|
Dies ist die Web-Ausgabe der Originalfassung des ⮫ AC500-S Sicherheitshandbuchs, Version 1.3.2. Diese Web-Ausgabe dient lediglich zur schnellen Orientierung. Für die Einhaltung der Anforderungen in Bezug auf Anwendungen der funktionalen Sicherheit muss das Original-Sicherheitshandbuch verwendet werden. |
Die Antwortzeit der Sicherheitsfunktion (SFRT) ist die Zeit, innerhalb der die Sicherheitssteuerung AC500-S im normalen Modus RUN reagieren muss, nachdem ein Fehler im System aufgetreten ist.
Auf Anwendungsseite ist SFRT die maximale Zeit, in der das Sicherheitssystem auf die Veränderung der Eingangssignale oder Modulausfälle antworten muss.
SFRT ist eine der wichtigsten Zeiten im Bereich Sicherheit, da sie in zeitkritischen Sicherheitsanwendungen (z. B. Pressen) verwendet wird, um zum Schutz von Menschen vor den potenziell gefährlichen Maschinenteilen einen angemessenen Abstand für einen Lichtvorhang oder einen anderen Sicherheitssensor zu definieren.
SFRT kann für PROFIsafe-Geräte basierend auf⮫ [7] definiert werden als:
Gleichung 1: SFRT = TWCDT + längstes ∆T_WD
wobei:
-
TWCDT (Gesamt-Worst-Case-Verzögerungszeit) ist die maximale Zeit für die Übertragung eines Eingangssignals im AC500-S-System bis zur Reaktion des Ausgangs im Worst-Case (alle Komponenten erfordern die maximale Zeit);
-
Längstes ∆T_WD ist die längste Zeitdifferenz, die zwischen Ablauf der Worst-Case-Verzögerungszeit bis zum Ansprechen der Watchdog-Zeit entsteht. Im Sicherheitskontext muss zur Identifizierung von SFRT ein potenzieller Einzelfehler innerhalb der an einer Signalübertragung beteiligten Sicherheitsmodule in Betracht gezogen werden. Es ist ausreichend, nur einen Einzelfehler zu berücksichtigen⮫ [7].
In Abb. 529, Abb. 530 und Abb. 531 wird SFRT im Detail erläutert. Im Modell in Abb. 529 und Abb. 530 werden die Phasen Lesen des Eingangssignals, sicherer Datentransfer, sichere Logikverarbeitung, sicherer Datentransfer und sichere Signalausgabe angeführt. Im Modell in Abb. 531 wird die sichere Kommunikation von CPU zu CPU dargestellt, die die Phasen sichere Logikverarbeitung, sicherer Datentransfer und sichere Logikverarbeitung beinhaltet.
-
Alle Begriffe in dieser Abbildung werden ⮫ hier erläutert.
-
Alle Begriffe in dieser Abbildung werden ⮫ hier erläutert.
-
Alle Begriffe in dieser Abbildung werden ⮫ hier erläutert.
Erläuterung von Begriffen im Zusammenhang mit SFRT
Die folgenden Begriffe werden (in alphabetischer Reihenfolge) in Abb. 529, Abb. 530 und Abb. 531 definiert:
-
Device_WD1 (Sicherheits-E/A-Zeit für Eingänge) ist eine interne Watchdog-Zeit des Eingabegerätes in ms; sie umfasst:
-
Eingangsverzögerung (variierbar als Parameter; nicht bei sicheren Analogeingängen, die stattdessen eine interne Worst-Case-Eingangsverzögerung von 67,5 ms aufweisen);
-
Genauigkeit der Eingangsverzögerung⮫ Tab. 993 „Genauigkeit der Eingangsverzögerung für DI581-S“⮫ Tab. 995 „Genauigkeit der Eingangsverzögerung für DX581-S“
-
Low-Level-Testimpuls (festgesetzt auf 1 ms und optional (nur wenn Testimpulse verwendet werden); nicht bei sicheren Analogeingängen);
-
2 × interne Zyklusdauer (fest; AI581-S ➔ 4,5 ms, DX581-S ➔ 5,5 ms und DI581-S ➔ 6,5 ms);
-
-
Device_WD2 (Sicherheits-E/A-Zeit für Ausgänge) ist eine interne Watchdog-Zeit des Ausgabegerätes in ms; sie umfasst:
-
Interne Zyklusdauer des Sicherheitsausgabegerätes (fest; DX581-S ➔ 5,5 ms);
-
Verarbeitungszeit am Ausgang von DX581-S (fest 1,5 ms);
-
Hardwareverzögerung (abhängig vom Strom, z. B. ~1 ms (747 µs bei 5 mA) und maximal 4 ms bei einem maximalen Ausgangsstrom von 500 mA). Genauere Werte erhalten Sie vom technischen Support von ABB.
