Modulo d'uscita digitale di sicurezza TM5SDO2TFS (SLCv2)

NOTA:

Questo argomento si riferisce a un modulo della generazione SLCv2 (in un sistema di sicurezza con un dispositivo SLC300 o SLC400). Per identificare la generazione di dispositivo configurata nel vostro progetto, vedere la breve descrizione del dispositivo in cima alla griglia dei parametri (con dispositivo selezionato nell'albero a sinistra).

Tipo di modulo / campi d'applicazione relativi alla sicurezza

Modulo d'uscita di sicurezza, 2 canali d'uscita di sicurezza.

0,5 A corrente nominale in uscita, 1 A corrente nominale totale.

Protezione in uscita: spegnimento termico per sovracorrente o corto circuito e protezione integrata contro carichi induttivi commutanti.

Tensione nominale 24 VDC.

I moduli di sicurezza Schneider Electric si possono usare in applicazioni di sicurezza a norma

  • EN ISO 13849, PL e

  • IEC 62061, SIL 3

  • IEC 61508, SIL 3

Gruppo: Basic

Parametro: RevFWMinRichiesta

Valore predefinito

Release di base

Unità

-/-

Descrizione

Questo parametro è rilevante solo quando sono implementate versioni di firmware diverse dalla versione caricata dal costruttore.

Per passare in stato operazionale, sul modulo deve essere installata la versione del firmware qui parametrizzata o una versione più recente.

  • Release di base: selezionare questa opzione per utilizzare il dispositivo con la versione di firmware iniziale.

  • Versione di prova: selezionare questa opzione per utilizzare una versione di firmware per il dispositivo che non è ancora rilasciata. L'approvazione di un'applicazione di sicurezza non è possibile se sono implicati dispositivi con versioni di prova del firmware.

La versione di firmware qui selezionata è particolarmente importante per quanto riguarda parametri o elementi di dati di processo che sono stati implementati con una determinata versione di firmware. Se il dispositivo con il quale state lavorando ha parametri o elementi di dati di processo nuovi, tenere conto dei seguenti aspetti: se RevFWMinRichiesta è settato a un valore errato, o il SLC non entrerà in stato operazionale "in funzione" o i nuovi parametri/elementi di dati di processo non verranno presi in considerazione dal SLC.

Tenere conto del messaggio di pericolo sotto questa tabella.

Altre informazioni:

Informazioni aggiornate su parametri e elementi di dati di processo aggiunti di recente si trovano nelle note sulla versione che avete ricevuto con il pacchetto firmware. Le note sulla versione descrivono anche come identificare la versione del firmware attualmente installata sul dispositivo di sicurezza.

 AVVERTIMENTO

FUNZIONAMENTO INDESIDERATO DELL'ATTREZZATURA

  • Verificate che il valore selezionato per RevFWMinRichiesta corrisponda alla versione di firmware installata sui dispositivi di sicurezza coinvolti.

  • Verificate con prove di funzionamento che ogni parametro o elemento di dati di processo di nuova implementazione dei moduli di sicurezza venga preso in considerazione dal SLC ove ciò è richiesto dalla vostra applicazione di sicurezza.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

Parametro: Opzionale

Valore preimpostato

No

Unita

-/-

Descrizione

Questo parametro permette di configurare come opzionale il modulo. I moduli opzionali non devono essere disponibili (presenti fisicamente o comunicativi), cioè il Safety Logic Controller non segnala se un modulo opzionale non è disponibile.

Questo parametro non influisce sul segnale del modulo o sullo stato dei dati.

Valori possibili

  • No: Questo modulo non è opzionale.

    Questo modulo deve andare in modo operativo dopo l'avvio e stabilire una comunicazione di sicurezza al Safety Logic Controller (indicata da SafeModuleOK = SAFETRUE). Dopo l'avvio, l'elaborazione dell'applicazione di sicurezza sul Safety Logic Controller deve attendere che sia ottenuto questo stato per tutti i moduli con l'impostazione 'Opzionale = No'.

