dl-breadcrumbs__homedl-breadcrumb-item__separatorAC500-S Sicherheits-SPSdl-breadcrumb-item__separatorSicherheitshandbuch V1.3.2dl-breadcrumb-item__separator...dl-breadcrumb-item__separatorAC500-S-Sicherheitsmoduledl-breadcrumb-item__separatorSicherheits-CPU — SM560-S / SM560-S-FD-1 / SM560-S-FD-4dl-breadcrumb-item__separatorZustände der Sicherheits-CPUdl-breadcrumb-item__separatorBeschreibung der Zustände der Sicherheits-CPU
dl-pagination__prev-inactivedl-pagination__prev-activedl-pagination__next-inactivedl-pagination__next-active
Beschreibung der Zustände der Sicherheits-CPU

Dies ist die Web-Ausgabe der Originalfassung des ‎⮫ AC500-S Sicherheitshandbuchs, Version 1.3.2. Diese Web-Ausgabe dient lediglich zur schnellen Orientierung. Für die Einhaltung der Anforderungen in Bezug auf Anwendungen der funktionalen Sicherheit muss das Original-Sicherheitshandbuch verwendet werden.

INIT

Dies ist ein zeitlich beschränkter Systemstatus während des internen Sicherheitsdiagnosetests und Startvorgangs. Informationen zu den LED-Zuständen finden Sie unter (Abb.407).

RUN

03.01.008_SM560-S-RUN

In diesem Zustand wird die Sicherheitsanwendung regulär ausgeführt, sofern das Bootprojekt geladen ist. Kein Fehler mit Schweregrad 1 oder 2 vorhanden.

In AC500-S Programming Tool stehen den Anwendern alle Online-Menüpunkte aus dem „Online“-Menü zur Verfügung, aber nur drei davon können ohne Verlassen des Zustands RUNs ausgeführt werden: „Einloggen“, „Ausloggen“ und „Prüfe Bootprojekt der Steuerung“. Durch sämtliche anderen Optionen (z. B. Setzen eines Breakpoints) wird die Sicherheits-CPU in einen nicht sicheren DEBUG-Zustand versetzt (DEBUG RUN oder DEBUG STOP).

SAFE STOP

03.01.009_SM560-S-SAFE-STOP

Nachdem ein Fehler mit Schweregrad 1 oder 2 erkannt wurde, geht die Sicherheits-CPU in den Zustand SAFE STOP. Sämtliche PROFIsafe-Ausgangstelegramme werden auf Null gesetzt (in diesem Zustand werden keine gültigen PROFIsafe-Telegramme generiert). Den Anwendern stehen in AC500-S Programming Tool keine Online-Menüpunkte aus dem „Online“-Menü zur Verfügung.

Dieser Zustand kann nur durch einen Power Cycle oder durch Eingabe des SPS-Browser-/SPS-Shell-Befehls „Reboot“ in der Standard-CPU verlassen werden.

DEBUG RUN

03.01.010_SM560-S-DEBUG-RUN

Der Zustand DEBUG RUN (nicht sicher) wird erreicht, wenn die Online-Menüpunkte aus dem „Online“-Menü aus dem sicheren Modus RUN verwendet werden (außer „Einloggen“, „Ausloggen“ und „Prüfe Bootprojekt der Steuerung“). Der Anwender kann einen Breakpoint im Sicherheitsprogramm definieren, einen „Einzelschritt“ ausführen, Variablenwerte erzwingen und schreiben und andere in AC500-S Programming Tool verfügbare Debugging-Funktionen ausführen.

Wenn der Online-Menüpunkt „Stop“ aufgerufen wird oder ein Breakpoint im Sicherheitsprogramm erreicht wird, schaltet die Sicherheits-CPU in den Zustand DEBUG STOP (nicht sicher).

Im Zustand DEBUG RUN werden gültige PROFIsafe-Telegramme generiert. Der Zustand DEBUG RUN ist nicht sicher; deshalb liegt die Verantwortung für einen sicheren Prozessablauf ausschließlich bei der Person oder Organisation, die den Modus DEBUG RUN (nicht sicher) aktiviert hat.

Zum sicheren Modus RUN kann man erst nach einem Power Cycle oder durch Eingabe des SPS-Browser-/SPS-Shell-Befehls „Reboot“ an der Standard-CPU zurückkehren.

GEFAHR

GEFAHR
GEFAHR
GEFAHR

GEFAHR

GEFAHR

Die Sicherheitsfunktionalität und infolgedessen der sichere Prozessablauf werden von der Sicherheits-CPU im Modus DEBUG RUN (nicht sicher) oder DEBUG STOP (nicht sicher) nicht länger garantiert.

Wenn der Modus DEBUG RUN (nicht sicher) oder DEBUG STOP (nicht sicher) auf der Sicherheits-CPU aktiviert wird, liegt die Verantwortung für einen sicheren Prozessablauf ausschließlich bei der Person oder Organisation, die den Modus DEBUG RUN (nicht sicher) oder DEBUG STOP (nicht sicher) aktiviert hat.

Mit der POE SF_SAFETY_MODE kann die Information abgefragt werden, ob die Sicherheits-CPU im Modus SAFETY oder DEBUG (nicht sicher) läuft, sodass ggf. die Ausführung des Anwenderprogramms beschränkt oder gestoppt werden kann⮫ „SF_SAFETY_MODE“.

DEBUG STOP

Ohne Fehler mit Schweregrad 3 oder 4

Mit Fehler mit Schweregrad 3 oder 4
03.01.011_SM560-S-DEBUG-STOP 03.01.012_SM560-S-DEBUG-STOP-with-light-error

In diesem nicht sicheren Zustand kann ein Anwender, ähnlich wie in DEBUG RUN, durch Setzen von Breakpoints etc. in die Ausführung des Sicherheitsprogramms eingreifen. Das Sicherheitsprogramm wird im Zustand DEBUG STOP (nicht sicher) nicht ausgeführt. Der PROFIsafe F-Host und die F-Devices (SM560-S-FD-1 und SM560-S-FD-4) der Sicherheits-CPU senden PROFIsafe-Telegramme mit Failsafe-„0“-Werten und setzen FV_activated für alle Sicherheits-E/A-Module und F-Devices.

GEFAHR

GEFAHR
GEFAHR
GEFAHR

GEFAHR

GEFAHR

Da der PROFIsafe F-Host weiter im Zustand DEBUG STOP (nicht sicher) läuft, ist es möglich, passivierte Sicherheits-E/A-Module zu reintegrieren und in den sicherheitsgerichteten Zustand RUN zu bringen. Man kann Variablen für Sicherheits-E/A-Module forcieren, beispielsweise um Sicherheitsausgänge zu aktivieren.

Wenn der Modus DEBUG RUN (nicht sicher) oder DEBUG STOP (nicht sicher) auf der Sicherheits-CPU aktiviert wird, liegt die Verantwortung für einen sicheren Prozessablauf ausschließlich bei der Person oder Organisation, die den Modus DEBUG RUN (nicht sicher) oder DEBUG STOP (nicht sicher) aktiviert hat.

Wenn der Online-Menüpunkt „RUN“ im Sicherheitsprogramm aufgerufen wird, schaltet die Sicherheits-CPU in den Zustand DEBUG RUN.

Alle Online-Menüpunkte stehen den Anwendern in diesem Zustand zur Verfügung.

Bei den Online-Befehlen „Einzelschritt in“, „Einzelschritt über“ und „Einzelschritt“ oder wenn ein Breakpoint erreicht wird, wird zwischen DEBUG RUN und DEBUG STOP umgeschaltet (Übergänge 13 und 14 in Abb.408).

Zum sicheren Modus RUN kann man erst nach einem Power Cycle oder durch Eingabe des SPS-Browser-/SPS-Shell-Befehls „Reboot“ an der Standard-CPU zurückkehren.