-
-
F_HOST_WD (Sicherheitslogikzeit) entspricht dem Dreifachen der Watchdog-Zeit des Sicherheitsanwendungszyklus. Die Watchdog-Zeit des Sicherheitsanwendungszyklus ist unter Verwendung von POU SF_WDOG_TIME_SET konfigurierbar. Die Watchdog-Zeit des Sicherheitsanwendungszyklus hängt von der Zahl der F-Devices, dem Sicherheitsprogramm und der Systemkonfiguration ab.
-
F_WD_Time1 und F_WD_Time2: Die Summe entspricht der Gesamt-Datenübertragungszeit über den „Black-Channel“. Sie umfasst unterschiedliche „Black Channel“-Komponenten, z. B. Feldbus-Zykluszeit (PROFINET), I/O-Bus-Zeit und Aktualisierungszeit für Sicherheits-CPU (konfigurierbar als Parameter) und Kommunikationsmodul.
-
Die Feldbus-Zykluszeit (PROFINET) hängt von den Kommunikationseinstellungen für das PROFINET IO-Device ab, an dem das Sicherheits-E/A-Modul angebracht ist. Die Zykluszeit ergibt sich aus der Multiplikation von zwei Parametern des PROFINET IO-Device.
-
„Send clock“, z. B. für CI501-PNIO und CI502-PNIO: 1 ms, 2 ms oder 4 ms
-
„Reduction ratio“, z. B. für CI501-PNIO und CI502-PNIO: 1, 2, 4, 8, 16 … 512
Diese Werte können in Abhängigkeit von den definierten PROFINET-Parametern für dieses PROFINET-Modul ausgewählt werden.
-
-
Die konfigurierbare Aktualisierungszeit für Sicherheits-CPU und Kommunikationsmodule beschreibt die Datenübertragungszeit über den Kommunikationsmodul-Bus.
-
Mit AC500 V2-Standard-CPU:
Die Aktualisierungszeit kann sowohl für die Sicherheits-CPU als auch für die Kommunikationsmodule innerhalb eines Bereichs von 0 … 20000 ms konfiguriert werden.
-
Mit AC500 V3-Standard-CPU:
Die Aktualisierungszeit für die Sicherheits-CPU kann innerhalb eines Bereichs von 1 … 20000 ms konfiguriert werden.
Die Aktualisierungszeit für Kommunikationsmodule wird über die Einstellungen für PROFINET IO-Controller (CM579-PNIO) und PROFINET IO-Device (CM589-PNIO) konfiguriert. Sie ist definiert durch die Kommunikationsmoduleinstellung „Buszyklus-Task“, z. B. in der Registerkarte „PROFINET-IO-Controller E/A-Abbild“. Weiterführende Informationen: ⮫ „„Buszyklus-Task““
-
-
Die I/O-Bus-Zeit beschreibt die Datenübertragungszeit über den I/O-Bus für die Kommunikation zwischen der Standard-CPU und den zugehörigen lokalen I/O-Bus-Modulen sowie für die Kommunikation zwischen den Kommunikationsschnittstellen-Modulen und den zugehörigen lokalen I/O-Bus-Modulen.