    Dopo l'avvio, eventuali errori su questi moduli di sicurezza vengono indicati da un LED MXCHG lampeggiante rapidamente sul Safety Logic Controller. Inoltre, l'evento viene registrato nel registro eventi.

  • Sì: Questo modulo è opzionale e perciò non indispensabile per l'applicazione di sicurezza.

    Questo modulo non viene preso in considerazione durante l'avvio, l'applicazione di sicurezza perciò viene avviata anche se i moduli 'Opzionale = Sì' non sono in modo operazionale o se la comunicazione di sicurezza non è stabilita.

    Dopo l'avvio, eventuali errori su questi moduli di sicurezza NON vengono indicati sul Safety Logic Controller. L'evento NON viene registrato nel registro eventi.

  • Avvio: Questo modulo è opzionale, le decisioni relative al suo comportamento futuro vengono prese durante l'avvio.

    Se durante l'avvio si determina che il modulo è fisicamente presente (anche se non in modo operazionale), il modulo si comporta come se impostato 'Opzionale = No'.

    Se durante l'avvio si determina che il modulo non è fisicamente presente, il modulo si comporta come se impostato 'Opzionale = Sì'.

Il parametro Opzionale è un meccanismo per scalare il sistema di sicurezza in funzione di varie configurazioni del progetto macchina. Può darsi, comunque, che i moduli contrassegnati come opzionali in una configurazione del progetto macchina siano indispensabili in altre configurazioni.

 AVVERTIMENTO

FUNZIONAMENTO INDESIDERATO DELL'ATTREZZATURA

Verificate mediante prove di funzionamento che i moduli per i quali il parametro Opzionale è impostato a 'Sì' o a 'Avvio' siano disponibili se e quando sono richiesti in configurazioni di macchina alternative.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

Parametro: Disattiva OSSD

Valore preimpostato

No

Unita

-/-

Descrizione

Questo parametro si può usare per disabilitare la prova automatica del driver d'uscita per ciascun canale del modulo.

Valori possibili

  • No: prova automatica del driver d'uscita abilitata.

  • Sì-ATTENZIONE: prova automatica del driver d'uscita disabilitata.

    NOTA:

    Con 'Disattiva OSSD = Sì-ATTENZIONE', il modulo funziona con rilevamento errori ridotto e non soddisfa più i requisiti SIL 3 a norma IEC 62061, o PL e a norma ISO 13849.

    Per soddisfare i requisiti per applicazioni fino a SIL 2 a norma IEC 62061 o PL d a norma ISO 13849 è necessaria una verifica giornaliera della funzione di sicurezza da parte dell'utente.

Gruppo: SafetyResponseTime

Il tempo di risposta di sicurezza è l'intervallo tra la ricezione del segnale del sensore al canale d'ingresso di un modulo d'ingresso di sicurezza e l'emissione del segnale di disinserimento al canale d'uscita di un modulo di sicurezza. Per ulteriori e dettagliate informazioni di sottofondo, fare riferimento all'argomento "Tempo di risposta di sicurezza per SLCv2" nella "Guida utente "Machine Expert – Safety".

I parametri in questo gruppo influiscono sul tempo di risposta di sicurezza del sistema Safety Logic Controller. I parametri DurataDatiSicura e PerditaPacchettiTollerata in questo gruppo influiscono sul modulo solo se il parametro ConfigurazioneManuale è settato a 'Sì'.

Parametro: ConfigurazioneManuale

Valore predefinito

No

Unità

-/-

Descrizione

Specifica se il modulo debba usare i propri parametri rilevanti per il tempo di risposta di sicurezza (DurataDatiSicura e PerditaPacchettiTollerata) o i valori specificati nel gruppo di parametri 'SafetyResponseTimeDefaults' del Safety Logic Controller.

La gestione dei parametri in modo separato per ciascun modulo ottimizza il sistema per quanto riguarda i requisiti specifici dell'applicazione relativi al tempo di risposta di sicurezza.

