM099B DE P November 2014 inden den Datumscode Ru
73. e aus e GuardLogix Steuerungen sind die einzigen Steuerungen die die Sicherheits Task unterst tzen e Die Sicherheits Task kann nicht gel scht werden e GuardLogix Steuerungen unterst tzen eine einzelne Sicherheits Task e Innerhalb der Sicherheits Task k nnen Sie mehrere aus diversen Sicherheitsroutinen bestehende Sicherheitsprogramme verwenden e Siek nnen Standardroutinen nicht aus der Sicherheits Task heraus planen oder ausf hren Die Sicherheits Task ist eine periodische zeitgesteuerte Task mit einer Task Priorit t und einem berwachungszeitraum die vom Anwender ausgew hlt werden k nnen Ihr sollte in der Regel die h chste Priorit t der Steuerung zugewiesen werden und der benutzerdefinierte Programm berwachungszeit raum muss so eingestellt sein dass Schwankungen in der Ausf hrung der Sicherheits Task ber cksichtigt werden Rockwell Automation Publikation 1756 RMO99B DE P November 2014 41 Kapitel5 Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Einschr nkungen der Sicherheits Task Sie legen sowohl die Sicherheits Task Periode als auch den Sicherheits Task berwachungszeitraum fest Bei der Sicherheits Task Periode handelt es sich um die Periode mit der die Sicherheits Task ausgef hrt wird Der Sicherheits Task berwachungszeitraum umfasst die maximale Zeit die vom Start der f r die Sicherheits Task geplanten Ausf hrung bis zu ihrem Abschluss erlaubt ist Weitere
74. edienerschnittstelle und ihres Zugriffs auf andere Programmteile ein Erstellen Sie in der Anwendungssoftware der Steuerung eine Tabelle die f r die Bedienerschnittstelle zug nglich ist und beschr nken Sie den Zugriff auf die erforderlichen Datenpunkte e Nachdem das System validiert und getestet wurde muss die HMI Software hnlich wie das Steuerprogramm zur Einhaltung der SIL Einstufung gesichert und gepflegt werden Ein Sicherheitsprogramm verf gt ber alle Eigenschaften eines Standard programms l sst sich aber nur in der Sicherheits Task planen Ein Sicherheits programm kann auch Sicherheits Tags im Programmbereich definieren Ein Sicherheitsprogramm kann zyklisch oder azyklisch ausgef hrt werden Ein Sicherheitsprogramm kann nur Sicherheitskomponenten enthalten Alle Routinen in einem Sicherheitsprogramm sind Sicherheitsroutinen Ein Sicherheitsprogramm kann keine Standardroutinen oder Standard Tags enthalten Rockwell Automation Publikation 1756 RMO99B DE P November 2014 45 Kapitel5 Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Sicherheitsroutinen Sicherheits Tags 46 Eine Sicherheitsroutine verf gt ber alle Eigenschaften einer Standardroutine kann jedoch nur in einem Sicherheitsprogramm existieren Eine Sicherheits routine kann als Hauptroutine festgelegt werden Eine andere Sicherheitsroutine kann als Fehlerroutine festgelegt werden Nur Sicherheitsbefehle k nnen
75. eichen Sicherheits Task Signatur erzeugen Die Sicherheits Task Signatur identifiziert jedes Projekt eindeutig einschlie lich seiner Logik Daten und Konfiguration Die Sicherheits Task Signatur besteht aus einer ID Identifikationsnummer Datum und Zeit Sie k nnen die Sicherheits Task Signatur erzeugen wenn alle folgenden Bedingungen zutreffen e die Anwendung Logix Designer ist mit der Steuerung online e die Steuerung befindet sich im Programmmodus e die Steuerung ist sicherheitsentriegelt e die Steuerung unterliegt keinen Sicherheits Forcen oder anstehenden Online Sicherheitsbearbeitungen und e der Status der Sicherheits Task ist OK Rockwell Automation Publikation 1756 RMO99B DE P November 2014 53 Kapitel 6 54 Entwicklung von Sicherheitsanwendungen Sobald die Pr fung des Anwendungsprogramms abgeschlossen ist muss die Sicherheits Task Signatur erzeugt werden Nach Erzeugung der Signatur wird diese von der Programmiersoftware automatisch hochgeladen WICHTIG Zur berpr fung der Integrit t jedes Download Vorgangs m ssen Sie die Sicherheits Task Signatur nach der ersten Erstellung manuell erfassen und die Sicherheits Task Signatur nach jedem Herunterladen pr fen um sicherzustellen dass sie dem Original entspricht Sie k nnen die Sicherheits Task Signatur nur dann l schen wenn die GuardLogix Steuerung nicht sicherheitsverriegelt ist und wenn sie online ist der Schl sselschalter in der Position RE
76. eite oder im Inneren des Ger ts beispielsweise eines Antriebs oder Motors kann ein Etikett dieser Art angebracht sein um sie darauf hinzuweisen dass m glicherweise eine gef hrliche Spannung anliegt VERBRENNUNGSGEFAHR An der Au enseite oder im Inneren des Ger ts beispielsweise eines Antriebs oder Motors kann ein Etikett dieser Art angebracht sein um sie darauf hinzuweisen dass die Oberfl chen m glicherweise gef hrliche Temperaturen aufweisen GEFAHR DER LICHTBOGENBILDUNG An der Au enseite oder im Inneren des Produkts z B eines Motor Control Centers MCC angebrachte Etiketten k nnen Anwender auf die Gefahr einer m glichen Lichtbogenbildung hinweisen Lichtb gen k nnen zu schweren Verletzungen oder zum Tod f hren Tragen Sie eine geeignete pers nliche Schutzausr stung PPE Befolgen Sie ALLE gesetzlichen Vorschriften hinsichtlich sicherer Arbeitsmethoden und pers nlicher Schutzausr stung PPE gt eD Allen Bradley Armor ArmorBlock ArmorGuard CompactBlock CompactLogix Control FLASH ControlLogix ControlLogix XT FLEX Guard I O GuardLogix GuardLogix XT Kinetix Logix5000 POINT Guard I O Rockwell Automation Rockwell Software RSLogix SLC SmartGuard Studio 5000 und Studio 5000 Automation Engineering amp Design Environment sind Marken von Rockwell Automation Inc ControlNet DeviceNet und EtherNet IP sind Marken der ODVA Marken die nicht Rockwell Automation geh ren sind das Eigentum der jewei
77. eitsbefehle mit SIL 3 Klassifizierung zur Verf gung All diese Logikbefehle k nnen in Sicherheitsfunktionen der Kategorie 1 bis 4 und SIL 1 bis 3 verwendet werden Soll nur die Sicherheitsstufe SIL 2 erreicht werden ist keine Sicherheits Task Signatur erforderlich Sobald jedoch SIL 3 Sicherheitsfunktionen in der Sicherheits Task verwendet werden ist eine Sicherheits Task Signatur erforderlich F r SIL 2 Anwendungen empfiehlt es sich die Sicherheits Task nach Abschluss der Tests mit einer Sicherheitsverriegelung zu sch tzen Durch das Verriegeln der Sicherheits Task werden weitere Sicherheitsfunktionen aktiviert Au erdem k nnen Sie den von FactoryIalk Security und Logix Designer gebotenen Quellenschutz f r Routinen verwenden um den Zugriff auf die sicherheits technische Logik zu beschr nken Informationen zur Erzeugung einer Sicherheits Task Signatur und zur Verriegelung der Sicherheits Task finden Sie in der Publikation 1756 UM022 GuardLogix 5570 Steuerungen Benutzerhandbuch SIL 2 Sicherheitseing nge Die Sicherheitseingangsmodule CompactBlock Guard I O Serie 1791 ArmorBlock Guard I O Serie 1732 und POINT Guard I O Serie 1734 unterst tzen einkanalige SIL 2 Sicherheitseingangsschaltungen Da diese Module auch auf den SIL 3 Betrieb ausgelegt sind ist eine Kombination aus SIL 2 und SIL 3 Schaltungen auf demselben Modul zul ssig vorausgesetzt Sie halten die folgenden Leitlinien ein Die nachfolgen
78. eitskategorie ausgelegt sein 40 Rockwell Automation Publikation 1756 RM099B DE P November 2014 SIL 3 Sicherheit die Sicherheits Task Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Kapitel 5 WICHTIG Wenn Sie Befehle von GuardLogix Sicherheitsanwendungen verwenden m ssen Sie sicherstellen dass Sie Ihre Sicherheitseingangsmodule als single und nicht als Equivalent oder Complementary konfigurieren Diese Befehle stellen die gesamte Zweikanal Funktionalit t zur Verf gung die f r PLd Cat 3 oder PLe Cat 4 Sicherheitsfunktionen erforderlich sind Lesen Sie dazu das Referenzhandbuch Befehlssatz f r GuardLogix Sicherheitsanwendungen Publikation 1756 RM095 SIL 2 Sicherheitssteuerung in Standard Tasks Aufgrund der Qualit t und des Umfangs der Diagnose die in die ControlLogix Steuerungen integriert ist k nnen Sie SIL 2 Sicherheitsfunktionen aus Standard Tasks heraus ausf hren Dies gilt auch f r Steuerungen der Serie GuardLogix Um eine SIL 2 Sicherheitssteuerung mit einer GuardLogix Standard Task zu realisieren m ssen Sie die Anforderungen erf llen die im Referenzhandbuch Using ControlLogix in SIL 2 Applications Reference Manual Publikation 1756 RM001 definiert sind Bei Erstellung eines GuardLogix Projekts wird automatisch eine einzelne Sicherheits Task erstellt Die Sicherheits Task zeichnet sich durch die folgenden zus tzlichen Merkmal
79. eitsmodulen Installations und Benutzerhandbuch POINT Guard I O Sicherheitsmodule Publikation 1734 UM013 Informationen zum Installieren und Verwenden von POINT Guard 1 0 Modulen Kinetix 5500 Servoantriebe Benutzerhandbuch Publikation 2198 UM001 10 Informationen zum Installieren und Verwenden von Kinetix 5500 Servoantrieben Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Quelle Referenzhandbuch Using ControlLogix in SIL 2 Applications Safety Reference Manual Publikation 1756 RM001 Vorwort Beschreibung Erl utert die Anforderungen f r den Einsatz von ControlLogix Steuerungen und einer GuardLogix Standard Task in SIL 2 Sicherheitssteuerungsanwendungen Referenzhandbuch Logix5000 Steuerungen Allgemeine Befehle Publikation 1756 RM003 Informationen zum Logix5000 Befehlssatz Programmierhandbuch Logix Common Procedures Programming Manual Publikation 1756 PM001 Informationen zum Programmieren von Logix5000 Steuerungen wie z B dem Verwalten von Projektdateien Organisieren von Tags zu Programmier und Testroutinen und zur Fehlerhandhabung Logix5000 Controllers Add On Instructions Programming Manual Publikation 1756 PMO10 Benutzerhandbuch ControlLogix System Publikation 1756 UM001 Informationen zum Erstellen und Verwenden von Standard und Sicherheits Add On Befehlen in Logix Anwendungen Informationen zur Verwendung von ControlLogi
80. en e Guard O Ausgangsmodule die f r SIL 2 Sicherheitsausg nge verwendet werden m ssen f r den Zweikanalbetrieb konfiguriert werden e Alle Guard YO Ausgangsmodule sind f r die Verwendung in SIL 2 Anwendungen zugelassen 1732DS IB8XOBV4 1791ES IBBXOBV4 1791DS IB8XOBV4 1791ES IBBXOBV4 1791DS IBIXOW4 1791DS IB8XOB8 1734 OB8S Wenn Sie diese f r SIL 2 ausgelegten Module verwenden m ssen Sie Ihre SIL 2 Sicherheitsausg nge als von GuardLogix produzierte Sicherheits Tags konfigurieren um die Anforderungen der EN 50156 an Zweikanalkonfigura tionen zu erf llen Erzeugen Sie produzierte Sicherheits Tags mit den SIL 2 Ausg ngen die Ihre Anwendung erfordert Die produzierten konsumierten GuardLogix Sicherheits Tags erfordern dass das erste Glied der Diagnose zugewiesen wird Beim ersten Glied einer produzierten konsumierten Sicherheitsverbindung muss es sich um einen Datentyp mit der Bezeichnung CONNECTION_STATUS handeln Dieses Beispiel zeigt ein SIL 2 Tag mit zwei ganzzahligen INT und zwei booleschen BOOL Gliedern Verwenden Sie diese SIL 2 Sicherheits Tags um die SIL 2 Ausg nge des 1756 oder 1794 Moduls direkt zu steuern 3 Alias For Base Tag Data Type Description Extemal Access Constant Style EI SIL2_Dutputs 4 SIL_2_Produced Safety Read wite m B SIL2_Dutputs Connection_Status CONNECTIO N_STA Safety Read Write H SIL2_Outputs SIL2_TempA INT Safety
81. en inklusive Berechtigung Einflussanalyse Ausf hrung Testinformationen Versionsinformationen Falls Online Bearbeitungen nur in den Standardroutinen vorgenommen wurden m ssen diese nderungen nicht validiert werden bevor zum normalen Betrieb zur ckgekehrt werden kann Rockwell Automation Publikation 1756 RMO99B DE P November 2014 59 Kapitel 6 60 Entwicklung von Sicherheitsanwendungen e Sie m ssen sicherstellen dass nderungen an der Standardroutine im Hinblick auf Zeitsteuerung und Tag Zuordnung f r Ihre Sicherheits anwendung akzeptabel sind e Sie k nnen den Logikteil Ihres Programms wie in den folgenden Abschnitten beschrieben bearbeiten w hrend Sie offline oder online sind Durchf hren von Offline Bearbeitungen Wenn Offline Bearbeitungen nur an Elementen des Standardprogramms vorgenommen werden und die Sicherheits Task Signatur nach einem Herunterladen bereinstimmt k nnen Sie den Betrieb wieder aufnehmen Wenn sich die Offline Bearbeitung auf das Sicherheitsprogramm auswirkt m ssen Sie alle betroffenen Elemente der Anwendung wie von der Einflussanalyse festgelegt erneut validieren bevor Sie den Betrieb wieder aufnehmen k nnen Das Flussdiagramm auf Seite 61 zeigt das Verfahren zur Offline Bearbeitung Durchf hren von Online Bearbeitungen Wenn sich die Online Bearbeitung auf das Sicherheitsprogramm auswirkt m ssen Sie alle betroffenen Elemente der Anwendung wie von der
82. en eines Sicherheits Add On Befehls Anhang B Sicherheits Add On Befehle Thema Seite Erstellen und Verwenden eines Sicherheits Add On Befehls 73 Weitere Informationsquellen 78 Mit der Anwendung Logix Designer k nnen Sie Sicherheits Add On Befehle erzeugen Sicherheits Add On Befehle erm glichen es Ihnen h ufig verwendete Sicherheitslogik zu einem einzigen Befehl zusammenzufassen wodurch sie modular und dadurch einfacher zu verwenden ist Sicherheits Add On Befehle verwenden die Befehlssignatur von Add On Befehlen hoher Integrit t sowie eine SIL 3 Sicherheitsbefehlssignatur zur Verwendung in sicherheitstechnischen Funktionen bis einschlie lich SIL 3 In dem Flussdiagramm auf Seite 74 sind die Schritte aufgef hrt die erforderlich sind um einen Sicherheits Add On Befehl zu erstellen und anschlie end in einem SIL 3 Sicherheitsanwendungsprogramm zu verwenden Bei den schattierten Elementen handelt es sich um Schritte die ausschlie lich f r Add On Befehle gelten Die Elemente in Fettdruck werden auf den Seiten erl utert die sich an das Flussdiagramm anschlie en Rockwell Automation Publikation 1756 RMO99B DE P November 2014 73 AnhangB _ Sicherheits Add On Befehle Abbildung 18 Flussdiagramm zur Erstellung und Verwendung von Sicherheits Add On Befehlen Zum Verwenden eines Sicherheits Add On Befehls y Projekt erstellen oder ffnen 4 Y Anwendung erstellen nder