-
Mit AC500 V2-Standard-CPU:
Die I/O-Bus-Zykluszeit weist keinen festen vordefinierten Zykluswert auf. Sie wird unabhängig von den Einstellungen der Standard-CPU durch die Anzahl und den Typ der konfigurierten E/A-Module definiert. Die I/O-Bus-Zeit umfasst die folgenden Werte:
– I/O-Bus-Master-Zyklus: 2 ms (2 Zyklen, je 1 ms)
– I/O-Bus-Zykluszeit: In der Regel 2 … 5 ms (2 Zyklen, je 1 … 2,5 ms)
Insgesamt beträgt der typische Bereich für die I/O-Bus-Zeit 4 … 7 ms.
-
Mit AC500 V3-Standard-CPU:
Der I/O-Bus wird mit einer definierten Zykluszeit betrieben. Diese I/O-Bus-Zykluszeit bezieht sich auf die Einstellung „Buszyklus-Task“ des I/O-Bus in der Registerkarte „I/O-Bus E/A-Abbild“. Weiterführende Informationen finden Sie unter:⮫ „„Buszyklus-Task““.
Eine grundlegende Definition der I/O-Bus-Zykluszeiten wird für die Standard-CPU unter der Einstellung „Buszyklus-Task“ in der Registerkarte „SPS-Einstellungen“ vorgenommen.
Beispiel für eine Einstellung mit Zuordnung zu einer Task mit einer Zykluszeit von 2 ms (und kürzer als die definierte Aktualisierungszeit für die Sicherheits-CPU):
– Ergebnis für I/O-Bus-Master-Zyklus: 2 ms = 2 Zyklen, je 1 ms
– Ergebnis für I/O-Bus-Zykluszeit: In der Regel 4 … 5 ms = 2 Zyklen, je 2 … 2,5 ms (wenn die konfigurierte Task-Zykluszeit für die I/O-Bus-Konstellation nicht ausreicht, kann die I/O-Bus-Zykluszeit auf maximal 2,5 ms verlängert werden)
Insgesamt beträgt die I/O-Bus-Zeit für dieses Beispiel 6 … 7 ms.
Weiterführende Informationen finden Sie unter⮫ „„Buszyklus-Task““, z. B. für I/O-Bus.
-
Mit Kommunikationsschnittstellen-Modul CI50x-PNIO:
Die I/O-Bus-Zykluszeit weist keinen festen vordefinierten Zykluswert auf. Sie wird unabhängig von den Einstellungen des Kommunikationsschnittstellen-Moduls durch die Anzahl und den Typ der konfigurierten E/A-Module definiert. Die I/O-Bus-Zeit umfasst die folgenden Werte:
– I/O-Bus-Master-Zyklus: 2 ms (2 Zyklen, je 1 ms)
– I/O-Bus-Zykluszeit: In der Regel 4 … 7 ms (2 Zyklen, je 2 … 3,5 ms)
Insgesamt beträgt der typische Bereich für die I/O-Bus-Zeit 6 … 9 ms.
-
Unten sind einige Beispiele zur Berechnung von SFRT-Werten in den vorgestellten AC500-S-Systemkonfigurationen angegeben. Bei der Berechnung der SFRT wird folgender Ansatz auf der Basis von⮫ [2] und⮫ [7] angewendet:
Gleichung 2: SFRT = Device_WD1 + 0,5 * F_WD_Time1 + F_Host_WD + 0,5 * F_WD_Time2 + Device_WD2 + längstes ∆T_WD
GEFAHR
Eingangsverzögerung, Genauigkeit der Eingangsverzögerung und Testimpuls-Low-Phase sind für AI581-S nicht erforderlich. Jedoch sollte für AI581-S die für den Worst-Case festgelegte interne Eingangsverzögerung von 67,5 ms verwendet werden.
GEFAHR
Die Genauigkeit der Eingangsverzögerung muss unter den folgenden Annahmen berechnet werden:
-
Wird nicht für sichere Analogeingänge verwendet.
-
Wenn für den entsprechenden sicherheitsgerichteten Digitaleingang keine Testimpulse konfiguriert wurden, kann die Genauigkeit der Eingangsverzögerung berechnet werden als 1 % der eingestellten Eingangsverzögerung (die Genauigkeit der Eingangsverzögerung muss jedoch mindestens 0,5 ms sein!).