Valore del parametro

  • No: il modulo "eredita" i valori per DurataDatiSicura e PerditaPacchettiTollerata dal gruppo di parametri 'SafetyResponseTimeDefaults' del Safety Logic Controller.

  • Sì: il modulo utilizza i propri valori di parametro.

Parametro: DurataDatiSicura

Valore predefinito

200

Fascia di valori

Ampiezza passo

25...9.380

1

Unita

100 µs

Descrizione

Questo parametro influisce sul tempo di risposta di sicurezza dell'applicazione di sicurezza.

Specifica il tempo massimo permissibile per la trasmissione di dati da un produttore di sicurezza a un consumatore, ossia da un modulo d'ingresso al controllore logico (SLC) o dal controllore logico (SLC) a un modulo d'uscita.

In base al valore di questo parametro e del parametro 'PerditaPacchettiTollerata' (descritto qui sotto) nonché di altri tempi di elaborazione propri del modulo viene calcolato il Tempo di risposta di sicurezza (TRS).

Verificare il TRS derivato dai valori di parametro qui immessi utilizzando il dialogo 'Calcolatore tempo di risposta' in Machine Expert – Safety (comando di menu 'Progetto > Calcolatore tempo di risposta').

Calcolo del valore

L'analisi di rischio che avete eseguito per la vostra applicazione di sicurezza fornisce il tempo di risposta massimo complessivo della funzione di sicurezza e, come parte di esso, del tempo di risposta di sicurezza (TRS) della catena di segnale.

Il TRS si compone dei seguenti valori di tempo parziali:

TRS = TESi + DDSi * (PPT +1) + TESu * (PPT +1) + SPTo

ove

TESi = tempo elaborazione di sicurezza nel modulo d'ingresso di sicurezza,

             (include i tempi filtro / ritardo configurati),

DDSi = DurataDatiSicura percorso d'ingresso,

DDSu = DurataDatiSicura percorso d' uscita,

TESu = tempo elaborazione di sicurezza nel modulo d'uscita di sicurezza,

             (Include i tempi di ritardo configurati),

PPT  = numero di pacchetti persi tollerato.

Questo valore TRS massimo costituisce la base per il calcolo dei valori DurataDatiSicura (DDS) e PerditaPacchettiTollerata (PPT) da immettere come valori di parametro nella griglia.

Dal valore TRS permesso dedurre i tempi di elaborazione dei moduli di sicurezza d'ingresso (TESi) e d'uscita (TESu). Il risultato è il tempo massimo ammesso per la trasmissione dei dati di sicurezza lungo il percorso di sicurezza completo, ovvero dal modulo d'ingresso al modulo d'uscita. Dato che il parametro DurataDatiSicura si riferisce solo a un singolo percorso di trasmissione (modulo d'ingresso a controllore di sicurezza (SLC) o SLC a modulo d'uscita), dovrete dividere il valore per 2 per ottenere il valore da immettere nella griglia dei parametri. Se è tollerata una perdita pacchetti maggiore di 0, anche questo fattore deve essere tenuto in conto.

L'equazione per il calcolo è la seguente:

DDS = (TRS - TESi - TESu) / (2* (PPT + 1))

con SPT = valore più alto di TESi e TESu e DDS = DDSi = DDSu (sistema simmetrico), ne risulta:

DDS = (TRS - 2*TES) / (2*(PPT+1))

Parametro: PerditaPacchettiTollerata

Valore predefinito

1

Fascia di valori

Ampiezza passo

0...10

1

Unità

Pacchetti dati

Descrizione

Specifica il numero massimo ammesso di pacchetti persi durante la trasmissione dei dati. Il numero di pacchetti persi tollerato influisce sul tempo di risposta di sicurezza.

In base a questo valore di parametro e il valore del parametro 'DurataDatiSicura' viene calcolato il Tempo di Risposta di Sicurezza (TRS).

Verificare il TRS derivato dai valori di parametro qui immessi utilizzando il dialogo 'Calcolatore tempo di risposta' in Machine Expert – Safety (comando di menu 'Progetto > Calcolatore tempo di risposta').

