• Home
• Funktionen/Funktionsbausteine - Referenz
• Sicherheitsbezogene FBs in PLCopen_SF-Bibliothek
• SF_SafetyRequest

SF_SafetyRequest

Hilfeversion 1.1 / Ausgabedatum: 2018.03
Gültig für Funktionsbaustein SF_SafetyRequest_V2_0z, Version 2.0z (z = 0 bis 9).

Kurzbeschreibung	Der sicherheitsbezogene Funktionsbaustein SF_SafetyRequest unterstützt in einer Applikation die Funktion "Anforderung einer Sicherheitsfunktion" (z.B. sicherer Halt oder sichere reduzierte Geschwindigkeit). Abhängig vom Status an Eingang S_OpMode fordert der sicherheitsbezogene Funktionsbaustein die Sicherheitsfunktion bei der Peripherie an. Basierend auf dem Signal zur Anforderung einer Sicherheitsfunktion (an Eingang S_OpMode) und dem Rückmeldesignal über deren korrekte Ausführung (an Eingang S_Acknowledge), wird das Ausgangssignal S_SafetyActive gesteuert. Dieses Ausgangssignal wird typischerweise dazu verwendet, einem nachgeschalteten sicherheitsbezogenen Funktionsbaustein die Bestätigung über die Aktivierung der angeforderten Betriebsart zu signalisieren. Die maximal zulässige Reaktionszeit, innerhalb derer die Bestätigung erwartet wird, muss an Eingang MonitoringTime parametriert werden und wird vom sicherheitsbezogenen Funktionsbaustein überwacht. Der Funktionsbaustein dient damit als Schnittstelle zwischen dem funktionalen Sicherheitssystem (bestehend aus Sicherheitssteuerung und sicherheitsbezogenen I/O-Modulen) und der angeschlossenen sicherheitsbezogenen Peripherie, beispielsweise einem sicherheitsbezogenen Antrieb. Hinweis Im sicherheitsbezogenen Funktionsbaustein SF_SafetyRequest sind eine Anlaufsperre und eine Wiederanlaufsperre vorgegeben, die nicht deaktiviert werden können (siehe Thema "Funktionsbeschreibung"). Eine aktive Anlauf-/Wiederanlaufsperre muss durch eine positive Signalflanke am Eingang Reset manuell aufgehoben werden.
Bausteinsymbol
Eingänge	Activate Kurzbeschreibung Wert Zustandsgesteuerter Eingang zur Aktivierung des Funktionsbausteins. Datentyp: BOOL Anfangswert: FALSE FALSE: Funktionsbaustein inaktiv TRUE: Funktionsbaustein aktiviert Weitere Informationen hierzu finden Sie im Thema "Activate". S_OpMode Kurzbeschreibung Wert Zustandsgesteuerter Eingang für die Anforderung an die angeschlossene sicherheitsbezogene Peripherie, eine Sicherheitsfunktion auszuführen. Datentyp: SAFEBOOL Anfangswert: SAFEFALSE SAFEFALSE: Anforderung der Sicherheitsfunktion in der angeschlossenen sicherheitsbezogenen Peripherie SAFETRUE: Keine Anforderung der Sicherheitsfunktion in der angeschlossenen sicherheitsbezogenen Peripherie Weitere Informationen hierzu finden Sie im Thema "S_OpMode". S_Acknowledge Kurzbeschreibung Wert Zustandsgesteuerter Eingang, der die Status-Rückmeldung der angeschlossenen sicherheitsbezogenen Peripherie verarbeitet. Datentyp: SAFEBOOL Anfangswert: SAFEFALSE SAFEFALSE: Rückmeldung der angeschlossenen sicherheitsbezogenen Peripherie, dass keine Sicherheitsfunktion ausgeführt wird SAFETRUE: Rückmeldung der angeschlossenen sicherheitsbezogenen Peripherie über die Ausführung der Sicherheitsfunktion Weitere Informationen hierzu