83. enten XIC Examine If Closed Auf geschlossen pr fen Ausg nge aktivieren wenn ein Bit eingerichtet wurde Auf geschlossen pr fen XIO Examine If Open Auf offen pr fen Ausg nge aktivieren wenn ein Bit gel scht wurde Auf offen pr fen OTE Output Energize Ausgang einschalten Bit einrichten Ausgang einschalten OTL Output Latch Ausgang verriegeln Bit einrichten remanent Bit Ausgang verriegeln 70 OTU Output Unlatch Ausgang entriegeln Bit l schen remanent Ausgang entriegeln ONS One Shot Einzelimpuls Einzelimpuls einmal durchzuf hrendes Ereignis ausl sen OSR One Shot Rising Steigender Einzelimpuls an der steigenden False nach True Flanke der Zustands nderung einmal Steigender Einzelimpuls durchzuf hrendes Ereignis OSF One Shot Falling Fallender Einzelimpuls an der fallenden True nach False Flanke der Zustands nderung einmal Fallender Einzelimpuls durchzuf hrendes Ereignis Rockwell Automation Publikation 1756 RM099B DE P November 2014 Tabelle 11 Kontaktplanlogik Sicherheitsbefehle Sicherheitsbefehle Anhang A Typ Mnemonik Name Aufgabe TON Timer On Delay Timer Timer Einschaltverz gerung Einrichten wie lange ein Zeitwerk aktiviert ist Einschaltverz gerung TOF Timer Off Delay Timer Timer Ausschaltverz gerung Einrichten wie lange ein Zeitwerk
84. environmental compliance page www rockwellautomation com Hauptverwaltung f r Antriebs Steuerungs und Informationsl sungen Amerika Rockwell Automation 1201 South Second Street Milwaukee WI 53204 USA Tel 1 414 382 2000 Fax 1 414 382 4444 Europa Naher Osten Afrika Rockwell Automation NV Pegasus Park De Kleetlaan 12a 1831 Diegem Belgien Tel 32 2 663 0600 Fax 32 2 663 0640 Asien Australien Pazifikraum Rockwell Automation Level 14 Core F Cyberport 3 100 Cyberport Road Hong Kong China Tel 852 2887 4788 Fax 852 2508 1846 Deutschland Rockwell Automation GmbH Parsevalstra e 11 40468 D sseldorf Tel 49 0 211 41553 0 Fax 49 0 211 41553 121 Schweiz Rockwell Automation AG Industriestrasse 20 CH 5001 Aarau Tel 41 62 889 77 77 Fax 41 62 889 77 11 Customer Service Tel 0848 000 277 sterreich Rockwell Automation Kotzinastra e 9 A 4030 Linz Tel 43 0 732 38 909 0 Fax 43 0 732 38 909 61 Publikation 1756 RMO99B DE P November 2014 Copyright 2014 Rockwell Automation Inc Alle Rechte vorbehalten Printed in USA
85. er GuardLogix Steuerung eingehenden Eingangs nderung dar bis der verarbeitete Ausgang f r die produzierende Verbindung zur Verf gung steht 106 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Sicherheits Task Signatur Sicherheits Task berwachungszeitraum Sicherheitsbefehlssignatur Sicherheitskomponente Sicherheitsnetzwerknummer SNN Safety Network Number Sicherheitspartner Sicherheitsprogramm Sicherheitsprotokoll CIP Safety Sicherheitsroutine Standardkomponente Standardsteuerung Symbolische Adressierung Glossar Ein Wert der von der Firmware berechnet wird und die Logik sowie Konfiguration des Sicherheitssystems eindeutig repr sentiert Die Signatur dient dazu die Integrit t des Sicherheitsanwendungsprogramms beim Herunterladen auf die Steuerung zu verifizieren Die maximal zul ssige Zeit ab dem Start der Sicherheits Task Ausf hrung bis zu ihrem Abschluss Wird der Sicherheits Task berwachungszeitraum berschritten l st dies einen nicht korrigierbaren Sicherheitsfchler aus Bei der Sicherheitsbefehlssignatur handelt es sich um eine ID Nummer die die Ausf hrungsmerkmale des Sicherheits Add On Befehls identifiziert Die Signatur dient dazu die Integrit t des Sicherheits Add On Befehls beim Herunterladen auf die Steuerung zu verifizieren Alle Objekte Tasks Programme Routinen Tags Module usw die als sicherheitsgerichtete Elemente gekennzeichnet sind Identi
86. er produzierenden Steuerung kopiert und in die neue Steuerung eingef gt werden die der E A Konfigurationsstruktur hinzugef gt wird Rockwell Automation Publikation 1756 RM099B DE P November 2014 35 Kapitel 4 36 Informationen zu CIP Safety und zur Sicherheitsnetzwerknummer Informationen zum Kopieren und Einf gen einer SNN finden Sie in der Publikation 1756 UM022 GuardLogix 5570 Steuerungen Benutzerhandbuch Sicherheitsnetzwerknummer SNN f r Ger te im Anlieferungszustand CIP Safety E A Ger te weisen im Anlieferungszustand keine SNN auf Die SNN wird festgelegt wenn eine Konfiguration von der GuardLogix Steuerung die Verwaltungsrechte f r das Ger t besitzt an das Ger t gesendet wird WICHTIG Damit ein CIP Safety E A Ger t zu einem konfigurierten GuardLogix System hinzugef gt werden kann die SNN ist in der GuardLogix Steuerung vorhanden muss das CIP Safety E A Austauschger t die richtige SNN anwenden bevor es dem CIP Safety Netzwerk hinzugef gt wird SNN f r Sicherheitsger te mit verschiedenen Konfigurationsverwaltern Wenn ein CIP Safety E A Ger t von einer anderen GuardLogix Steuerung Steuerung B verwaltet und dann zu einem anderen GuardLogix Projekt Projekt Steuerung A hinzugef gt wird ordnet die Anwendung Logix Designer automatisch eine SNN basierend auf dem aktuellen Projekt zu Da das aktuelle Projekt Projekt Steuerung A nicht der tats chliche Konfigurationsverwalter ist muss die u
87. erden Situation in der der Anwender das Programm in der Steuerung berwacht ndert 105 Glossar Partnerschaft Periodische Task Prim rsteuerung Requested Packet Interval RPI Routine Sicherheits Add On Befehl Sicherheits E A Sicherheits Tags Sicherheits Task Sicherheits Task Periode Sicherheits Task Reaktionszeit Die Prim rsteuerung und der Sicherheitspartner m ssen beide vorhanden sein und Hard sowie Firmware m ssen kompatibel sein damit die Partnerschaft eingerichtet werden kann Eine Task Aufgabe die vom Betriebssystem in einer sich wiederholenden Zeitperiode ausgel st wird Nach einer definierten Zeit wird die Aufgabe ausgel st und deren Programme werden ausgef hrt Daten und Ausg nge die von den Programmen in der Aufgabe gebildet wurden behalten ihre Werte bis zur n chsten Ausf hrung der Aufgabe bei oder bis sie von einer anderen Aufgabe manipuliert werden Periodische Tasks unterbrechen immer die kontinuierliche Task Der Prozessor einer Steuerung mit zwei Prozessoren der die Funktionen der Standardsteuerung ausf hrt und mit dem Sicherheitspartner hinsichtlich der Ausf hrung sicherheitsgerichteter Funktionen kommuniziert Bei der Kommunikation ber ein Netzwerk umfasst dieser Wert die maximale Zeit zwischen aufeinander folgender Produktion von Eingangsdaten Ein Befehlssatz logischer Kommandos in einer einzigen Programmiersprache wie einem Kontaktplan Routinen stellen ausf
88. erden die in diesem Handbuch verwendeten Begriffe definiert Tabelle 1 Begriffe und Definitionen Abk rzung Vollst ndiger Begriff Definition 1002 One Out of Two Identifiziert die Architektur der programmierbaren Elektroniksteuerung Eins aus zwei Auswertung CIP Common Industrial Protocol Ein industrielles Kommunikationsprotokoll das von Automatisierungssystemen die auf Logix5000 basieren in Ethernet IP ControlNet und DeviceNet Kommunikationsnetzwerken verwendet wird CIP Safety Common Industrial Protocol modernes F r SIL 3 ausgelegte Version des CIP Industrieprotokoll sicherheitszertifiziert DC Diagnose Deckungsgrad Das Verh ltnis der Rate der erkannten Ausf lle zur gesamten Ausfallrate EN Europ ische Norm Die offizielle europ ische Industrienorm GSV Get System Value Erhalt des Systemwerts Ein Befehl der Kontaktplanlogik der spezifizierte Steuerungsstatusinformationen abruft und sie in einem Ziel Tag ablegt PC Personal Computer Computer der als Systemschnittstelle und zur Steuerung eines Systems auf Logix Basis ber die Studio 5000 Umgebung dient PFD Probability of Failure on Demand Die mittlere Wahrscheinlichkeit dass ein System seine Designfunktion auf Anforderung nicht ausf hrt Wahrscheinlichkeit eines Ausfalls bei Anforderung PFH Probability of Failure per Hour Die Wahrscheinlichkeit eines gef hrlichen Ausfalls in einem System pro Stunde Wahrscheinlichkeit eines Ausfalls pro Stunde PL Performance Le
89. erenden Sicherheitssystems gelesen und verstanden haben Informationen zu den sicherheitstechnischen Anforderungen die mit GuardLogix 5570 Steuerungen in RSLogix 5000 Projekten zusammenh ngen finden Sie im Referenzhandbuch Steuerungssysteme GuardLogix Publikation 1756 RM093 Studio 5000 Automation Engineering and Design Environment vereint Engineering und Entwicklungselemente in einer gemeinsamen Umgebung Das erste Element in der Studio 5000 Umgebung ist die Anwendung Logix Designer Logix Designer ist der neue Name der Software RSLogix 5000 und wird auch weiterhin das Produkt zur Programmierung von Logix5000 Steuerungen f r diskrete Prozess Batch Achssteuerungs Sicherheits und antriebsbasierte L sungen sein a Rockwell Software Studio 5000 Create Open Explore New Project Existing Project Help From Import Sample Project Release Notes From Sample Project From Upload About Recent Projects B Sept_Test E Integrated_Motion_Co B August_2012 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 9 Vorwort Die Studio 5000 Umgebung bildet die Grundlage f r die zuk nftigen technischen Konstruktionstools und funktionalit ten von Rockwell Automation Sie ist die einzige Plattform auf der Entwickler alle Elemente ihres Steuerungssystems entwickeln Verwendete Beg riffe In der folgenden Tabelle w
90. etaillierte Informationen zum Importieren und Exportieren von Projektkomponenten 78 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Anhang C Reaktionszeiten Systemreaktionszeit Logix Systemreaktionszeit 79 Systemrea ktionszeit Um die Systemreaktionszeit einer Steuerungskette zu bestimmen m ssen die Reaktionszeiten aller Komponenten der Sicherheitskette addiert werden Systemreaktionszeit Sensorreaktionszeit Logix Systemreaktionszeit Aktorreaktionszeit Abbildung 19 Systemreaktionszeit Systemreaktionszeit Sensor W ee FE men Eingangs 1 Sicherheits Task l Ausgangs 1 N reaktionszeit L pi Reaktionszeit a reaktionszeit reaktionszeit od u Logix Systemreaktionszeit TE a1 aa A e e onczeit TARTE I Verz gerung de des Be an i 1 Sicherheits Tt Periode l i an Verz gerung des gt Eingangsger ts _ Pescaran tung gt Sicherheits Task escarankung gt Ausgangsger ts I 1 Eingangsverbindung Ausgangsverbindung l l Loa SEL LL 1 berwachungszeitraum_ ee i na Logix Systemrea ktionszeit In den folgenden Abschnitten finden Sie Informationen zur Berechnung der Logix Systemreaktionszeit f r eine einfache Eingang Logik Ausgang Kette sowie f r eine komplexere Anwendung bei der in der Logikkette produzierte konsumierte Sicherheits Tags verwendet werden Rockwell Automation Publikation 1756 RMO99B DE P November 2014 79 Anhan
91. etrieb Ruhestromprinzip f r digitale Sensoren Sensoren AUS bedeutet kein Signal Bestimmung der f r SIL Stufen erforderlichen Redundanzen Diskrepanz berwachung und visualisierung einschlie lich der Diagnoselogik des Anwenders Aktoren Positionierung und Aktivierung im Standardbetrieb normalerweise AUS Sichere Reaktion Positionierung bei Ausschaltung oder Stromausfall Diskrepanz berwachung und visualisierung einschlie lich der Diagnoselogik des Anwenders 52 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Entwicklung von Sicherheitsanwendungen Kapitel 6 Projekt erstellen Logik und Befehle die bei der Programmierung der Anwendung verwendet werden m ssen e einfach zu verstehen e einfach zur ckzuverfolgen e einfach zu ndern e einfach zu testen sein berpr fen und testen Sie die gesamte Logik Sicherheitsbezogene Logik und Standardlogik sind voneinander zu trennen Programm kennzeichnen Das Anwendungsprogramm wird ber eines der folgenden Elemente eindeutig identifiziert e Name e Datum e Version e Jede andere Benutzeridentifikation Anwendungsprogramm testen Dieser Schritt besteht aus einer Kombination aus Ausf hrungs RUN und Programm Modus Online oder Offline Bearbeitungen Hochladen und Herunterladen sowie informellem Testen das erforderlich ist um zur Vorbereitung auf den Projektverifizierungstest die korrekte Ausf hrung einer Anwendung zu err
92. fiziert ein Netzwerk eindeutig in allen Netzwerken im Sicherheitssystem Der Endnutzer ist f r die Zuordnung einer eindeutigen Nummer zu jedem Sicherheitsnetzwerk oder Sicherheitsteilnetz in einem System verantwortlich Die Sicherheitsnetzwerknummer stellt einen Teil der eindeutigen Netzknoten ID Unique Node Identifier UNID dar Der Prozessor einer Steuerung mit zwei Prozessoren der mit der Prim rsteuerung hinsichtlich der Ausf hrung sicherheitsgerichteter Funktionen zusammen arbeitet Ein Sicherheitsprogramm verf gt ber alle Eigenschaften eines Standard programms l sst sich aber nur in einer Sicherheits Iask planen Das Sicherheits programm besteht aus null oder mehr Sicherheitsroutinen Es kann keine Standardroutinen oder Standard Tags enthalten Das Sicherheitsprotokoll CIP Safety stellt ein Verfahren zur Netzwerk kommunikation dar das f r den Transport von Daten mit hoher Integrit t ausgelegt und zertifiziert ist Eine Sicherheitsroutine verf gt ber alle Eigenschaften einer Standardroutine ist aber nur in einem Sicherheitsprogramm g ltig und besteht aus einem oder mehreren f r Sicherheitsanwendungen geeigneten Befehlen Eine Liste der Befehle f r Sicherheitsanwendungen und der Logix Standardbefchle die in der Logik einer Sicherheitsroutine verwendet werden k nnen finden Sie in Anhang A Alle Objekte Tasks Programme usw die als nicht sicherheitsgerichtete Elemente gekennzeichnet sind In der vorl
93. folgenden Beispiele sollen als Leitlinien zur Einhaltung der Anforderungen der EN50156 an SIL 2 Zweikanalkonfigurationen mit Testintervallen von 1 und 2 Jahren dienen Sie m ssen eine klare und einfach zu identifizierende Trennung zwischen beiden Eingangskan len implementieren und alle SIL 2 Anforderungen erf llen wie sie im Referenzhandbuch Using ControlLogix in SIL 2 Applications Publikation 1756 RMO001 definiert sind Abbildung 27 Zweikanalige SIL 2 Eing nge Beispiel F Kanal A Kanal B Spannungs Transmitter A Spannungs Transmitter B Rockwell Automation Publikation 1756 RMO99B DE P November 2014 101 AnhangG Verwendung von 1794 FLEX 1 O Modulen und 1756 SIL 2 Eing ngen und Ausg ngen mit 1756 GuardLogix Steuerungen zur Einhaltung der EN 50156 SIL 2 Eingangsdaten amp Controller Controller _L73S A Controller Tags Controller Fault Handler Achten Sie stets darauf dass die Eingangsdaten Power Up Handler g 8 amp Tasks von Kanal A und Kanal B voneinander getrennt d MainTack bleiben Dieses Beispiel zeigt eine Methode _ Mainprogram_ _ i r E Chn_A_Logic 1 w e die Daten von Kanal A und KanalB in A Program Tags amp amp _Discrete Ihrer Anwendung voneinander getrennt ee werden k nnen Sm EI A Program Tags Ei B_Discrete Halten Sie alle Vorschriften ein die f r die B_Process 1756 E A Module und die 1794 FLEX i A P T E A Module im Referenzhandbuch Using E mirua
94. g des Funktionstests Steuerung des Zugriffs auf das Sicherheitssystem einschlie lich Kennwortverwaltung e Programmierung der Anwendung und Konfiguration der Ger te entsprechend den Informationen in diesem Sicherheitshandbuch und im Benutzerhandbuch GuardLogix 5570 Controllers User Manual Publikation 1756 UM022 Beschr nken Sie bei der Anwendung der Funktionalen Sicherheit den Zugriff auf qualifizierte und autorisierte Mitarbeiter die ber entsprechende Kenntnisse und Erfahrungen verf gen Die Anwendung Logix Designer umfasst eine kennwortgesch tzte Verriegelungsfunktion Informationen zur Verwendung dieser Verriegelungsfunktion finden Sie in der Publikation 1756 UM022 GuardLogix 5570 Steuerungen Benutzer handbuch Gem IEC 61508 m ssen Sie die im System verwendeten Ger te verschiedenen Funktionspr fungen unterziehen Die Funktionspr fungen werden zu benutzer definierten Zeiten durchgef hrt Beispielsweise k nnen die Funktionspr fungen einmal im Jahr einmal alle 15 Jahre oder in einem anderen geeigneten Zeit rahmen durchgef hrt werden GuardLogix 5570 Steuerungen weisen ein Intervall f r die Funktionspr fung von bis zu 20 Jahren auf Andere Systemkomponenten wie Sicherheits E A Ger te Sensoren und Aktoren k nnen ber k rzere Intervalle verf gen Die Steuerung sollte in die Untersuchung der funktionalen Sicherheit der anderen Komponenten im Sicherheitssystem einbezogen werden WICHTIG
95. gC Reaktionszeiten Einfache Kette Eingang Logik Ausgang Abbildung 20 L ngstm gliche Logix Systemreaktionszeit f r eine einfache Kette Eingang Logik Ausgang 3 Sicherheits Task Periode Sicherheits Task berwachungszeitraum GuardLogix Steuerung Kommunikationsmodul 1 Verz gerung des 2 Reaktionszeitbeschr nkung Sicherheits Sicherheitseingangsverbindung eingangsger ts CIP Safety Netzwerk 4 Reaktionszeitbeschr nkung 5 Verz gerung des Sicherheitsausgangsverbindung Sicherheits ausgangsger ts Die Logix Systemreaktionszeit f r jede einfache Eingang Logik Ausgang Kette besteht aus den folgenden f nf Komponenten 1 Reaktionszeit des Sicherheitseingangsger ts plus Eingangsverz gerungszeit sofern zutreffend 2 Reaktionszeitbeschr nkung der Sicherheitseingangsverbindung Dieser Wert wird in der Anwendung Logix Designer im Dialogfeld Module Properties Moduleigenschaften ausgelesen und ist ein Mehrfaches des von der Sicherheitseingangsger t Verbindung angeforderten Paketintervalls RPI 3 Sicherheits Task Periode plus Sicherheits Task berwachungszeitraum 4 Reaktionszeitbeschr nkung Sicherheitsausgangsverbindung Dieser Wert wird in der Anwendung Logix Designer im Dialogfeld Module Properties Moduleigenschaften ausgelesen und ist ein Mehrfaches der Sicherheits Task Periode 5 Reaktionszeit des Sicherheitsausgangsger ts Zur erleichterten Bestimmung der
96. gang kompatibel sind 1 Informationen zur Verdrahtung Ihres CIP Safety E A Ger ts finden Sie in der Produktdokumentation f r das von Ihnen eingesetzte Ger t Rockwell Automation Publikation 1756 RMO99B DE P November 2014 89 AnhangD Checklisten f r GuardLogix Sicherheitsanwendungen Checkliste f r Programmierung oder an nn jeden Be Sicherheitsausg nge anal in einem System eine eigene Anforderungscheckliste ausgef llt werden Nur auf diese Weise ist sichergestellt dass die Anforderungen vollst ndig und genau erf llt werden Sie k nnen diese Checkliste auch als Dokumentation f r die Anbindung externer Verdrahtung an das Anwendungsprogramm verwenden Checkliste f r Ausg nge im GuardLogix System Unternehmen Standort Definition der Sicherheitsfunktion SIL Ausgangskan le Erf llt Nummer Anforderungen an das Ausgangsger t Kommentar Ja Nein 1 Haben Sie die Installationsanleitungen und Vorsichtsma nahmen befolgt und damit die anwendbaren Sicherheitsstandards eingehalten 2 Haben Sie f r die Ger te Projektverifizierungstests durchgef hrt 3 Haben Sie die Konfiguration jedes Ger ts hochgeladen und mit der vom Konfigurationswerkzeug gesendeten Konfiguration verglichen 4 Haben Sie sichergestellt dass Testausg nge nicht als Sicherheitsausg nge verwendet werden 5 Sind die Ger te nac
97. gsbedingungen auf Zertifikate zur Produktreihe der programmierbaren ControlLogix Steuerungen finden Sie unter http www rockwellautomation com products certification ce Rockwell Automation Publikation 1756 RMO99B DE P November 2014 17 Kapitel1 Informationen zu SIL GuardLogix Zertifizierungen GuardLogix Spezifikationen f r PFD und PFH Sensor Sensor Sensor In den Technischen Daten zu den ControlLogix Steuerungen Publikation 1756 TD001 ControlLogix Controllers Technical Data werden die Produktspezifikationen und die amtlichen Zulassungen aufgef hrt f r die die Produkte zugelassen sind Wenn ein Produkt eine amtliche Zulassung erhalten hat wird dies auf der Produktetikettierung gekennzeichnet Die Konformit tserkl rung und weitere Einzelheiten zu den Zertifizierungen erhalten Sie wenn Sie auf den Link Product Certification unter http www rockwellautomation com products certification klicken Sicherheitstechnische Systeme k nnen als solche klassifiziert werden die entweder bei niedriger Beanspruchung oder bei hoher Beanspruchung bzw im Dauermodus betrieben werden Die Richtlinie IEC 61508 legt fest dass das Sicherheitssystem f r den Betrieb im Modus f r niedrige Beanspruchung mit einer H ufigkeit von nicht mehr als einmal pro Jahr und f r den Betrieb im Modus f r hohe Beanspruchung bzw im Dauermodus mehr als einmal pro Jahr angefordert werden darf De
98. h PLe Cat 4 gem ISO 13849 1 verdrahtet 7 6 Haben Sie sichergestellt dass die elektrischen Spezifikationen von Ausgang und Aktor kompatibel sind 1 Informationen zur Verdrahtung Ihres Sicherheits E A Ger ts finden Sie in der Produktdokumentation f r das von Ihnen eingesetzte Ger t 90 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Checkliste f r die Entwicklung eines Checklisten f r GuardLogix Sicherheitsanwendungen Anhang D Programms f r Sicherheitsanwendungen Checkliste f r die Entwicklung eines GuardLogix Anwendungsprogramms Verwenden Sie die folgende Checkliste um Sicherheit zu gew hrleisten wenn Sie ein Programm f r eine Sicherheitsanwendung erstellen oder ndern Unternehmen Standort Projektdefinition Erf llt Nummer Anforderungen an das Anwendungsprogramm Kommentar Ja Nein 1 Nutzen Sie Logix Designer das Programmier Tool f r das GuardLogix System in der Version 21 oder h her 2 Wurden die Programmierleitlinien in Kapitel 6 bei der Erstellung des Programms f r die Sicherheitsanwendung befolgt 3 Enth lt das Programm f r die Sicherheitsanwendung nur Kontaktplanlogik 4 Enth lt das Programm f r die Sicherheitsanwendung nur die in Anhang A aufgef hrten
99. haften aus 2 Klicken Sie auf die Registerkarte Input Configuration Eingangskonfiguration Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Reaktionszeiten Anhang C 3 Stellen Sie die Eingangsverz gerungszeit so ein wie Sie sie f r Ihre Anwendung ben tigen m Module Properties Enet_Safety 1791ES IBBXOBV4 1 1 jelx Input Error Latch Time 10044 ms Status Offline OK Cancel Zugriff auf die Reaktionszeitbeschr nkungen der Eingangs und Ausgangssicherheitsverbindung Die Reaktionszeitbeschr nkung der Verbindung wird durch die folgenden drei Werte definiert Wert Requested Packet Interval RPI Beschreibung Legt fest wie oft die Eingangs und Ausgangspakete ins Netzwerk gesendet werden Timeout Multiplikator Beim Timeout Multiplikator handelt es sich im Wesentlichen um die Zahl der Wiederholungsversuche bevor es zu einem Timeout kommt Network Delay Multiplier Netzwerk Verz gerungs multiplikator Der Netzwerk Verz gerungsmultiplikator wird bei bekannten Verz gerungen im Netzwerk eingesetzt Wenn diese Verz gerungen eintreten k nnen Timeouts mithilfe dieses Parameters verhindert werden Durch Anpassen dieser Werte k nnen Sie die Reaktionszeitbeschr nkung der Verbindung festlegen Gehen Sie wie folgt vor um diese Einstellungen anzuzeigen oder zu konfigurieren 1 Klicken Sie in der Baumstruktur mit der rechten Maustaste auf d
100. he Techniken zu HMI Ger ten implementieren Diese Vorsichtsma nahmen umfassen u a e Zugriffsbeschr nkung und Sicherheit e Spezifikationen Tests und Validierung e Beschr nkungen hinsichtlich Daten und Zugriff e Beschr nkungen zu Daten und Parametern Informationen dazu wie sich HMI Ger te in einem typischen SIL Regelkreis nutzen lassen finden Sie in Abbildung 1 auf Seite 15 Nutzen Sie in der Anwendungssoftware des HMI und der Steuerung bew hrte Techniken Rockwell Automation Publikation 1756 RMO99B DE P November 2014 43 Kapitel 5 44 Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Zugriff auf sicherheitstechnische Systeme HMlI bezogene Funktionen bestehen aus zwei prim ren Aktivit ten dem Lesen und dem Schreiben von Daten Parameter in sicherheitstechnischen Systemen lesen Das Lesen von Daten unterliegt keiner Beschr nkung da das Lesen keinen Einfluss auf das Verhalten des Sicherheitssystems hat Allerdings k nnen sich Zahl Frequenz und Umfang der gelesenen Daten auf die Verf gbarkeit der Steuerung auswirken Um sicherheitstechnische Fehlerausl sungen zu vermeiden sollten Sie daher bew hrte Kommunikationsverfahren nutzen um die Auswirkungen der Kommunikationsverarbeitung auf die Steuerung zu begrenzen Stellen Sie die Leseraten nicht auf die h chstm gliche Rate ein Parameter in SIL bezogenen Systemen ndern Es ist nur unter folgenden Beschr nkungen zul
101. herheitsanwendungen Rockwell Automation Publikation 1756 RM099B DE P November 2014 berwachen des Systemstatus Kapitel 7 berwachung des Status und Handhabung von St rungen Thema Seite berwachen des Systemstatus 63 GuardLogix Systemst rungen 66 Die GuardLogix Architektur bietet dem Anwender viele Wege St rungen im System zu erkennen und darauf zu reagieren Die erste M glichkeit zur Handhabung von St rungen durch den Anwender besteht darin sicherzustellen dass die Checklisten f r die Applikation ausgef llt wurden siehe Anhang D Sie k nnen den Status der Sicherheits Tag Verbindungen abrufen Sie k nnen den aktuellen Betriebsstatus ebenfalls bestimmen indem Sie verschiedene Ger teobjekte abfragen Es liegt an Ihnen zu bestimmen welche Daten am besten zur Einleitung einer Abschaltfolge geeignet sind CONNECTION_STATUS Daten Das erste Glied der Tag Struktur das mit Sicherheitseingangsdaten und produzierten konsumierten Sicherheits Tag Daten verkn pft ist enth lt den Status der Verbindung Dieses Glied ist ein vordefinierter Datentyp mit dem Namen CONNECTION_STATUS Abbildung 17 Dialogfeld Data Type Hax Name MyProducedConsumedS afetyT ype Description Rockwell Automation Publikation 1756 RM099B DE P November 2014 63 Kapitel 7 64 berwachung des Status und Handhabung von St rungen Die ersten beiden Bits des Datentyps CONNECTION_STATUS enthalten die Statusbits Ru
102. hestromprinzip System Verwenden von Verbindungsstatusdaten zur programmatischen Einleitung einer St rung Anhang F Software RSLogix 5000 ab Version 14 Beschreibung der Befehle f r Sicherheitsanwendungen Thema Seite Ruhestromprinzip System 95 Verwenden von Verbindungsstatusdaten zur programmatischen Einleitung einer St rung 95 Wenn Sie die in der Software RSLogix 5000 Version 14 enthaltenen Befehle f r Sicherheitsanwendungen verwenden werden alle Eing nge und Ausg nge auf null gesetzt sobald ein Fehler erkannt wird Daher sollten alle Eing nge die mithilfe eines der Befehle f r diversit re Eing nge Diverse Inputs oder Iwo hand Run Station berwacht werden ber ffner Eing nge verf gen die durch eine Logik bedingt sind die der Logik in Strompfad 4 in Kontaktplan logik Beispiel 2 und Kontaktplanlogik Beispiel 3 auf den Seiten 98 und 99 hnlich ist Welche Logik genau erforderlich ist h ngt sowohl von der Anwen dung als auch vom Eingangsger t ab Allerdings muss die Logik den sicheren Zustand 1 f r den ffnereingang der durch einen dieser Befehle berwacht wird erstellen Die folgenden Diagramme sind Beispiele f r die Kontaktplanlogik die zum Verriegeln und Zur cksetzen eines E A Moduls bei einem Ausfall erforderlich ist Die Beispiele zeigen die Logik die f r ein Modul das nur ber Eing nge verf gt bzw f r ein Modul mit Ein und Ausg ngen erforderlich ist In den Bei
