Trojan 5-Schalter/GuardLogix-Steuerung
Werbung
Sicherheitsfunktion: Türüberwachung Produkte: Trojan 5-Schalter/GuardLogix®-Steuerung Sicherheitsbewertung: PLe, Kat. 4 gemäß EN ISO 13849-1:2008 Inhaltsverzeichnis Einleitung 3 Wichtige Hinweise für den Anwender 3 Umsetzung der Sicherheitsfunktion 4 Allgemeine Hinweise zur Sicherheit 5 Installation und Verdrahtung 7 Konfiguration 8 Programmierung 15 Manuelle Rückstellung mit abfallender Flanke 16 Berechnung des Performance Level (PL) 16 Verifikations- und Validierungsplan 19 Zusätzliche Hilfsmittel 22 3 Einleitung In dieser Sicherheitsapplikation wird die Schutztürfunktion eines Trojan 5-Schalters dargestellt, wie dieser mit einer CompactGuardLogix®-Steuerung und POINT Guard I/O™Modulen verdrahtet, konfiguriert und programmiert wird. Wenn die Tür geöffnet wird oder im Überwachungsschaltkreis ein Fehler erkannt wird, schaltet die GuardLogix-Steuerung die Aktuatorik aus, in diesem Fall redundante Schütze der Serie 100S. In diesem Beispiel wird eine Compact GuardLogix-Steuerung verwendet, es kann jedoch jede beliebige GuardLogix-Steuerung eingesetzt werden. In dieser Applikation wird ein Trojan 5-Schalter verwendet, doch das Beispiel gilt für alle potentialfreien Öffnerkontakte (min. 2). Die später in diesem Dokument gezeigten SISTEMA-Berechnungen sind mit den tatsächlich verwendeten Produkten neu durchzuführen. Wichtige Hinweise für den Anwender Die Betriebseigenschaften elektronischer Geräte unterscheiden sich von denen elektromechanischer Geräte. In der Publikation SGI-1.1, Safety Guidelines for the Application, Installation, and Maintenance of Solid-State Controls (erhältlich bei Ihrem Rockwell Automation-Vertriebsbüro oder online unter http://www.rockwellautomation.com/literature), werden einige wichtige Unterschiede zwischen elektronischen und festverdrahteten elektromechanischen Geräten erläutert. Aufgrund dieser Unterschiede und der vielfältigen Einsatzbereiche elektronischer Geräte müssen die für die Anwendung dieser Geräte verantwortlichen Personen sicherstellen, dass die Geräte zweckgemäß eingesetzt werden. Rockwell Automation ist in keinem Fall verantwortlich oder haftbar für indirekte Schäden oder Folgeschäden, die durch den Einsatz oder die Anwendung dieses Geräts entstehen. Die in diesem Handbuch aufgeführten Beispiele und Abbildungen dienen ausschließlich zur Veranschaulichung. Aufgrund der unterschiedlichen Anforderungen der jeweiligen Anwendung kann Rockwell Automation keine Verantwortung oder Haftung für den tatsächlichen Einsatz der Produkte auf der Grundlage dieser Beispiele und Abbildungen übernehmen. Rockwell Automation übernimmt keine patentrechtliche Haftung in Bezug auf die Verwendung von Informationen, Schaltkreisen, Geräten oder Software, die in dieser Publikation beschrieben werden. Die Vervielfältigung des Inhalts dieser Publikation, ganz oder auszugsweise, bedarf der schriftlichen Genehmigung von Rockwell Automation. 4 Umsetzung der Sicherheitsfunktion: Risikobeurteilung Anhand der Risikobeurteilung wird der erforderliche Performance Level ermittelt. Er bezeichnet den Grad der Risikominderung, die durch die sicherheitsbezogenen Teile von Steuerungen erreicht wird. Ein Bestandteil des Verfahrens zur Risikominderung besteht darin, die Sicherheitsfunktionen der Maschine festzulegen. In diesem Dokument gehen wir von einem geforderten Performance Level der Kategorie 4, PLe, aus. Von: Risikobeurteilung (ISO 12100) 1 Identifikation der Sicherheitsfunktionen 2 Spezifikation der Eigenschaften jeder Sicherheitsfunktion 3 Bestimmung der erforderlichen PL (PLr) für jede Sicherheitsfunktion Umsetzung und PL- Bewertung Sicherheitsfunktion Die Sicherheitsfunktion trennt die Energieversorgung des Antriebes (Gefährdung), sobald das Sicherheitssystem erkennt, dass die Tür