Preventa Motion FB SF_SafeMotionControl

Breve descrizione

Il blocco di funzione di sicurezza SF_SafeMotionControl funge da interfaccia tra il controllore logico di sicurezza e il modulo di sicurezza (modulo opzionale), che è il componente di sicurezza del drive standard ILM62 o LXM62.

Lo scopo principale del blocco di funzione di sicurezza SF_SafeMotionControl consiste del richiedere funzioni di monitoraggio di sicurezza al modulo di sicurezza e di visualizzare lo stato del modulo di sicurezza.

Esegue i seguenti compiti:

Valuta i segnali dei dispositivi/sensori di sicurezza collegati, che possono essere, ad esempio, interruttori a chiave, sportelli di sicurezza, pulsanti di arresto di emergenza o cortine luminose.
Richiede il monitoraggio (in base alla valutazione di segnale sopra indicata) della funzione di sicurezza richiesta agli ingressi valutati per stabilire se è stata applicata correttamente al modulo di sicurezza e, tramite questo, al drive.

Il modulo di sicurezza esegue il monitoraggio in modo autonomo ed indipendente dal blocco di funzione di sicurezza e comunica lo stato identificato al blocco di funzione di sicurezza.

In aggiunta, il blocco di funzione richiede una funzione di fallback definita (ad es., STO o SS1) tramite il modulo di sicurezza se lo stato monitorato non corrisponde allo stato richiesto.
Visualizza gli stati della funzione di sicurezza specchiando lo stato attuale di ciascuna funzione di sicurezza implementata, nonché lo stato di errore del modulo di sicurezza e lo stato dell'asse alle uscite del blocco di funzione.

Il drive da controllare è identificato da un ID d'asse da applicare all'ingresso S_AxisIN e all'uscita S_AxisOUT del blocco di funzione. In questo modo si ottiene un rapporto univoco tra il blocco di funzione e l'asse fisico.

Il modulo di sicurezza mette a disposizione un'inibizione di avvio/riavvio non disattivabili. Il blocco di funzione riflette questa inibizione di avvio/riavvio interna nella programmazione di sicurezza e ne permette il reset.

Funzioni di sicurezza supportate

Il blocco di funzione di sicurezza SF_SafeMotionControl supporta le seguenti funzioni di monitoraggio di sicurezza. Cliccare sui link per ulteriori informazioni.

NOTA:

Tutte le funzioni di sicurezza disponibili soddisfano i requisiti di sicurezza fino a SIL3.

Le varie funzioni di sicurezza sono soggette a priorità fisse, ove STO ha la priorità più alta.

Ingressi del blocco di funzione

Cliccare sui corrispondenti hyperlink per ottenere informazioni dettagliate sui seguenti punti.