finden Sie im Thema "S_Acknowledge". MonitoringTime Kurzbeschreibung Wert Eingang zur Vorgabe der maximal erlaubten Reaktionszeit zwischen der Anforderung der Sicherheitsfunktion an Eingang S_OpMode und der Bestätigung über deren Ausführung an Rückmeldeeingang S_Acknowledge. Datentyp: TIME Anfangswert: #0ms Bei Überschreitung des vorgegebenen Zeitwerts steuert der Ausgang Error auf TRUE und der Freigabeausgang S_Acknowledge auf SAFEFALSE. Der einzustellende Zeitwert hängt von der Safety-Reaktionszeit des funktionalen Sicherheitssystems ab. Als Safety-Reaktionszeit wird die Zeit zwischen dem Eintreffen des Signals am Eingangskanal und der Ausgabe des Abschaltsignals am Geräteausgang bezeichnet. Geben Sie einen Zeitwert ein, der Ihrer Risikoanalyse entspricht. WARNUNG Nichterfüllen der Sicherheitsanforderungen Stellen Sie sicher, dass der an MonitoringTime eingestellte Zeitwert Ihrer Risikoanalyse entspricht. Stellen Sie sicher, dass Ihre Risikoanalyse eine Auswertung für den Fall eines falsch eingestellten Zeitwerts am Eingang MonitoringTime enthält. Validieren Sie die gesamte Sicherheitsfunktion in Bezug auf den eingestellten Wert an MonitoringTime und prüfen Sie die Applikation sorgfältig. Weitere Informationen hierzu finden Sie im Thema "MonitoringTime". Reset Kurzbeschreibung Wert Flankengesteuerter Eingang für das Rücksetz-Signal: Rücksetzen von Fehlermeldungen wenn die Fehlerursache nicht mehr besteht. Manuelles Aufheben einer aktiven Anlaufsperre oder Wiederanlaufsperre. (Beide Anlaufsperren sind obligatorisch vorgegeben und können nicht deaktiviert werden.) Datentyp: BOOL Anfangswert: FALSE Hinweis Abweichend von der Norm EN ISO 13849-1 erfolgt das Rücksetzen nicht wie dort gefordert durch eine negative (fallende) sondern durch eine positive (steigende) Flanke. Um das Rücksetzen (im Hinblick auf die zwingende Abnahmeprozedur) mit einer fallenden Flanke zu implementieren, verwenden Sie den Funktionsbaustein SF_Reset. FALSE: Rücksetzen ist nicht angefordert Flanke FALSE > TRUE: Rücksetzen ist angefordert Wenn vor oder während der steigenden Signalflanke an Eingang Reset (zur Fehler-Rücksetzung) die Sicherheitsfunktion nicht mehr angefordert ist (S_OpMode = SAFETRUE), kann dies der Anlage/Maschine signalisieren, dass die Sicherheitsfunktion nicht mehr angefordert wird. Dies kann zu einer Gefährdung führen, beispielsweise indem die Maschine/Anlage sofort startet. WARNUNG Unbeabsichtigter Betriebsstart Berücksichtigen Sie in Ihrer Risikoanalyse die Auswirkungen des Rücksetzens durch eine positive Signalflanke an Eingang Reset. Stellen Sie sicher, dass geeignete Maßnahmen (gemäß zutreffender Sektornormen) getroffen wurden, um Gefährdungen durch das Rücksetzen zu verhindern. Betreten Sie den Betriebsbereich nicht, wenn das Rücksetzen durchgeführt wird. Stellen Sie sicher, dass keine anderen Personen den Betriebsbereich betreten können, wenn das Rücksetzen durchgeführt wird. Verwenden Sie geeignete Sicherheitsverriegelungen, wenn eine Gefahr für Personen und/oder Ausrüstung besteht. Weitere Informationen hierzu finden Sie im Thema "Reset".