-
Wenn für den entsprechenden sicherheitsgerichteten Digitaleingang Testimpulse konfiguriert wurden, können in Abhängigkeit vom Modultyp (DI581-S oder DX581-S) und vom gesetzten Wert für die Eingangsverzögerung die folgenden Werte für die Genauigkeit der Eingangsverzögerung bei der Berechnung der SFRT verwendet werden:⮫ Tab. 993 „Genauigkeit der Eingangsverzögerung für DI581-S“⮫ Tab. 995 „Genauigkeit der Eingangsverzögerung für DX581-S“
HINWEIS
⮫ Gleichung 2 wurde für die Berechnung von SFRT aus folgenden Gründen gewählt:
-
Device_WD1 und Device_WD2 als Worst-Case-Verzögerungszeiten für Sicherheits-E/As können wie unter Abb. 529 und Abb. 530 dargelegt definiert werden.
-
Für die Berechnung der Worst-Case-Verzögerungszeit für „Black Channel“-Komponenten (siehe AC500-Standardmodule in Abb. 529 und Abb. 530) wird empfohlen, stattdessen den halben Wert von F_WD_Time1 und F_WD_Time2 zu verwenden. F_WD_Time1 und F_WD_Time2 können empirisch für die AC500-Systemkonfiguration bestimmt werden, indem man die Werte für tResponseTimeMS für gegebene Sicherheits-E/As in der Sicherheitsanwendung zurückverfolgt. Verwenden Sie die PROFIsafe-Instanz für den gegebenen Sicherheits-E/A ⮫ „SafetyBase_PROFIsafe_LV210_AC500_V22.lib“. F_WD_Time1 und F_WD_Time2 sollten etwa 30 % höher als der Worst-Case-Wert für tResponseTimeMS des gegebenen Sicherheits-E/A gesetzt werden.
-
Es wird empfohlen, die Zeit F_Host_WD statt der Worst-Case-Verzögerungszeit der Sicherheits-CPU SM560-S zu nehmen. F_Host_WD wird berechnet als drei Mal der Wert, der mithilfe der POEs SF_WDOG_TIME_SET gesetzt wird. Der korrekte Wert für SF_WDOG_TIME_SET kann empirisch bestimmt werden, indem man den Ausgang MAX_TIME derselben POE in einem Testlauf verfolgt. Der Wert für SF_WDOG_TIME_SET sollte ca. 30 % höher als der Worst-Case-Wert (MAX_TIME) sein, der in der Sicherheitsanwendung beobachtet wurde, um mögliche Verfügbarkeitsprobleme durch das Auslösen des Watchdogs der Sicherheits-CPU SM560-S zu vermeiden.
-
F_WD_Time1 und F_WD_Time2 sind die einzigen potenziellen Kandidaten für Längstes ∆T_WD, da F_Host_WD, Device_WD1 und Device_WD2 bereits gleich der Worst-Case-Verzögerungszeit sind. Somit ist
Längstes ∆T_WD = Max (0,5 * F_WD_Time1; 0,5 * F_WD_Time2)
HINWEIS
Bessere SFRT-Werte als mit ⮫ Gleichung 2 erhält man mit einer detaillierten technischen Analyse. Wenden Sie sich an den technischen Support von ABB für weitere Details.
HINWEIS
Die Werte F_WD_Time1 und F_WD_Time2 müssen mindestens doppelt so groß sein wie die mit SF_WDOG_TIME_SET eingestellte Zeit, um ungewollte Systemstopps aufgrund des Ablaufens des PROFIsafe-Watchdogs zu vermeiden.
GEFAHR
AC500-S-Sicherheits-E/A-Module erfüllen die Anforderung der IEC 61131 zum Überbrücken einer möglichen Unterspannung mit einer Dauer von bis zu 10 ms. Während dieser Unterspannungsphase von bis zu 10 ms liefern die AC500-S-Sicherheits-E/A-Module den letzten Prozesswert, der vor der Erkennung der Unterspannung gültig war, für die sicherheitsgerichteten Analogeingangskanäle im AI581-S und für die sicherheitsgerichteten Digitaleingänge/-ausgänge in den Modulen DI581-S und DX581-S.