Nome	Breve descrizione	Valore
Activate	Ingresso a controllo di stato per attivare il blocco di funzione. Tipo di dati: BOOL Valore iniziale: FALSE	FALSE: Blocco di funzione non attivo TRUE: Blocco di funzione attivo
S_AxisIN	Ingresso che specifica l'asse da controllare e monitorare. Tipo di dati: SAFEDWORD Valore iniziale: 0x0	Questo ingresso deve essere collegato all'elemento di dati SafeAxisIn messo a disposizione (nella finestra 'Dispositivi') dal modulo di sicurezza che controlla il rispettivo drive o asse. Il suo valore perciò è determinato e messo a disposizione da questo modulo di sicurezza.
S_*_Request	Ingresso a controllo di stato per richiedere la rispettiva funzione di monitoraggio di sicurezza. Il segnaposto * rappresenta: funzione STO – Safe Torque Off (coppia disinserita in modo sicuro) funzione SOS – Safe Operation Stop (arresto del funzionamento in modo sicuro) funzione SS1 – Safe Stop 1 (arresto in modo sicuro 1) funzione SS2 – Safe Stop 2 (arresto in modo sicuro 1) funzioni da SLS1 a SLS4 – quattro differenti funzioni di velocità limitata in modo sicuro funzione SDIpos – Safe Direction Positive (direzione positiva di sicurezza) funzione SDIneg – Safe Direction Negative (direzione negativa di sicurezza) Tipo di dati: SAFEBOOL Il valore iniziale dipende dall'ingresso: SAFEFALSE per S_STO_Request. SAFETRUE per tutti gli altri ingressi di richiesta. NOTA: Dato che la funzione di monitoraggio SMS (Safe Maximum Speed – velocità di sicurezza massima) è sempre attiva, un ingresso del blocco di funzione dedicato a richiederla non è né disponibile né necessario. È però disponibile un'uscita del blocco di funzione per indicarne l'attività.	SAFEFALSE: è richiesta la relativa funzione di monitoraggio di sicurezza SAFETRUE: la relativa funzione di monitoraggio di sicurezza non è richiesta NOTA: L'ingresso S_STO_Request non può rimanere scollegato. NOTA: Perché il drive possa funzionare (rotazione), SAFETRUE deve essere applicato all'ingresso S_STO_Request.
Reset	Ingresso attivato da fronte per il segnale di reset. Reset degli stati di errore del blocco di funzione quando la causa dell'errore non sussiste più. Reset a mano dell'inibizione di avvio attiva come impostazione predefinita dopo l'avvio del controllore SLC e dopo l'attivazione del blocco di funzione. Reset a mano dell'inibizione di riavvio attiva come impostazione predefinita in seguito a una richiesta di funzione STO o SS1 per prevenire il riavvio accidentale dell'asse. Tipo di dati: BOOL Valore iniziale: FALSE NOTA: Il reset non avviene con un fronte negativo (discendente), come specificato nella norma EN ISO 13849-1, ma con un fronte positivo (ascendente). Tenere conto dell'avvertenza sotto questa tabella.	FALSE: Reset non richiesto Fronte FALSE > TRUE: Reset richiesto

La rimozione di un'inibizione di avvio/riavvio attiva mediante un fronte di segnale positivo all'ingresso Reset del blocco di funzione di sicurezza può causare la commutazione immediata delle uscite (a dipendere dagli stati degli altri ingressi) e influire sulla velocità e sul comportamento dell'asse da controllare.

AVVERTENZA
	AVVIO INATTESO Includete nella vostra analisi del rischio le conseguenze della rimozione di un'inibizione di avvio/riavvio attiva mediante un fronte di segnale positivo all'ingresso Reset. Assicurate che siano state prese misure e adottate procedure idonee (secondo la normativa di settore applicabile) per contribuire ad evitare situazioni di pericolo causate dal reset del blocco di funzione. Non entrate nella zona di operazione mentre resettate il blocco di funzione. Assicurate che nessun altro possa accedere alla zona di operazione mentre resettate il blocco di funzione. Usate interblocchi di sicurezza idonei ovunque ci sia pericolo per le persone e per l'attrezzatura. La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

AVVERTENZA

AVVIO INATTESO

Includete nella vostra analisi del rischio le conseguenze della rimozione di un'inibizione di avvio/riavvio attiva mediante un fronte di segnale positivo all'ingresso Reset.
Assicurate che siano state prese misure e adottate procedure idonee (secondo la normativa di settore applicabile) per contribuire ad evitare situazioni di pericolo causate dal reset del blocco di funzione.
Non entrate nella zona di operazione mentre resettate il blocco di funzione.
Assicurate che nessun altro possa accedere alla zona di operazione mentre resettate il blocco di funzione.
Usate interblocchi di sicurezza idonei ovunque ci sia pericolo per le persone e per l'attrezzatura.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

Uscite del blocco di funzione

Cliccare sui corrispondenti hyperlink per ottenere informazioni dettagliate sui seguenti punti.