103. hlie en Die Projektverifizierung umfasst Tests von Fehlerroutinen Eingangs und Ausgangskan len mit deren Hilfe sichergestellt wird dass das Sicherheitssystem ordnungsgem arbeitet Soll ein Projektverifizierungstest f r die GuardLogix Steuerung durchgef hrt werden m ssen Sie die Anwendung einem vollst ndigen Test unterziehen Sie m ssen alle Sensoren und Aktoren jeder einzelnen Sicherheitsfunktion umschalten Aus der Sicht der Steuerung bedeutet dies dass der E A Punkt zur Steuerung umgeschaltet wird also nicht unbedingt die tats chlichen Aktoren Vergewissern Sie sich dass Sie alle Abschaltfunktionen testen da Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Entwicklung von Sicherheitsanwendungen Kapitel 6 diese Funktionen in der Regel w hrend des normalen Betriebs nicht ausgef hrt werden Bedenken Sie au erdem dass ein Projektverifizierungstest nur f r die jeweils getestete Anwendung g ltig ist Wird die Steuerung auf eine andere Anwendung verlagert m ssen Sie die Steuerung einem Inbetriebnahme und einem Projektverifizierungstest im Zusammenhang mit dem neuen Anwendungsprogramm unterziehen Projekt best tigen Sie m ssen das Projekt ausdrucken oder anzeigen und die hochgeladenen Sicherheits E A und Steuerungskonfigurationen Sicherheitsdaten sowie Programmlogik der Sicherheits Task manuell vergleichen um sicherzustellen dass die richtigen Sicherheitskomponenten heruntergeladen geteste
104. iagnose Sie haben keinen Einfluss auf die Ausf hrung der Sicherheits Task N here Informationen dazu welche Sicherheitsattribute ber GSV und SSV Befehle zur Verf gung stehen finden Sie im Benutzerhandbuch GuardLogix 5570 Controllers User Manual Publikation 1756 UM022 Allgemeine Informationen zur Verwendung von GSV und SSV Befehlen finden Sie im Referenzhandbuch Logix5000 Steuerungen Allgemeine Befehle Publikation 1756 RM003 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 65 Kapitel 7 berwachung des Status und Handhabung von St rungen GuardLogix Systemst rungen 66 St rungen im GuardLogix System lassen sich in die folgenden drei Kategorien unterteilen e Nicht korrigierbare Steuerungsfehler e Nicht korrigierbare Sicherheitsfehler e Korrigierbare Fehler Informationen zur Handhabung von Fehlern finden Sie im Benutzerhandbuch GuardLogix 5570 Controllers User Manual Publikation 1756 UM022 Nicht korrigierbare Steuerungsfehler Ein nicht korrigierbarer Steuerungsfehler tritt auf wenn die interne Diagnose der Steuerung ausf llt Die Partnerschaft geht verloren wenn sich ein nicht korrigierbarer Steuerungsfehler in der Prim rsteuerung oder dem Sicherheits partner ereignet und damit der jeweils andere einen nicht korrigierbaren Fehler mit Timeout des berwachungszeitraums erzeugt Die Ausf hrung der Standard Task und Sicherheits Task wird angehalten und die Sicherheits
105. idierung unabh ngige berpr fung Projekt g ltig Ja Steuerung verriegeln Ende Rockwell Automation Publikation 1756 RMO99B DE P November 2014 51 Kapitel6 Entwicklung von Sicherheitsanwendungen Steuerungsfunktion spezifizieren Sie m ssen eine Spezifikation f r Ihre Steuerungsfunktion erstellen Nutzen Sie diese Spezifikation um zu best tigen dass die Programmlogik korrekt ist und die Funktions und Sicherheitssteuerungsanforderungen Ihrer Anwendung vollst ndig erf llt Die Spezifikation kann abh ngig von Ihrer Applikation in einer Vielzahl von Formaten pr sentiert werden Diese Spezifikation muss jedoch eine detaillierte Beschreibung beinhalten zu der sofern zutreffend folgende Elemente geh ren Ablauffolge im Betrieb Fluss und Zeitdiagramme Ablauftabellen Programmbeschreibung Programmausdruck In Worten formulierte Beschreibungen der Schritte mit den entsprechenden Bedingungen und zu steuernden Aktoren inklusive Eingangsdefinitionen Ausgangsdefinitionen E A Verdrahtungspl ne und referenzen Funktionstheorie Matrix oder Tabelle der Bedingungen f r die einzelnen Schritte und der zu steuernden Aktoren einschlie lich Ablauf und Zeitdiagrammen Definition der Randbedingungen z B Betriebsarten NOT HALT usw Der E A Teil der Spezifikation muss die Analyse der Feldschaltkreise d h den Typ der Sensoren und Aktoren enthalten Sensoren digital oder analog Signal im Standardb
106. ie Programmierung GuardLogix Steuerungssytem Kapitel 2 Programmieren Sie GuardLogix 5570 Steuerungen mithilfe der Anwendung Studio 5000 Logix Designer Nutzen Sie Logix Designer um Standort Verwaltungsrechte und Konfiguration von E A Ger ten und Steuerungen zu definieren und um die Programmlogik zu erstellen zu testen und zu entst ren In der GuardLogix Sicherheits Task wird nur die Kontaktplanlogik unterst tzt Informationen zum Befehlssatz f r Sicherheitsprojekte finden Sie in Anhang A Autorisierte Mitarbeiter k nnen ein Sicherheitsprogramm ndern Dazu muss jedoch eines der unter Bearbeiten Ihrer Sicherheitsanwendung auf Seite 59 beschriebenen Verfahren verwendet werden Rockwell Automation Publikation 1756 RM099B DE P November 2014 25 Kapitel2 _GuardLogix Steuerungssystem Notizen 26 Rockwell Automation Publikation 1756 RM099B DE P November 2014 berblick Typische Sicherheits funktionen von CIP Safety E A Ger ten Kapitel 3 CIP Safety E A f r das GuardLogix Steuerungssystem Thema Seite berblick 27 Typische Sicherheitsfunktionen von CIP Safety E A Ger ten 27 Reaktionszeit 28 Sicherheits berlegungen zu CIP Safety E A Ger ten 29 Vor der Inbetriebnahme eines GuardLogix 5570 Sicherheitssystems mit CIP Safety E A Ger ten m ssen Sie sich mit den Informationen zu Installation Betrieb und Sicherheit vertraut machen und f r die Einhaltung der entsprechenden Anweisungen sorgen
107. ie GuardLogix Steuerung eine Sicherheits Task Signatur wird die Sicherheits Task Signatur mit dem Projekt hochgeladen Dies bedeutet dass alle an den Offline Sicherheitsdaten vorgenommenen nderungen beim Upload berschrieben werden Falls keine Sicherheits Task Signatur vorhanden ist und die Steuerung sicherheitsentriegelt ist k nnen Sie Online Bearbeitungen an Ihren Sicherheitsroutinen vornehmen TIPP Sie k nnen keine Standard oder Sicherheits Add On Befehle bearbeiten w hrend Sie online sind Anstehende Bearbeitungen k nnen nicht vorgenommen werden wenn die Steuerung sicherheitsverriegelt ist oder wenn eine Sicherheits Task Signatur vorhanden ist Online Bearbeitungen sind m glich wenn die Steuerung sicherheitsverriegelt ist Sie d rfen jedoch nicht assembliert oder gel scht werden TIPP Online Bearbeitungen in Standardroutinen sind vom sicherheits verriegelten oder entriegelten Zustand nicht betroffen Weitere Informationen dazu wie Sie Ihr Anwendungsprogramm bearbeiten finden Sie auf Seite 59 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 57 Kapitel6 Entwicklung von Sicherheitsanwendungen Speichern und Laden eines Projektes aus einem nichtfl chtigen Speicher Forcen Die Steuerungen der Serie GuardLogix 5570 unterst tzen Firmware Upgrades sowie das Speichern und Abrufen von Anwenderprogrammen mithilfe einer Speicherkarte In einem GuardLogix System verwendet nur die Prim rsteuerung
108. ie Sicherheits Task 41 Verwendung von HMI Schnittstellen 43 Sicherheitsprogramme 45 Sicherheitsroutinen 46 Sicherheits Tags 46 Da es sich um eine Steuerung der Logix Serie handelt k nnen im GuardLogix Steuerungssystem sowohl standardm ige d h nicht sicherheitstechnische als auch sicherheitstechnische Komponenten verwendet werden Anhand der Standard Tasks in einem GuardLogix Projekt k nnen Sie eine standardm ige Automatisierungssteuerung realisieren Die GuardLogix Steuerungen bieten dieselbe Funktionalit t wie andere Steuerungen der Serie ControlLogix Die Steuerungen der GuardLogix Serie unterscheiden sich von Standardsteuerungen dahingehend dass sie eine SIL 3 f hige Sicherheits Task bieten Sie m ssen jedoch logisch und physisch zwischen den Standard und Sicherheitsteilen der Anwendung unterscheiden Die Anwendung Logix Designer erm glicht diese Unterscheidung ber die Sicherheits Task Sicherheitsprogramme Sicherheitsroutinen Sicherheits Tags und Sicherheits E A Ger te Mit der Sicherheits Task der GuardLogix Steuerung k nnen Sie eine Sicherheitssteuerung der Stufen SIL 2 und SIL 3 implementieren Rockwell Automation Publikation 1756 RMO99B DE P November 2014 37 Kapitel5 Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Sicherheitsanwendungen nach SIL2 38 Sie k nnen eine Sicherheitssteuerung nach SIL 2 implementieren indem Sie die Sicherheits Task der GuardLogi
109. ie die Funktion Configure Always Immer konfigu Wenn andere Bereiche des CIP Safety Steuerungssystems zur Beibehaltung von SIL3 erforderlich sind stellen Sie sicher dass die Funktion Configure Always der Steuerung deaktiviert ist Sie sind daf r verantwortlich einen Prozess zu implementieren der sicherstellt dass die Sicherheitsfunktionalit t w hrend des Ger teaustauschs ordnungsgem aufrechterhalten bleibt CIP Safety Netzwerk wenn die Funktion Configure Always aktiviert ist es sei denn es wird dabei die in der Publikation 1756 UM022 GuardLogix 5570 Steuerungen Benutzerhandbuch beschriebene Vorgehensweise eingehalten N ACHTUNG Installieren Sie keine Ger te im Anlieferungszustand in ein Rockwell Automation Publikation 1756 RMO99B DE P November 2014 31 Kapitel3 CIP Safety E A f r das GuardLogix Steuerungssystem Notizen 32 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Das Routing f hige CIP Safety Steuerungssystem Kapitel 4 Informationen zu CIP Safety und zur Sicherheitsnetzwerknummer Das Routing f hige CIP Safety Steuerungssystem Hinweise zur Zuordnung der SNN 35 Um die sicherheitstechnischen Anforderungen eines CIP Safety Steuerungs systems einschlie lich der Sicherheitsnetzwerknummer SNN zu verstehen m ssen Sie zun chst wissen wie die Kommunikation in CIP Steuerungssystemen geroutet werden kann Das CIP Safety
110. ie die Programmlogik der Sicherheits Task manuell vergleichen um sicherzustellen dass die richtigen Sicherheitskomponenten heruntergeladen getestet und im Sicherheitsanwendungsprogramm gespeichert wurden Unter Projekt best tigen auf Seite 55 wird beschrieben wie Sie ein Projekt best tigen k nnen 76 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Sicherheits Add On Befehlle Anhang B Add On Befehle einer Sicherheitsvalidierung unterziehen Eine unabh ngige berpr fung des Sicherheits Add On Befehls durch einen Dritten ist ggf erforderlich bevor der Befehl zur Verwendung freigegeben wird Eine unabh ngige Validierung durch einen Dritten ist f r IEC 61508 SIL 3 erforderlich Eintrag in der Signatur History erstellen Mit der Signatur History steht ein Datensatz zur Verf gung der sp ter als Referenz verwendet werden kann Der Eintrag in der Signatur History besteht aus der Befehlssignatur dem Namen des Benutzers dem Wert des Zeitstempels und einer benutzerdefinierten Beschreibung Es k nnen bis zu sechs History Eintr ge gespeichert werden Um einen Eintrag in der Signatur History zu erstellen m ssen Sie offline sein TIPP ber den Bericht Signature Listing Signaturliste in der Anwendung Logix Designer werden Befehlssignatur Zeitstempel und Sicherheits befehlssignatur ausgedruckt Um den Bericht auszudrucken klicken Sie im Controller Organizer mit der rechten Maustaste auf Add On Ins
111. iegenden Dokumentation wird Standardsteuerung als Oberbegriff f r eine ControlLogix Steuerung verwendet Ein Adressierungsverfahren das eine ASCII Auslegung des Tag Namens liefert Rockwell Automation Publikation 1756 RMO99B DE P November 2014 107 Glossar 108 Systemreaktionszeit Task Timeout Multiplikator berlappung Die l ngstm gliche Zeit zwischen Eingang eines sicherheitsgerichteten Ereignisses im System oder St rung in einem System und dem Zeitpunkt an dem sich das System im sicheren Zustand befindet Die Systemreaktionszeit umfasst Sensor und Aktorreaktionszeiten sowie die Steuerungsreaktionszeit Ein Scheduling Mechanismus zur Ausf hrung eines Programms Eine Task stellt Scheduling und Priorit tsinformationen f r ein Programm oder mehrere Programme bereit die basierend auf bestimmten Kriterien ausgef hrt werden Sobald eine Task ausgel st aktiviert ist werden alle der Task zugeordneten geplanten Programme in der Reihenfolge ausgef hrt in der sie im Controller Organizer Steuerungsorganisator angezeigt werden Dieser Wert bestimmt die Anzahl von Nachrichten die verloren gehen d rfen bevor ein Verbindungsfehler deklariert wird Wenn eine Task periodisch oder ereignisgesteuert ausgel st wird w hrend die Task ausgel st durch den vorherigen Trigger noch ausgef hrt wird Rockwell Automation Publikation 1756 RM099B DE P November 2014 Ziffern 1734 AENT 17 23 1756 A10 17 1
112. iguration E Module Properties ENet_1 1791ES IB16 A 1 1 Point Operation Input Delay Time ms Discrepancy Point Mode Time ms Off gt On On Off 0 Single 0 Safety Pulse Test v xi 65 0 1 safety Pulse Test v1 vw 65 0 2 Equivalent 10 a Safety none x 122 02 3 Safety None x 125 om 4 _ Equivalent 10 a Safety Pulse Test 2 x 6 2 0 5 Safety Pulse Test 3_ vw 65 03 6_ Single 0 a Safety Pulse Test z o xl gE 05 7 safety Pulse Test v1 65 05 8 Single 0 a Not Used None v 62 05 3 Z Not Used None x 52 o2 10 Single 0 a Not Used none 05 0 11 Not Used None xf 05 oaa Feld Wert Typ Single Discrepancy Time n V Point Mode Safety Pulse Test Test Source Das Festlegen dieser Werte basiert darauf wie das Feldger t physisch mit dem Modul verdrahtet ist Rufen Sie die Registerkarte Test Output auf und berpr fen Sie die Einstellungen auf dieser Registerkarte um sicherzustellen dass die Testquelle korrekt aktiviert wurde Input Delay Time Benutzereingabe basierend auf den Leistungsmerkmalen des Feldger ts WICHTIG Die integrierten Impulstestausg nge TO bis Tx werden typischerweise mit Feldger ten verwendet die ber mechanische Kontakte verf gen Wenn ein Sicherheitsger t verwendet wird das ber elektronische Ausg nge verf gt zur Speisung von Sicherheitseing ngen m ssen diese f r die entsprechende Sicherh