Gruppo: SafeDigitalOutput01 e SafeDigitalOutput02

Parametro: RiavvioAutomatico

Valore predefinito

No

Unità

-/-

Descrizione

Attiva o disattiva il riavvio automatico dell'uscita del modulo.

Valori possibili

  • No: la funzione 'riavvio automatico' non è attivata.

  • Sì-ATTENZIONE: la funzione 'riavvio automatico' è attivata.

    L'uscita del modulo può essere attivata senza un precedente fronte positivo del segnale di delibera.

NOTA:

In ambedue i casi, dopo aver rilevato un errore di canale nel modulo (e la causa dell'errore è stata rimossa o altrimenti mitigata), l'uscita coinvolta deve essere disattivata e poi riattivata mediante un fronte positivo del segnale di delibera.

NOTA:

La configurazione di un riavvio automatico può causare conseguenze impreviste per il sistema di sicurezza. Può essere necessario implementare misure ulteriori per evitare le conseguenze impreviste.

 AVVERTIMENTO

AVVIO INATTESO

  • Assicuratevi che la vostra analisi del rischio includa una valutazione delle conseguenze di un riavvio automatico dell'uscita del modulo.

  • Assicurarsi che siano state adottate procedure e misure adatte (in base alla normativa vigente del settore) per evitare situazioni pericolose che possono conseguire al riavvio automatico.

  • Usate interblocchi di sicurezza idonei ovunque ci sia pericolo per le persone e per l'attrezzatura.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

Elementi di dati di processo del modulo

Scopo e utilizzo degli elementi di dati di processo

Ogni modulo mette a disposizione elementi di dati di processo (segnali). Gli elementi di dati di processo possono essere:

  • segnali I/O trasmessi da o scritti su un morsetto di modulo.

  • segnali diagnostici per valutare lo stato dei canali d'ingresso/uscita o l'intero modulo.

  • segnali di controllo, ad esempio per abilitare un canale o regolare il modulo.

Gli elementi di dati di processo disponibili di un modulo sono elencati sotto al nodo del modulo nell'albero a sinistra della finestra 'Dispositivi'. Per visualizzare e utilizzare gli elementi di dati di processo, espandere il nodo del modulo con un clic sul simbolo '+'.

Esempio

Il modulo con ID SL1.SM3 mette a disposizione (tra gli altri) il segnale diagnostico SafeModuleOK e il segnale d'ingresso SafeDigitalInput01.

Dall'albero dei dispositivi, gli elementi di dati di processo si possono inserire nel codice SBF/LD di sicurezza mediante drag & drop (si veda il procedimento che segue). Con l'inserimento nel codice viene creata una variabile standard (non relativa alla sicurezza) o di sicurezza (a dipendere dal tipo di dati dell'elemento di dati di processo).

Procedimento: Come inserire elemento di dati di processo nel codice

  1. Aprire il foglio di lavoro (FdL) di codice nel quale inserire l'elemento di dati di processo e creare/usare la variabile globale ad esso assegnato.

  2. Nella finestra 'Dispositivi', aprire l'albero dei dispositivi a sinistra ed espandere il modulo (nodo dell'albero) che contiene l'elemento di dati di processo da utilizzare.

  3. Trascinare l'elemento di dati di processo nel foglio di lavoro (FdL) di codice. Quando lasciate andare il tasto del mouse, appare il dialogo 'Variabili'.

    Per inserire una variabile booleana in codice grafico in forma di contatto, tenere premuto il tasto <CTRL> mentre lasciate andare il tasto del mouse dopo aver trascinato la variabile dalla tabella dei morsetti di dispositivo nel FdL di codice.

  4. Nel dialogo 'Variabili' viene proposto un nome predefinito che deriva dal nome dell'elemento di dati di processo. Accettare il nome proposto, selezionare una variabile globale esistente o dichiarare una nuova variabile globale immettendo un nuovo 'Nome', definendone il 'Tipo di dati' e assegnandola a un 'Gruppo'.