Nome	Breve descrizione	Valore
Ready	Uscita che segnala "Blocco di funzione attivo / non attivo". Tipo di dati: BOOL	TRUE: Il blocco di funzione è attivo (Activate = TRUE) e i parametri di uscita rappresentano lo stato attuale della funzione di sicurezza. FALSE: Il blocco di funzione non è attivo (Activate = FALSE) e le uscite del blocco di funzione sono commutate a FALSE o SAFEFALSE.
S_AxisOUT	Uscita che indica l'asse controllato/monitorato. Tipo di dati: SAFEDWORD	Questa uscita deve essere collegata all'elemento di dati SafeAxisOut messo a disposizione (nella finestra 'Dispositivi') dal modulo di sicurezza che controlla il relativo drive o asse.
S_*_SafetyActive	Uscite che segnalano lo stato della relativa funzione di sicurezza. Il segnaposto * occupa il posto di: funzione STO – Safe Torque Off (coppia disinserita in modo sicuro) funzione di monitoraggio SOS – Safe Operation Stop (arresto del funzionamento in modo sicuro) funzione di monitoraggio SS1 – Safe Stop 1 (arresto in modo sicuro 1) funzione di monitoraggio SS2 – Safe Stop 2 (arresto in modo sicuro 1) funzioni di monitoraggio da SLS1 a SLS4 – quattro differenti funzioni di velocità limitata in modo sicuro funzione di monitoraggio SDIpos – Safe Direction Positive (direzione positiva di sicurezza) funzione di monitoraggio SDIneg – Safe Direction Negative (direzione negativa di sicurezza) funzione di monitoraggio SMS – Safe Maximum Speed (velocità di sicurezza massima) Tipo di dati: SAFEBOOL	SAFEFALSE: funzione di sicurezza non attiva o il blocco di funzione non è attivato o il blocco di funzione ha rilevato un errore o l'inibizione di avvio/riavvio è attiva. (Non valido per S_STO_SafetyActive. Vedere la nota sottostante.) SAFETRUE: funzione di sicurezza attiva e il blocco di funzione è attivo e il blocco di funzione non ha rilevato errori e l'inibizione di avvio/riavvio non è attiva. (Non valido per S_STO_SafetyActive. Vedere la nota sottostante.) NOTA: In caso di inibizione di avvio/riavvio attiva, S_STO_SafetyActive = SAFETRUE e le altre uscite SafetyActive sono SAFEFALSE.
S_HW_STO_Active	Uscita per segnalare che la funzione di sicurezza STO è stata richiesta tramite il collegamento cablato. Tipo di dati: SAFEBOOL NOTA: Questa uscita ha importanza solo quando il parametro di dispositivo `HW_STO` del modulo di sicurezza è impostato a `Activated` (attivato). L'utilizzo della richiesta STO mediante collegamento cablato è possibile solo con questa impostazione (vedere la sezione "STO cablato").	SAFEFALSE: Funzione STO non richiesta tramite il collegamento di segnale cablato. Se è presente una richiesta, è stata generata tramite il blocco di funzione o la funzione STO al momento non è richiesta per nulla o il blocco di funzione non è attivato. SAFETRUE: Funzione STO richiesta tramite il collegamento di segnale cablato del modulo di sicurezza e il blocco di funzione è attivo.
S_RampMonitoringActive	Uscita che segnala il monitoraggio rampa attivo per la/e funzione/i di monitoraggio di sicurezza richiesta/e.	SAFEFALSE: Il monitoraggio rampa non è attivo per la/e funzione/i di monitoraggio di sicurezza richiesta/e o il blocco di funzione non è attivato. SAFETRUE: Il monitoraggio rampa è attivo per almeno una funzione di monitoraggio di sicurezza richiesta e il blocco di funzione è attivo.
S_AllReqFuncActive	Uscita che segnala lo stato complessivo delle funzioni di sicurezza richieste. Tipo di dati: SAFEBOOL	SAFEFALSE: Al momento non è richiesta funzione di sicurezza o almeno una delle funzioni di sicurezza richieste non ha ancora raggiunto il suo stato sicuro definito o sul modulo di sicurezza è stato rilevato un errore o il blocco di funzione non è attivato. SAFETRUE: Tutte le funzioni di sicurezza richieste sono state eseguite correttamente, ossia sono in stato funzionale sicuro definito e il blocco di funzione è attivo.
S_NotErrFUNC	Uscita che segnala lo stato di errore del modulo di sicurezza. Tipo di dati: SAFEBOOL	SAFEFALSE: Sul modulo di sicurezza è stato rilevato un errore o una funzione di sicurezza non è stata rispettata come definito o il blocco di funzione non è attivato. SAFETRUE: Sul modulo di sicurezza non è stato rilevato errore e nessuna funzione di sicurezza non è stata rispettata come definito e il blocco di funzione è attivo.
AxisStatus	Uscita che segnala lo stato dell'asse. Tipo di dati: DWORD	Uscita di stato bitwise con tipo di dati DWORD. Ogni segnale d'uscita booleano del BF viene mappato su un bit di questo DWORD di stato, che può essere elaborato e valutato oltre nell'applicazione (si veda la tabella nell'argomento "Uscita AxisStatus").
DiagCode	Uscita per messaggi diagnostici. Tipo di dati: WORD	Messaggio diagnostico del blocco di funzione. I valori possibili sono elencati e descritti nell'argomento "Codici diagnostici".