Ausgänge	Ready Kurzbeschreibung Wert Ausgang zur Signalisierung "Funktionsbaustein aktiviert/nicht aktiviert". Datentyp: BOOL FALSE: Der Funktionsbaustein ist nicht aktiviert (Activate = FALSE) und alle Ausgänge des Funktionsbausteins sind auf FALSE/SAFEFALSE gesteuert. TRUE: Funktionsbaustein ist aktiviert (Activate = TRUE) und die Ausgangsparameter stellen den Zustand der Sicherheitsfunktion dar. Weitere Informationen hierzu finden Sie im Thema "Ready". S_SafetyActive Kurzbeschreibung Wert Ausgang zur Bestätigung der korrekten Rückmeldung aus der angeschlossenen sicherheitsbezogenen Peripherie. Datentyp: SAFEBOOL SAFEFALSE: Keine Bestätigung des definierten sicheren Zustands. An Eingang S_Acknowledge liegt die Rückmeldung der angeschlossenen sicherheitsbezogenen Peripherie über die korrekte Ausführung der angeforderten Sicherheitsfunktion nicht vor. SAFETRUE: Bestätigung des definierten sicheren Zustands. An Eingang S_Acknowledge liegt die Rückmeldung der angeschlossenen sicherheitsbezogenen Peripherie über die korrekte Ausführung der angeforderten Sicherheitsfunktion innerhalb von MonitoringTime vor. Hinweis Den definierten sicheren Zustand steuert die sicherheitsbezogene Peripherie selbstständig und unabhängig vom Funktionsbaustein. Weitere Informationen hierzu finden Sie im Thema "S_SafetyActive". S_SafetyRequest Kurzbeschreibung Wert Ausgang für die Anforderung an die angeschlossene sicherheitsbezogene Peripherie, eine Sicherheitsfunktion auszuführen. Datentyp: SAFEBOOL SAFEFALSE: Sicherheitsfunktion angefordert SAFETRUE: Sicherheitsfunktion nicht angefordert Weitere Informationen hierzu finden Sie im Thema "S_SafetyRequest". SafetyDemand Kurzbeschreibung Wert Ausgang zur Signalisierung "Sicherheitsfunktion angefordert". Dieser Ausgang zeigt an, ob die Sicherheitskette unterbrochen und deshalb die Aufmerksamkeit des Bedieners erforderlich ist. Datentyp: BOOL FALSE: Sicherheitsfunktion ist nicht angefordert. TRUE: Die Sicherheitsfunktion ist angefordert. Weitere Informationen hierzu finden Sie im Thema "SafetyDemand". ResetRequest Kurzbeschreibung Wert Ausgang zur Signalisierung "Rücksetzen erforderlich". Dieser Ausgang zeigt an, ob das Rücksetzen durch den Bediener erforderlich ist. Datentyp: BOOL FALSE: Kein Rücksetzen erforderlich. TRUE: Rücksetzen ist erforderlich, zum Aufheben einer aktiven Anlauf- oder Wiederanlaufsperre (falls verfügbar bei diesem Funktionsbaustein) oder zum Rücksetzen eines Fehlers. Weitere Informationen hierzu finden Sie im Thema "ResetRequest". Error Kurzbeschreibung Wert Ausgang für Fehlermeldung. Datentyp: BOOL FALSE: Es liegt kein Fehler vor. TRUE: Der Funktionsbaustein hat einen Fehler erkannt. In der Folge steuern die Ausgänge S_SafetyActive und S_SafetyRequest auf SAFEFALSE. Weitere Informationen hierzu finden Sie im Thema "Error". DiagCode Kurzbeschreibung Wert Ausgang für Diagnosemeldung. Datentyp: WORD Diagnosemeldung des Funktionsbausteins. Die möglichen Werte sind im Thema "Diagnose-Codes" aufgelistet und beschrieben. Weitere Informationen hierzu finden Sie im Thema "DiagCode".