geöffnet wurde. Anforderungen der Sicherheitsfunktion Durch das Öffnen der Schutztür wird die Energieversorgung zum Motor getrennt und somit die gefährliche Bewegung gestoppt. Nach dem Schließen der Tür wird die gefährliche Achsbewegung erst dann fortgesetzt und der Motor mit Strom versorgt, wenn der Startknopf gedrückt wird. Fehler am Sicherheitstürschalter, an den Verdrahtungsklemmen oder an der Sicherheitssteuerung werden vor der nächsten Sicherheitsanforderung erkannt. Die Sicherheitsfunktion kann in diesem Beispiel die Energieversorgung für Motoren mit einem Nennstrom bis zu 9 A, 600 V AC, ein- bzw. ausschalten. Die Sicherheitsfunktion erfüllt die Anforderungen für Kategorie 4, Performance Level „e“ (Kat 4, PLe), gemäß EN ISO 13849-1 und SIL3 gemäß IEC 62061. 5 Sie finden in diesem Handbuch Hinweise, die Sie auf Sicherheitsaspekte aufmerksam machen. Warnung: Dieser Hinweis macht Sie auf Vorgehensweisen und Zustände aufmerksam, die in explosionsgefährdeten Umgebungen zu einer Explosion und damit zu Verletzungen oder Tod, Sachschäden oder wirtschaftlichen Verlusten führen können. WICHTIG Dieser Hinweis enthält Informationen, die für den erfolgreichen Einsatz und das Verstehen des Produkts besonders wichtig sind. Achtung: Dieser Hinweis macht Sie auf Vorgehensweisen und Zustände aufmerksam, die zu Verletzungen oder Tod, Sachschäden oder wirtschaftlichen Verlusten führen können. Achtungshinweise helfen Ihnen, eine Gefahr zu erkennen, die Gefahr zu vermeiden und die Folgen abzuschätzen. Stromschlaggefahr: An der Außenseite oder im Inneren des Geräts, z. B. eines Antriebs oder Motors, kann ein Etikett dieser Art angebracht sein, um Sie darauf hinzuweisen, dass möglicherweise eine gefährliche Spannung anliegt. Verbrennungsgefahr: An der Außenseite oder im Inneren des Geräts, z. B. eines Antriebs oder Motors, kann ein Etikett dieser Art angebracht sein, um Sie darauf hinzuweisen, dass die Oberflächen möglicherweise gefährliche Temperaturen aufweisen. Allgemeine Sicherheitshinweise Wenden Sie sich an Rockwell Automation, um mehr Informationen über unsere Dienstleistung der Risikobeurteilung zu erfahren. WICHTIG Dieses Anwendungsbeispiel richtet sich an fortgeschrittene, entsprechend geschulte Anwender, die sich mit den Anforderungen an Sicherheitssyteme auskennen. Achtung: Eine Risikobeurteilung sollte durchgeführt werden, um sicherzustellen, dass alle Tätigkeiten-/Gefährdungskombinationen identifiziert und berücksichtigt wurden. Die Risikobeurteilung erfordert ggf. zusätzliche Maßnahmen, um das Risiko auf ein tolerierbares Niveau zu reduzieren Sicherheitsschaltkreise müssen Berechnungen zur Sicherheitsentfernung berücksichtigen, die nicht Bestandteil dieses Dokuments sind. 6 Beschreibung der funktionalen Sicherheit Durch Öffnen der Tür wird die gefährliche Bewegung unterbrochen oder verhindert. Der Schalter ist mit zwei Sicherheitseingängen eines Sicherheitseingangsmoduls (SI1) verdrahtet. Die Sicherheitsschütze (K1 und K2) sind mit zwei Sicherheitsausgängen an einem Sicherheitsausgangsmodul (SO1) verbunden. Die E/A-Module sind via CIP Safety über ein EtherNet/IP-Netzwerk mit der Sicherheitssteuerung (SC1) vernetzt. Das Sicherheitsprogramm in SC1 überwacht den Zustand der Tür über den zertifizierten Sicherheitsbefehl „Dual Channel Input Stop with Test“ (DCST). Wenn alle sicheren Eingangssignale anliegen, keine Fehler erkannt werden und der Reset-Taster gedrückt ist, steuert und überwacht ein zweiter zertifizierter Funktionsblock „Configurable Redundant Output“ (CROUT) die Ausgänge und den Rückführkreis der redundanten 100S-Schütze. Zusammenfassend bedeutet dies, wenn die Tür geöffnet ist, sind die Schütze abschaltet. Wird die Tür geschlossen und der Reset-Taster gedrückt, werden die Schütze eingeschaltet. Materialliste Bestellnummer Beschreibung Menge 440K-T11090 Sicherheitsschalter Trojan 5 1 800FM-G611MX10 Reset-Taster der Serie 800F – Metall, geschützt, blau, R, Metallmontageelement, 1 Schließerkontakt (S), Standard 1 100S-C09ZJ23C Serie 100S-C – Sicherheitsschütze 2 1768-ENBT CompactLogix™-EtherNet/IP-Bridge-Modul 1 1768-L43S Compact GuardLogix-Prozessor, 2,0 MB Standardspeicher, 0,5 MB Sicherheitsspeicher 1 1768-PA3 Netzteil, 120/240 V AC Eingang, 3,5 A bei 24 V DC 1 1769-ECR Rechtes/r Abschlussmodul/-widerstand 1 1734-AENT 24-V-DC-Ethernet-Adapter 1 1734-TB Modulsockel mit abnehmbaren Schraubklemmen 4 1734-IB8S POINT-Guard-Sicherheits-Eingangsmodul 1 1734-OB8S POINT-Guard-Sicherheits-Ausgangsmodul 1 1783-US05T Unmanaged Ethernet-Switch Stratix 2000™ 1 7 Installation und Verdrahtung Ausführliche Informationen zur Installation und Verdrahtung finden Sie in den Produkthandbüchern, die im Abschnitt Zusätzliche Hilfsmittel aufgeführt sind. Systemüberblick Das 1734-IB8S Eingangsmodul überwacht die zwei Kanäle des Trojan 5-Schalters. Wenn die Tür geöffnet wird, öffnen diese beiden Kanäle, und die Steuerung reagiert durch Abschalten der Sicherheitsschütze. Das Modul 1734-IB8S kann beide Kanäle mit 24 V DC versorgen, um die Signalverdrahtung dynamisch auf Kurzschlüsse gegen 24 V DC und auf Kurzschlüsse zwischen den Kanälen zu prüfen. Bei einem Fehler werden entweder einer oder beide Kanäle auf 0 (Low) gesetzt, und die Steuerung reagiert mit der Abschaltung der Sicherheitsschütze. Der Funktionsblock wird erst nach dem Löschen des Fehlers und einem Öffnen/Schließen der Tür zurückgesetzt. Kurzschlüsse gegen 0 V DC (und gelöste Leiter) werden vom Eingangsmodul 1734-IB8S als Drahtbruch gewertet, auf den die Steuerung mit dem Abschalten der Sicherheitsschütze reagiert. Weichen die Eingänge länger als durch die Diskrepanzzeit vorgegeben voneinander ab, stellt der Funktionsblock (DCTS) in der Steuerung das Vorliegen eines Fehlers fest. Der Funktionsblock wird erst nach einem Öffnen / Schließen der Tür zurückgesetzt. Die Aktuatoren bestehen in diesem Fall aus zwei Sicherheitsschützen, K1 und K2, der Serie 100S. Die Schütze werden von einem Sicherheitsausgangsmodul 1734-OBS angesteuert. Die redundanten Schütze sind in Reihe verdrahtet. Die Verdrahtung des Rückführkreises (Feedback) erfolgt über die Schließerkontakte der Schütze zurück auf einen Eingang am Modul 1734-IB8S, damit die Schütze auf ordnungsgemäßen Betrieb überwacht werden können. Die Schütze können nicht neu gestartet werden, wenn sich der Rückführkreis nicht im korrekten Zustand befindet. Das System verfügt über individuelle Reset-Taster zum Zurücksetzen von Fehlern und Sicherheitsausgängen. Beachten Sie, dass in diesem Beispiel alle Reset-Taster und der Rückführkreis der Schütze mit dem 1734-IB8S-Modul verdrahtet sind. Für die funktionale Sicherheit ist dies nicht erforderlich. Diese drei Eingänge könnten auch mit einem standardmäßigen Eingangsmodul verdrahtet werden. 8 Schaltplan Konfiguration Die Compact GuardLogix-Steuerung wird mit der Software RSLogix™ 5000, ab Version 17, konfiguriert. Erstellen Sie ein neues Projekt und fügen Sie die E/A-Module hinzu. Konfigurieren Sie dann die E/A-Module für die entsprechenden Eingangs- und Ausgangstypen. Eine ausführliche Beschreibung der einzelnen Schritte würde über den Rahmen dieses Dokuments hinausgehen. Wir setzen grundlegende Kenntnisse der RSLogix-Programmierumgebung voraus. 9 Konfigurieren der Steuerung und Hinzufügen der E/A-Module Gehen Sie wie folgt vor. 1. Erstellen Sie in der Software RSLogix 5000 ein neues Projekt. 2. Fügen Sie im Controller Organizer das Modul 1768-ENBT zum 1768-Bus hinzu. 3. Wählen Sie das Modul 1768-ENBT aus und klicken Sie auf OK. 10 4. Benennen Sie das Modul, geben Sie seine IP-Adresse ein und klicken Sie auf OK. Wir haben in diesem Anwendungsbeispiel 192.168.1.8 verwendet. Sie können jedoch eine andere Adresse verwenden. 5. Fügen Sie den Adapter 1734-AENT hinzu, indem Sie mit der rechten Maustaste auf das Modul 1768-ENBT im Controller Organizer klicken und „New Module“ auswählen. 6. Wählen Sie den Adapter 1734-AENT aus und klicken Sie auf OK. 11 7. Benennen Sie das Modul, geben Sie seine IP-Adresse ein und klicken Sie auf OK. Wir haben in diesem Anwendungsbeispiel 192.168.1.11 verwendet. Sie können jedoch eine andere Adresse verwenden. 8. Klicken Sie auf „Change“. 9. Stellen Sie „3“ als Chassis Size für den Adapter 1734-AENT ein und klicken Sie auf OK. Die Chassisgröße ist die Anzahl der Module, die im Chassis eingefügt werden. Der Adapter 1734-AENT ist für Steckplatz 0 vorgesehen. Demnach beträgt die Chassisgröße für ein Eingangs- und ein Ausgangsmodul 3. 12 10. Klicken Sie im Controller Organizer mit der rechten Maustaste auf den Adapter 1734-AENT und wählen Sie „New Module“. 11. Erweitern Sie das Verzeichnis „Safety“, wählen Sie das Modul 1734-IB8S aus und klicken Sie auf OK. 12. Benennen Sie im Dialogfeld „New Module“ das Gerät „IB8S“ und klicken Sie auf „Change“. 13. Wenn sich das Dialogfeld „Module Definition“ öffnet, ändern Sie Output Data in „None“ und stellen Sie sicher, dass Input Status auf „Combined Status-Power“ eingestellt ist, und klicken Sie auf OK. Wenn Sie die Output Data auf „None“ setzen, bedeutet dies, dass Sie die Testausgänge nicht als Standardausgänge verwenden können, was in diesem Beispiel nicht erfolgt. Beachten Sie, dass hierdurch eine Steuerungsverbindung eingespart wird, da wir nur die Eingangsverbindung verwenden. 13 14. Schließen Sie das Dialogfeld „Module Properties“, indem Sie auf OK klicken. 15. Wiederholen Sie die Schritte 10 bis 14, um das Sicherheitsausgangsmodul 1734-OB8S hinzuzufügen. Benennen Sie das Modul OB8S. Beachten Sie, dass dieses Modul in Steckplatz 2 eingesetzt wird, und wählen Sie als Definition des Input Status „Combined Status-ReadbackPower“ aus. 14 Konfigurieren der E/A-Module Gehen Sie wie folgt vor, um die POINT Guard I/O-Module zu konfigurieren. 1. Klicken Sie im Controller Organizer mit der rechten Maustaste auf das Modul 1734-IB8S und wählen Sie „Properties“ aus. 2. Klicken Sie auf „Test Output“ und konfigurieren Sie das Modul wie gezeigt. Die Testausgänge T0 und T1 überwachen die Kanäle des Trojan 5-Schalters mithilfe von Testimpulsen, sowie T2 des Rückführkreises der Schütze. 3. Klicken Sie auf „Input Configuration“ und konfigurieren Sie das Modul wie gezeigt. Das Lichtgitter ist mit den Eingängen 0 und 1 verbunden. Der Reset-Taster belegt die Eingänge 4 und 5, Eingang 7 ist der Rückführkreis der Schütze. Denken Sie daran, dass Eingang 7 von Testausgang 2 mit Spannung versorgt wird. Beachten Sie, dass tatsächlich kein Unterschied besteht, ob ein Eingangskanal als Sicherheits- oder als Standardeingang konfiguriert ist. Dies dient mehr der Dokumentation. 4. Klicken Sie auf OK. 5. Klicken Sie im Controller Organizer mit der rechten Maustaste auf das Modul 1734-OB8S und wählen Sie „Properties“ aus. 15 6. Klicken Sie auf „Output Configuration“ und konfigurieren Sie das Modul wie gezeigt. Die sicheren Ausgänge für die Ansteuerung der Schützspulen werden mit Hilfe eines automatischen Testimpulses getestet, ohne dass die Schütze daraufhin abschalten. 7. Klicken Sie auf OK. Programmierung Der Befehl „Dual Channel Input Stop with Test“ (DCST) überwacht Sicherheitskomponenten mit zwei Eingängen, deren Hauptfunktion es ist, eine Maschine sicher zu stoppen, z. B. eine Schutztür. Wenn eine Testfunktion angefordert wird, entweder durch das Programm oder von Hand, wird die Maschine gestoppt, bis ein ordnungsgemäßer Zustand der Schutztür erfolgt. Der Befehl DCST überwacht die zwei-kanaligen Eingänge auf Konsistenz (gleichwertig – High-aktiv), erkennt und hält den Fehler fest, wenn eine Abweichung auftritt, die länger als die konfigurierte Diskrepanzzeit (ms) andauert. Über einen automatischen Wiederanlauf wird der DCST-Ausgang (O1) automatisch nach einer Anforderung zurückgesetzt. Die in der Regel für die Sicherheit erforderliche manuelle Aktion steht in Strompfad 1 bereit, um die Sicherheits-Ausgangsaktivierung zurückzusetzen. Der Eingangsstatus stellt in der Regel den Kanalstatus der zwei-kanaligen Eingänge dar. In diesem Beispiel wechselt das Bit „Combined Input Status“ in den 0-Zustand (Low), wenn einer der acht Eingangskanäle des Moduls 1734-IB8S einen Fehler aufweist. In diesem Beispiel dient die DCST-Rückstellung als Fehler-Reset. Auch bei der Konfiguration für den automatischen Wiederanlauf wird ein Fehler erst durch einen Reset zurückgesetzt. Der Ausgang (O1) des DCST-Befehls wird als Sicherheitsschalter im Selbsthaltestrompfad verwendet, um das Freigabe-Tag des Ausgangs anzusteuern. Kommt es zur Abschaltung eines DCS-Ausgangs, wird auch die Ausgangsfreigabe abgeschaltet, und zwar so lange, bis eine Rückstellung von Hand durchgeführt wird. Über den Befehl „CROUT – Configurable Redundant Output“ werden die redundanten Ausgänge angesteuert und überwacht. Im Wesentlichen wird mit diesem Befehl sichergestellt, dass ein entsprechendes Rückführsignal auf die Sicherheitsausgänge erfolgt. Für das in diesem Beispiel verwendete negative Rückführsignal gilt Folgendes: Wenn die Ausgänge 1 (High) sind, muss das Signal 0 (Low) sein und umgekehrt. In diesem Beispiel muss dieses Signal innerhalb von 500 ms in den entsprechenden Zustand wechseln. Da nur ein einziger Rückführkreis verwendet wird, wird dieses Signal für Feedback 1 und 2 genutzt. Die zwei Ausgangs-Tags des CROUT-Befehls dienen zum Steuern der Schützausgänge am Modul 1734-OB8S. 16 Manuelle Rückstellung mit abfallender Flanke EN ISO 13849-1 fordert, dass die Funktionen zur manuellen Rückstellung mit einer abfallenden Flanke erfolgen müssen. Um diese Forderung zu erfüllen, wird der Befehl One Shot Falling – OSF auf dem Reset-Strompfad verwendet. Das Ausgangsbit-Tag des OSF-Befehls wird dann als Reset-Bit für den Ausgangsaktivierungs-Strompfad verwendet. Berechnung des Performance Level (PL) Bei korrekter Konfiguration kann die Sicherheitsfunktion der Türüberwachung eine Sicherheitsbewertung PL e, Kat.4 gemäß EN ISO 13849-1:2008 erreichen. Die Funktionale Sicherheitsspezifikation für dieses Projekt erfordert einen Performance Level von PLd (mindestens) und eine Struktur von Kat. 3 (mindestens). Für PLd wird ein PFHd-Wert von kleiner als 1.0 E-06 für die gesamte Sicherheitsfunktion benötigt. Die einzelnen Subsystemwerte sind nachfolgend gezeigt. 17 Der Gesamtwert der Sicherheitsfunktion wird im Folgenden gezeigt. Die Sicherheitsfunktion der Überwachung einer Schutztür ist nachfolgend in dem sicherheitsgerichteten Blockdiagramm dargestellt: 18 Die Berechnungen basieren auf einer (1) Betätigung der Sicherheits-Schutztür pro Stunde, d. h. auf 8760 Betätigungen der Schütze pro Jahr. Die Maßnahmen gegen Fehler gemeinsamer Ursache (CCF – common cause failure) werden anhand des in Anhang F der Norm EN ISO 13849-1 aufgeführten Bewertungsprozesses quantifiziert. Im Sinne der PL-Berechnung gilt die zur Erfüllung der CCF-Anforderung erforderliche Punktzahl von 65 als erreicht. Der vollständige CCF-Bewertungsprozess muss bei der Umsetzung dieses Beispiels erfolgen. 19 Verifikations- und Validierungsplan Verifikation und Validierung tragen entscheidend zur Vermeidung von Fehlern während der Planung und Entwicklung eines Sicherheitssystems bei. EN ISO 13849-2 gibt die Anforderungen für die Validierung vor. Die Norm verlangt einen dokumentierten Plan, um die Erfüllung aller Anforderungen an die funktionale Sicherheit zu bestätigen. Die Verifizierung besteht in einer Analyse des daraus resultierenden Sicherheitssystems. Der Performance Level (PL) des Sicherheitssystems wird so berechnet, dass die Erfüllung des benötigten Performance Level (PLr required) sichergestellt ist. Das Software-Tool SISTEMA, das in der Regel für diese Berechnungen eingesetzt wird, trägt zur Erfüllung der Anforderungen von EN ISO 13849-1 bei. Die Validierung ist ein Funktionstest des Sicherheitssystems und dient dazu, festzustellen, ob das System den spezifizierten Sicherheitsanforderungen gerecht wird. Bei der Validierung wird getestet, ob alle sicherheitsbezogenen Ausgänge entsprechend auf die dazugehörigen sicherheitsbezogenen Eingänge reagieren. Der Funktionstest sollte normale Betriebsbedingungen ebenso beinhalten wie potenziell fehlerbehaftete Betriebszustände. Die Validierung des Sicherheitssystems wird durch eine Prüfliste dokumentiert. Die Validierung der Softwareentwicklung ist ein Prozess, bei dem ähnliche Methoden und Techniken angewandt werden wie bei der Entwicklung und Verwendung von Hardware. Fehler, die auf Unachtsamkeit bei der Softwareentwicklung zurückzuführen sind, sind systembedingt, während Fehler, die mit der Hardware zusammenhängen, als zufällig betrachtet werden. Vor der Validierung des GuardLogix-Sicherheitssystems muss sichergestellt werden, dass das Sicherheitssystem und das Sicherheitsanwendungsprogramm in Übereinstimmung mit dem Sicherheitsreferenzhandbuch „GuardLogix-Steuerungssysteme“ (1756-RM093) und dem Referenzhandbuch „Befehlssatz für GuardLogix-Sicherheitsanwendungen“ (1756-RM095) entwickelt wurden. 20 Checkliste für die Verifizierung und Validierung der Sicherheitsfunktion der GuardLogix-Türüberwachung Allgemeine Maschineninformationen Maschinenname/Modellnummer Seriennummer der Maschine Kundenname Prüfdatum Namen der Prüfer Schaltbild Nummer Steuerungsname Sicherheitssignatur-ID Sicherheitsnetzwerknummer(n) RSLogix5000 Softwareversion Module des Sicherheitssteuerungssystems GuardLogix-Sicherheitssteuerung CompactLogix-Ethernet-Bridge POINT I/O-Ethernet-Adapter POINT I/O-Eingangsmodule POINT I/O-Ausgangsmodule GuardLogix-Module Firmwareversion 1768-L43S 1768-ENBT 1734-AENT 1734-IB8S 1734-OB8S Konfigurations- und Verdrahtungsverifizierung des GuardLogix-Sicherheitssystems Prüfschritt Verifizierung 1 Prüfen Sie, ob das Sicherheitssystem gemäß dem Sicherheitsreferenzhandbuch „GuardLogixSteuerungssysteme“ (1756-RM093) entwickelt wurde. 2 Prüfen Sie, ob das Anwendungsprogramm gemäß dem Referenzhandbuch „Befehlssatz für GuardLogixSicherheitsanwendungen“ (1756-RM095) entwickelt wurde. 3 Führen Sie eine Sichtprüfung des Netzwerks und der E/A daraufhin durch, ob die Verdrahtung wie im Schaltbild gezeigt erfolgt ist. 4 Führen Sie eine Sichtprüfung des RSLogix 5000-Programms durch, um sicherzustellen, dass das Sicherheitssystemnetzwerk und die E/A-Module wie dokumentiert konfiguriert sind. 5 Führen Sie eine Sichtprüfung des RSLogix 5000-Anwendungsprogramms durch, um sicherzustellen, dass geeignete sicherheitszertifizierte Befehle verwendet werden. Die Software ist lesbar, verständlich, testbar mit der Hilfe von eindeutigen Kommentaren. 6 Alle Eingangsgeräte sind durch Ein- und Ausschalten ihrer jeweiligen Aktoren qualifiziert. Überwachen Sie den Status im Fenster der RSLogix 5000-Steuerungs-Tags. 7 Alle Ausgangsgeräte sind durch Ein- und Ausschalten ihrer jeweiligen Aktoren qualifiziert. Überwachen Sie den Status im Fenster der RSLogix 5000-Steuerungs-Tags. Bestanden/ Nicht bestanden Änderungen/Modifikationen Verifizierung des Normalbetriebs – Das GuardLogix-Sicherheitssystem reagiert korrekt auf alle normalen Start-, Stopp-, Freigabe- und Rücksetzbefehle Prüfschritt Verifizierung 1 Lösen Sie einen Startbefehl aus. Beide Schütze müssen für einen normalen Ausführungszustand der Maschine einschalten. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. 2 Lösen Sie einen Stoppbefehl aus. Beide Schütze müssen für einen normalen Stoppzustand der Maschine ausschalten. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. 3 Öff nen Sie im Betrieb die überwachte Schutztür. Beide Schütze müssen für einen sicheren Zustand ausschalten und öff nen. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. Wiederholen Sie diesen Schritt für alle Schutztüren. 4 Lösen Sie im Stopp-Zustand und bei geöff neter Schutztür einen Startbefehl aus. Beide Schütze müssen für einen sicheren Zustand ausgeschaltet und offen bleiben. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. Wiederholen Sie diesen Schritt für alle Schutztüren. 5 Lösen Sie einen Rücksetzbefehl aus. Beide Schütze müssen ausgeschaltet bleiben. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. Bestanden/ Nicht bestanden Änderungen/Modifikationen 21 Verifizierung fehlerhafter Betriebsbedingungen – Das GuardLogix-Sicherheitssystem reagiert korrekt auf alle vorhersehbaren Fehler mit entsprechender Diagnose. Prüfung von Zustimmungsschalter und sicheren Eingänge Prüfschritt Validierung 1 Entfernen Sie im Betrieb den Draht vom Sicherheitsschalter zum Eingang I0 des Sicherheitsmoduls. Beide Schütze müssen ausschalten. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. Überprüfen Sie: Reset nicht möglich und Neustart mit Fehler. Stellen Sie die Verbindung wieder her und wiederholen Sie den Vorgang für den Kanal Eingang I1. 2 Schließen Sie im Betrieb den Kanal 1 der Sicherheits-E/A gegen +24 V DC kurz. Beide Schütze müssen ausschalten. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. Überprüfen Sie: Reset nicht möglich und Neustart mit Fehler. Entfernen Sie den Kurzschluss und wiederholen Sie den Vorgang für den Eingang I1. 3 Schließen Sie im Betrieb den Eingang I0 des Sicherheitsmoduls gegen (–) 0 V DC kurz. Beide Schütze müssen ausschalten. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. Überprüfen Sie: Reset nicht möglich und Neustart mit Fehler. Entfernen Sie den Kurzschluss und wiederholen Sie den Vorgang für Eingang I1. 4 Schließen Sie im Betrieb die Eingänge I0 und I1 des Sicherheitsmoduls kurz. Beide Schütze müssen ausschalten. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. Überprüfen Sie: Reset nicht möglich und Neustart mit Fehler. Entfernen Sie die Verbindung zwischen den Eingängen I0 und I1 wieder her. 5 Schließen Sie im Betrieb den Eingang IO und den Testausgang T1 des Sicherheitsmoduls kurz. Öff nen Sie die Schutztür. Beide Schütze müssen ausschalten. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. Überprüfen Sie: Reset nicht möglich und Neustart mit Fehler. Entfernen Sie die Verbindung und wiederholen Sie den Vorgang für den Eingang I1. Bestanden/ Nicht bestanden Änderungen/Modifikationen Bestanden/ Nicht bestanden Änderungen/Modifikationen Bestanden/ Nicht bestanden Änderungen/Modifikationen Prüfung von GuardLogix-Steuerung und Netzwerk Prüfschritt Validierung 1 Entfernen Sie im Betrieb die Ethernet-Netzwerkverbindung zwischen den Sicherheit-E/A und der Steuerung. Alle Schütze müssen ausschalten. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und den E/A-Verbindungszustand im RSLogix 5000-Sicherheitsanwendungsprogramm. 2 Stellen Sie die Netzwerkverbindung des Sicherheit-E/A-Moduls wieder her und warten Sie, bis die die Kommunikation wiederhergestellt ist. Überprüfen Sie das Statusbit der Verbindung im RSLogix 5000-Sicherheitsanwendungsprogramm. Wiederholen Sie den Schritt für alle SicherheitsE/A-Verbindungen. 3 Schalten Sie im Betrieb den Run-Modus der Steuerung aus. Alle Schütze müssen ausschalten. Bringen Sie den Schlüsselschalter wieder in die Position für Run-Modus. Alle Schütze müssen ausgeschaltet bleiben. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. Prüfschritt Validierung Prüfung des Sicherheitsschützausgangs 1 Lösen Sie einen Startbefehl aus. Beide Schütze müssen für einen normalen Ausführungszustand der Maschine einschalten. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. 2 Entfernen Sie im Betrieb den Rückführkreis der Schütze von den Sicherheits-E/A. Alle Schütze müssen eingeschaltet bleiben. Lösen Sie einen Stoppbefehl aus und versuchen Sie, einen Reset auszuführen. Das System darf nicht neu starten oder zurücksetzen. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. 3 Schließen Sie im Betrieb den Rückführkreis der Schütze gegen die Sicherheits-E/A kurz. Alle Schütze müssen eingeschaltet bleiben. Lösen Sie einen Stoppbefehl aus und versuchen Sie, einen Reset auszuführen. Das System darf nicht neu starten oder zurücksetzen. Überprüfen Sie die ordnungsgemäße Statusanzeige der Maschine und die ordnungsgemäße Anzeige des RSLogix 5000-Sicherheitsanwendungsprogramms. 22 Zusätzliche Hilfsmittel Weitere Informationen über die in diesem Beispiel verwendeten Produkte finden Sie in den folgenden Publikationen. Publikation Beschreibung Compact GuardLogix-Steuerungen Informationen zur Konfiguration, zum Betrieb und zur Benutzerhandbuch, Publikation 1768-UM002 Wartung der Compact GuardLogix-Steuerungen. POINT Guard I/O-Sicherheitsmodule Installations- und Benutzerhandbuch, Publikation 1734-UM013 Informationen zur Installation, Konfiguration und zum Betrieb von POINT Guard I/O-Modulen. GuardLogix-Steuerungssysteme Sicherheitsreferenzhandbuch, Publikation 1756-RM093 Ausführliche Anforderungen zum Erreichen und Bewahren von Sicherheitsbewertungen mit dem GuardLogix-Steuerungssystem. Befehlssatz für GuardLogixSicherheitsanwendungen Referenzhandbuch, Publikation 1756-RM095 Ausführliche Informationen zum Befehlssatz für GuardLogix-Sicherheitsanwendungen. Safety Accelerator Toolkit for GuardLogix Systems Quick Start Guide, Publikation IASIMP-QS005 Schrittweise Anleitung zur Verwendung der Entwicklungs-, Programmier- und Diagnose-Tools des Safety Accelerator Toolkit. Katalog zu Sicherheitsprodukten Sie können die Publikationen unter http://www.rockwellautomation.com/literature anzeigen oder herunterladen. Um ein gedrucktes Exemplar einer technischen Dokumentation anzufordern, wenden Sie sich an Ihren Allen-Bradley®-Distributor oder Ihr Rockwell Automation-Vertriebsbüro. Weitere Informationen zu den Sicherheitsfunktionen finden Sie unter: discover.rockwellautomation.com/safety Rockwell Automation, Allen-Bradley, GuardLogix, RSLogix 5000, CompactLogix, Stratix 2000 und POINT Guard I/O sind Marken von Rockwell Automation, Inc. Marken, die nicht Rockwell Automation gehören, sind Eigentum der jeweiligen Unternehmen. www.rockwel lautomation.com Hauptverwaltung für Antriebs-, Steuerungs- und Informationslösungen Amerika: Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204 USA, Tel: +1 414 382 2000, Fax: +1 414 382 4444 Europa/Naher Osten/Afrika: Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgien, Tel: +32 2 663 0600, Fax: +32 2 663 0640 Asien/Australien/Pazifikraum: Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, China, Tel: +852 2887 4788, Fax: +852 2508 1846 Deutschland: Rockwell Automation GmbH, Parsevalstraße 11, 40468 Düsseldorf, Tel: +49 (0)211 41553 0, Fax: +49 (0)211 41553 121 Schweiz: Rockwell Automation AG, Industriestrasse 20, CH-5001 Aarau, Tel: +41(62) 889 77 77, Fax: +41(62) 889 77 11, Customer Service – Tel: 0848 000 277 Österreich: Rockwell Automation, Kotzinastraße 9, A-4030 Linz, Tel: +43 (0)732 38 909 0, Fax: +43 (0)732 38 909 61 Publikation SAFETY-AT060B-DE-E – Januar 2013 Copyright © 2013 Rockwell Automation, Inc. Alle Rechte vorbehalten.