Diagramma di sequenza segnali:

Questo diagramma si riferisce a un semplice esempio di applicazione standard del BF di sicurezza SF_SafeMotionControl: Il blocco di funzione valuta gli stati di due dispositivi di comando di sicurezza, un pulsante di controllo dell'arresto di emergenza e un interruttore a chiave. Il pulsante di controllo dell'arresto di emergenza richiede la funzione STO e l'interruttore a chiave richiede la funzione di sicurezza SLS1.

In base al concetto di sicurezza, la velocità dell'asse deve essere ridotta prima che persone possano entrare nella zona di operazione. Solo a velocità ridotta è, ad esempio, possibile aprire una porta di sicurezza per accedere alla zona di operazione senza richiedere la funzione STO.

NOTA:

I diagrammi di sequenza segnali in questa documentazione possibilmente omettono determinati codici diagnostici. Possibilmente non viene, per esempio, visualizzato un codice diagnostico quando il relativo stato del blocco di funzione è uno stato di transizione temporaneo ed è attivo per un solo ciclo del Safety Logic Controller.

Sono illustrate solo le tipiche combinazioni di segnali in ingresso. Altre combinazioni di segnali sono possibili.

NOTA:

Il diagramma di sequenza segnali è semplificato e intende spiegare il funzionamento del blocco di funzione di sicurezza SF_SafeMotionControl. Questo esempio perciò non va inteso come soluzione di sicurezza praticabile nel modo illustrato e descritto in questo documento.

Altre informazioni:

Anche l'altro diagramma di sequenza segnali può essere preso in considerazione.

