SF_EDM (External Device Monitoring)

Anwendbare Sicherheits-Standards

SF_EDM ist ein zertifizierter PLCopen-Baustein. Detaillierte Informationen zu angewendeten Normen findet der Anwender bei "PLCopen - Technical Committee 5 - Safety Software"

Wichtig

Die in den Normen aufgeführten Anforderungen müssen vom Anwender erfüllt werden.

Interface-Beschreibung

Dieser Baustein legt ein Eingangssignal (S_OutControl) auf ein Ausgangssignal (S_EDM_Out). Der Baustein überwacht, dass zwei Eingänge innerhalb einer definierten Zeit (MonitoringTime) abschalten. Schalten sie nicht innerhalb der definierten Zeit ab, wird S_EDM_OUT auf FALSE gesetzt.

Der Baustein SF_EDM (External Device Monitoring) überwacht den Grundzustand und den Schaltzustand von Aktoren, zum Beispiel Schaltverstärkern, die von sicheren Ausgangsgeräten gesteuert werden.

Tabelle 18. VAR_INPUT

Name	Datentyp	Initialwert	Beschreibung, Parameterwerte
`Activate`	`BOOL`	`FALSE`	Siehe Allgemeine Eingangsparameter
`S_OutControl`	`SAFEBOOL`	`FALSE`	Variable Kontrollsignal des vorangehenden Sicherheitsbausteins. Typische Bausteinsignale der PLCopen-Bibliothek (beispielsweise `SF_OutControl`, `SF_TwoHandControlTypeII` ) `FALSE`: Inaktiver Sicherheitsausgang (`S_EDM_Out`) `TRUE`: Aktiver Sicherheitsausgang (`S_EDM_Out`)
`S_EDM1`	`SAFEBOOL`	`FALSE`	Variable Rückmeldungsignal des ersten verbundenen Aktors (Schaltverstärkers). `FALSE`: Schaltzustand des ersten verbundenen Aktors. `TRUE`: Grundzustand des ersten verbundenen Aktors.
`S_EDM2`	`SAFEBOOL`	`FALSE`	Variable Rückmeldesignal des zweiten verbundenen Aktors (Schaltverstärkers). Je nach den installierten Aktoren, der Verdrahtung zwischen den Rückmeldesignalen und dem angestrebten Sicherheitslevel, kann es sein dass hier nur ein kombinierter Eingang verwendet wird. In diesem Fall muss der Benutzer eine grafische Verbindung verwenden, um die Parameter `EDM1` und `EDM2` zu überbrücken. `S_EDM1` und `S_EDM2` werden dann durch das gleiche Signal gesteuert. `FALSE`: Schaltzustand des zweiten verbundenen Aktors `TRUE`: Grundzustand des zweiten verbundenen Aktors
`MonitoringTime`	`TIME`	`#0ms`	Konstante Maximale Antwortzeit der verbundenen und überwachten Aktoren. Der Vorsichtshinweis `MonitoringTime` ist zu beachten.
`Reset`	`BOOL`	`FALSE`	Siehe Allgemeine Eingangsparameter

`MonitoringTime`

Für Entwickler im Extended Level gilt: der Eingang MonitoringTime muss mit einem konstanten Wert beschaltet werden. Der Wert darf bei den Aufrufen nicht verändert werden!

Tabelle 19. VAR_OUTPUT

Name	Datentyp	Initialwert	Beschreibung, Parameterwerte
`Ready`	`BOOL`	`FALSE`	Siehe Allgemeine Ausgangsparameter
`S_EDM_Out`	`SAFEBOOL`	`FALSE`	Steuert den Aktor. Das Ergebnis wird durch das Rückmeldesignal `S_EDMx` angezeigt. `FALSE`: Inaktive angeschlossene Aktoren `TRUE`: Aktive angeschlossene Aktoren
`SafetyDemand`	`BOOL`	`FALSE`	Siehe Allgemeine Ausgangsparameter
`ResetRequest`	`BOOL`	`FALSE`	Siehe Allgemeine Ausgangsparameter
`Error`	`BOOL`	`FALSE`	Siehe Allgemeine Ausgangsparameter
`DiagCode`	`WORD`	`16#0000`	Siehe Diagnose-Codes

Abbildung 18. Baustein SF_EDM

Funktionale Beschreibung

Der Baustein SF_EDM steuert einen Sicherheitsausgang und überwacht gesteuerte Aktoren.