  5. Confermare il dialogo 'Variabili' cliccando su 'OK'.

    Viene ora aggiunta al cursore la sagoma di rettangolo della variabile. Può essere rilasciata nella posizione desiderata con un clic. La variabile si può collegare direttamente a un altro oggetto (ad es., un parametro formale) o inserire in una posizione libera.

La direzione dei dati dipende dal tipo di segnale.

L'applicazione di sicurezza può solo leggere i segnali d'ingresso e solo scrivere i segnali d'uscita.

I segnali diagnostici si possono usare per valutare e sorvegliare lo stato del modulo di sicurezza o di singoli canali I/O, ad esempio. Perciò le variabili globali create per e assegnate a segnali diagnostici sono leggibili da parte dell'applicazione.

I segnali di controllo si possono usare per abilitare l'operazione del modulo o per regolare/adattare il modulo al caso applicativo attuale (ad es., impostando una fascia di misura o un determinato comportamento del modulo). Perciò le variabili globali create per e assegnate a segnali di controllo sono scrivibili da parte dell'applicazione, in modo da poter controllare il modulo.

Rappresentazione degli elementi di dati di processo nell'albero dei dispositivi:

Icona

Tipo di segnale

Tipo di accesso

Segnale d'ingresso di sicurezza o segnale diagnostico.

lettura

Segnale d'ingresso non relativo alla sicurezza (disponibile solo per il Safety Logic Controller).

lettura

Segnale d'uscita non relativo alla sicurezza (disponibile solo per il Safety Logic Controller) o segnale di comando.

scrittura

Segnale d'uscita o segnale di controllo di sicurezza.

scrittura

NOTA:

Quando un segnale standard (non relativo alla sicurezza) è connesso a un ingresso / un'uscita fisica, il tipo di dati della corrispondente variabile globale deve essere cambiato da "relativo alla sicurezza" a "standard" (ad esempio, da SAFEBOOL a BOOL) per escludere un utilizzo non corretto del segnale nel codice. Lo stesso vale quando un segnale relativo alla sicurezza viene usato solo come segnale standard nel codice. La modifica del tipo di dati può essere eseguito nei rispettivi fogli di lavoro per variabili o utilizzando le funzioni di conversione di tipo.

 AVVERTIMENTO

FUNZIONAMENTO INDESIDERATO DELL'ATTREZZATURA

  • Verificate l'impatto di segnali standard (non relativi alla sicurezza) sulle uscite di sicurezza.

  • Verificate che i convertitori "da standard a relativo alla sicurezza" vengano usati correttamente nel codice.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

Nel prosieguo, i segnali I/O, diagnostici e di controllo del modulo attuale sono elencati e descritti nell'ordine nel quale sono riportati nell'albero dei dispositivi.

SafeModuleOK

Descrizione

Indica lo stato della comunicazione tra il modulo di sicurezza e il Safety Logic Controller e quindi, dal punto di vista dell'applicazione di sicurezza, lo stato stesso del modulo.

Tipo di segnale

Diagnostico

Tipo di dati

SAFEBOOL

Tipo di accesso

Variabile può essere letta dall'applicazione di sicurezza.

Valori possibili

SAFEFALSE:

  • Modulo di sicurezza non in funzione o

  • la comunicazione con il Safety Logic Controller non è stata stabilita correttamente o

  • il modulo ha rilevato un errore nel canale di comunicazione.

SAFETRUE:

  • Modulo di sicurezza è in funzione e

  • la comunicazione con il Safety Logic Controller è stata stabilita correttamente e

  • il modulo non ha rilevato errori nel canale di comunicazione.

Convalida obbligatoria dell'assegnazione per l'elemento di dati SafeModuleOK:

La verifica/convalida dell'assegnazione di ogni elemento di dati di processo a una variabile I/O globale è obbligatoria. Ciò vale in particolar modo per l'elemento di dati di processo SafeModuleOK che è disponibile per ogni modulo di sicurezza e ne indica lo stato. Dato che l'elemento di dati SafeModuleOK non può essere scritto, ad esempio applicando un segnale a un ingresso di modulo, il modulo da verificare deve essere estratto fisicamente dal bus TM5. Ne consegue che SafeModuleOK commuta a SAFEFALSE e la variabile I/O globale assegnata deve fare seguito. Per maggiori informazioni su come estrarre e reinserire un modulo, si veda il manuale d'utenza del modulo.

