|
Dies ist die Web-Ausgabe der Originalfassung des ⮫ AC500-S Sicherheitshandbuchs, Version 1.3.2. Diese Web-Ausgabe dient lediglich zur schnellen Orientierung. Für die Einhaltung der Anforderungen in Bezug auf Anwendungen der funktionalen Sicherheit muss das Original-Sicherheitshandbuch verwendet werden. |
Die Sicherheits-CPU verfügt über keine Batterie. Deshalb werden alle Operanden initialisiert, sobald die Steuerspannung aktiviert wird. Der Datenaustausch zwischen Sicherheits- und Standard-CPUs ist möglich.
GEFAHR
Es wird nicht empfohlen, Datenwerte von der Standard-CPU auf die Sicherheits-CPU zu übertragen. Hierbei müssen die Endanwender zusätzliche prozessspezifische Validierungsverfahren in ihrem Sicherheitsprogramm definieren, um die Korrektheit der übertragenen nicht sicheren Daten zu überprüfen, wenn sie diese nicht sicheren Werte für Sicherheitsfunktionen verwenden möchten.
Datenwerte von der Sicherheits-CPU auf die Standard-CPU zu übertragen, z. B. für Diagnose und spätere Darstellung auf Bedienpanels, ist kein Problem.
Selbsttests und Diagnosefunktionen (sowohl beim Starten als auch während des Betriebs), wie CPU- und RAM-Tests, Programmablauf-Überwachung usw., werden in die Sicherheits-CPU gemäß den Anforderungen von IEC 61508 implementiert.
Ausgewählte Daten können „failsafe“ und dauerhaft im Flash-Speicher der Sicherheits-CPU mit den speziellen Bibliotheken-POEs SF_FLASH_READ, SF_FLASH_WRITE und SF_FLASH_DEL gespeichert werden⮫ „SF_FLASH_READ“⮫ „SF_FLASH_WRITE“⮫ „SF_FLASH_DEL“.
Die Sicherheits-CPU ist eine „Single-Threaded“ und „Single-Task“-CPU. Nur eine freilaufende Task ist für die Ausführung des Sicherheitsprogramms verfügbar. Die freilaufende Task wird verarbeitet, sobald das Sicherheitsprogramm gestartet wird, und nach Abschluss eines Laufs in einer Endlosschleife automatisch neu gestartet. Für diese Task ist keine Zykluszeit einstellbar, die Anwender können die Zykluszeit der Sicherheits-CPU jedoch mithilfe der Bibliotheks-POE SF_WDOG_TIME_SET überwachen⮫ „SF_WDOG_TIME_SET“.
Die Watchdog-Zeit der Sicherheits-CPU wird mit SF_WDOG_TIME_SET gesetzt; dies ist die maximal zulässige Zeit für ihren Zyklus. Wenn die mit SF_WDOG_TIME_SET gesetzte Zeit während der Programmausführung auf der Sicherheits-CPU überschritten wird, schaltet sie in den Zustand SAFE STOP (keine gültigen Telegramme werden vom Gerät generiert) und die LED I-ERR leuchtet.
HINWEIS
Im Anwenderprogramm muss die POE SF_WDOG_TIME_SET nur einmal aufgerufen werden, um einen Watchdog-Wert über 0 einzustellen. Wenn SF_WDOG_TIME_SET nicht im Anwenderprogramm aufgerufen wird, wird die Standard-Watchdog-Zeit = 0 verwendet, wodurch es in der Sicherheits-CPU unmittelbar zu einem SAFE STOP-Zustand mit I-ERR LED = EIN kommt.
Um gelegentliche Stopps der Sicherheits-CPU aufgrund eines Überschreitens der Zyklusdauer zu vermeiden, was von der Zyklusdauer-Überwachung festgestellt wurde, sollte die CPU-Last beim Testlauf des Anwenderprogramms überwacht werden, um sicherzustellen, dass der gewählte Watchdog-Wert korrekt gesetzt wurde.
HINWEIS
Der Watchdog-Wert, der in der POE SF_WDOG_TIME_SET gesetzt wird, wird zur Überwachung der Zyklusdauer der Sicherheits-CPU ausschließlich im Modus RUN (sicher) verwendet. In den Modi DEBUG RUN (nicht sicher) und DEBUG STOP (nicht sicher) der Sicherheits-CPU wird der Watchdog-Wert ignoriert.
Mit dem speziellen SPS-Browser-Befehl „setpwd“ kann ein Passwort für die Sicherheits-CPU definiert werden, um nicht autorisierten Zugang zu den Daten (Anwendungsprojekt usw.) zu verhindern. Ohne Passwort kann keine Verbindung zur Sicherheitssteuerung hergestellt werden.