| Kurzbeschreibung | Der sicherheitsbezogene Funktionsbaustein SF_EnableSwitch wertet die Signale eines handbetätigten dreistufigen Zustimmschalters (gemäß IEC 60947-5-8 aus, um dessen Schaltstufe und Schaltrichtung zu erkennen.Damit wird die Aufhebung von technischen Schutzmaßnahmen mittels eines Zustimmschalters ermöglicht, unter der Voraussetzung, dass die entsprechende Betriebsart (z.B. Begrenzung der Bewegungsgeschwindigkeit oder des Bewegungsbereichs) angewählt und aktiv ist.
Über S_AutoReset kann eine Wiederanlaufsperre vorgegeben werden. |
| Bausteinsymbol |  |
| Anschluss- und Schaltdiagramm | Verschalten Sie die Signale des an die Sicherheitssteuerung angeschlossenen Zustimmschalters wie folgt mit den Eingängen des sicherheitsbezogenen Funktionsbausteins SF_EnableSwitch:
 | Druckpunkt |
 | Zwangsgeführte Kontakte |
Das resultierende Signal der Schließerkontakte E1 und E2 des Zustimmschalters schließen Sie am Bausteineingang S_EnableSwitchCh1 an. Das resultierende Signal der Öffnerkontakte E3 und E4 schließen Sie am Bausteineingang S_EnableSwitchCh2 an. Mittels dieser definierten Signalreihenfolge der Kontakte kann der sicherheitsbezogene Funktionsbaustein die Schaltstufe des Zustimmschalters und dessen Schaltrichtung detektieren. Der verwendete dreistufige Zustimmschalter muss die in der folgenden Abbildung gezeigte Schaltfolge für seine drei Schaltstufen unterstützen, woraus die ebenfalls im Bild dargestellten Signale an den Bausteineingängen S_EnableSwitchCh1 und S_EnableSwitchCh2 resultieren.
Hinweis
Der Fehlerzustand des Funktionsbausteins kann nur verlassen werden, wenn die Fehlerursache nicht mehr besteht. Um den Fehlerzustand zu verlassen, lassen Sie den Zustimmschalter los, um ihn in die Schaltstellung 1 zu bringen. Falls mit S_AutoReset = SAFEFALSE eine Wiederanlaufsperre eingestellt ist, muss diese dann durch Drücken des Reset-Tasters aufgehoben werden. |
|
| Eingänge |  Activate
| Kurzbeschreibung | Wert |
Zustandsgesteuerter Eingang zur Aktivierung des Funktionsbausteins.Datentyp: BOOL
Anfangswert: FALSE |
-
FALSE: Funktionsbaustein inaktiv
-
TRUE: Funktionsbaustein aktiviert
|
Weitere Informationen hierzu finden Sie im Thema "Activate".
S_SafetyActive
| Kurzbeschreibung | Wert |
Zustandsgesteuerter Signaleingang zur Vorgabe, dass die angewählte Betriebsart aktiv ist (Rückmeldesignal, z.B. vom sicherheitsbezogenen Funktionsbaustein SF_ModeSelector).Datentyp: SAFEBOOL
Anfangswert: SAFEFALSE |
-
SAFEFALSE: Die angewählte Betriebsart ist nicht aktiv. Ausgang S_EnableSwitchOut bleibt SAFEFALSE, unabhängig von den anderen Eingängen.
-
SAFETRUE: Die angewählte Betriebsart ist aktiv.
|
Weitere Informationen hierzu finden Sie im Thema "S_SafetyActive".
S_EnableSwitchCh1
| Kurzbeschreibung | Wert |
Eingang für das resultierende Signal der Kontakte E1 und E2 des angeschlossenen Zustimmschalters.Datentyp: SAFEBOOL
Anfangswert: SAFEFALSE | Mögliche Werte: SAFETRUE oder SAFEFALSE, abhängig von der Schaltstufe (siehe Schaltdiagramm oben). |
Weitere Informationen hierzu finden Sie im Thema "S_EnableSwitchCh1".
S_EnableSwitchCh2
| Kurzbeschreibung | Wert |
Eingang für das resultierende Signal der Kontakte E3 und E4 des angeschlossenen Zustimmschalters.Datentyp: SAFEBOOL
Anfangswert: SAFEFALSE | Mögliche Werte: SAFETRUE oder SAFEFALSE, abhängig von der Schaltstufe (siehe Schaltdiagramm oben). |
Weitere Informationen hierzu finden Sie im Thema "S_EnableSwitchCh2".
S_AutoReset
| Kurzbeschreibung | Wert |
Zustandsgesteuerter Eingang zur Vorgabe der Wiederanlaufsperre nach Rückkehr einer gültigen Signalfolge/-kombination an den Eingängen S_EnableSwitchCh1 und/oder S_EnableSwitchCh2 vom angeschlossenen Zustimmschalter.Eine aktive Wiederanlaufsperre muss durch eine positive Signalflanke am Eingang Reset manuell aufgehoben werden. Eine deaktivierte Wiederanlaufsperre führt dazu, dass der Ausgang S_EnableSwitchOut automatisch auf SAFETRUE wechselt, wenn der Funktionsbaustein aktiviert und die Sicherheitsfunktion nicht mehr angefordert ist. Beachten Sie die erste Warnung unter dieser Tabelle.Datentyp: SAFEBOOL
Anfangswert: SAFEFALSE |
-
SAFEFALSE: mit Wiederanlaufsperre
-
SAFETRUE: ohne Wiederanlaufsperre
|
Nichterfüllen der Sicherheitsanforderungen
- Stellen Sie sicher, dass Ihre Risikoanalyse eine Auswertung für den Fall der deaktivierten Wiederanlaufsperre (S_AutoReset = SAFETRUE) enthält.
- Beachten Sie die vorgegebenen Richtlinien in relevanten Sektornormen bezüglich der Wiederanlaufsperre.
- Stellen Sie sicher, dass an anderer Stelle oder mit anderen Mitteln eine geeignete Anlaufsperre realisiert ist, wenn die Wiederanlaufsperre durch die Einstellung S_AutoReset = SAFETRUE deaktiviert ist.
|
Weitere Informationen hierzu finden Sie im Thema "S_AutoReset".
Reset
| Kurzbeschreibung | Wert |
Flankengesteuerter Eingang für das Reset-Signal:
- Rücksetzen von Fehlermeldungen, wenn die Fehlerursache nicht mehr besteht.
- Manuelles Rücksetzen einer aktiven Anlauf-/Wiederanlaufsperre (je nach Art der Anlaufsperre(n) des Funktionsbausteins).
Datentyp: BOOL
Anfangswert: FALSE |
-
FALSE: Rücksetzen ist nicht angefordert
- Flanke FALSE > TRUE: Rücksetzen ist angefordert
|
Hinweis
Abweichend von der Norm EN ISO 13849-1 erfolgt das Rücksetzen nicht wie dort gefordert durch eine negative (fallende) sondern durch eine positive (steigende) Flanke.
Um das Rücksetzen (im Hinblick auf die zwingende Abnahmeprozedur) mit einer fallenden Flanke zu implementieren, verwenden Sie den Funktionsbaustein SF_Reset. |
Das Rücksetzen des Funktionsbausteins durch eine positive Signalflanke an Eingang Reset kann dazu führen, dass Ausgang S_EnableSwitchOut sofort auf SAFETRUE gesteuert wird (in Abhängigkeit der Zustände an den übrigen Eingängen).
Unbeabsichtigter Betriebsstart
- Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen des Rücksetzens durch eine positive Signalflanke an Eingang Reset.
- Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen durch das Rücksetzen zu verhindern.
- Betreten Sie den Betriebsbereich nicht, wenn das Rücksetzen durchgeführt wird.
- Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, wenn das Rücksetzen durchgeführt wird.
- Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
|
Weitere Informationen hierzu finden Sie im Thema "Reset".
|
| Ausgänge | Ready
| Kurzbeschreibung | Wert |
| Ausgang zur Signalisierung "Funktionsbaustein aktiviert/nicht aktiviert".Datentyp: BOOL |
-
FALSE: Der Funktionsbaustein ist nicht aktiviert (Activate = FALSE) und alle Ausgänge des Funktionsbausteins sind auf FALSE/SAFEFALSE gesteuert.
-
TRUE: Funktionsbaustein ist aktiviert (Activate = TRUE) und die Ausgangsparameter stellen den Zustand der Sicherheitsfunktion dar.
|
Weitere Informationen hierzu finden Sie im Thema "Ready".
S_EnableSwitchOut
| Kurzbeschreibung | Wert |
| Ausgang für das Freigabesignal des Funktionsbausteins.Datentyp: SAFEBOOL |
-
SAFEFALSE: Keine Freigabe zur Aufhebung der technischen Schutzmaßnahme.
- Der Zustimmschalter befindet sich nicht in der Schaltstufe 2
- oder Funktionsbaustein nicht aktiviert
- oder Fehlermeldung anliegend
- oder angewählte Betriebsart nicht aktiv (S_SafetyActive = SAFEFALSE)
- oder Wiederanlaufsperre aktiv.
-
SAFETRUE: Freigabe zur Aufhebung der technischen Schutzmaßnahme.
- Der Zustimmschalter befindet sich in der Schaltstufe 2
- und Funktionsbaustein ist aktiviert
- und keine Fehlermeldung anliegend
- und angewählte Betriebsart aktiv (S_SafetyActive = SAFETRUE)
- und Wiederanlaufsperre nicht aktiv.
|
Weitere Informationen hierzu finden Sie im Thema "S_EnableSwitchOut".
SafetyDemand
| Kurzbeschreibung | Wert |
Ausgang zur Signalisierung "Sicherheitsfunktion angefordert".
Dieser Ausgang zeigt an, ob die Sicherheitskette unterbrochen und deshalb die Aufmerksamkeit des Bedieners erforderlich ist. Datentyp: BOOL |
-
FALSE: Sicherheitsfunktion ist nicht angefordert.
-
TRUE: Die Sicherheitsfunktion ist angefordert.
|
Weitere Informationen hierzu finden Sie im Thema "SafetyDemand".
ResetRequest
| Kurzbeschreibung | Wert |
Ausgang zur Signalisierung "Rücksetzen erforderlich".
Dieser Ausgang zeigt an, ob das Rücksetzen durch den Bediener erforderlich ist. Datentyp: BOOL |
-
FALSE: Kein Rücksetzen erforderlich.
-
TRUE: Rücksetzen ist erforderlich,
- zum Aufheben einer aktiven Anlauf- oder Wiederanlaufsperre (falls verfügbar bei diesem Funktionsbaustein)
-
oder zum Rücksetzen eines Fehlers.
|
Weitere Informationen hierzu finden Sie im Thema "ResetRequest".
Error
| Kurzbeschreibung | Wert |
| Ausgang für Fehlermeldung.Datentyp: BOOL |
-
FALSE: Es liegt kein Fehler vor.
-
TRUE: Der Funktionsbaustein hat einen Fehler erkannt. In der Folge wird Ausgang S_EnableSwitchOut auf SAFEFALSE gesteuert.
|
Weitere Informationen hierzu finden Sie im Thema "Error". Wenn Sie keine Wiederanlaufsperre aktiviert haben (S_AutoReset = SAFETRUE), ist nach der Fehlerbehebung kein manuelles Rücksetzen erforderlich. In diesem Fall wird die Fehlermeldung nach der Fehlerbehebung automatisch quittiert.
Unbeabsichtigter Betriebsstart
- Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen der Behebung der Fehlerursache in Bezug auf das automatische Rücksetzen und Wiederanlaufen der Maschine, wenn die Wiederanlaufsperre deaktiviert ist (S_AutoReset = SAFETRUE).
- Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen beim Beheben der Fehlerursache zu verhindern, wenn die Wiederanlaufsperre deaktiviert ist.
- Betreten Sie unter diesen Umständen beim Beheben des Fehlers nicht den Betriebsbereich.
- Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, wenn unter diesen Umständen ein Fehler behoben wird.
- Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht.
|
DiagCode
| Kurzbeschreibung | Wert |
| Ausgang für Diagnosemeldung.Datentyp: WORD | Diagnosemeldung des Funktionsbausteins.
Die möglichen Werte sind im Thema "Diagnose-Codes" aufgelistet und beschrieben. |
Weitere Informationen hierzu finden Sie im Thema "DiagCode".
|
| Detailinformationen | Signalablauf-Diagramm
Dieses Diagramm zeigt den Signalverlauf für eine typische Anwendung mit eingestellter Wiederanlaufsperre nach ungültiger Signalfolge (S_AutoReset = SAFEFALSE).