 AVVERTIMENTO

FUNZIONAMENTO INDESIDERATO DELL'ATTREZZATURA

  • Rimuovete fisicamente ogni modulo di sicurezza dal bus TM5 per verificare SafeModuleOK.

  • Verificate che la variabile I/O globale assegnata all'elemento di dati di processo SafeModuleOK del modulo di sicurezza rimosso commuti a SAFEFALSE.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

SafeDigitalOutputxx

Descrizione

Segnale di abilitazione di sicurezza del modulo, canale xx.

NOTA:

I segnali monocanale SafeDigitalOutputxx non si possono usare contemporaneamente al segnale di abilitazione combinato SafeDigitalOutputxxyy del modulo.

Informazioni generali

Le uscite di sicurezza sono attivabili solo dal Safety Logic Controller (SLC).

A seconda dell'impostazione del rispettivo modulo d'uscita di sicurezza TM5/TM7, il controllore non relativo alla sicurezza deve in aggiunta abilitare l'uscita di sicurezza (convalidare il segnale di sicurezza).

A tal fine, l'editore 'Parametri utente' del modulo SDO in Logic Builder mette a disposizione un parametro CentralControl_DigitalOutputs_xx per ciascun canale d'uscita. Per aprire questo editore, andare a Logic Builder, fare doppio clic sul modulo SDO nell'albero dei 'Dispositivi' e cliccare sulla scheda 'Parametri utente',

Il parametro CentralControl_DigitalOutputs_xx ha due valori di parametro possibili:

  • Diretto: influire sul canale d'uscita è possibile direttamente nel SLC senza convalida da parte dell'applicazione non relativa alla sicurezza.

  • Centrale: per influire sul canale d'uscita, l'applicazione non relativa alla sicurezza del Logic/Motion Controller deve abilitare (convalidare) il segnale di sicurezza proveniente dal SLC. Solo con l'impostazione Centrale è possibile abilitare l'uscita di sicurezza tramite l'applicazione non relativa alla sicurezza.

Il segnale di abilitazione può controllare il processo direttamente solo se ciò non influisce negativamente sulla funzione di sicurezza.

Tenere conto del primo messaggio di pericolo sotto questa tabella.

NOTA:

Nella finestra dei 'Dispositivi' di Machine Expert – Safety, la colonna 'Variabile LogicBuilder' visualizza il nome della variabile che è stata mappata sul segnale di abilitazione nell'editore 'Mappatura I/O modulo TM5' nel Logic Builder.

Questa rappresentazione non deve essere interpretata male: anche se il segnale di abilitazione ('ChannelName'), il nome della 'Variabile' di sicurezza e la variabile LogicBuilder sono visualizzate in una riga, la variabile LogicBuilder non può scrivere l'uscita di sicurezza. La variabile LogicBuilder si limita a convalidare l'attivazione dell'uscita. L'attivazione fisica dell'uscita però è riservata esclusivamente al SLC.

Conferma della validità

La validità di questo segnale d'uscita è confermata dal relativo segnale diagnostico SafeOutputOKxx. A dipendere dai risultati dell'analisi di rischio che avete eseguito per la vostra applicazione, il segnale diagnostico deve essere valutato ogni volta che il segnale SafeDigitalOutputxx viene usato nell'applicazione di sicurezza. Il valore SAFEFALSE del segnale diagnostico indica un valore SafeDigitaOutputxx non valido. In questo caso, il segnale SafeDigitalOutputxx non deve poter essere utilizzato, elaborato o valutato oltre dall'applicazione di sicurezza.

Tenere conto della seconda avvertenza sotto questa tabella.

Altre informazioni:

Fare riferimento all'argomento "Monitorare/valutare informazioni diagnostiche sulla macchina" per maggiori informazioni.

Inibizione di riavvio attiva

Quando un'inibizione di riavvio è attiva per il canale xx (parametro 'AutoStart = No'), l'uscita di sicurezza rimane nello stato sicuro definito dopo la rimozione della richiesta di sicurezza o, in caso di un errore del modulo, dopo la rimozione della causa dell'errore. Ciò viene fatto per evitare un riavvio accidentale della macchina / del sistema. Quando è impostata un'inibizione di riavvio, è necessario un fronte di segnale positivo sul relativo segnale ReleaseOutputxx (si veda la descrizione più avanti) per rimuovere l'inibizione e permettere alla macchina / al sistema di entrare in funzione.

Tipo di segnale

Segnale I/O

Tipo di dati

SAFEBOOL

Tipo di accesso

Variabile può essere scritta dall'applicazione di sicurezza.

L'effetto del valore della variabile dipende dall'impostazione del parametro CentralControl_DigitalOutput_xx del modulo nell'applicazione Machine Expert (si veda la "Descrizione" qui sopra).

Valori possibili

SAFETRUE:

  • Nessuna richiesta di sicurezza rilevata e

  • Nessuna inibizione di riavvio del canale attiva e

  • SafeModuleOK = SAFETRUE

SAFEFALSE:

  • SafeModuleOK = SAFEFALSE o

  • richiesta di sicurezza rilevata o

  • inibizione di riavvio del canale attiva

Parametri rilevanti del modulo

Nel gruppo di parametri con lo stesso numero di canale xx:

  • RiavvioAutomatico

Le relative descrizioni dei parametri si trovano nell'argomento di qui sopra.

Nell'applicazione Machine Expert, 'Parametri utente' del modulo d'uscita:

  • CentralControl_DigitalOutput_xx (si veda la "Descrizione" qui sopra).

 AVVERTIMENTO

FUNZIONAMENTO INDESIDERATO DELL'ATTREZZATURA

  • Verificate che il segnale di abilitazione possa controllare il processo direttamente solo se ciò non influisce negativamente sulla funzione di sicurezza.

  • Validate la funzione di sicurezza nel suo complesso, ad inclusione del comportamento di avvio del processo ed eseguite prove approfondite dell'applicazione.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

 AVVERTIMENTO

FUNZIONAMENTO INDESIDERATO DELL'ATTREZZATURA

  • Verificate che il segnale SafeDigitalOutputxx venga usato nell'applicazione di sicurezza solo finché i relativi segnali diagnostici sono SAFETRUE, se ciò è richiesto dai risultati della vostra analisi di rischio.

  • Validate la funzione di sicurezza nel suo complesso in riguardo all'elaborazione dei valori d'ingresso ed eseguite prove approfondite dell'applicazione.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

SafeChannelOKxx (relativo segnali di abilitazione)

Descrizione

Segnale diagnostico che indica lo stato del canale d'uscita (segnale di abilitazione) di sicurezza. xx designa il numero del canale.

Questo segnale diagnostico conferma la validità del segnale SafeOutputxx. A dipendere dai risultati dell'analisi di rischio che avete eseguito per la vostra applicazione, il segnale diagnostico deve essere valutato ogni volta che il segnale SafeOutputxx viene usato nell'applicazione di sicurezza. Il valore SAFEFALSE del segnale diagnostico indica un valore SafeOutputxx non valido. In questo caso, il segnale SafeOutputxx non deve poter essere utilizzato, elaborato o valutato oltre dall'applicazione di sicurezza.

Tenere conto del messaggio di pericolo sotto questa tabella.

NOTA:

Per rilevare stati di errore di moduli/canali nella vostra applicazione, i segnali diagnostici devono essere valutati nel codice di sicurezza. Un esempio di programmazione e maggiori informazioni si trovano nell'argomento "Monitorare/valutare informazioni diagnostiche sulla macchina".

Tipo di segnale

Segnale diagnostico

Tipo di dati

SAFEBOOL

Tipo di accesso

Variabile può essere letta dall'applicazione di sicurezza.

Valori possibili

SAFEFALSE:

  • SafeModuleOK = SAFEFALSE o

  • canale xx non funziona correttamente, ad esempio a causa di un cavo rotto.

SAFETRUE:

  • SafeModuleOK = SAFETRUE e

  • canale xx funziona correttamente, il segnale di abilitazione viene applicato come programmato nell'applicazione di sicurezza.

NOTA:

Tenere conto anche delle spie LED che indicano stati di errore dei moduli coinvolti.

 AVVERTIMENTO

FUNZIONAMENTO INDESIDERATO DELL'ATTREZZATURA

  • Verificate che il segnale SafeOutputxx venga usato nell'applicazione di sicurezza solo finché i relativi segnali diagnostici sono SAFETRUE, se ciò è richiesto dai risultati della vostra analisi di rischio.

  • Validate la funzione di sicurezza nel suo complesso in riguardo all'elaborazione dei valori d'ingresso ed eseguite prove approfondite dell'applicazione.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

ReleaseOutputxx e ReleaseOutputxxyy

Descrizione

ReleaseOutputxx è il segnale di delibera per il segnale di abilitazione monocanale SafeOutputxx.

ReleaseOutputxxyy è il segnale di delibera per il segnale di abilitazione bicanale SafeOutputxxyy, cioè della combinazione di canali d'uscita xx e yy.

Quando un'inibizione di riavvio è attiva per il canale xx/xxyy (parametro 'AutoStart = No'), l'uscita di sicurezza rimane nello stato sicuro definito dopo la rimozione della richiesta di sicurezza o, in caso di un errore del modulo, della rimozione della causa dell'errore. Ciò viene fatto per evitare un riavvio accidentale della macchina / del sistema. Quando è impostata un'inibizione di riavvio è necessario un fronte positivo del rispettivo segnale di delibera per rimuovere l'inibizione e permettere alla macchina / al sistema di entrare in funzione.

Il reset di uno stato diagnostico e l'impostazione di un'uscita non devono poter causare rischi. In caso di dubbio, resettare l'intero sistema invece del singolo canale.

Tenere conto del messaggio di pericolo sotto questa tabella.

Altre informazioni:

Fare riferimento all'argomento "Monitorare/valutare informazioni diagnostiche sulla macchina" per maggiori informazioni e un esempio applicativo.

NOTA:

Se il modulo di sicurezza entra in stato sicuro definito e SafeModuleOK = SAFEFALSE, il segnale ReleaseOutputxx/xxyy non si può utilizzare per la delibera del canale. Invece si deve riavviare l'intero modulo. Esempio: se i valori d'ingresso superano i valori elettrici max specificati nei dati tecnici del dispositivo, il modulo deve essere riavviato.

Tipo di segnale

Segnale di controllo

Tipo di dati

SAFEBOOL

Tipo di accesso

Variabile può essere scritta dall'applicazione di sicurezza.

Valori possibili

  • SAFEFALSE: il segnale di abilitazione rimane disabilitato.

  • Fronte SAFEFALSE > SAFETRUE: disattiva l'inibizione di riavvio e abilita il canale d'uscita (coppia).

Parametri rilevanti del modulo

Nei gruppi di parametri con lo stesso numero di canale xx/xxyy:

  • RiavvioAutomatico

Le relative descrizioni dei parametri si trovano nell'argomento di qui sopra.

 AVVERTIMENTO

FUNZIONAMENTO INDESIDERATO DELL'ATTREZZATURA

  • Includete nella vostra analisi di rischio le conseguenze di un reset dello stato diagnostico di un modulo o di un canale d'ingresso/uscita e dell'impostazione di un canale d'uscita.

  • Usate interblocchi di sicurezza idonei ovunque ci sia pericolo per le persone e per l'attrezzatura.

  • Validate la vostra funzionalità di sicurezza nel suo complesso ed eseguite prove approfondite dell'applicazione.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.