0	Il blocco di funzione non è ancora attivo (Activate = FALSE). Di conseguenza, tutte le uscite sono FALSE o SAFEFALSE.
1	Dopo l'avvio, il modulo di sicurezza va automaticamente in stato di sicurezza funzionale STO. Dopo la sua attivazione (commutando Activate = TRUE), il blocco di funzione indica questo stato con S_STO_SafetyActive = SAFETRUE. Come conseguenza dello stato STO è attiva l'inibizione di avvio interna. (In base alla rilevante norma IEC 60204-1, la funzione STO esegue un arresto di categoria 0. Questa categoria di arresto implica una seguente inibizione di avvio.) All'attivazione del blocco, l'uscita S_NotErrFUNC commuta immediatamente a SAFETRUE, segnalando che il blocco di funzione non ha rilevato errori.
2	Con un fronte FALSE > TRUE all'ingresso Reset del blocco di funzione di sicurezza, l'inibizione di avvio/riavvio si può rimuovere. Dopo questo reset, il blocco esce dallo stato STO. Poiché al momento non è richiesta alcuna funzione di sicurezza, l'uscita S_STO_SafetyActive commuta nuovamente a SAFEFALSE, mentre le altre uscite del blocco di funzione ritengono i loro stati precedenti. Dato che questa condizione è soddisfatta, il controllore standard (non relativo alla sicurezza) può dare inizio al funzionamento del drive accelerando l'asse alla velocità di traguardo parametrizzata nell'applicazione di movimento standard (non relativa alla sicurezza).
3	È richiesta la funzione di sicurezza SLS1: Il segnale all'ingresso S_SLS_1_Request commuta a SAFEFALSE in seguito, ad esempio, all'apertura di un interruttore a chiave. Entro l'intervallo di tempo t1, il controllore standard (non relativo alla sicurezza) riceve anch'esso la richiesta dal processo collegato e avvia la funzione di controllo del movimento in base alla logica e alla parametrizzazione del drive definita nell'applicazione standard (non relativa alla sicurezza). t1 si definisce nei parametri di dispositivo del modulo di sicurezza (`SLS*_StartDelayTime[t1]`). Al decorso di t1, la decelerazione del drive alla velocità traguardo V2 viene eseguita dal controllore standard (non relativo alla sicurezza) in base alla parametrizzazione del drive definita nell'applicazione standard. Durante la fase t2 di decelerazione (rampa in discesa), nel nostro esempio il monitoraggio della rampa è parametrizzato per la funzione di sicurezza SLS1. A tal fine, il corrispondente parametro del modulo di sicurezza `SLS1_RampMonitoring` viene impostato a `Activated`. L'uscita S_RampMonitoringActive = SAFETRUE indica che il monitoraggio rampa è attivo. L'oltrepassaggio della rampa definita causa un'immediata richiesta della funzione STO.
4	La velocità di traguardo limitata parametrizzata V2 (impostata con il parametro `SLS1_Speed[v2]`) viene raggiunta prima del decorso del tempo di monitoraggio definito t2 e il monitoraggio rampa non ha rilevato errori di velocità durante il periodo t2 di monitoraggio della rampa. Ciò significa che la funzione di sicurezza SLS1 richiesta è stata attivata correttamente e il blocco di funzione non rileva errori (S_NotErrFUNC rimane SAFETRUE). Di conseguenza, S_SLS_1_SafetyActive commuta a SAFETRUE quando scade t2, indicando che SLS1 ha raggiunto il suo stato sicuro definito. Ora, ad esempio, è possibile aprire la porta di sicurezza e accedere alla zona di operazione senza causare un arresto di emergenza. S_AllReqFuncActive commuta simultaneamente a SAFETRUE, segnalando che tutte le funzioni di sicurezza richieste sono state attivate correttamente e come parametrizzato. Finché la funzione di sicurezza rimane richiesta mediante la continuata applicazione di SAFEFALSE all'ingresso S_SLS_1_Request, la velocità traguardo V2 resta monitorata. Ogni superamento della velocità traguardo V2 causa l'immediata richiesta della funzione STO e commuta S_SLS_1_SafetyActive a SAFEFALSE.
5	La richiesta della funzione di sicurezza SLS1 si rimuove commutando il segnale all'ingresso S_SLS_1_Request nuovamente a SAFETRUE (ad es., serrando l'interruttore a chiave dopo aver chiuso la porta di sicurezza). Le uscite S_SLS_1_SafetyActive e S_AllReqFuncActive ricommutano immediatamente a SAFEFALSE e segnalano così che non è più attiva alcuna funzione di sicurezza. Dato che in seguito alla funzione SLS non è richiesta inibizione di riavvio, il controllore standard (non relativo alla sicurezza) può accelerare l'asse senza bisogno di reset non appena la richiesta della funzione di sicurezza viene rimossa da S_SLS_1_Request. L'asse raggiunge la velocità (parametrizzata nell'applicazione di movimento standard (non relativa alla sicurezza)) senza superare la velocità di sicurezza massima (Vmax) definita e monitorata permanentemente.
6	È richiesta la funzione di sicurezza STO: Quando viene premuto il pulsante di controllo monitorato dell'arresto di emergenza, il segnale all'ingresso S_STO_Request commuta a SAFEFALSE. Il modulo di sicurezza, di conseguenza, disattiva immediatamente la coppia del drive e l'asse rallenta fino a fermarsi. S_STO_SafetyActive commuta immediatamente a SAFETRUE, indicando che STO è attivato. Dato che STO è la sola funzione di sicurezza al momento richiesta, anche S_AllReqFuncActive è SAFETRUE.
7	La richiesta della funzione STO si rimuove sbloccando il pulsante di controllo dell'arresto di emergenza prima che l'asse si arresti. Di conseguenza, il segnale del pulsante dell'arresto di emergenza collegato all'ingresso S_STO_Request ricommuta a SAFETRUE. La coppia del drive però rimane disinserita a causa dell'inibizione di riavvio implementata e l'asse continua a rallentare fino a v = 0. S_STO_SafetyActive e S_AllReqFuncActive rimangono SAFETRUE finché l'inibizione di riavvio resta attiva.
8	Con un fronte FALSE > TRUE all'ingresso Reset del blocco di funzione di sicurezza si può rimuovere l'inibizione di riavvio. Dato che non è richiesta funzione di sicurezza, il controllore standard (non relativo alla sicurezza) può accelerare l'asse finché questo non raggiunge la velocità programmata (parametrizzata nell'applicazione di movimento standard (non relativa alla sicurezza)) senza superare la velocità di sicurezza massima (Vmax) definita e monitorata permanentemente.