Wenn die Unterspannungsphase länger als 10 ms andauert, werden die E/A-Module passiviert⮫ „Unterspannung / Überspannung“.
Wenn häufig Unterspannungen mit einer Dauer von < 10 ms in der Sicherheitsanwendung auftreten, müssen Sie 10 ms für das AI581-S-Modul in der Berechnung der SFRT hinzufügen, um eine Überbrückungsphase (wie oben beschrieben) zu berücksichtigen. In der Regel geht man davon aus, dass Unterspannungen mit einer Dauer von < 10 ms in der Spannungsversorgung des Sicherheitssystems eher selten und daher mit geringer Wahrscheinlichkeit auftreten, sodass diese in der SFRT-Berechnung außer Acht gelassen werden können.
Basierend auf Abb. 529, Abb. 530 und Abb. 531 können die folgenden SFRT-Beispielwerte für einige typische AC500-S-Konfigurationen durch die Nutzung von ⮫ Gleichung 2 berechnet werden:
Ohne PROFINET (DI581-S ➔SM560-S ➔ DX581-S)
SFRT = Device_WD1 + 0,5 * F_WD_Time1 + F_Host_WD + 0,5 * F_WD_Time2 + Device_WD2 + Längstes ∆T_WD = 14,5 + 10 + 6 + 10 + 8 + 10 = 58,5 ms
wobei:
-
Device_WD1 = 1 ms + 0,5 ms + 2 x 6,5 ms = 14,5 ms (ohne Testimpulse)
-
F_WD_Time1 = 20 ms
-
F_Host_WD = 3 x 2 ms (SF_WDOG_TIME_SET Zeit) = 6 ms
-
F_WD_Time2 = 20 ms
-
Device_WD2 = 8 ms (Ausgangsstrom = ~ 5 mA)
-
Längstes ∆T_WD = Max (0,5 * F_WD_Time1; 0,5 * F_WD_Time2) = 10 ms
Ohne PROFINET (DX581-S ➔ SM560-S ➔ DX581-S)
SFRT = Device_WD1 + 0,5 * F_WD_Time1 + F_Host_WD + 0,5 * F_WD_Time2 + Device_WD2 + Längstes ∆T_WD = 12,5 + 10 + 6 + 10 + 8 + 10 = 56,5 ms
wobei:
-
Device_WD1 = 1 ms + 0,5 ms + 2 x 5,5 ms = 12,5 ms (ohne Testimpulse)
-
F_WD_Time1 = 20 ms
-
F_Host_WD = 3 x 2 ms (SF_WDOG_TIME_SET Zeit) = 6 ms
-
F_WD_Time2 = 20 ms
-
Device_WD2 = 8 ms (Ausgangsstrom = ~ 5 mA)
-
Längstes ∆T_WD = Max (0,5 * F_WD_Time1; 0,5 * F_WD_Time2) = 10 ms
Ohne PROFINET (AI581-S ➔ SM560-S ➔ DX581-S)
SFRT = Device_WD1 + 0,5 * F_WD_Time1 + F_Host_WD + 0,5 * F_WD_Time2 + Device_WD2 + Längstes ∆T_WD = 76,5 + 10 + 6 + 10 + 8 +10 = 120,5 ms
wobei:
-
Device_WD1 = 2 x 4,5 ms + 67,5 ms = 76,5 ms
-
F_WD_Time1 = 20 ms
-
F_Host_WD = 3 x 2 ms (SF_WDOG_TIME_SET Zeit) = 6 ms
-
F_WD_Time2 = 20 ms
-
Device_WD2 = 8 ms (Ausgangsstrom = ~ 5 mA)
-
Längstes ∆T_WD = Max (0,5 * F_WD_Time1; 0,5 * F_WD_Time2) = 10 ms