Detailinformationen	Signalablauf-Diagramm Dieses Diagramm bezieht sich auf einen typischen Signalablauf, in der die Anforderung einer Sicherheitsfunktion unterstützt wird.   Die eingehende Anforderung einer Sicherheitsfunktion durch ein SAFEFALSE-Signal an Eingang S_OpMode steuert direkt und ohne weitere Abhängigkeiten den Ausgang S_SafetyRequest für eine Anforderung der Sicherheitsfunktion an die angeschlossene sicherheitsbezogene Peripherie. Im gezeigten Beispielverlauf treten zwei Anforderungen der Sicherheitsfunktion auf. Folglich wird zweimal die Zeitüberwachung zwischen der Anforderung einer Sicherheitsfunktion und der Bestätigungsmeldung aus der sicherheitsbezogenen Peripherie gestartet. Während der ersten Zeitüberwachung erfolgt die Rückmeldung durch S_Acknowledge = SAFETRUE innerhalb der an MonitoringTime parametrierten Zeit und der Freigabeausgang S_SafetyActive steuert auf SAFETRUE (Phasen 5 und 6 im Diagramm). Im zweiten Fall wird der parametrierte Zeitwert überschritten. Der Funktionsbaustein erkennt dann einen Fehler (Error = TRUE) und durch S_SafetyActive = SAFEFALSE wird signalisiert, dass die sicherheitsbezogene Peripherie die angeforderte Sicherheitsfunktion nicht umsetzt (Phasen 9 bis 11 im Diagramm). Weitere Infos Eine detaillierte Beschreibung der einzelnen Phasen finden Sie in den Details zu diesem Signalablauf-Diagramm. Anwendungsbeispiel Dieses Beispiel zeigt den exemplarischen Einsatz des sicherheitsbezogenen Funktionsbausteins SF_SafetyRequest bei der Anforderung und Rückmeldung der Sicherheitsfunktion "sichere reduzierte Geschwindigkeit" (SLS, Safely Limited Speed) eines sicherheitsbezogenen Antriebs. Durch die TRUE-Konstante an Eingang Activate ist der Funktionsbaustein dauerhaft aktiviert. An Eingang 1.1 des Standard-Eingangsgerätes DI 1 ist der Reset-Taster S1 angeschlossen. Die relevanten Ein- und Ausgänge sind wie folgt beschaltet: Eingang S_OpMode des Funktionsbausteins SF_SafetyRequest ist direkt mit dem Freigabesignal S_Mode0Sel des vorgeschalteten Funktionsbausteins SF_ModeSelector verschaltet. Die Anforderung der Sicherheitsfunktion (vom ausgewerteten Betriebsartenwahlschalter) ist folglich die Anwahl der Betriebsart 0. In unserem Beispiel ist dies der Inbetriebnahme- oder Wartungsmodus, in dem der Antrieb mit sicherer reduzierter Geschwindigkeit betrieben wird. (Siehe Ziffer (1) in der Abbildung unten.) Ausgang S_SafetyRequest ist mit der globalen I/O-Variablen SReq_SafePerph verschaltet, die wiederum mit Ausgang 1.1 des sicherheitsbezogenen Ausgangsgeräts PSDO 1 verknüpft ist (siehe (2) in der Abbildung unten). Das sicherheitsbezogene Antriebsmodul ist dort zweikanalig an die Ausgangsklemmen 1.1 und 2.1 angeschlossen. Das Rückmeldesignal zur Bestätigung der angewählten Betriebsart vom sicherheitsbezogenen Antrieb ist zweikanalig an die Eingänge 1.1 und 2.1 des sicherheitsbezogenen Eingangsgeräts PSDI 1 angeschlossen. Das vom sicherheitsbezogenen Eingangsgerät auf Äquivalenz geprüfte Signal ist mit der globalen I/O-Variablen SafePerph_Feedb verknüpft und zur Auswertung an Eingang S_Acknowledge des Funktionsbausteins SF_SafetyRequest angeschlossen ((3) in der Abbildung). Freigabeausgang S_SafetyActive ist mit Eingang S_SafetyActive des Funktionsbausteins SF_EnableSwitch verschaltet (siehe (4)). Wird die angeforderte sichere reduzierte Geschwindigkeit vom sicherheitsbezogenen Antrieb innerhalb der an MonitoringTime vorgegebenen Überwachungszeit an Eingang S_Acknowledge bestätigt, steuert Freigabeausgang S_SafetyActive auf SAFETRUE und signalisiert