| 0 | Der Funktionsbaustein ist noch nicht aktiviert (Activate = FALSE). Folglich sind alle Ausgänge FALSE oder SAFEFALSE. |
| 1 | Der Funktionsbaustein wird aktiviert (Activate = TRUE). Schaltstufe 1 liegt an (Eingang S_EnableSwitchCh1 = SAFEFALSE, Eingang S_EnableSwitchCh2 = SAFETRUE). Die erforderliche Betriebsart ist nicht aktiv (S_SafetyActive = SAFEFALSE). Ausgang S_EnableSwitchOut bleibt deshalb im definierten sicheren Zustand (SAFEFALSE). |
| 2 | Die erforderliche Betriebsart wird aktiv (S_SafetyActive = SAFETRUE). |
| 3 | Wechsel von Schaltstufe 1 auf Schaltstufe 2 (S_EnableSwitchCh1 und S_EnableSwitchCh2 = SAFETRUE), Ausgang S_EnableSwitchOut wird SAFETRUE. |
| 4 | Wechsel von Schaltstufe 2 zurück auf Schaltstufe 1 (S_EnableSwitchCh1 wird SAFEFALSE), Ausgang S_EnableSwitchOut wird SAFEFALSE. |
| 5 | Wechsel von Schaltstufe 1 auf Schaltstufe 2 (S_EnableSwitchCh1 wird wieder SAFETRUE). Weil aber die erforderliche Betriebsart nicht mehr aktiv ist (S_SafetyActive = SAFEFALSE), bleibt Ausgang S_EnableSwitchOut = SAFEFALSE. |
| 6 | Die Betriebsart ist jetzt wieder aktiv, der Funktionsbaustein erwartet nun zunächst Schaltstufe 1. Da zu diesem Zeitpunkt aber Schaltstufe 2 anliegt (S_EnableSwitchCh1 und S_EnableSwitchCh2 = SAFETRUE), wird der Fehlerausgang Error = TRUE.
Die positive Flanke am Reset-Eingang wird ignoriert, da immer noch die unzulässige Schaltstufe 2 anliegt (S_EnableSwitchCh1 = SAFETRUE und S_EnableSwitchCh2 = SAFETRUE). |
| 7 | Wechsel in die gültige Schaltstufe 1. Der Funktionsbaustein erkennt aber ein statisches TRUE-Signal am Reset-Eingang, Fehlerausgang Error bleibt deshalb TRUE. |
| 8 | Während der gültigen Schaltstufe 1 (S_EnableSwitchCh1 = SAFEFALSE und S_EnableSwitchCh2 = SAFETRUE) verschwindet das statische Signal am Reset-Eingang. Der Fehlerzustand (Error = TRUE) muss aber noch durch eine positive Flanke an Eingang Reset rückgesetzt werden. |
| 9 | Die positive Flanke an Eingang Reset setzt den Fehlerausgang Error auf FALSE und hebt die Wiederanlaufsperre auf. |
| 10 | Wechsel von Schaltstufe 1 nach Schaltstufe 2 (S_EnableSwitchCh2 und S_EnableSwitchCh1 = SAFETRUE), Ausgang S_EnableSwitchOut wird SAFETRUE. |
| 11 | Wechsel von Schaltstufe 2 nach Schaltstufe 3 (S_EnableSwitchCh1 und S_EnableSwitchCh2 = SAFEFALSE), Ausgang S_EnableSwitchOut ist SAFEFALSE. |
Anwendungsbeispiel
Dieses Beispiel zeigt die typische Verschaltung eines dreistufigen Zustimmschalters S1 mit dem sicherheitsbezogenen Funktionsbaustein SF_EnableSwitch. Die beiden resultierenden Signale des Zustimmschalters sind an den Eingangsklemmen 1.1 und 2.1 des sicherheitsbezogenen Eingangsgeräts PSDI 1 angeschlossen.
- Das Signal von der sicherheitsbezogenen Eingangsklemme 1.1 des sicherheitsbezogenen Eingangsgeräts PSDI 1 ist mit der globalen I/O-Variablen SwitchControl1_In verknüpft. Diese globale I/O-Variable ist zur Auswertung an den Bausteineingang S_EnableSwitchCh1 angeschlossen.
- Für den zweiten Kanal des Zustimmschalters gilt analog: Das Signal von der sicherheitsbezogenen Eingangsklemme 1.1 des sicherheitsbezogenen Eingangsgeräts PSDI 1 ist mit der globalen I/O-Variablen SwitchControl2_In verknüpft. Diese globale I/O-Variable ist zur Auswertung an den Bausteineingang S_EnableSwitchCh2 angeschlossen.
Durch die TRUE-Konstante an Eingang Activate ist der Funktionsbaustein dauerhaft aktiviert.
Über S_AutoReset ist eine Wiederanlaufsperre eingestellt, die nach Rückkehr einer gültigen Signalfolge an den Bausteineingängen S_EnableSwitchCh1 und/oder S_EnableSwitchCh2 aktiv wird. Der Reset-Taster S2 zum Aufheben der Wiederanlaufsperre ist an Eingangsklemme 1.1 des Standard-Eingangsgeräts DI 1 angeschlossen.