113. in Sicherheitsroutinen verwendet werden Eine Auflistung der Befehle f r die Sicherheitsanwendung finden Sie in Anhang A ACHTUNG Damit SIL 3 eingehalten wird m ssen Sie sicherstellen dass Ihre Sicherheitslogik nicht versucht Standard Tags zu lesen oder zu schreiben Das Steuerungssystem GuardLogix unterst tzt den Einsatz von Standard und Sicherheits Tags im gleichen Projekt Die Programmiersoftware unterscheidet jedoch in betrieblicher Hinsicht zwischen Standard und Sicherheits Tags Sicherheits Tags besitzen alle Eigenschaften von Standard Tags sowie Mechanismen zur Sicherung der SIL 3 Datenintegrit t Tabelle 6 G ltige Datentypen f r Sicherheits Tags AUX_VALVE_CONTROL BOOL CAM_PROFILE CAMSHAFT_MONITOR CB_CONTINUOUS_MODE CB_CRANKSHAFT_POS_MONITOR CB_INCH_MODE CB_SINGLE_STROKE_MODE CONFIGURABLE_ROUT CONNECTION_STATUS CONTROL COUNTER DCA_INPUT DCI_MONITOR DCI_START DCI_STOP DCI_STOP_TEST DCI_STOP_TEST_LOCK DCI_STOP_TEST_MUTE DINT DIVERSE_INPUT EIGHT_POS_MODE_SELECTOR EMERGENCY_STOP ENABLE_PENDANT EXT_ROUTINE_CONTROL EXT_ROUTINE_PARAMETERS BD_BIT_FIELD_DISTRIBUTE FBD_CONVERT FBD_COUNTER FBD_LOGICAL BD_MASK_EQUAL BD_MASKED_MOVE FBD_TIMER FIVE_POS_MODE_SELECTOR INT LIGHT_CURTAIN MAIN_VALVE_CONTROL MANUAL_VALVE_CONTROL kun a a i a MUTING_FOUR_SENSOR_BIDIR MUTING_TWO_SENSOR_ASYM MUTING_TWO_SENSOR_SYM MOTION_INSTRUCTION PHASE PHASE_INSTRUCTION REAL REDUNDANT_INPUT REDU
114. inen aktuellen Upload durch 6 Belassen Sie die Steuerung weiterhin im Programmmodus und laden Sie das Projekt von der Steuerung hoch 7 Speichern Sie das hochgeladene Projekt unter dem Namen Online Projektname ACD wobei Projektname der Name Ihres Projekts ist 8 Beantworten Sie die Frage nach dem Hochladen der Tag Werte mit Ja Rockwell Automation Publikation 1756 RMO99B DE P November 2014 55 Kapitel6 Entwicklung von Sicherheitsanwendungen 9 Verwenden Sie das Dienstprogramm Program Compare von Logix Designer um die folgenden Vergleiche durchzuf hren e Vergleichen Sie alle Eigenschaften der GuardLogix Steuerung und der CIP Safety E A Ger te e Vergleichen Sie alle Eigenschaften der Sicherheits Task Sicherheitsprogramme und Sicherheitsroutinen e Vergleichen Sie die gesamte Logik in den Sicherheitsroutinen Sicherheitsvalidierung Eine unabh ngige berpr fung des Sicherheitssystems durch einen Dritten ist ggf erforderlich bevor das System zum Betrieb freigegeben wird Eine unabh ngige Zertifizierung durch einen Dritten ist f r IEC 61508 SIL 3 erforderlich GuardLogix Steuerung verriegeln Das GuardLogix Steuerungssystem kann sicherheitsverriegelt werden um Komponenten der Sicherheitssteuerung vor nderung zu sch tzen Die Sicherheitsverriegelung der Steuerung ist jedoch keine Anforderung f r SIL 3 Anwendungen Die Funktion der Sicherheitsverriegelung gilt nur f r Sicherheitsko
115. iten Logik vergleichen Logikausg nge Logikausg nge werden zu Sicherheitsausg ngen geschrieben Run Entriegelt Mit Signatur Ple Cat 4 Steuerung zuverl ssig SIL CL3 e Force Zust nde sind nicht zul ssig Force Zust nde m ssen zur Erzeugung einer Sicherheits Task Signatur entfernt werden Online Bearbeitung ist nicht zul ssig Sicherheitsspeicher ist gesch tzt nur Lesen Logik der Sicherheits Task wird gescannt Prim r und Partnersteuerung verarbeiten Logik vergleichen Logikausg nge Logikausg nge werden zu Sicherheitsausg ngen geschrieben e Sicherheits Task Signatur ist ungesch tzt und kann von jedem Anwender mit Zugriff auf die Steuerung gel scht werden Run 1 Um diese Ebene zu erreichen m ssen Sie die in dieser Publikation definierten sicherhei Verriegelt Mit Signatur Grundlagen der Anwendungsentwicklung und pr fung 50 Ple Cat 4 Steuerung zuverl ssig SIL CL3 e Force Zust nde sind nicht zul ssig Force Zust nde m ssen zur Erzeugung einer Sicherheits Task Signatur entfernt werden Online Bearbeitung ist nicht zul ssig Sicherheitsspeicher ist gesch tzt nur Lesen Logik der Sicherheits Task wird gescannt Prim r und Partnersteuerung verarbeiten Logik vergleichen Logikausg nge Logikausg nge werden zu Sicherheitsausg ngen geschrieben e Sicherheits Task Signatur ist gesch tzt Anwender m ssen das Entriegelungskennwort eingeben um die Steue
116. kation ber EtherNet IP DeviceNet und ControlNet Netzwerke mithilfe des CIP Safety Protokolls erm glichen Tabelle 5 Kommunikationsschnittstellenmodule nach System GuardLogix System Kommunikationsmodule 1756 e 1756 ENBT 1756 EN2T R 1756 EN2F oder 1756 EN3TR EtherNet IP Bridge e 1734 AENT POINT I O Ethernet Adapter e 1756 DNB DeviceNet Bridge e 1756 CN2 ControlNet Bridge e 1756 CN2R redundante ControlNet Bridge 1756 XT e 1756 EN2TXT 1756 EN2TRXT EtherNet IP Bridge XT Kupfer e 1756 CN2RXT redundante XT ControlNet Bridge 1768 ENBT 1734 AENT POINT I O Ethernet Adapter 1768 CNB 1768 CNBR 1768 WICHTIG Aufgrund des Designs des CIP Safety Steuerungssystemns ist die SIL 3 Zertifizierung f r CIP Sicherheits Bridges wie sie in der Tabelle aufgef hrt sind nicht erforderlich EtherNet IP Netzwerk Die Peer to Peer Sicherheitskommunikation zwischen GuardLogix Steuerungen ist mithilfe von EtherNet IP Bridges ber das EtherNet IP Netzwerk m glich Eine EtherNet IP Bridge erm glicht der GuardLogix Steuerung die Steuerung und den Austausch von Sicherheitsdaten mit CIP Safety E A Ger ten in einem EtherNet IP Netzwerk Abbildung 4 Peer to Peer Kommunikation ber EtherNet IP Bridges und das EtherNet IP Netzwerk EtherNet Switch EtherNet lP Netzwerk EtherNet IP Netzwerk g 5 y s CIP Safety E A Modul a g a 5 A a Sjgjg A 5 Z SteuerungB mA Era rA EE CIP Safe
117. l ge ndert wurde Jeder Add On Befehl kann ber eine eigene Signatur verf gen Diese Befchlssignatur ist erforderlich wenn ein Add On Befehl in sicherheitstechnischen Funktionen verwendet wird Ebenso kann sie manchmal auch in den regulierten Industriebranchen erforderlich werden Verwenden Sie sie wenn Ihre Anwendung einen h heren Grad an Integrit t erfordert Die Befehlssignatur besteht aus einer ID Nummer und einem Zeitstempel der den Inhalt des Add On Befehls zu einem bestimmten Zeitpunkt identifiziert Einmal erzeugt versiegelt die Befehlssignatur den Add On Befehl sozusagen und verhindert so dass der Befehl bearbeitet werden kann w hrend die Signatur vorliegt Diese Einschr nkung schlie t auch Strompfadkommentar Tag Beschreibungen und jede andere Befehlsdokumentation ein die erstellt wurde Wenn der Befehl versiegelt wurde k nnen Sie nur folgende Aktionen durchf hren e Befchlssignatur kopieren e Eintrag in Signatur History erstellen oder kopieren e Instanzen des Add On Befehls erstellen e Befehl herunterladen e Befchlssignatur entfernen e Berichte ausdrucken Rockwell Automation Publikation 1756 RMO99B DE P November 2014 75 AnhangB _ Sicherheits Add On Befehle Wurde eine Befehlssignatur erzeugt dann zeigt die Anwendung Logix Designer die Befehlsdefinition mit dem Symbol des Siegels an a S Add On Instructions onveyor_Control Parameters and Local EA Logic WICHTIG Falls Sie vorhaben Ihren A
118. ligen Unternehmen Neue und aktualisierte Informationen Zusammenfassung der nderungen Dieses Handbuch enth lt neue und aktualisierte Informationen In dieser Tabelle sind die nderungen aufgef hrt die an dieser Version vorgenommen wurden Thema Seite Verweise auf Sicherheits E A Module wurden in den allgemeineren Begriff Im gesamten Sicherheits E A Ger te ge ndert sofern zutreffend Handbuch Neue Bestellnummer 1756 L72EROMS f r Armor GuardLogix auf der Titelseite Titelseite Neue Informationen zu Kinetix 5500 Servoantrieben in der Liste der 16 Komponenten mit SIL 3 Zertifizierung Neues 1756 EN2TRXT Modul in der Liste der Kommunikationsschnittstellen 23 module Neuer Hinweis dass ein Projekt nicht verifiziert werden kann wenn 35 Kombinationen aus doppelten SNN und Netzknotenadressen vorliegen Neuer Verweis auf das Benutzerhandbuch f r Kinetix 5500 Servoantriebe 72 wenn es um Informationen zur Verwendung direkter Achssteuerungsbefehle in Sicherheitsanwendungen geht Neue aktualisierte Sicherheitsdaten IEC 61508 Edition 2 2010 Anhang E f r Guard 1 0 Module Neue Sicherheitsdaten f r 1734 IB8S Module der Serie B und Anhang E 1734 0B8S Module der Serie B Aktualisierte PFH Daten f r 1734 IE4S Module Anhang E Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Zusammenfassung der nderungen Notizen 4 Rockwell Automation Publikation 1756 RM099B DE P
119. mit zwei Eing ngen versehene Sicherheitsger te deren Hauptaufgabe darin besteht T V Test and Mute eine Stoppfunktion wie z B einen Not Halt ein Lichtgitter oder einen Gate Switch zur Verf gung Zweikanaleingang Stopp mit zu stellen Bietet zus tzlich die F higkeit einen Funktionstest des Stoppger ts zu initialisieren und Test und Muting das Sicherheitsger t tempor r zu deaktivieren DCM Dual Channel Input Monitor berwacht mit zwei Eing ngen versehene Sicherheitsger te e BG Zweikanaleingang T V berwachung DCSRT Dual Channel Input Start Schaltet mit zwei Eing ngen versehene Sicherheitsger te ein deren Hauptfunktion darin besteht BG Zweikanaleingang Start eine Maschine sicher zu starten z B Zustimmtaster e T V SMAT Safety Mat Sicherheitsmatte Gibt an ob die Sicherheitsmatte belegt ist T V THRSe Two Hand Run Station Enhanced berwacht zwei diversit re Sicherheitseing nge einen von einer rechten und einen von einer BG Zweihandbedienstation linken Drucktaste zur Steuerung eines einzigen Ausgangs Bietet eine konfigurierbare Kanal zu T V erweitert Kanal Diskrepanzzeit und die erweiterte F higkeit eine Zweihandbedienstation zu berbr cken TSAM Two Sensor Asymmetrical Muting Deaktiviert die Schutzfunktion eines Lichtgitters mithilfe zweier asymmetrisch angeordneter T V Muting mit zwei Sensoren in Muting Sensoren vor bergehend automatisch asymmetrischer Anordnung
120. mponenten wie z B die Sicherheits Iask Sicherheits Programms Sicherheits Routinen Sicherheits Tags Sicherheits Add On Befehle E A Sicherheitsmodule und die Sicherheits Task Signatur Die Sicherheitsverriegelung allein erf llt jedoch nicht die Anforderungen von SIL 3 Kein Teil der Sicherheit kann ge ndert werden w hrend sich die Steuerung im sicherheitsverriegelten Zustand befindet Wenn die Steuerung sicherheitsverriegelt ist sind die folgenden Aktionen in der Sicherheits Task nicht gestattet e Online oder Offline Programmierung oder Bearbeitung e Forcen von Sicherheits E A e Datenmanipulation au er durch Routinelogik oder eine andere GuardLogix Steuerung e Erstellen oder Bearbeiten von Sicherheits Add On Befehlen e Erzeugen oder L schen der Sicherheits Task Signatur Der Standardzustand der Steuerung ist sicherheitsentriegelt Sie k nnen die Sicherheitsanwendung unabh ngig davon ob Sie online oder offline sind und ungeachtet dessen ob Sie ber die Originalquelle des Programms verf gen in den sicherheitsverriegelten Zustand setzen Es d rfen jedoch keine Sicherheits Forces oder anstehenden Sicherheitsbearbeitungen vorliegen Der Status sicherheitsverriegelt bzw sicherheitsentriegelt kann nicht ge ndert werden wenn der Schl sselschalter in der Stellung RUN steht Als zus tzlicher Schutz k nnen getrennte Kennw rter f r die Sicherheits verriegelung und entriegelung der Steuerung ver
121. n Y i Herunterladen Ja Y gt Anwendungsprogramm testen Y In Programm Modus wechseln Y Sicherheits Task Signatur erstellen y Erforderliche Projekt best tigen nderungen vornehmen y 4 In Run Modus wechseln i Sicherheits Task Signatur l schen y Projektverifizierungstest Nein Y Nein Alle Tests bestanden Ja Y Sicherheits Task Signatur aufzeichnen Projekt einer Sicherheitsvalidierung unterziehen Nein Projekt g ltig 74 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Sicherheits Add On Befehlle Anhang B Add On Befehl Testprojekt erstellen Sie m ssen eigens zum Erstellen und Testen des Sicherheits Add On Befehls ein eindeutiges Textprojckt erstellen Bei diesem Projekt muss es sich um ein separates und eigenes Projekt handeln damit unerwartete Einfl sse minimiert werden Befolgen Sie die Leitlinien f r Projekte im Kapitel Projekt erstellen auf Seite 53 Sicherheits Add On Befehl erstellen Eine Anleitung zum Erstellen von Add On Befehlen finden Sie im Programmierhandbuch zu Add On Befehlen f r Logix5000 Steuerungen Logix5000 Controllers Add On Instructions Publikation 1756 PM010 Befehlssignatur erzeugen Anhand der Befehlssignatur k nnen Sie schnell feststellen ob der Befeh
122. n Tags 47 Rockwell Automation Publikation 1756 RM099B DE P November 2014 111 Index 112 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Kundendienst von Rockwell Automation Rockwell Automation bietet Ihnen ber das Internet Unterst tzung bei der Verwendung seiner Produkte Unter http www rockwellautomation com support finden Sie technische Hinweise und Applikations beispiele Beispielcode und Links zu Software Service Packs In unserem Support Center unter https rockwellautomation custhelp com finden Sie au erdem Software Updates Support Chats und Foren technische Informationen Antworten auf h ufig gestellte Fragen und Sie k nnen sich f r Benachrichtigungen ber Produkt Updates anmelden Dar ber hinaus bieten wir mehrere Support Programme f r die Installation Konfiguration und Fehlerbehebung an Wenn Sie weitere Informationen w nschen wenden Sie sich bitte an den f r Sie zust ndigen Distributor oder Rockwell Automation Mitarbeiter Sie k nnen uns auch gerne auf unserer Website http www rockwellautomation com services online phone besuchen Unterst tzung bei der Installation Wenn innerhalb von 24 Stunden nach der Installation ein Problem auftritt lesen Sie bitte die Informationen in diesem Handbuch Au erdem k nnen Sie sich an den Kundendienst wenden wenn Sie Unterst tzung bei Einrichtung und Inbetriebnahme Ihres Produktes ben tigen USA oder Kanada 1 440 646 3434 Au erhalb
123. nMode und ConnectionFaulted eines Ger ts Die folgende Tabelle beschreibt die Kombinationen der Zust nde RunMode und ConnectionFaulted Tabelle 8 Sicherheitsverbindungsstatus RunMode ConnectionFaulted A Status Status Betrieb der Sicherheitsverbindung 1 Run 0 G ltig Daten werden aktiv durch das produzierende Ger t gesteuert Das produzierende Ger t befindet sich im Run Modus 0 Leerlauf 0 G ltig Die Verbindung ist aktiv und das produzierende Ger t ist im Leerlauf Die Sicherheitsdaten werden auf null zur ckgesetzt 0 Leerlauf 1 Fehlerhaft Die Sicherheitsverbindung ist fehlerhaft Der Zustand des produzierenden Ger ts ist unbekannt Die Sicherheitsdaten werden auf null zur ckgesetzt 1 1 Ung ltiger Zustand Verbindungen k nnen nicht automatisch daf r konfiguriert werden die Steuerung in den St rungsstatus zu versetzen wenn die Verbindung unterbrochen wird und das System in den sicheren Zustand bergeht Falls Sie also eine Ger test rung ermitteln m ssen um sicherzustellen dass das System SIL 3 beibeh lt m ssen Sie die CONNECTION_STATUS Bits der Sicherheits E A berwachen und die St rung ber die Programmierlogik einleiten f ACHTUNG Sicherheits E A Verbindungen und produzierte konsumierte Eingangs und Ausgangsdiagnose Guard I O Module stellen Impulstest und berwachungsfunktionen bereit Wenn das Modul einen Fehler erkennt wird der jeweilige Ein oder
124. ndung 3 Sicherheits Task Periode plus Sicherheits Task berwachungszeitraum f r Steuerung A 4 Reaktionszeitbeschr nkung produzierte konsumierte Sicherheits verbindung 5 Sicherheits Task Periode plus Sicherheits Task berwachungszeitraum f r Steuerung B 6 Reaktionszeitbeschr nkung Sicherheitsausgangsverbindung 7 Reaktionszeit des Sicherheitsausgangsger ts Zur erleichterten Bestimmung der Reaktionszeit Ihres spezifischen Regelkreises steht im Ordner Tools auf der DVD mit der Studio 5000 Umgebung eine Microsoft Excel Kalkulationstabelle zur Verf gung Rockwell Automation Publikation 1756 RMO99B DE P November 2014 81 AnhangC Reaktionszeiten Faktoren die die Komponenten der Logix Systemreaktionszeit beeinflussen 82 Die in den vorherigen Abschnitten erl uterten Komponenten der Logix Reaktionszeiten werden von einer Reihe von Faktoren beeinflusst die in der folgenden Tabelle beschrieben werden Tabelle 13 Faktoren die die Logix Systemreaktionszeit beeinflussen Komponente der Reaktionszeit Verz gerung des Eingangsger ts Beeinflussende Faktoren Reaktionszeit des Eingangsger ts Einstellungen f r Ein Aus und Aus Ein des jeweiligen Eingangskanals sofern verf gbar Reaktionszeitbeschr nkung Sicherheitseingangsverbindung Einstellungen des Eingangsger ts f r e Requested Packet Interval RPI e Timeout Multiplikator e Verz gerungsmultiplikator Menge des Datenverkehrs im
125. ngen d h Ausf hrung zu Programm oder Programm zu Ausf hrung in zeitgesteuerten Intervallen Daher kann die Sicherheits Task mehr als eine Task Periode ben tigen aber immer weniger als zwei um einen Modus bergang zu vollziehen WICHTIG W hrend die Steuerung sicherheitsentriegelt ist und keine Sicherheits Task Signatur besitzt verhindert sie den gleichzeitigen Schreibzugriff auf den Sicherheitsspeicher durch die Sicherheits Task und die Kommunikations befehle Daher kann die Sicherheits Task verz gert werden bis ein Kommuni kationsupdate abgeschlossen ist Die f r das Update ben tigte Zeit h ngt von der Tag Gr e ab Daher k nnten Timeouts der Sicherheitsverbindung und des Sicherheits berwachungszeitraums auftreten Wenn Sie zum Beispiel Online Bearbeitungen bei auf 1 ms eingestellter Geschwindigkeit der Sicher heits Task vornehmen k nnte ein Timeout des Sicherheits berwachungs zeitraums auftreten Zum Ausgleich der Verz gerungszeit aufgrund eines Kommunikationsupdates sollten dem Sicherheits berwachungszeitraum 2 ms hinzugef gt werden Wenn die Steuerung sicherheitsverriegelt ist oder eine Sicherheits Task Signatur existiert kann die in diesem Hinweis beschriebene Situation nicht auftreten Halten Sie die folgenden Vorsichtsma nahmen und Leitlinien f r die Verwen dung von HMI Ger ten in GuardLogix Systemen mit SIL Einstufung ein Vorsichtsma nahmen Sie m ssen Vorsichtsma nahmen ergreifen und spezifisc
126. on com literature anzeigen oder herunterladen Druckexemplare der einzelnen technischen Dokumentationen erhalten Sie bei Ihrem Allen Bradley Distributor oder Rockwell Automation Ansprechpartner Rockwell Automation Publikation 1756 RMO99B DE P November 2014 11 Vorwort Notizen 12 Rockwell Automation Publikation 1756 RM099B DE P November 2014 SIL 3 Zertifizierung Kapitel 1 Informationen zu SIL Thema Seite SIL3 Zertifizierung 13 Funktionspr fungen 14 GuardLogix Architektur f r SIL 3 Anwendungen 15 GuardLogix Systemkomponenten 16 GuardLogix Zertifizierungen 18 GuardLogix Spezifikationen f r PFD und PFH 18 SIL Einhaltung Safety Integrity Level Verteilung und Gewichtung 19 Systemreaktionszeit 19 Sicherheits Task Periode und Sicherheits Task berwachungszeitraum 20 Ansprechpartner bei Ger teausfall 20 Die GuardLogix Steuerungssysteme der Serie 5570 sind baumustergepr ft und f r den Einsatz in Sicherheitsanwendungen bis einschlie lich SIL CL3 gem IEC 61508 und IEC 62061 sowie f r den Einsatz in Sicherheitsanwendungen bis einschlie lich Performance Level PLe Kategorie 4 gem ISO 13849 1 zertifiziert Die SIL Anforderungen basieren auf den Standards die zur Zeit der Zertifizierung gelten WICHTIG Wenn sich die GuardLogix Steuerung im Run oder Programmmodus befindet und Sie das Anwendungsprogramm nicht validiert haben sind Sie f r die Einhaltung der Sicherheits
127. r SIL Wert f r ein sicherheitstechnisches System f r niedrige Beanspruchung h ngt direkt mit den Gr enordnungsbereichen seiner durchschnittlichen Ausfallwahrscheinlichkeit bei der zufriedenstellenden Durchf hrung seiner Sicherheitsfunktion oder einfach mit der Versagenswahrscheinlichkeit PFD zusammen Der SIL Wert f r ein sicherheitstechnisches System f r hohe Beanspruchung h ngt direkt mit der Wahrscheinlichkeit eines gef hrlichen Ausfalls pro Stunde PFH zusammen Die PFD und PFH Werte k nnen mit allen drei prim ren Elementen in Zusammenhang gebracht werden und ergeben zusammen ein sicherheitstech nisches System die Sensoren das Logikelement und die Aktoren Das Logik element umfasst au erdem Eingangs Prozessor und Ausgangselemente Informationen zu den PFD und PFH Werten sowie zu den Intervallen der Funktionspr fung f r Guard O Module finden Sie in Anhang E Sicherheitsdaten der GuardLogix Systeme Abbildung 2 PFH Berechnungsbeispiel 1791DS 1B12 C GuardLogix Steuerung REGELKREIS 1 T 1791DS IB4X0X4 Aktor Aktor REGELKREIS 2 1791DS IB8X0B8 E 7 Rockwell Automation Publikation 1756 RM099B DE P November 2014 SIL Einhaltung Safety Integrity Level Verteilung und Gewichtu 40 der PFD Sensor Informationen zu SIL Kapitel 1 Um die Logikelement PFH f r jeden Sicherheitsregelkreis in dem oben
128. rheitseing ngen nach SIL 2 um einkanalige Eing nge handeln wodurch sich sowohl die Komplexit t des Systems als auch die Zahl der ben tigten Module verringert Der Entwickler des Sicherheitssystems ist daf r verantwortlich alle Sicherheits funktionen ordnungsgem zu implementieren Dabei ist Folgendes zu beachten e Auswahl der Feldger te korrekte Auswahl Identifizierung und Behebung von allen Ger tefehlern e Ber cksichtigung der Sicherheitsanforderungen gering IEC 61511 oder hoch ISO 13849 e Ber cksichtigung von Testintervallen Diagnose und Pr fungen die erforderlich sind um die Anforderungen der Anwendung zu erf llen e Identifizierung aller verwendeten Fehlerausschl sse und Begr ndung anhand der ordnungsgem en Dokumentation WICHTIG Werden in der Sicherheits Task gleichzeitig SIL 2 und SIL 3 Sicherheits funktionen verwendet Kombination dann m ssen Sie verhindern dass die SIL 2 Eingangssignale direkt die SIL 3 Sicherheitsfunktionen steuern Verwenden Sie spezifische Sicherheits Task Programme oder Routinen um SIL 2 und SIL 3 Funktionen voneinander zu trennen Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Kapitel 5 Die Anwendung Logix Designer enth lt in der Sicherheits Task eine Reihe von sicherheitstechnischen Kontaktplanbefehlen GuardLogix Steuerungen stellen auch anwendungsspezifische Sicherh
129. rompfad 4 96 Rockwell Automation Publikation 1756 RM099B DE P November 2014 Software RSLogix 5000 ab Version 14 Beschreibung der Befehle f r Sicherheitsanwendungen Abbildung 23 Kontaktplanlogik Beispiel 1 Netzknoten 30 ist ein 8 Punkt Eingangs 8 Punkt Ausgangs Kombinationsmodul Netzknoten 31 ist ein 12 Punkt Eingangsmodul Ist der Eingangszustand nicht OK schalten Sie auf die Anzeige die den fehlerhaften Eingang anzeigt Node30 l InputStatus Node30lnputsFaulted VE gt Anhang F Node31 1 CombinedStatus Node31InputsFaulted JE L Wird die Anstiegsflanke des Fehler Reset Signals erkannt und ist der Eingangszustand OK setzen Sie die Anzeige f r den fehlerhaften Eingang zur ck FaultReset InputFaultResetOneShot Node30 l InputStatus Node30lnputsFaulted IE F z Sc IE LONS BE U Node31 1 CombinedStatus Node31InputsFaulted u U Liegt an den Eing ngen ein Fehler vor berschreiben Sie die Eingangs Tags mit den Werten f r sicheren Zustand Node30lnputsFaulted Node30 1 Pt00Data IE U JE I Node30 1 Pt01Data U Z 2 o Node30 1 Pt07Data gt Liegt an den Eing ngen ein Fehler vor berschreiben Sie die Eingangs Tags mit den Werten f r sicheren Zustand Node31InputsFaulted Node31 1 Pt00Data I E U AE D Node31 1 Pt01Data U o r o Z 8 o Node31 1 Pt11Data U Ist die Anzeige f r fehlerhafte Eing nge wahr setzen Sie die Werte des
130. rspr ngliche SNN Projekt Steuerung B in die Konfiguration des Projekts der Steuerung A kopiert werden Dies wird mithilfe der Standardbefehle zum Kopieren und Einf gen einfach bewerkstelligt Dies f hrt dazu dass das CIP Safety E A Ger t Daten gleichzeitig f r zwei GuardLogix Steuerungen produziert Das Kopieren und Einf gen ist f r maximal 16 Steuerungen zul ssig Informationen zum ndern Kopieren und Einf gen von Sicherheitsnetzwerk nummern finden Sie in der Publikation 1756 UM022 GuardLogix 5570 Steuerungen Benutzerhandbuch SNN beim Kopieren eines Sicherheitsprojekts eine andere Hardwareinstallation ausgerichtet ist oder sich an einem anderen physischen Standort befindet und bei dem die Installation innerhalb desselben Routing f higen CIP Safety Systems bleibt muss jede SNN im zweiten System ge ndert werden SNN Werte d rfen sich nicht wiederholen Informationen zum ndern der SNN finden Sie in der Publikation 1756 UM022 GuardLogix 5570 Steuerungen Benutzerhandbuch i ACHTUNG Wird ein Sicherheitsprojekt in ein anderes Projekt kopiert das auf Rockwell Automation Publikation 1756 RM099B DE P November 2014 Unterscheidung zwischen Standard und Sicherheit Kapitel 5 Merkmale von Sicherheits Tags der Sicherheits Task und von Sicherheitsprogrammen Thema Seite Unterscheidung zwischen Standard und Sicherheit 37 Sicherheitsanwendungen nach SIL 2 38 SIL 3 Sicherheit d
131. rte f r die Eingangs Tags in die interne Darstellung der Eing nge Node31InputsFaulted p Node31 1 Pt00Data Node31Input00 IE CS E Node31 1 Pt01Data Node31InputO1 A Node31 1 Pt11Data 0000 Z Node31Input11 Ist die Anzeige f r fehlerhafte Eing nge wahr setzen Sie die interne Darstellung des diversit ren Eingangs in den sicheren Zustand 1 Node311nputO1 NodesolnputsFanlted JE Rockwell Automation Publikation 1756 RM099B DE P November 2014 C Node31Input03 L Software RSLogix 5000 ab Version 14 Beschreibung der Befehle f r Sicherheitsanwendungen Anhang F Abbildung 25 Ablaufdiagramm zum Verriegeln und Zur cksetzen eines Ausgangs Erfordert diese Sicherheitsfunktion das Eingreifen eines Bedieners nach einem Sicherheitsausgangsfehler Schreiben Sie Logik zum Verriegeln eines fehlerhaften Ausgangs Beispielstrompfad 0 Sind Ausgangsfehlerdaten f r Diagnosezwecke erforderlich Schreiben Sie Logik zum Setzen der Ausg nge in den sicheren Zustand Beispielstrompfad 2 Schreiben Sie Logik zum Verriegeln eines fehlerhaften Ausgangs Beispielstrompfad 0 Schreiben Sie Logik zum Entriegeln eines fehlerhaften Ausgangs Beispielstrompfad 1 Y Abbildung 26 Kontaktplanlogik Beispiel 3 Netzknoten 30 ist ein 8 Punkt Eingangs 8 Punkt Ausgangs Kombinationsmodul Ist der Ausgangszustand nicht