Esempio applicativo

NOTA:

L'esempio applicativo è semplificato e intende spiegare la funzionalità del blocco di funzione di sicurezza SF_SafeMotionControl. Perciò questo esempio non va inteso come soluzione di sicurezza praticabile nel modo illustrato e descritto in questo documento.

Solo voi, l'utente, costruttore della macchina o integratore di sistema siete al corrente di tutte le condizioni e tutti i fattori implementati nel progetto della vostra applicazione per la macchina. Perciò solo voi potete determinare quale attrezzatura di automazione e quali dispositivi di protezione e interblocco sono adeguati e validarne l'utilizzo.

AVVERTENZA
	NON CONFORMITÀ AI REQUISITI DELLA FUNZIONE DI SICUREZZA Specificate i requisiti e/o le misure da implementare nella analisi del rischio che eseguite. Verificate che la vostra applicazione di sicurezza sia conforme alle disposizioni e norme di sicurezza applicabili. Assicurate che siano state prese misure e adottate procedure idonee (a dipendere dalla normativa di settore applicabile) per contribuire ad evitare situazioni di pericolo durante l'operazione della macchina. Usate interblocchi di sicurezza idonei ovunque esista un pericolo per il personale e/o il macchinario. Validate la funzione di sicurezza nel suo complesso ed eseguite prove approfondite dell'applicazione. La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

AVVERTENZA

NON CONFORMITÀ AI REQUISITI DELLA FUNZIONE DI SICUREZZA

Specificate i requisiti e/o le misure da implementare nella analisi del rischio che eseguite.
Verificate che la vostra applicazione di sicurezza sia conforme alle disposizioni e norme di sicurezza applicabili.
Assicurate che siano state prese misure e adottate procedure idonee (a dipendere dalla normativa di settore applicabile) per contribuire ad evitare situazioni di pericolo durante l'operazione della macchina.
Usate interblocchi di sicurezza idonei ovunque esista un pericolo per il personale e/o il macchinario.
Validate la funzione di sicurezza nel suo complesso ed eseguite prove approfondite dell'applicazione.

La mancata osservazione di queste istruzioni può causare la morte, lesioni personali gravi e danni materiali.

Nell'esempio che segue, il Safety Logic Controller elabora i segnali d'ingresso provenienti da un modulo TM5 di estensione di sicurezza SDI 1. A questo sono collegati un pulsante di controllo dell'arresto di emergenza, un interruttore a chiave e una cortina luminosa. Questi dispositivi sono collegati tramite variabili I/O globali ai rispettivi ingressi di richiesta del blocco di funzione.

Al dispositivo di uscita di sicurezza SDO 1 sono collegate due lampade di segnale: la lampada verde segnala "modulo di sicurezza OK" e quella rossa indica "funzione di sicurezza richiesta".

Altre informazioni:

Si vedano anche i dettagli relativi a questo esempio applicativo e le note che lo accompagnano.

Informazioni dettagliate

Maggiori informazioni si trovano nelle seguenti sezioni: