Safety-Reaktionszeit (Safety Function Response Time, SFRT)

Was ist die Safety-Reaktionszeit (Safety Function Response Time, SFRT)?

Wenn Sie eine sicherheitsbezogene Applikation planen, müssen Sie die korrekten mechanischen Positionen der benötigten Sicherheitseinrichtungen (sicherheitsbezogene Befehlsgeräte, Sensoren und Aktoren) an der Maschine bestimmen. Die Position und die physikalische Distanz der Sicherheitseinrichtung müssen die Anforderungen Ihrer Applikation gem. zutreffender Normen und Richtlinien erfüllen.

Um die Berechnung der Sicherheitsabstände durchführen zu können, müssen Sie die Safety-Reaktionszeit (Safety Function Response Time, SFRT) des Systems kennen.

Die SFRT ist die Zeit, die verstreicht zwischen

dem Eingang des Sicherheitsanforderungssignals (Safety Request vom sicherheitsbezogenen Befehlsgerät oder Sensor, wie z.B. Not-Halt-Taster oder Lichtschranke) im sicherheitsbezogenen Eingangsmodul und
der Ausgabe des Anforderungssignals für den definierten sicheren Zustand der Maschine am sicherheitsbezogenen Ausgangsmodul. Ob der definierte sichere Zustand der Maschine deren Stillstand bedeutet, oder z.B. eine drehmomentfreie Achse oder begrenzte Drehzahl, hängt von Ihrer Applikation ab und muss im Rahmen Ihrer verpflichtenden Risikoanalyse ermittelt werden.

Hinweis
Die maximal erlaubte Safety-Reaktionszeit (SFRTmax) hängt von der zu implementierenden Sicherheitsfunktion ab.

Hinweis
In der Applikation muss die SFRTmax für jede zu implementierende Sicherheitsfunktion ermittelt werden.

Je größer die SFRT des Sicherheitssystems, desto größer muss der minimale Abstand der sicherheitsbezogenen Befehlsgeräte und Sensoren vom Betriebsbereich sein.

Ermitteln der SFRT

Die SFRT Ihrer Sicherheitsapplikation setzt sich wie folgt zusammen:

TWCDT (Total Worst Case Delay Time) ist die gesamte ungünstigste Verzögerungszeit. Dies ist die Summe aller Verarbeitungs- und Übertragungszeiten im jeweiligen Pfad des sicherheitsbezogenen Systems. Der Wert setzt sich wie folgt zusammen:

TWCDT = t1 + t2 + t3

Die partiellen Verzögerungszeiten t1, t2 und t3 setzen sich wie folgt zusammen:

t1 = ungünstigste Eingangsverzögungszeit
   = Signalverarbeitungszeit im Sensor und im sicherheitsbezogenen Eingangsmodul
     (Device Acknowledgment Time)
     Lesen Sie hierzu das technische Datenblatt/Anwenderhandbuch der beteiligten Geräte.

t2 = Übertragungsverzögerung und Verarbeitungszeit
   = Übertragungszeit vom Eingangsmodul zur Sicherheitssteuerung via EtherCAT
     (im Fall eines SDI-Slave inkl. Buskoppler) oder Axioline
     + Ausführungszeit in der Sicherheitssteuerung (siehe Hinweis unten)
     + Übertragungszeit von der Sicherheitssteuerung zum Ausgangsmodul via EtherCAT
     (im Fall eines SDO-Slave inkl. Buskoppler) oder Axioline

t3 = ungünstigste Ausgangsverzögerungszeit
= Signalverarbeitungszeit im sicherheitsbezogenen Ausgangsmodul
Lesen Sie hierzu das technische Datenblatt/Anwenderhandbuch der beteiligten Geräte.

Hinweis
Die in t2 enthaltene Ausführungszeit wird als 'Programmausführungszeit' im 'Cockpit Sichere SPS' angezeigt. Details hierzu finden Sie im Thema "Steuerungsdiagnose aus dem Cockpit der sicherheitsbezogenen SPS".

SFRT = TWCDT + Δtmax der längsten WD-Zeit eines Ausgangsmoduls
Informationen über Δtmax finden Sie im Abschnitt "Relevante Watchdogs".

Hinweis
Die SFRT muss für jede zu implementierende Sicherheitsfunktion bestimmt werden.

SFRTmax = maximale Safety-Reaktionszeit aller SFRTs in Ihrer Applikation.

Hinweis
SFRT muss ≤ SFRTmax sein.

WARNUNG

Unbeabsichtigter Betriebszustand des Geräts

Verifizieren Sie, dass bei der Ermittlung der SFRT jede Verbindung in Betracht gezogen wurde, die an Ihrer Sicherheitsfunktion beteiligt und im sicherheitsbezogenen Anwendungsprogramm programmiert ist.

Verifizieren Sie, dass zusätzlich zur berechneten SFRT auch jede physikalische Eigenschaft der Maschine (wie z.B. Auslaufzeit einer Achse etc.) berücksichtigt wurde.

Relevante Watchdogs

In einem PLCnext Technology-Safety-System sind verschiedene Watchdogs (WDs) implementiert. Diese Watchdogs ermöglichen die Überwachung der korrekten Funktion der sicherheitsbezogenen Kommunikation sowie der beteiligten Geräte. Einige Watchdogs sind geräteintern und können deshalb nicht parametriert werden, andere müssen dagegen in PLCnext Engineer konfiguriert werden (z.B. Watchdogzeit für die FSoE-Kommunikation).

Abhängig von der SFRTmax müssen Sie die resultierende maximale Überwachungs-/Watchdogzeit als oberen Grenzwert für jede einzelne Sicherheitsfunktion bestimmen. Ist beispielsweise der WD für ein sicherheitsbezogenen Ausgangsgerät größer eingestellt, als das Gerät tatsächlich benötigt um das Ausgangssignal zu verarbeiten, ergibt sich daraus ein Zeitdelta Δt. Dieses Zeitdelta muss bei der Planung des Safety-Systems berücksichtigt werden.

Folgende Watchdogs sind relevant:

WD im Eingangs- und Ausgangsgerät: Interne Watchdogzeit jedes Eingangs-/Ausgangsgeräts, das an der Sicherheitsfunktion beteiligt ist.

Hinweis
Informationen zu Watchdogzeiten der internen FSoE-Slave-Funktion finden Sie im entsprechenden Anwenderhandbuch.

Kommunikations-WDs (einzustellen in der Parametrierung für jeden FSoE-I/O-Slave)

Jeder FSoE-Slave besitzt einen Watchdog (Parameter Watchdogzeit) zur Überwachung der sicherheitsbezogenen Kommunikation. Innerhalb des Watchdog-Intervalls muss folgendes geschehen: Es muss mindestens ein gültiges Telegramm zwischen Sicherheitssteuerung und dem FSoE-Gerät ausgetauscht worden sein und die I/O-Daten müssen aus dem EtherCAT-Telegramm in die I/O-Bereiche der Sicherheitssteuerung kopiert worden sein. Andernfalls wird der definierte sichere Zustand angefordert. Stellen Sie für die Watchdogzeit einen Wert ein, der gewisse Telegrammlaufzeiten toleriert, aber trotzdem einen Verbindungsabbruch ausreichend früh erkennen lässt.

Sie müssen für jede Sicherheitsfunktion die Summe der maximalen Watchdogzeiten berücksichtigen, die für alle beteiligten Eingangs- und Ausgangsgeräte konfiguriert sind:
WatchdogzeitIN-Slave max + WatchdogzeitOUT-Slave max

Die Summe dieser Watchdogzeiten spezifiziert die maximale interne Verarbeitungszeit, die im Fehlerfall (z.B. bei Verlust eines Telegramms) für eine Point-to-Point FSoE-Kommunikation zwischen dem Eingangsgerät über die Sicherheitssteuerung zum Ausgangsgerät benötigt wird.

Weitere Infos
Informationen, wie Sie die Watchdogzeiten bestimmen, finden Sie im entsprechenden Anwenderhandbuch.
Wie Sie den Parameterwert Watchdogzeit einstellen und die zugehörigen Diagnose-Systemvariablen auswerten, ist im Thema "Statusdiagnose für FSoE-Kommunikation/Geräte", Abschnitt "FSoE-Kommunikation überwachen" beschrieben.