Mit PROFINET (DI581-S ➔ SM560-S ➔ DX581-S)
SFRT = Device_WD1 + 0,5 * F_WD_Time1 + F_Host_WD + 0,5 * F_WD_Time2 + Device_WD2 + Längstes ∆T_WD = 14,5 + 15 + 6 + 15 + 8 + 15 = 73,5 ms
wobei:
-
Device_WD1 = 1 ms + 0,5 ms + 2 x 6,5 ms = 14,5 ms (ohne Testimpulse)
-
F_WD_Time1 = 30 ms
-
F_Host_WD = 3 x 2 ms (SF_WDOG_TIME_SET Zeit) = 6 ms
-
F_WD_Time2 = 30 ms
-
Device_WD2 = 8 ms (Ausgangsstrom = ~ 5 mA)
-
Längstes ∆T_WD = Max (0,5 * F_WD_Time1; 0,5 * F_WD_Time2) = 15 ms
Mit PROFINET (DX581-S ➔ SM560-S ➔ DX581-S)
SFRT = Device_WD1 + 0,5 * F_WD_Time1 + F_Host_WD + 0,5 * F_WD_Time2 + Device_WD2 + Längstes ∆T_WD = 12,5 + 15 + 6 + 15 + 8 + 15 = 71,5 ms
wobei:
-
Device_WD1 = 1 ms + 0,5 ms + 2 x 5,5 ms = 12,5 ms (ohne Testimpulse)
-
F_WD_Time1 = 30 ms
-
F_Host_WD = 3 x 2 ms (SF_WDOG_TIME_SET Zeit) = 6 ms
-
F_WD_Time2 = 30 ms
-
Device_WD2 = 8 ms (Ausgangsstrom = ~ 5 mA)
-
Längstes ∆T_WD = (Max (0,5 * F_WD_Time1; 0,5 * F_WD_Time2) = 15 ms
Mit PROFINET (AI581-S ➔ SM560-S ➔ DX581-S)
SFRT = Device_WD1 + 0,5 * F_WD_Time1 + F_Host_WD + 0,5 * F_WD_Time2 + Device_WD2 + Längstes ∆T_WD = 76,5 + 15 + 6 + 15 + 8 + 15 = 135,5 ms
wobei:
-
Device_WD1 = 2 x 4,5 ms + 67,5 ms = 76,5 ms
-
F_WD_Time1 = 30 ms
-
F_Host_WD = 3 x 2 ms (SF_WDOG_TIME_SET Zeit) = 6 ms
-
F_WD_Time2 = 30 ms
-
Device_WD2 = 8 ms (Ausgangsstrom = ~ 5 mA)
-
Längstes ∆T_WD = Max (0,5 * F_WD_Time1; 0,5 * F_WD_Time2) = 15 ms
Mit PROFINET (SM560-S-FD-1 ➔ SM560-S)
SFRT = Device_WD1 + 0,5 * F_WD_Time1 + F_Host_WD + Längstes ∆T_WD = 9 + 25 + 6 + 25 = 65 ms
wobei:
-
Device_WD1 = 3 x 3 ms (SF_WDOG_TIME_SET Zeit) = 9 ms
-
F_WD_Time1 = 50 ms
-
F_Host_WD = 3 x 2 ms (SF_WDOG_TIME_SET Zeit) = 6 ms
-
Längstes ∆T_WD = 0,5 * F_WD_Time1 = 25 ms
HINWEIS
SFRT-Berechnung für solche Fälle wie SM560-S-FD-4 ➔ SM560-S, SM560-S ➔ SM560-S-FD-1, SM560-S ➔ SM560-S-FD-4 usw. kann wie unter Abb. 531 gezeigt berechnet werden.
GEFAHR
Fehler in der SFRT-Berechnung können Tod oder schwere Verletzung von Personen zur Folge haben, insbesondere in Anwendungen mit Pressen, Roboterzellen usw.
HINWEIS
Die Tasks mit hoher Priorität der Standard-CPU, die Teil des „Black Channel“ für sichere Kommunikation sind, können die TWCDT für die Sicherheitssteuerung AC500-S beeinflussen.