Er überwacht den Grundzustand der Aktoren über die Rückmeldesignale (S_EDM1 und S_EDM2) bevor die Aktoren durch den Baustein aktiviert werden.

Dieser Baustein überwacht den Schaltzustand der Aktoren (MonitoringTime) nachdem die Aktoren durch den Baustein aktiviert wurden.

Zwei einzelne Rückmeldesignale müssen für die genaue Diagnose der angeschlossenen Aktoren verwendet werden. Ein gemeinsames Rückmeldesignal der beiden angeschlossenen Aktoren muss für eine begrenzte, jedoch einfache Diagnosefunktion der angeschlossenen Aktoren verwendet werden. In diesem Fall muss der Anwender dieses gemeinsame Signal mit beiden Parametern S_EDM1 und S_EDM2 verbinden. S_EDM1 und S_EDM2 werden dann durch das gleich Signal gesteuert.

Die in der Sicherheitsfunktion verwendeten Schaltgeräte sollte der Kategorie angehören, die in Risikoanalyse entsprechend der Norm festgelegt wurde.

Optionale Anlaufsperre:

Anlaufsperre bei Bausteinaktivierung

Achtung

Der S_StartReset-Eingang soll nur aktiviert werden, wenn sichergestellt ist, dass keine Gefährdungssituation entstehen kann, wenn die Sicherheitssteuerung startet.

Zustandsübergangsdiagramm

Abbildung 19. Zustandsübergangsdiagramm SF_EDM

Tipp

Der Übergang von jedem Zustand zum Zustand Idle , bedingt durch Activate = FALSE, wird nicht gezeigt. In jedem Fall haben diese Übergänge die höchste Priorität.

Typische Zeitdiagramme

Abbildung 20. Typisches Zeitdiagramm SF_EDM, S_StartReset = FALSE

Fehlererkennung

Die folgenden Bedingungen führen zum Fehlerzustand:

Ungültiges, statisches Signal am Reset-Eingang
Ungültiges EDM-Signal im Prozess
Die Eingänge S_OutControl und Reset sind wegen eines Progammierfehlers falsch beschaltet

Fehlerverhalten

Im Fehlerzustand sind die Ausgänge wie folgt:

S_EDM_Out ist auf FALSE gesetzt und bleibt im sicheren Zustand
Eine EDM-Fehlermeldung muss immer mit einer steigenden Triggerflanke an Reset zurückgesetzt werden
Eine Reset-Fehlermeldung kann durch Setzen von Reset auf FALSE zurückgesetzt werden

Nach der Bausteinaktivierung kann die optionale Anlaufsperre durch eine steigende Flanke am Reset-Eingang zurückgesetzt werden.