132. rung der Sicherheits Task abh ngt Daher werden Sicherheits Tags mit der periodischen Geschwindigkeit der Sicherheits Task aktualisiert Dieses Verhalten unterscheidet sich von dem der Standard Tags Verwendung von Standard Tags in Sicherheitsroutinen Tag Zuordnung Standard Tags im Steuerungsbereich k nnen Sicherheits Tags zugewiesen werden sodass ein Mechanismus zur Synchronisierung von Standard und Sicherheitsaktionen zur Verf gung steht Sie daf r verantwortlich eine zuverl ssige Methode zur sicheren Verwendung der Daten bereitzustellen Wenn Sie Standarddaten in einem Sicherheits Tag verwenden werden diese nicht zu Sicherheitsdaten Sie d rfen einen Sicher heitsausgang mit Standard Tag Daten nicht direkt steuern ACHTUNG Bei Verwendung von Standarddaten in einer Sicherheitsroutine sind Dieses Beispiel veranschaulicht wie die Standarddaten mit Sicherheitsdaten beschrieben werden k nnen Abbildung 14 Beschreiben von Standarddaten mit Sicherheitsdaten Safety Tag Mapping F x _TstenderdTaonane cefeaewTaene e E STDBooleanT ag MappedBooleanT ag Help Delete Row e MappedBooleg LatchOneShot Node38ComboModule l Pt07Data Node30ComboModule 0 Pt03Data I Sicherheitseingangsqualifikator f r zugeordnetes Tag Verriegelungsschaltung zur Vermeidung eines automatischen Neustarts wenn der Sicherheitsausgang Standardeingang MappedTag mit dem Zustand liegt st ndig auf 1 ausgefallen
133. rung zu entriegeln bevor sie die Sicherheits Task Signatur l schen k nnen stechnischen Anforderungen einhalten Das Anwendungsprogramm f r das beabsichtigte SIL CL3 System sollte vom Systemintegrator und oder einem Anwender mit Ausbildung und Erfahrung im Bereich der Sicherheitsanwendungen entwickelt werden Der Entwickler muss eine fundierte Entwicklungspraxis aufweisen und in der Lage sein Folgendes zu verwenden e Verwendung von Funktionsspezifikationen wie Flussdiagrammen Zeitdiagrammen und Ablauftabellen berpr fung der Sicherheits Task Logik e Validierung der Anwendung Rockwell Automation Publikation 1756 RM099B DE P November 2014 Inbetriebnahme prozess Entwicklung von Sicherheitsanwendungen Kapitel 6 Das nachstehende Diagramm zeigt die zur Inbetriebnahme eines GuardLogix Systems erforderlichen Schritte Die Elemente in Fettdruck werden in den folgenden Abschnitten erkl rt Abbildung 15 Inbetriebnahme des Systems Steuerungsfunktion spezifizieren Projekt Projekt online erstellen offline erstellen Mit Steuerung verkn pfen und herunterladen Anwendungsprogramm testen Erforderliche nderungen vornehmen Sicherheits Task Signatur erzeugen Sicherheits Task Signatur l schen Projektverifizierungstest Tests bestanden Ja Projekt best tigen Sicherheits Task Signatur aufzeichnen Sicherheits Checklisten in Anhang D ausf llen Nein Sicherheitsval
134. spielen wird die Funktion Combined Status Kombinierter Zustand der E A Module verwendet die den Status aller Eingangskan le in einer einzigen booleschen Variablen darstellt Mit einer weiteren booleschen Variablen wird der Zustand aller Ausgangskan le dargestellt Mit diesem Konzept kann der Umfang der erforderlichen E A Konditionierungslogik reduziert werden und die Logik geforced werden alle Eingangs oder Ausgangskan le am betroffenen Modul zu deaktivieren Bestimmen Sie anhand der Abbildung Ablaufdiagramm zum Verriegeln und Zur cksetzen eines Eingangs auf Seite 96 welche Strompfade der Logik f r verschiedene Anwendungssituationen erforderlich sind Kontaktplanlogik Beispiel 1 zeigt Logik die die tats chlichen Eingangs Tag Variablen berschreibt w hrend ein Fehlerzustand vorliegt Wenn der tats chliche Eingangszustand zur Fehlerbehebung erforderlich ist w hrend der fehlerhafte Eingang verriegelt ist dann verwenden Sie die Logik in Kontaktplanlogik Beispiel 2 Diese Logik verwendet interne Tags die die in der Anwendungslogik zu verwendenden Rockwell Automation Publikation 1756 RMO99B DE P November 2014 95 Anhang F Software RSLogix 5000 ab Version 14 Beschreibung der Befehle f r Sicherheitsanwendungen Eing nge darstellen W hrend der Eingang verriegelt ist werden die internen Tags in den sicheren Zustand gesetzt W hrend der Eingang nicht verriegelt ist werden die tats chlichen Eingangswerte in
135. ssen Sie diese Signatur nicht berwachen Die GuardLogix Steuerung berwacht die Signatur automatisch Austausch von E A Sicherheitsger ten F r den Austausch von Sicherheitsger ten ist es erforderlich dass das Ersatzger t entsprechend konfiguriert wird und dass der Betrieb des Ersatzger ts durch den Anwender verifiziert wird ACHTUNG W hrend des Austauschs oder eines Funktionstests eines Ger ts darf die Sicherheit des Systems in keiner Weise vom betroffenen Ger t abh ngen Rockwell Automation Publikation 1756 RMO99B DE P November 2014 29 Kapitel3 CIP Safety E A f r das GuardLogix Steuerungssystem In der Anwendung Logix Designer auf der Registerkarte Safety Sicherheit im Dialogfeld Controller Properties Steuerungseigenschaften gibt es zwei M glichkeiten E A Ger te auszutauschen e Configure Only When No Safety Signature Exists Nur konfigurieren wenn keine Sicherheitssignatur vorliegt e Configure Always Immer konfigurieren Abbildung 7 Optionen f r den Austausch von E A Sicherheitsmodulen ox General Serial Port System Protocol User Protocol Major Faults Minor Faults Date Time Advanced File Safety Memory Safety Application Unlocked Safety Status Safety Signature PoE ID none Date When replacing Safety 1 0 Configure Only When No Safety Signature Exists C Configure Always OK Cancel Appl Help Configure Only When No Safety Signat
136. stem und dem Zeitpunkt an dem das System die entsprechenden Ausg nge in den sicheren Zustand versetzt Fehler im System k nnen zudem die Reaktionszeit des Systems beeintr chtigen Die Systemreaktionszeit ist die Summe der folgenden Reaktionszeiten Sensor Eingangs Sicherheits Ausgangs Aktor reaktions reaktions Task reaktions reaktions zeit zeit Reaktionszeit zeit zeit Die einzelnen Reaktionszeiten h ngen von unterschiedlichen Faktoren ab wie dem Typ des E A Ger ts und den im Programm verwendeten Befehlen Rockwell Automation Publikation 1756 RM099B DE P November 2014 19 Kapitel1 Informationen zu SIL Ansprechpartner bei Ger teausfall 20 Sicherheits Task Reaktionszeit Die Sicherheits Task Reaktionszeit ist die l ngstm gliche Verz gerung einer bei der Steuerung eingehenden Eingangs nderung bis der verarbeitete Ausgang vom Ausgangs Producer eingerichtet wird Dieser Zeitraum ist kleiner als die oder gleich der Summe von Sicherheits Task Periode und Sicherheits Task berwachungszeitraum Sicherheits Task Periode und Sicherheits Task berwachungs zeitraum Die Sicherheits Task Periode ist das Intervall mit dem die Sicherheits Task ausgef hrt wird Die Zeit des Sicherheits Task berwachungszeitraums ist die maximal zul ssige Zeit f r die Verarbeitung der Sicherheits Task Wenn die Zeit f r die Verarbeitung der Sicherheits Task ber
137. t die Bewegungen zum Starten Stoppen und Ausf hren des Betriebs einer Nockenwelle BG Uberwachung Nockenwelle T V EPMS Eight position Mode Selector berwacht acht Sicherheitseing nge zur Steuerung eines von acht Ausg ngen der dem aktiven e BG 8 fach Betriebsartenwahlschalter Eingang entspricht T V AVC Auxiliary Valve Control Steuert ein Hilfsventil das zusammen mit einem Hauptventil verwendet wird T V Steuerung Hilfsventil MVC Main Valve Control Steuert und berwacht ein Hauptventil BG Steuerung Hauptventil T V MMVC Maintenance Manual Valve Control Dient dazu ein Ventil w hrend der Instandhaltung manuell zu steuern BG Manuelle Ventilsteuerung T V bei Wartung Routinen in der Sicherheits Task k nnen diese Kontaktplanlogik Sicherheitsbefehle verwenden Tabelle 11 Kontaktplanlogik Sicherheitsbefehle Typ Mnemonik Name Aufgabe FAL File Arithmetic and Logic Kopier Arithmetik Logik und Funktionsvorg nge zu den in einem Datenfeld gespeicherten Daten Dateiarithmetik und Logik durchf hren FM File Fill Element eines Datenfelds mit dem Ausgangswert Datentyp f llen wobei der Ausgangswert Datentyp Dentali Datei f llen unver ndert bleibt atenfe Datei psc File Search and Compare Wert in einem Datenfeld elementweise vergleichen Datei suchen und vergleichen s ze Size In Elements Gr e der Dimension eines Datenfelds finden Gr e in Elem
138. t und im Sicherheitsanwendungsprogramm gespeichert wurden Falls Ihr Anwendungsprogramm einen Sicherheits Add On Befehl enth lt der mit einer Befehlssignatur abgeschlossen versiegelt wurde dann m ssen Sie auch die Befehlssignatur Datum Uhrzeit und die Sicherheitsbefehlssignatur mit den Werten vergleichen die Sie beim Abschlie en des Add On Befehls aufgezeichnet haben Informationen dazu wie Sie Sicherheits Add On Befehle in SIL 3 Anwendungen erstellen und verwenden finden Sie in Anhang B Sicherheits Add On Befehle Die nachstehenden Schritte zeigen ein Verfahren zur Best tigung des Projekts 1 Speichern Sie das Projekt w hrend sich die Steuerung im Programm modus befindet 2 Beantworten Sie die Frage nach dem Hochladen der Tag Werte mit Ja 3 Speichern Sie w hrend die Anwendung Logix Designer offline ist das Projekt unter einem neuen Namen wie etwa Offline Projektname ACD wobei Projektname der Name Ihres Projekts ist Hierbei handelt es sich nun um die neue getestete Master Projektdatei 4 Schlie en Sie das Projekt 5 Verschieben Sie die Archivdatei mit dem Originalprojekt aus ihrem aktuellen Verzeichnis Sie k nnen diese Datei l schen oder an einer entsprechenden Stelle speichern Archiv Dieser Schritt ist erforderlich denn wenn die Anwendung Logix Designer die Datei Projektname ACD in diesem Verzeichnis findet dann setzt sie sie mit dem Steuerungsprojekt in Beziehung und f hrt ke
139. t werden Detaillierte Informationen hierzu finden Sie in der IEC 61508 3 Abschnitt 7 8 Software Modifikation Abbildung 16 Online und Offline Bearbeitungsverfahren Offline Bearbeitung Online Bearbeitung Projekt ffnen Steuerung entriegeln Sicherheits nderungen Nein Y Gew nschte nderungen an Standardlogik vornehmen Mit Steuerung verkn pfen und herunterladen pn Anwendungsprogramm testen Ze Projekt best tigen Mit Steuerung verkn pfen Sicherheits nderungen Ja Steuerung entriegeln Gew nschte nderungen an Standardlogik vornehmen Anwendungsprogramm testen Sicherheitsanwendungs signatur l schen Gew nschte nderungen Sicherheitsanwendungs signatur l schen an Sicherheitslogik Gew nschte vornehmen A Anderungen vornehmen Mit Steuerung verkn pfen und herunterladen Anwendungsprogramm testen Erforderliche nderungen Anderungseinflusstest vornehmen Tests Sicherheitsanwendungs bestanden signatur l schen Projekt best tigen Sicherheits Task Signatur erzeugen Sicherheitsanwendungs signatur aufzeichnen Sicherheitsvalidierung unabh ngige berpr fung Projekt g ltig Steuerung verriegeln Rockwell Automation Publikation 1756 RMO99B DE P November 2014 61 Kapitel 6 Notizen 62 Entwicklung von Sic
140. truction und dann auf Print gt Signature Listing Sicherheits Add On Befehl exportieren und importieren Wenn Sie einen Sicherheits Add On Befehl exportieren w hlen Sie die Option um alle referenzierten Add On Befehle und benutzerdefinierten Typen User Defined Types in dieselbe Exportdatei einzuschlie en Wenn Sie die referenzierten Add On Befehle einschlie en wird es einfacher die Signaturen zu erhalten Beachten Sie beim Importieren von Add On Befehlen bitte folgende Leitlinien e Sie k nnen keinen Sicherheits Add On Befehl in ein Standardprojekt importieren e Sie k nnen keinen Sicherheits Add On Befchl in ein Sicherheitsprojekt importieren das sicherheitsverriegelt wurde oder ber eine Sicherheits Task Signatur verf gt e Sie k nnen keinen Sicherheits Add On Befehl importieren w hrend Sie online sind e Wenn Sie einen Add On Befehl mit einer Befehlssignatur in ein Projekt importieren in dem keine referenzierten Add On Befehle oder benutzerdefinierten Typen zur Verf gung stehen dann m ssen Sie die Signatur m glicherweise entfernen Rockwell Automation Publikation 1756 RMO99B DE P November 2014 77 AnhangB _ Sicherheits Add On Befehle Weitere Informationsquellen Signaturen des Sicherheits Add On Befehls verifizieren Nachdem Sie das Anwendungsprojekt mit dem importierten Sicherheits Add On Befehl heruntergeladen haben m ssen Sie die Werte von Befehlssignatur Datum Zeitstempel und Sicherhei
141. tsbefehlssignatur mit den Originalwerten ver gleichen die Sie vor dem Export des Sicherheits Add On Befehls aufgezeichnet haben Stimmen sie berein dann ist der Sicherheits Add On Befehl g ltig und Sie k nnen mit der Validierung Ihrer Anwendung fortfahren Anwendungsprogramm testen Dieser Schritt besteht aus einer Kombination aus Run und Programm Modus Online oder Offline Programmbearbeitungen Hochladen und Herunterladen sowie informellem Testen das erforderlich ist um die korrekte Ausf hrung einer Anwendung zu erreichen Projektverifizierungstest F hren Sie einen Engineering Test der Anwendung inklusive Sicherheitssystem durch Weitere Informationen finden Sie unter Projektverifizierungstest auf Seite 54 Projekt einer Sicherheitsvalidierung unterziehen Eine unabh ngige berpr fung des Sicherheitssystems durch einen Dritten ist ggf erforderlich bevor das System zum Betrieb freigegeben wird Eine unabh n gige Validierung durch einen Dritten ist f r IEC 61508 SIL 3 erforderlich N here Informationen zur Verwendung von Add On Befehlen k nnen Sie folgenden Publikationen entnehmen Quelle Beschreibung Logix5000 Controllers Add On Instructions Programming Manual Publikation 1756 PM010 Enth lt Informationen zu Planung Erstellung Verwendung Import und Export von Add On Befehlen in RSLogix 5000 Anwendungen Import Export Project Components Programming Manual Publikation 1756 PM019 Enth lt d
142. ty E A Modul TH EETA ETA O LO LO LO Ka Kg S SJES z Steuerung A CIP Safety E A Modul DeviceNet Netzwerk CIP Safety E A Modul Rockwell Automation Publikation 1756 RMO99B DE P November 2014 23 Kapitel2 _GuardLogix Steuerungssystem TIPP Die Peer to Peer Sicherheitskommunikation zwischen zwei GuardLogix Steuerungen im selben Chassis ist auch ber die Backplane m glich Backplane N Q N N nm nm l 1 Re Ke n re _ 1756 1728 1756 L7SP DeviceNet Sicherheitsnetzwerk DeviceNet Bridges erm glichen der GuardLogix Steuerung die Steuerung und den Austausch von Sicherheitsdaten mit CIP Safety E A Modulen in einem DeviceNet Netzwerk Abbildung 5 Kommunikation ber eine DeviceNet Bridge 1756 L7SP 1756 L72S 1756 DNB CIP Safety E A Modul CIP Safety E A Modul DeviceNet Netzwerk ControlNet Netzwerk ControlNet Bridges erm glichen der GuardLogix Steuerung das Produzieren und Konsumieren von Sicherheits Tags ber ControlNet Netzwerke zu anderen GuardLogix Steuerungen oder dezentralen CIP Safety E A Netzwerken Abbildung 6 Kommunikation ber eine ControlNet Bridge ControlNet Netzwerk Steuerung A 1756 PB75 1756 1735 1756 L7SP 1756 0B16 1756 DNB 1756 1B16 CIP Safety E A Modul CIP Safety E A Modul Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Steuerung B DeviceNet Netzwerk berblick ber d
143. tzerhandbuch 16 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Informationen zu SIL Tabelle 3 Komponenten die zur Verwendung mit den Sicherheitssystemen der 1756 GuardLogix Steuerung geeignet sind Verwandte Dokumentationen Kapitel 1 Produkt Installations Benutzer Ger tetyp Bestellnummer Beschreibung reihe Version anleitung handbuch 1756 A4 Chassis mit 4 Steckpl tzen 1756 A7 Chassis mit 7 Steckpl tzen 1756 A10 Chassis mit 10 Steckpl tzen B n V 1756 A13 Chassis mit 13 Steckpl tzen Chassis 1756 A17 Chassis mit 17 Steckpl tzen 1756 IN005 n V 1756 A4LXT XT Chassis mit 4 Steckpl tzen B n V 1756 A5XT XT Chassis mit 5 Steckpl tzen 1756 A7XT XT Chassis mit 7 Steckpl tzen 1756 A7LXT XT Chassis mit 7 Steckpl tzen 1756 PA72 AC Netzteil C 1756 PB72 DC Netzteil C 1756 PA75 AC Netzteil B Netzteil n V 1756 IN005 n V 1756 PB75 DC Netzteil B 1756 PAXT XT Netzteil AC B 1756 PBXT XT Netzteil DC B 1756 ENBT EtherNet IP Bridge A 3 006 1756 EN2T A 2 005 1756 EN2F A 2 005 1756 EN2TR C 10 007 ENET IN002 ENET UM001 1756 EN3TR B 10 007 1756 EN2TXT XT EtherNet IP Bridge Kupfer 5 007 Kommunikations 1756 EN2TRXT C 10 006 module 1734 AENT POINT 1 0 Ethernet Adapter A 3 001 1734 1N590 1734 UMo11 1756 DNB DeviceNet Bridge A 6 002 DNET IN001 DNET UM004 1756 CN2 ControlNet Bridge A 12 001 1756 CN2R ControlNet
144. ure Exists Nur konfigurieren wenn keine Sicherheitssignatur vorliegt Diese Einstellung weist die GuardLogix Steuerung an ein Sicherheitsger t nur dann zu konfigurieren wenn die Sicherheits Task ber keine Sicherheits Task Signatur verf gt und sich das Austauschger t im urspr nglichen Zustand befindet d h wenn im Sicherheitsger t keine Sicherheitsnetzwerknummer vorhanden ist Wenn die Sicherheits Task eine Sicherheits Task Signatur hat konfiguriert die GuardLogix Steuerung das CIP Safety E A Ersatzger t nur dann wenn Folgendes zutrifft e Das Ger t verf gt bereits ber die korrekte Sicherheitsnetzwerknummer e Die elektronische Codierung des Ger ts ist korrekt e Die Netzknoten oder IP Adresse ist korrekt 30 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 CIP Safety E A f r das GuardLogix Steuerungssystem Kapitel 3 Configure Always Immer konfigurieren Die GuardLogix Steuerung versucht stets ein CIP Safety E A Austauschger t zu konfigurieren wenn sich das Ger t im urspr nglichen Zustand befindet d h wenn keine Sicherheitsnetzwerknummer im Sicherheitsaustauschger t vorliegt und die Netzknotennummer sowie die E A Ger t Codierung mit der Konfiguration der Steuerung bereinstimmen rieren nur wenn das gesamte Routing f hige CIP Safety Steuerungssystem zur Beibehaltung von SIL 3 w hrend des Austauschs und Funktionstests eines Ger ts nicht erforderlich ist N ACHTUNG Aktivieren S
145. vel Sicherheitsklassifizierung ISO 13849 1 SNN Sicherheitsnetzwerknummer Eine eindeutige Nummer die ein Sicherheitsnetzwerk oder Sicherheitsteilnetz in allen Netzwerken im Sicherheitssystem identifiziert SSV Set System Value Setzen des Systemwerts Ein Befehl der Kontaktplanlogik der Steuerungssystemdaten festlegt Standard Objekt Aufgabe Tag Programm oder Komponente in Ihrem Projekt das bzw die kein sicherheitsrelevantes Element ist d h eine Standardsteuerung bezieht sich generisch auf eine ControlLogix oder eine CompactLogix Steuerung Weitere Informationsquellen Die folgenden Dokumente enthalten weitere Informationen zu verwandten Produkten von Rockwell Automation Quelle Benutzerhandbuch GuardLogix 5570 Controllers User Manual Publikation 1756 UM022 Beschreibung Informationen zu Installation Konfiguration Programmierung und Einsatz von GuardLogix 5570 Steuerungen in Studio 5000 Logix Designer Projekten Referenzhandbuch Befehlssatz f r GuardLogix Sicherheitsanwendungen Publikation 1756 RM095 Informationen zum Befehlssatz f r GuardLogix Sicherheitsanwendungen Benutzerhandbuch Guard 1 0 DeviceNet Safety Modules User Manual Publikation 1791DS UM001 Informationen zur Verwendung von Guard 1 0 DeviceNet Sicherheitsmodulen Benutzerhandbuch Guard 1 0 EtherNet IP Sicherheitsmodule Publikation 1791ES UM001 Informationen zur Verwendung von Guard 1 0 EtherNet IP Sicherh
146. wendet werden Die Verwendung von Kennw rtern ist optional 56 Rockwell Automation Publikation 1756 RMO99B DE P November 2014 Herunterladen eines Sicherheitsanwendungs programms Hochladen eines Sicherheits anwendungsprogramms Online Bearbeitung Entwicklung von Sicherheitsanwendungen Kapitel 6 Beim Herunterladen ist ein Anwendungstest erforderlich sofern keine Sicherheits Task Signatur existiert WICHTIG Zur berpr fung der Integrit t jedes Download Vorgangs m ssen Sie die Sicherheits Task Signatur nach der ersten Erstellung manuell erfassen und die Sicherheits Task Signatur nach jedem Herunterladen pr fen um sicherzustellen dass sie dem Original entspricht Der Download auf eine sicherheitsverriegelte GuardLogix Steuerung ist nur zul ssig wenn die Sicherheits Task Signatur die Hardwareserie und die Betriebssystemversion des Offline Projekts mit den in der GuardLogix Zielsteuerung enthaltenen bereinstimmt und der Status der Sicherheits Task OK ist WICHTIG Falls die Sicherheits Task Signatur nicht bereinstimmt und die Steuerung Sicherheitsverriegelt ist m ssen Sie die Steuerung f r den Download Vorgang entriegeln In diesem Fall wird die Sicherheits Task Signatur durch den Download auf die Steuerung gel scht Daher m ssen Sie die Anwendung erneut validieren ACHTUNG Der USB Port ist nur zur tempor ren lokalen Programmierzwecken gedacht und nicht f r einen permanenten Anschluss Enth lt d
147. will da er die nderungen testen ihren Test aufheben oder sie l schen kann Der Anwender f hrt diese Aktion aus um alle nicht assemblierten Online Bearbeitungs nderungen zu verwerfen Sicherheitsbefehle die sicherheitstechnische Funktionalit t bereitstellen Sie wurden nach SIL 3 zur Verwendung in Sicherheitsroutinen zertifiziert Die Befehlssignatur besteht aus einer ID Nummer und einem Datums Zeitstempel der den Inhalt der Add On Befehlsdefinition zu einem bestimmten Zeitpunkt identifiziert Sicherheitsverbindung ist offen und aktiv sowie fehlerfrei Eine eindeutige Zahl die die Konfiguration eines Ger ts identifiziert Die Konfigurationssignatur besteht aus einer ID Nummer Datum und Uhrzeit Ein Fehler der bei ordnungsgem er Handhabung durch die Implementierung der von der Steuerung bereitgestellten Mechanismen zur Fehlerhandhabung keine Beendigung der Anwenderlogikausf hrung erzwingt Ein Fehler durch den die gesamte Verarbeitung der Sicherheits Task beendet wird und der zum Neustart der Sicherheits Task externe Anwendereingriffe erfordert auch wenn er durch die von der Sicherheitssteuerung bereitgestellten und vom Anwender implementierten Mechanismen zur Fehlerhandhabung ordnungsgem gehandhabt wird Ein Fehler der das Ende der gesamten Verarbeitung erzwingt und das Aus und Wiedereinschalten der Steuerspannung erforderlich macht Das Anwenderprogramm bleibt nicht erhalten und muss neu heruntergeladen w
148. x Designer mit der rechten Maustaste auf das Ger t und w hlen Sie Properties Eigenschaften aus Im Dialogfeld Module Properties Moduleigenschaften auf die Registerkarte Connection Verbindung klicken Inhibit Connection Verbindung sperren markieren und auf Apply bernehmen klicken Major Fault On Controller If Connection Fails Module Fault Status Offline Cancel Apply Help Das Ger t ist gesperrt sobald das Kontrollk stchen aktiviert wurde Falls ein Kommunikationsger t gesperrt wurde sind auch alle nachfolgenden Ger te gesperrt Bearbeiten Ihrer Die folgenden Regeln gelten f r das ndern Ihres Sicherheitsanwendungs Sicherheitsanwendung programms in der Anwendung Logix Designer Nur befugtes speziell geschultes Personal kann Programmbearbeitungen vornehmen Dieses Personal sollte alle verf gbaren bergeordneten Verfahren anwenden z B den Schl sselschalter der Steuerung oder den Sicherheitskennwortschutz nutzen Wenn befugtes speziell geschultes Personal Programmbearbeitungen vornimmt bernehmen sie die zentrale Sicherheitsverantwortung w hrend die nderungen vorgenommen werden Dieses Personal muss ebenfalls sicheren Applikationsbetrieb aufrechterhalten Bei der Online Bearbeitung m ssen Sie einen alternativen Schutzmecha nismus anwenden um die Sicherheit des Systems aufrechtzuerhalten Sie m ssen alle Programmbearbeitungen ausreichend dokumentier
149. x Steuerung verwenden Da die GuardLogix Steuerungen zu den Prozessoren der ControlLogix Serie geh ren k nnen Sie mit einer GuardLogix Steuerung eine Sicherheitssteuerung nach SIL 2 implementieren Dies geschicht einfach ber die Standard Tasks oder die Sicherheits Task Diese Funktionalit t bietet einzigartige und vielseitige Optionen f r eine Sicherheitssteuerung da die meisten Anwendungen prozentual ber mehr SIL 2 als SIL 3 Sicherheitsfunktionen verf gen Sicherheitssteuerung nach SIL 2 in der Sicherheits Task Die GuardLogix Sicherheits Task kann dazu verwendet werden sowohl SIL 2 als auch SIL 3 Sicherheitsfunktionen bereitzustellen Sollen SIL 3 und SIL 2 Sicherheitsfunktionen gleichzeitig ausgef hrt werden m ssen Sie daf r sorgen dass nicht nur die in diesem Kapitel unter SIL 3 Sicherheit die Sicherheits Task Sicherheitsprogramme und Sicherheitsroutinen beschriebenen Voraus setzungen sondern auch die in diesem Abschnitt aufgef hrten Voraussetzungen f r SIL 2 erf llt sind SIL 2 Sicherheitslogik Aus der Perspektive einer GuardLogix Sicherheitssteuerung besteht der gr te Unterschied zwischen Sicherheitsger ten nach SIL 2 und SIL 3 darin dass es sich bei SIL 2 im Allgemeinen um nur einkanalige bei SIL 3 dagegen in der Regel um zweikanalige Ger te handelt Wenn Sie sicherheitstechnische Guard O Module rote Module einsetzen die in der Sicherheits Task erforderlich sind dann kann es sich bei den Siche
150. x Steuerungen in Nicht Sicherheitsanwendungen Benutzerhandbuch DeviceNet Modules in Logix5000 Control Systems User Manual Publikation DNET UM004 Informationen zur Verwendung des Moduls 1756 DNB in einem Logix5000 Steuerungssystem Benutzerhandbuch EtherNet IP Modules in Logix5000 Control Systems User Manual Publikation ENET UM001 Informationen zur Verwendung des Moduls 1756 ENBT in einem Logix5000 Steuerungssystem Benutzerhandbuch ControlNet Modules in Logix5000 Control Systems User Manual Publikation CNET UM001 Informationen zur Verwendung des Moduls 1756 CNB in Logix5000 Steuerungssystemen Referenzhandbuch Logix5000 Controllers Execution Time and Memory Use Reference Manual Publikation 1756 RM087 Informationen zum Absch tzen der Ausf hrungszeit und Speicherbelegung der Befehle Referenzhandbuch Logix Import Export Reference Manual Publikation 1756 RM084 Informationen zur Verwendung des Import Export Dienstprogramms Logix Designer Richtlinien zur st rungsfreien Verdrahtung und Erdung von industriellen Automatisierungssystemen Publikation 1770 4 1 Enth lt allgemeine Leitlinien zur Installation eines industriellen Rockwell Automation Systems Website zu Produktzertifizierungen http www ab com Stellt Konformit tserkl rungen Zertifikate und weitere Einzelheiten zu Zertifizierungen zur Verf gung Sie k nnen weitere Publikationen unter http www rockwellautomati
151. zt e der Anwender s mtliche Downloads der Applikation mittels manueller berpr fung der Sicherheits Task Signatur best tigt e das gesamte System vor der ersten Inbetriebnahme eines sicherheits technischen Systems einer vollst ndigen Funktionspr fung unterzogen wird Rockwell Automation Publikation 1756 RMO99B DE P November 2014 49 Kapitel 6 Tabelle 7 Steuerungsmodi Steuerungs modus Programm Run Status Sicherheits Task Entriegelt Keine Signatur Entriegelt Keine Signatur Entwicklung von Sicherheitsanwendungen Sicherheit bis einschl nur zu Entwicklungszwecken Kommentare Es wurde ein g ltiges Programm in die Steuerung heruntergeladen E A Verbindungen hergestellt e Logik der Sicherheits Task wird nicht gescannt Force Zust nde sind zul ssig Online Bearbeitung ist zul ssig Sicherheitsspeicher ist isoliert aber ungesch tzt Lesen Schreiben Logik der Sicherheits Task wird gescannt Prim r und Partnersteuerung verarbeiten Logik vergleichen Logikausg nge Logikausg nge werden zu Sicherheitsausg ngen geschrieben Run Verriegelt Keine Signatur PLd Cat 3 Steuerung zuverl ssig SIL CL2 Neue Force Zust nde sind nicht zul ssig Bestehende Force Zust nde bleiben erhalten Online Bearbeitung ist nicht zul ssig Sicherheitsspeicher ist gesch tzt nur Lesen Logik der Sicherheits Task wird gescannt Prim r und Partnersteuerung verarbe
Download Pdf Manuals
Related Search