Hinweis
Die Bestätigung der Betriebsart an Eingang S_SafetyActive realisieren Sie typischerweise über einen Betriebsartenwahlschalter in Verbindung mit dem sicherheitsbezogenen Funktionsbaustein SF_ModeSelector, wie im zweiten Anwendungsbeispiel gezeigt. Wenn auch ohne eine Rückmeldung sichergestellt ist, dass die Betriebsart aktiv ist, können Sie Eingang S_SafetyActive stattdessen auch mit einem konstanten SAFETRUE-Signal belegen. |
Hinweis
Das Freigabesignal am Ausgang S_EnableSwitchOut steuert z.B. die Aufhebung einer technischen Schutzmaßnahme. Zu diesem Zweck ist der Freigabeausgang S_EnableSwitchOut mit weiteren sicherheitsbezogenen Funktionsbausteinen oder Funktionen verschaltet. |
| S2 | Reset |
 | Siehe zweiten Hinweis über der Abbildung. |
Funktionsbaustein-Instanziierung
Die IEC 61131-3 definiert die Instanziierung von Funktionsbausteinen. Instanziieren bedeutet, dass ein Funktionsbaustein einmal definiert wird und dann mehrfach verwendet (instanziiert) werden kann. Dies gilt für alle Standard-FBs und sicherheitsbezogene FBs (sowohl lokale als auch FBs aus Firmware- und Anwenderbibliotheken).
Warum Instanziierung?
Ein Funktionsbaustein besitzt einen internen Speicher, in dem dieser die Arbeitsdaten (lokale Variablen) ablegt. Das bedeutet, die Ausgangswerte, die ein FB berechnet, hängen von den aktuellen intern gespeicherten Werten ab. Die gleichen Eingangswerte liefern deshalb bei verschiedenen FB-Instanzen nicht zwingend die gleichen Ausgangswerte.
Die internen Daten des Funktionsbausteins müssen daher für jeden Aufruf, d.h. für jede FB-Instanz, in einem getrennten Speicherbereich gehalten werden. Um jede FB-Instanz eindeutig identifizieren und ihren Speicherbereich separat halten zu können, werden Instanznamen verwendet. Der Instanzname eines FB muss in der 'Variablen'-Tabelle der POE deklariert werden, in welcher der FB verwendet werden soll.
Dabei gilt Folgendes:
- Funktionsbausteine können in anderen Funktionsbausteinen und in Programm-POEs instanziiert werden. Der Aufruf eines FB in einer Funktion-POE ist nicht möglich.
- Funktionen werden ohne Instanznamen aufgerufen, da sie keinen internen Speicher besitzen.
In PLCnext Engineer wird strikt zwischen sicherheitsbezogenem Code und (nicht-sicherheitsbezogenem) Standard-Code unterschieden. Wenn Ihr Projekt eine sicherheitsbezogene SPS enthält, gilt Folgendes:
- Sicherheitsbezogene FBs können nur in sicherheitsbezogenen POEs instanziiert werden, aber nicht in (nicht-sicherheitsbezogenen) Standard-POEs.
- Anwenderdefinierte Standard-FBs können nur in Standard-POEs instanziiert werden. Sie können nicht in sicherheitsbezogenen POEs aufgerufen werden.
- Bestimmte Standard-Firmware-FBs können sowohl in sicherheitsbezogenen, als auch in Standard-POEs instanziiert werden.
Hinweis
Beim Einfügen eines Standard-FBs in ein sicherheitsbezogenes SNOLD-Netzwerk gelten die Regeln für die implizite Typumwandlung (von sicherheitsbezogen nach Standard). |
Beispiel für die Instanziierung eines sicherheitsbezogenen PLCopen-Funktionsbausteins
Der sicherheitsbezogene PLCopen-Funktionsbaustein 'SF_EmergencyStop_V2_00' wurde über eine Bibliothek in das Projekt eingefügt. Er ist dann in der Kategorie 'Programmierung' des KOMPONENTEN-Bereichs verfügbar. Dort befindet sich ein Ordner mit demselben Namen wie die Bibliothek, aus dem sich die FBs in den sicherheitsbezogenen Code einfügen lassen.
Der FB soll im Code des sicherheitsbezogenen Programms 'S_Main' zweimal aufgerufen werden, um den Status zweier sicherheitsbezogener Not-Halt-Befehlsgeräte auszuwerten. Für jede FB-Instanz wurde in der Variablentabelle des aufrufenden Programms ein Instanzname deklariert: EStop_M1 und EStop_M2. Die zwei FB-Instanzen wurden in das Code-Arbeitsblatt eingefügt, wobei unterschiedliche Variablen an die Eingangs- und Ausgangs-Formalparameter der Instanzen angeschlossen sind.
Weitere Informationen finden Sie in den folgenden Abschnitten:
|