so dem nachgeschalteten Funktionsbaustein SF_EnableSwitch die definierte sichere Betriebsart. Weitere Infos Beachten Sie die detaillierte Beschreibung und die Hinweise im Thema "Details zum Anwendungsbeispiel". Funktionsbaustein-Instanziierung Die IEC 61131-3 definiert die Instanziierung von Funktionsbausteinen. Instanziieren bedeutet, dass ein Funktionsbaustein einmal definiert wird und dann mehrfach verwendet (instanziiert) werden kann. Dies gilt für alle Standard-FBs und sicherheitsbezogene FBs (sowohl lokale als auch FBs aus Firmware- und Anwenderbibliotheken). Warum Instanziierung? Ein Funktionsbaustein besitzt einen internen Speicher, in dem dieser die Arbeitsdaten (lokale Variablen) ablegt. Das bedeutet, die Ausgangswerte, die ein FB berechnet, hängen von den aktuellen intern gespeicherten Werten ab. Die gleichen Eingangswerte liefern deshalb bei verschiedenen FB-Instanzen nicht zwingend die gleichen Ausgangswerte. Die internen Daten des Funktionsbausteins müssen daher für jeden Aufruf, d.h. für jede FB-Instanz, in einem getrennten Speicherbereich gehalten werden. Um jede FB-Instanz eindeutig identifizieren und ihren Speicherbereich separat halten zu können, werden Instanznamen verwendet. Der Instanzname eines FB muss in der 'Variablen'-Tabelle der POE deklariert werden, in welcher der FB verwendet werden soll. Dabei gilt Folgendes: Funktionsbausteine können in anderen Funktionsbausteinen und in Programm-POEs instanziiert werden. Der Aufruf eines FB in einer Funktion-POE ist nicht möglich. Funktionen werden ohne Instanznamen aufgerufen, da sie keinen internen Speicher besitzen. In PLCnext Engineer wird strikt zwischen sicherheitsbezogenem Code und (nicht-sicherheitsbezogenem) Standard-Code unterschieden. Wenn Ihr Projekt eine sicherheitsbezogene SPS enthält, gilt Folgendes: Sicherheitsbezogene FBs können nur in sicherheitsbezogenen POEs instanziiert werden, aber nicht in (nicht-sicherheitsbezogenen) Standard-POEs. Anwenderdefinierte Standard-FBs können nur in Standard-POEs instanziiert werden. Sie können nicht in sicherheitsbezogenen POEs aufgerufen werden. Bestimmte Standard-Firmware-FBs können sowohl in sicherheitsbezogenen, als auch in Standard-POEs instanziiert werden. Hinweis Beim Einfügen eines Standard-FBs in ein sicherheitsbezogenes SNOLD-Netzwerk gelten die Regeln für die implizite Typumwandlung (von sicherheitsbezogen nach Standard). Beispiel für die Instanziierung eines sicherheitsbezogenen PLCopen-Funktionsbausteins Der sicherheitsbezogene PLCopen-Funktionsbaustein 'SF_EmergencyStop_V2_00' wurde über eine Bibliothek in das Projekt eingefügt. Er ist dann in der Kategorie 'Programmierung' des KOMPONENTEN-Bereichs verfügbar. Dort befindet sich ein Ordner mit demselben Namen wie die Bibliothek, aus dem sich die FBs in den sicherheitsbezogenen Code einfügen lassen. Der FB soll im Code des sicherheitsbezogenen Programms 'S_Main' zweimal aufgerufen werden, um den Status zweier sicherheitsbezogener Not-Halt-Befehlsgeräte auszuwerten. Für jede FB-Instanz wurde in der Variablentabelle des aufrufenden Programms ein Instanzname deklariert: EStop_M1 und EStop_M2. Die zwei FB-Instanzen wurden in das Code-Arbeitsblatt eingefügt, wobei unterschiedliche Variablen an die Eingangs- und Ausgangs-Formalparameter der Instanzen angeschlossen sind.   Weitere Informationen finden Sie in den folgenden Abschnitten: Funktionsbeschreibung Details zum Signalablauf-Diagramm Weitere Details zum Anwendungsbeispiel Fehlervermeidung Umsetzung der Sicherheitsanforderungen aus anzuwendenden Normen