Bausteinspezifische Fehler- und Zustandcodes

Tabelle 20. Bausteinspezifische Fehlercodes

`DiagCode`	Zustandsname	Zustandsbeschreibung und Setzen des Ausgangs
`16#C001`	`Reset Error 1`	Statisches Reset-Signal in Status `16#8401`. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C011`	`Reset Error 21`	Statisches Reset-Signal oder gleiche Signale an `EDM1` und `Reset` (gleichzeitig steigende Triggerflanke an `Reset` und `EDM1`) in Status `16#C010`. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C021`	`Reset Error 22`	Statisches Reset-Signal oder gleiche Signale an `EDM2` und `Reset` (gleichzeitig steigende Triggerflanke an `Reset` und `EDM2`) in Status `16#C020`. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C031`	`Reset Error 23`	Statisches Reset-Signal oder gleiche Signale an `EDM1`, `EDM2` und `Reset` (gleichzeitig steigende Triggerflanke an `Reset`, `EDM1` und `EDM2`) in Status `16#C030`. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C041`	`Reset Error 31`	Statisches Reset-Signal oder gleiche Signale an `EDM1` und `Reset` (gleichzeitig steigende Triggerflanke an `Reset` und `EDM1`) in Status `16#C040`. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C051`	`Reset Error 32`	Statisches Reset-Signal oder gleiche Signale an `EDM2` und `Reset` (gleichzeitig steigende Triggerflanke an `Reset` und `EDM2`) in Status `16#C050`. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C061`	`Reset Error 33`	Statisches Reset-Signal oder gleiche Signale an `EDM1`, `EDM2` und `Reset` (gleichzeitig steigende Triggerflanke an `Reset`, EDM1 und EDM2) in Status `16#C060`. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C071`	`Reset Error 41`	Statisches Reset-Signal in Status `16#C070`. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C081`	`Reset Error 42`	Statisches Reset-Signal in Status `16#C080`. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C091`	`Reset Error 43`	Statisches Reset-Signal in Status `16#C090`. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C010`	`EDM Error 11`	Das Signal an `EDM1` ist im Grundzustand des Aktors ungültig. In Status `16#8810` ist das `EDM1`-Signal auf `FALSE`, wenn `S_OutControl` aktiviert wird. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = R` (*) `Error = TRUE`
`16#C020`	`EDM Error 12`	Das Signal an `EDM2` ist im Grundzustand des Aktors ungültig. In Status `16#8810` ist das `EDM2`-Signal auf `FALSE`, wenn `S_OutContro`l aktiviert wird. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = R` (*) `Error = TRUE`
`16#C030`	`EDM Error 13`	Die Signale an `EDM1` und `EDM2` sind in den Grundzuständen des Aktors ungültig. In Status `16#8810` sind die Signale `EDM1` und `EDM2` auf `FALSE`, wenn `S_OutControl` aktiviert wird. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`
`16#C040`	`EDM Error 21`	Das Signal an `EDM1` ist im Grundzustand des Aktors ungültig. In Status `16#8810` ist das `EDM1`-Signal auf `FALSE` und die Überwachungszeit ist abgelaufen. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = R` (*) `Error = TRUE`
`16#C050`	`EDM Error 22`	Das Signal an `EDM2` ist im Grundzustand des Aktors ungültig. In Status `16#8810` ist das `EDM2`-Signal auf `FALSE` und die Überwachungszeit ist abgelaufen. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = R` (*) `Error = TRUE`
`16#C060`	`EDM Error 23`	Die Signale an `EDM1` und `EDM2` sind in den Grundzuständen des Aktors ungültig. In Status `16#8810` sind die Signale `EDM1` und `EDM`2 auf `FALSE` und die Überwachungszeit ist abgelaufen. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = R` (*) `Error = TRUE`
`16#C070`	`EDM Error 31`	Das Signal an `EDM1` ist im Schaltzustand des Aktors ungültig. In Status `16#8000` ist das `EDM1`-Signal auf `TRUE` und die Überwachungszeit ist abgelaufen. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = TRUE` `Error = TRUE`
`16#C080`	`EDM Error 32`	Das Signal an `EDM2` ist im Schaltzustand des Aktors ungültig. In Status `16#8000` ist das `EDM2`-Signal auf `TRUE` und die Überwachungszeit ist abgelaufen. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = TRUE` `Error = TRUE`
`16#C090`	`EDM Error 33`	Die Signale an `EDM1` und `EDM2` sind in den Schaltzuständen des Aktors ungültig. In Status `16#8000` sind die Signale `EDM1` und `EDM2` auf `FALSE` und die Überwachungszeit ist abgelaufen. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = TRUE` `Error = TRUE`
`16#C100`	`Init Error`	Gleichartige Signale an `S_OutControl` und `Reset` (`R_TRIG` im gleichen Zyklus) entdeckt (vielleicht ein Progarmmierfehler). `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = TRUE`

(*)
IF EDM_1 = TRUE AND EDM_2 = TRUE THEN	
    R:= TRUE;
ELSE	
    R:= FALSE;
END_IF

Tabelle 21. Bausteinspezifische Status-Codes

`DiagCode`	Zustandsname	Zustandsbeschreibung und Setzen des Ausgangs
`16#0000`	`Idle`	Der Baustein ist nicht aktiv (Grundzustand) `Ready = FALSE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = FALSE`
`16#8401`	`Init`	Bausteinaktivierung Anlaufsperre ist aktiv. Reset erforderlich. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = FALSE` `ResetRequest = TRUE` `Error = FALSE`
`16#8810`	`Output Disable`	EDM-Kontrolle ist nicht aktiv. Timer startet, wenn Status eintritt. `Ready = TRUE` `S_EDM_Out = FALSE` `SafetyDemand = TRUE` `ResetRequest = FALSE` `Error = FALSE`
`16#8000`	`Output Enable`	EDM-Kontrolle ist aktiv. Timer startet, wenn Status eintritt. `Ready = TRUE` `S_EDM_Out = TRUE` `SafetyDemand = FALSE` `ResetRequest = FALSE` `Error = FALSE`

In diesem Abschnitt: