Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67...

318
8125577 CAMC-G-S3 Sicherheitsmodul 8125577 2019-12a [8125578] Beschreibung | Advan- ced Safety, Sicher- heitsfunktion, STO, SS1, SS2, SOS, SBC, SLS, SSR, SSM

Transcript of Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67...

Page 1: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

8125577

CAMC-G-S3Sicherheitsmodul

81255772019-12a[8125578]

Beschreibung | Advan-ced Safety, Sicher-heitsfunktion, STO,SS1, SS2, SOS, SBC,SLS, SSR, SSM

Page 2: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Originalbetriebsanleitung

BISS®, EnDat®, DR. JOHANNES HEIDENHAIN®, Hiperface®, PHOENIX CONTACT® sind eingetragene Mar-ken der jeweiligen Markeninhaber in bestimmten Ländern.

2 Festo — CAMC-G-S3 — 2019-12a

Page 3: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

3Festo — CAMC-G-S3 — 2019-12a

1 Über dieses Dokument................................................................................................ 9

2 Sicherheit und Voraussetzungen für den Produkteinsatz............................................ 12

2.1 Sicherheit..................................................................................................................... 12

2.1.1 Allgemeine Sicherheitshinweise............................................................................. 12

2.1.2 Bestimmungsgemäße Verwendung........................................................................ 13

2.1.3 Vorhersehbare Fehlanwendung.............................................................................. 14

2.1.4 Erreichbares Sicherheitsniveau/Sicherheitsfunktion nach EN ISO 13849-1/EN61800-5-2

.. 14

2.2 Voraussetzungen für den Produkteinsatz..................................................................... 15

2.2.1 Technische Voraussetzungen................................................................................. 16

2.2.2 Qualifikation des Fachpersonals (Anforderungen an das Personal)........................ 16

2.2.3 Diagnosedeckungsgrad (DC)...................................................................................16

2.2.4 Einsatzbereich und Zulassungen.............................................................................16

3 Produktbeschreibung Sicherheitsmodul CAMC-G-S3.................................................. 17

3.1 Produktübersicht.......................................................................................................... 17

3.1.1 Einsatzzweck.......................................................................................................... 17

3.1.2 Leistungsmerkmale.................................................................................................17

3.1.3 Unterstützte Geräte................................................................................................ 18

3.1.4 Bedienteile und Anschlüsse....................................................................................18

3.1.5 Lieferumfang...........................................................................................................19

3.2 Funktion und Anwendung............................................................................................. 20

3.2.1 Systemübersicht..................................................................................................... 20

3.2.2 Beschaltung des Sicherheitsmoduls [X40].............................................................. 22

3.2.3 Übersicht der unterstützten Sicherheitsfunktionen................................................ 24

3.2.4 Funktionsschaltbild des Sicherheitsmoduls............................................................25

3.2.5 Übersicht unterstützte Positionsgeber....................................................................29

3.2.6 Datenaustausch und Steuerung des Motorcontrollers............................................33

3.2.7 Konfigurieren der Sicherheitsfunktionen mit dem SafetyTool................................. 35

3.3 Datenübernahme aus dem Motorcontroller.................................................................. 37

3.3.1 Basisinformationen.................................................................................................38

3.3.2 Konfiguration der Geber..........................................................................................39

3.3.3 Parameter für die Positionsgeber............................................................................41

3.3.4 Parameter für die Geberüberwachung und Drehzahlerfassung...............................43

3.3.5 Liste aller Parameter zur Geber-Konfiguration........................................................ 46

3.4 Digitale Eingänge......................................................................................................... 48

3.4.1 Übersicht................................................................................................................ 48

3.4.2 Zweikanalige sichere Eingänge DIN40 … DIN43 [X40]............................................. 53

3.4.3 Einkanalige (bedingt sichere) digitale Eingänge DIN44 … DIN49 [X40]....................59

3.5 Sicherheitsfunktionen.................................................................................................. 63

3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off )........................................ 67

Inhaltsverzeichnis

Page 4: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).......................................... 70

3.5.3 SS1 – Sicherer Stopp 1 (Safe Stop 1)..................................................................... 78

3.5.4 SS2 – Sicherer Stopp 2 (Safe Stop 2)..................................................................... 85

3.5.5 SOS – Sicherer Betriebshalt (Safe Operating Stop)................................................ 92

3.5.6 Universelle Sicherheitsfunktionen USF.................................................................. 96

3.5.7 Sichere Geschwindigkeitsfunktionen SSF.............................................................. 97

3.5.8 SLS – Sicher begrenzte Geschwindigkeit (Safely-Limited Speed)............................104

3.5.9 SSR – Sicherer Geschwindigkeitsbereich (Safe Speed Range)................................ 105

3.5.10 SSM – Sichere Geschwindigkeitsüberwachung (Safe Speed Monitor).................... 106

3.6 Logikfunktionen............................................................................................................ 107

3.6.1 Betriebsartenwahlschalter..................................................................................... 107

3.6.2 Zweihandbediengerät............................................................................................ 109

3.6.3 Additional Logic Functions – ALF............................................................................ 111

3.7 Sicherheitsfunktionen beenden.....................................................................................112

3.7.1 Funktionsumfang................................................................................................... 112

3.7.2 Beispiele und besondere Hinweise zur Implementierung....................................... 113

3.8 Fehlermanagement und Fehlerquittierung.....................................................................115

3.8.1 Auslösen von Fehlern und Fehlerklassen............................................................... 115

3.8.2 Parametrierung der Fehlerreaktion des Sicherheitsmoduls.................................... 118

3.8.3 Logik für Fehlerquittierung..................................................................................... 119

3.9 Digitale Ausgänge......................................................................................................... 121

3.9.1 Zweikanalige sichere Ausgänge DOUT40 … DOUT42 [X40]......................................121

3.9.2 Interne Bremsansteuerung des Motorcontrollers [X6].............................................125

3.9.3 Meldekontakt C1, C2 [X40]..................................................................................... 128

3.9.4 Hilfsversorgung +24 V [X40]................................................................................... 130

3.10 Betriebsstatus und Statusanzeigen...............................................................................130

3.10.1 Zustände des Systems / Zustandmaschine............................................................ 130

3.10.2 Zustandsanzeige am Sicherheitsmodul................................................................. 134

3.10.3 7-Segment-Anzeige des Motorcontrollers.............................................................. 135

3.11 Permanenter und temporärer Diagnosespeicher im Motorcontroller.............................136

3.12 Zeitverhalten................................................................................................................. 137

3.12.1 Abtastzeiten........................................................................................................... 137

3.12.2 Reaktionszeit bei Anforderung einer Sicherheitsfunktion....................................... 138

3.12.3 Reaktionszeit bei Verletzung einer Sicherheitsfunktion.......................................... 140

3.12.4 Sonstige Zeiten für Fehlererkennung und Kommunikation..................................... 142

3.13 DIP-Schalter.................................................................................................................. 142

4 Montage und Installation.............................................................................................143

4.1 Montage / Demontage.................................................................................................. 143

4.2 Elektrische Installation.................................................................................................. 144

4.2.1 Sicherheitshinweise............................................................................................... 144

4 Festo — CAMC-G-S3 — 2019-12a

Page 5: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

4.2.2 Funktionserde.........................................................................................................145

4.2.3 Anschluss [X40].......................................................................................................145

4.2.4 Mindestbeschaltung für die Erstinbetriebnahme [X40]........................................... 147

4.3 Schaltungsbeispiele..................................................................................................... 148

4.3.1 Sicherheitsanforderung über Geräte mit Schaltkontakten...................................... 148

4.3.2 Sicherheitsanforderung über Geräte mit Halbleiter-Ausgängen..............................149

4.3.3 Sicherheitsanforderung über ein Sicherheitsschaltgerät........................................ 150

4.3.4 Verkettung von mehreren CMMP-AS-…-M3 mit CAMC-G-S3.................................... 152

4.3.5 Ansteuerung einer Feststelleinheit......................................................................... 154

4.3.6 Ansteuerung einer 2-kanaligen Feststelleinheit...................................................... 156

4.3.7 Anschluss von Encodern für dynamische Sicherheitsfunktionen.............................157

4.3.8 Ansteuerung eines 2-kanaligen Ventilsteuerblocks mit Sicherheitsfunktionen.......158

5 Inbetriebnahme........................................................................................................... 160

5.1 Vor der Inbetriebnahme................................................................................................ 161

5.2 DIP-Schaltereinstellung................................................................................................ 161

5.3 Hinweise zur Parametrierung mit dem FCT-PlugIn CMMP-AS.........................................161

5.3.1 Einstellen der Konfiguration....................................................................................161

5.3.2 Einstellung der Geberkonfiguration........................................................................ 162

5.3.3 Festlegen der Maßeinheiten (Optional)...................................................................162

5.3.4 Übernehmen des Sicherheitsmoduls...................................................................... 162

5.3.5 Statusanzeige......................................................................................................... 164

5.3.6 Permanenten Diagnosespeicher des Motorcontrollers anzeigen............................ 164

5.4 Grundlagen zur Parametrierung des Sicherheitsmoduls................................................166

5.4.1 Werkseinstellung.................................................................................................... 166

5.4.2 Auslieferungszustand............................................................................................. 169

5.4.3 FCT-PlugIn CMMP-AS und SafetyTool......................................................................169

5.5 Sichere Parametrierung mit dem SafetyTool................................................................ 169

5.5.1 Programmstart........................................................................................................169

5.5.2 Auswahl der Sitzungsarten – Konfigurations-Assistent........................................... 170

5.5.3 Online-Parametrierung........................................................................................... 171

5.5.4 Offline-Parametrierung........................................................................................... 173

5.5.5 Grundregeln bei der Parametrierung mit dem SafetyTool....................................... 174

5.5.6 Verhalten bei ungültiger Parametrierung................................................................177

5.5.7 Parametersatzversion............................................................................................. 177

5.6 Ablauf der Parametrierung mit dem SafetyTool (Beispiel)............................................. 178

5.6.1 Auswahl der Sitzungsvariante im Assistent.............................................................179

5.6.2 Datenübernahme und Abgleich...............................................................................182

5.6.3 Beginn der Parametrierung..................................................................................... 185

5.6.4 Überprüfung der Datenübernahme......................................................................... 185

5.6.5 Basisinformationen.................................................................................................185

5Festo — CAMC-G-S3 — 2019-12a

Page 6: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

5.6.6 Geber-Konfiguration.............................................................................................. 186

5.6.7 Digitale Eingänge konfigurieren............................................................................. 186

5.6.8 Auswahl und Parametrierung der Sicherheitsfunktionen........................................ 188

5.6.9 Logikfunktionen..................................................................................................... 193

5.6.10 Logik Fehlerquittierung.......................................................................................... 193

5.6.11 Digitale Ausgänge.................................................................................................. 193

5.6.12 Fehlermanagement................................................................................................ 193

5.6.13 Abschluss der Parametrierung............................................................................... 193

5.7 Spezielle Funktionen des SafetyTools........................................................................... 195

5.7.1 Kennwort ändern................................................................................................... 195

5.7.2 Werkseinstellungen setzen.................................................................................... 195

5.7.3 Plausibilitätsprüfung............................................................................................. 196

5.7.4 Parameter-Übersicht.............................................................................................. 196

5.7.5 Diagnosefenster..................................................................................................... 197

5.8 Funktionstest, Validierung.............................................................................................199

6 Bedienung und Betrieb.................................................................................................202

6.1 Verpflichtungen des Betreibers..................................................................................... 202

6.2 Wartung und Pflege....................................................................................................... 202

6.3 Schutzfunktionen.......................................................................................................... 202

6.3.1 Versorgung – Überspannungs- und Verpolschutz Spannungsüberwachung........... 202

6.3.2 Interne Elektronik-Spannungsversorgung.............................................................. 203

6.3.3 Failsafe-Versorgung............................................................................................... 203

6.3.4 Schutzfunktionen für die digitalen Ausgänge......................................................... 203

6.3.5 Schutzfunktionen für die digitalen Eingänge.......................................................... 203

6.3.6 Schutzfunktionen für die Bremsansteuerung......................................................... 203

6.3.7 Schutzfunktionen der Versorgung für die Treiberansteuerung................................204

6.3.8 Schutzfunktionen für die angeschlossenen Positionsgeber.................................... 204

6.3.9 Interne Schutzfunktionen der Elektronik auf dem Sicherheitsmodul.......................204

6.3.10 Überwachung der Einhaltung der angeforderten Sicherheitsfunktionen.................205

6.4 Diagnose und Störungsbeseitigung...............................................................................205

6.4.1 LED-Anzeige am Sicherheitsmodul......................................................................... 205

6.4.2 7-Segment-Anzeige des Motorcontrollers.............................................................. 206

6.5 Fehlermeldungen und Fehlerbehandlung...................................................................... 207

6.5.1 Fehlernummern...................................................................................................... 207

6.5.2 Fehlerquittierung................................................................................................... 208

6.5.3 Diagnosemeldungen.............................................................................................. 208

6.6 Diagnosemeldungen mit Hinweisen zur Störungsbeseitigung.......................................209

7 Wartung, Reparatur, Austausch, Entsorgung............................................................... 227

7.1 Wartung.........................................................................................................................227

7.2 Reparatur...................................................................................................................... 227

6 Festo — CAMC-G-S3 — 2019-12a

Page 7: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

7.3 Austausch des Sicherheitsmoduls................................................................................ 228

7.3.1 Ausbau und Einbau.................................................................................................228

7.3.2 Sicherheitsmodul Übernehmen.............................................................................. 228

7.3.3 Erneute Inbetriebnahme mit dem SafetyTool..........................................................228

7.4 Außerbetriebnahme und Entsorgung............................................................................ 229

8 Technischer Anhang.................................................................................................... 230

8.1 Technische Daten......................................................................................................... 230

8.1.1 Sicherheitstechnik.................................................................................................. 230

8.1.2 Allgemein................................................................................................................232

8.1.3 Betriebs- und Umweltbedingungen........................................................................ 232

8.1.4 Digitale Eingänge DIN40A/B bis DIN43A/B und DIN44 bis DIN49 [X40].................. 234

8.1.5 Digitale Ausgänge DOUT40A/B bis DOUT42A/B [X40]............................................ 235

8.1.6 Meldekontakt C1/C2 [X40] ..................................................................................... 236

8.1.7 24V-Hilfsversorgung [X40]...................................................................................... 237

8.1.8 Ausführung der Anschlusskabel [X40].....................................................................237

8.1.9 Digitaler Ausgang für eine Haltebremse am Grundgerät [X6].................................. 238

8.2 Sicherheitskennzahlen................................................................................................. 239

8.2.1 Sicherheitsfunktionen.............................................................................................239

8.2.2 Digitale Eingänge....................................................................................................240

8.2.3 Gebersysteme.........................................................................................................242

8.2.4 Digitale Ausgänge...................................................................................................262

8.3 Systemgenauigkeit und Reaktionszeit.......................................................................... 264

8.3.1 Genauigkeit der Überwachung der Position (SOS) aus Applikationssicht............... 265

8.3.2 Genauigkeit der Überwachung der Geschwindigkeit (SLS, SSR) aus Applikati-onssicht

.. 266

8.3.3 Festlegung der relevanten Parameter für Safe Speed Function (mit SLS, SSR)....... 267

8.3.4 Anforderungen bei Geberfehlern aus Applikationssicht.......................................... 268

8.3.5 Vektor-Längenüberwachung analoger Gebersignale (Resolver, SIN/COS-Geber)... 271

8.3.6 Auswirkung eines Winkelfehlers innerhalb der Fehlergrenzen der Vektor-Län-genüberwachung auf das Geschwindigkeitssignal

.. 274

8.3.7 Basis der Betrachtung der Systemgenauigkeit....................................................... 276

8.4 Statusmeldungen, Diagnose über Feldbus................................................................... 278

8.4.1 Ausgabe von Statusmeldungen über die digitalen Ausgänge des Grundgerätes.... 278

8.4.2 Statusmeldungen über Feldbus – Protokoll CiA 402............................................... 279

8.4.3 Statusmeldungen über Feldbus – Protokoll FHPP................................................... 284

8.5 Messdaten aufzeichnen – „Trace“................................................................................ 287

8.5.1 Übersicht................................................................................................................ 287

8.5.2 Konfigurieren.......................................................................................................... 288

8.5.3 Trace starten...........................................................................................................289

8.5.4 Beispiel...................................................................................................................289

7Festo — CAMC-G-S3 — 2019-12a

Page 8: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

9 Referenzliste für Steuersignale und Parameter........................................................... 291

9.1 Liste aller Logiksignale.................................................................................................. 291

9.1.1 Logische Eingänge LIN........................................................................................... 291

9.1.2 Virtuelle Eingänge VIN........................................................................................... 295

9.1.3 Virtuelle Ausgänge VOUT....................................................................................... 296

9.1.4 Logische Ausgänge LOUT....................................................................................... 298

9.1.5 Statusworte für den Datenaustausch / Diagnose über Feldbusse...........................299

9.2 Liste zusätzlicher Parameter..........................................................................................301

9.3 Liste wichtiger Kommunikationsobjekte im Grundgerät................................................ 309

10 Glossar......................................................................................................................... 313

10.1 Sicherheitstechnische Begriffe und Abkürzungen......................................................... 313

10.2 Begriffe zum SafetyTool und zur sicheren Parametrierung............................................ 315

8 Festo — CAMC-G-S3 — 2019-12a

Page 9: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

9Festo — CAMC-G-S3 — 2019-12a

1 Über dieses DokumentHinweise zur vorliegenden DokumentationDiese Dokumentation dient zum sicheren Arbeiten gemäß EN 61800-5-2 durch Verwendung des Si-cherheitsmoduls CAMC-G-S3 für die Motorcontroller CMMP-AS-...-M3 mit folgenden Sicherheitsfunk-tionen:– STO – Sicher abgeschaltetes Moment (Safe Torque Off )– SS1 – Sicherer Stopp 1 (Safe Stop 1)– SS2 – Sicherer Stopp 2 (Safe Stop 2)– SOS – Sicherer Betriebshalt (Safe Operating Stop)– SLS – Sicher begrenzte Geschwindigkeit (Safely-Limited Speed)– SSR – Sicherer Geschwindigkeitsbereich (Safe Speed Range)– SSM – Sichere Geschwindigkeitsüberwachung (Safe Speed Monitor)– SBC – Sichere Bremsenansteuerung (Safe Brake Control)• Beachten Sie unbedingt zusätzlich die generellen Sicherheitsvorschriften zum CMMP-AS-…-M3.

Die generellen Sicherheitsvorschriften zum CMMP-AS-...-M3 finden Sie in der Beschreibung Hardware"Montage und Installation", GDCP-CMMP-M3-HW-...è Tab. 2 Dokumentationen zum Motorcontroller CMMP-AS-...-M3.Beachten Sie die Informationen zur Sicherheit und zu den Voraussetzungen für den Produkteinsatzè 2.2 Voraussetzungen für den Produkteinsatz.

Produktidentifikation

Die vorliegende Dokumentation bezieht sich auf folgende Versionen:• Sicherheitsmodul CAMC-G-S3, ab Revision 03 (Gesamtrevision 1.4)• Motorcontroller CMMP-AS-...-M3 mit Firmware ab Version 4.0.1501.2.1 und Hardwareversion ab

6.0 (CMMP-AS-C2-3A-M3, CMMP-AS-C5-3A-M3) oder ab 4.1 (CMMP-AS-C5-11A-P3-M3, CMMP-AS-C10-11A-P3-M3)

• FCT-PlugIn CMMP-AS ab Version 2.14.1.x mit Safetytool ab Version 1.0.5.xDies sind die ersten verfügbaren bzw. unterstützten Versionen. Prüfen Sie bei neueren Versionen oderbeim dem Austausch des Sicherheitsmoduls, ob die Versionen kompatibel sind è Dokumentation zurjeweils verwendeten Version.

Über dieses Dokument

Page 10: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

1 Bestellcode (Typbezeichnung)

2 Teilenummer des Sicherheitsmoduls CAMC-G-S3

3 Zweistelliger Code zur eindeutigen Identifikation desFertigungsdatums (ermöglicht die Rückverfolgbarkeitdes Produkts)

4 Modulrevision (Gesamtrevision, also Kombination ausHardware- und Firmware-Stand)

5 Laufende Seriennummer (ermöglicht die Rückverfolg-barkeit des Produkts)

Fig. 1 Typenschild CAMC-G-S3 (Beispiel)

ServiceWenden Sie sich bei technischen Fragen an Ihren regionalen Ansprechpartner von Festo.

Ausgabestand der angegebenen Normen

Ausgabestand

EN 61326-3-1:2008 EN ISO 13849-1:2015

EN 61800-3:2018 EN ISO 13849-2:2012

EN 61800-5-1:2007 + A1:2017 EN 62061:2005 + AC:2010 + A1:2013 + A2:2015

EN 61800-5-2:2017 IEC 61508-1/.../-7:2010

Tab. 1 Im Dokument angegebene Normen

DokumentationenInformationen zum Motorcontroller finden Sie in den folgenden Dokumentationen:

Anwenderdokumentation zum Motorcontroller CMMP-AS-...-M3

Name, Typ Inhalt

Beschreibung Hardware, GDCP-CMMP-M3-HW-...

Montage und Installation Motorcontroller CMMP-AS-...-M3 für alleVarianten/Leistungsklassen (1-phasig, 3-phasig), Stecker bele-gungen, Fehlermeldungen, Wartung.

Beschreibung Funktionen,GDCP-CMMP-M3-FW-...

Funktionsbeschreibung (Firmware) CMMP-AS-...-M3, Hinweise zurInbetriebnahme.

Beschreibung FHPP, GDCP-CMMP-M3/-M0-C-HP-...

Steuerung und Parametrierung des Motorcontrollers über dasFesto-Profil FHPP. Motorcontroller CMMP-AS-...-M3 mit folgendenFeldbussen: CANopen, PROFINET, PROFIBUS, EtherNet/IP, Device-Net, EtherCAT. Motorcontroller CMMP-AS-...-M0 mit FeldbusCANopen.

Über dieses Dokument

10 Festo — CAMC-G-S3 — 2019-12a

Page 11: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Anwenderdokumentation zum Motorcontroller CMMP-AS-...-M3

Name, Typ Inhalt

Beschreibung CiA 402 (DS 402),GDCP-CMMP-M3/-M0-C-CO-...

Steuerung und Parametrierung des Motorcontrollers über das Ge-räteprofil CiA 402 (DS402) Motorcontroller CMMP-AS-...-M3 mitfolgenden Feldbussen: CANopen und EtherCAT. MotorcontrollerCMMP-AS-...-M0 mit Feldbus CANopen.

Beschreibung CAM-Editor, P.BE-CMMP-CAM-SW-...

Kurvenscheiben-Funktionalität (CAM) des Motorcontrollers CMMP-AS-...--M3/-M0.

Beschreibung Sicherheitsmo-dul, GDCP-CAMC-G-S1-...

Funktionale Sicherheitstechnik für den Motorcontroller CMMP-AS-..-M3 mit der Sicherheitsfunktion STO.

Beschreibung Sicherheitsmo-dul, GDCP-CAMC-G-S3-...

Funktionale Sicherheitstechnik für den Motorcontroller CMMP-AS-...-M3 mit den Sicherheitsfunktionen STO, SS1, SS2, SOS, SLS,SSR, SSM, SBC.

Beschreibung Austausch undProjektkonvertierung GDCP-CMMP-M3-RP-...

Motorcontroller CMMP-AS-...-M3 als Ersatzgerät für bisherige Mo-torcontroller CMMP-AS. Änderungen bei der elektrischen Installati-on und Beschreibung der Projektkonvertierung.

Hilfe zum FCT-PlugIn CMMP-AS Oberfläche und Funktionen des PlugIn CMMP-AS für das FestoConfiguration Tool.è www.festo.com

Hilfe zum SafetyTool Oberfläche und Funktionen des SafetyTools zur Parametrierungdes Sicherheitsmoduls CAMC-G-S3.

Tab. 2 Dokumentationen zum Motorcontroller CMMP-AS-...-M3

Alle verfügbaren Dokumente zum Produkt è www.festo.com/sp.

Verwendete Symbole zur Sicherheitstechnik

Ein- und Ausgänge

Eingang zweikanalig Ausgang zweikanalig

Eingang einkanalig Relaisausgang

Sensortypen

OFF

Betriebsartenwahlschalter Start-Taster

Über dieses Dokument

11Festo — CAMC-G-S3 — 2019-12a

Page 12: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Verwendete Symbole zur Sicherheitstechnik

Haltebremse Sicherheitsfunktion beenden (Wieder-anlauf)

Lichtvorhang Türverriegelung/Schutzhaube

Not-Halt-Schalter Zustimmtaster

Quittierung Zweihandbediengerät

Sicherer ReferenzschalterM

n

Positionsgeber

Sicherheitsfunktionen

0

v

t

STO

STO – Sicher abgeschaltetes Moment(Safe torque off ) 0

s

t

USF

M

v USF – Universelle Sicherheitsfunktion(Universal safety function)

0

v

s

t

SS1 STO

SS1 – Sicherer Stopp 1 (Safe stop 1)

0

v

t

SLS

SLS – Sicher begrenzte Geschwindig-keit (Safely-limited speed)

0

v

s

t

SS2 SOS

SS2 – Sicherer Stopp 2 (Safe stop 2)s

t

SLP

s

t

SLP

v

t

SSR

SSR – Sicherer Geschwindigkeitsbe-reich (Safe speed range)

0

v

s

t

SOS

SOS – Sicherer Betriebshalt (Safe ope-rating stop)

SSM – Sichere Geschwindigkeitsüber-wachung (Safe speed monitor)

M

v

tSBC

SBC – Sichere Bremsenansteuerung(Safe brake control)

ALF – erweiterte Logikfunktion, keineSicherheitsfunktion (Additional LogicFunction)

Tab. 3 Symbole zur Sicherheitstechnik

2 Sicherheit und Voraussetzungen für den Produkteinsatz

2.1 Sicherheit

2.1.1 Allgemeine Sicherheitshinweise– Beachten Sie unbedingt zusätzlich die generellen Sicherheitsvorschriften zum CMMP-AS-…-M3.

Sicherheit und Voraussetzungen für den Produkteinsatz

12 Festo — CAMC-G-S3 — 2019-12a

Page 13: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die generellen Sicherheitsvorschriften zum CMMP-AS-...-M3 finden Sie in der Beschreibung Hardware,GDCP-CMMP-M3-HW-... è Tab. 2 Dokumentationen zum Motorcontroller CMMP-AS-...-M3.

HINWEIS!

Verlust der Sicherheitsfunktion.Das Nicht-Einhalten von Umgebungs- und Anschlussbedingungen kann zum Verlust der Sicherheits-funktion führen.• Spezifizierte Umgebungs- und Anschlussbedingungen einhalten, insbesondere die Eingangsspan-

nungstoleranzen è 8.1 Technische Daten.

HINWEIS!

Beschädigung des Sicherheitsmoduls oder des Motorcontrollers durch unsachgemäße Handha-bung.• Vor Montage- und Installationsarbeiten Versorgungsspannungen ausschalten. Versorgungsspan-

nungen erst dann einschalten, wenn Montage- und Installationsarbeiten vollständig abgeschlos-sen sind.

• Sicherheitsmodul nie unter Spannung aus dem Motorcontroller abziehen oder einstecken!• Handhabungsvorschriften für elektrostatisch gefährdete Bauelemente einhalten.

2.1.2 Bestimmungsgemäße VerwendungDas Sicherheitsmodul CAMC-G-S3 dient als Erweiterung der Motorcontroller CMMP-AS-...-M3 zum Er-reichen der Sicherheitsfunktion:– STO – Sicher abgeschaltetes Moment (Safe Torque Off ) – SS1 – Sicherer Stopp 1 (Safe Stop 1) – SS2 – Sicherer Stopp 2 (Safe Stop 2) – SOS – Sicherer Betriebshalt (Safe Operating Stop) – SLS – Sicher begrenzte Geschwindigkeit (Safely-Limited Speed) – SSR – Sicherer Geschwindigkeitsbereich (Safe Speed Range) – SSM – Sichere Geschwindigkeitsüberwachung (Safe Speed Monitor)– SBC – Sichere Bremsenansteuerung (Safe Brake Control)Unter Verwendung geeigneter Positionssensoren und bei geeigneter Ansteuerung des Sicherheitsmo-duls werden die Anforderungen gemäß EN 61800-5-2 bis einschließlich SIL3 bzw. gemäßEN ISO 13849-1 bis einschließlich Kategorie 4 / PL e erfüllt. Das erreichbare Sicherheitsniveau hängt von den weiteren Komponenten ab, die zur Realisierung ei-ner Sicherheitsfunktion genutzt werden z. B. von den verwendeten Gebern für die Positionserfassungè 2.1.4 Erreichbares Sicherheitsniveau/Sicherheitsfunktion.Der Motorcontroller CMMP-AS-...-M3 mit Sicherheitsmodul CAMC-G-S3 ist ein Produkt mit sicherheits-relevanten Funktionen und zum Einbau in Maschinen bzw. automatisierungstechnischen Anlagen be-stimmt und ausschließlich einzusetzen:– im technisch einwandfreien Zustand– im Originalzustand ohne eigenmächtige Veränderungen

Sicherheit und Voraussetzungen für den Produkteinsatz

13Festo — CAMC-G-S3 — 2019-12a

Page 14: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– innerhalb der durch die technischen Daten definierten Grenzen des Produktsè 8.1 Technische Daten

– im IndustriebereichDas Sicherheitsmodul CAMC-G-S3 kann in sämtlichen Motorcontrollern CMMP-AS-...-M3 betriebenwerden, die über den Steckplatz Ext3 für die Sicherheitstechnik verfügen. Es kann nicht in einen derSteckplätze Ext1 oder Ext2 für Interfaces gesteckt werden.

HINWEIS!

Bei Schäden, die aus unbefugten Eingriffen oder nicht bestimmungsgemäßer Verwendung entstehen,erlischt der Gewährleistungs- und Haftungsanspruch gegenüber dem Hersteller.

2.1.3 Vorhersehbare FehlanwendungZur nicht bestimmungsgemäßen Verwendung gehören folgende vorhersehbare Fehlanwendungen:– Einsatz in einem anderen Gerät als dem CMMP-AS-…-M3 – Einsatz im Außenbereich – Einsatz im nicht-industriellen Bereich (Wohnbereich) – Einsatz außerhalb der durch die technischen Daten definierten Grenzen des Produkts – eigenmächtige Veränderungen

HINWEIS!

• Die Funktion STO ist bei Antrieben auf die ein permanentes Moment wirkt (z. B. bei hängendenLasten), als alleinige Sicherheitsfunktion nicht ausreichend. Zur Sicherung sind zusätzliche geeig-nete Maßnahmen erforderlich z. B. eine Feststelleinheit.

• Überbrückung von Sicherheitseinrichtungen ist unzulässig.• Reparaturen am Sicherheitsmodul sind unzulässig! Ein fachgerechter Austausch des Sicherheits-

moduls ist zulässig.

Die Funktion STO (Safe Torque Off ) schützt nicht gegen elektrischen Schlag, sondern ausschließlichgegen gefährliche Bewegungen! Es erfolgt keine Trennung des Antriebs von der Energieversorgung imSinne der elektrischen Sicherheit è Beschreibung Hardware, GDCP-CMMP-M3-HW-...

2.1.4 Erreichbares Sicherheitsniveau/Sicherheitsfunktion nach EN ISO 13849-1/EN 61800-5-2Das Sicherheitsmodul erfüllt die Anforderungen der Prüfgrundlagen:– Kategorie 4, PL e nach EN ISO 13849-1– SIL CL 3 nach EN 62061Das Sicherheitsmodul kann in Anwendungen bis Kat. 4 / PL e nach EN ISO 13849-1 und bis SIL 3 nachEN 62061 / IEC 61508 eingesetzt werden. Das erreichbare Sicherheitsniveau hängt von den weiteren Komponenten ab, die zur Realisierung ei-ner Sicherheitsfunktion genutzt werden.

Sicherheit und Voraussetzungen für den Produkteinsatz

14 Festo — CAMC-G-S3 — 2019-12a

Page 15: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Motor­controller

Sicherheitsmodul

Eingänge/Ausgänge

Geber 1

Geber 2

CAMC-G-S3: Kat. 4 / PL e, SIL 3

Peripherie: Kat. ... / PL ..., SIL ...

Fig. 2 Sicherheitsniveau CAMC-G-S3 und Gesamtsystem

Beachten Sie die zulässigen Kombinationen von Positionsgebern mit den entsprechenden Hinweisenè Tab. 10 Zulässige Kombinationen von Positionsgebern.Informationen zu den mit der entsprechenden Peripherie erreichbaren Sicherheitskennwerte für dieverschiedenen Sicherheitsfunktionen è 8.2 Sicherheitskennzahlen.

2.2 Voraussetzungen für den Produkteinsatz– Stellen Sie die vollständige Dokumentation dem Konstrukteur, Monteur und dem für die Inbetrieb-

nahme zuständigen Personal der Maschine oder Anlage, an der dieses Produkt zum Einsatzkommt, zur Verfügung.

– Stellen Sie sicher, dass die Vorgaben der Dokumentation stets eingehalten werden. Berücksichti-gen Sie hierbei auch die Dokumentation zu den weiteren Komponenten und Modulen (z. B. Motor-controller, Leitungen usw.).

– Berücksichtigen Sie die für den Bestimmungsort geltenden gesetzlichen Regelungen sowie:– Vorschriften und Normen,– Regelungen der Prüforganisationen und Versicherungen,– nationale Bestimmungen.

– Das Sicherheitsmodul erfüllt die Anforderungen der EN 61800-5-2. Für die anderen verwendetenSicherheitsbauteile in der Maschine sowie deren Anwendung gelten im Regelfall zusätzliche Vor-schriften, Normen und Richtlinien, die Sie ebenfalls berücksichtigen müssen.

– Bei Not-Halt-Anwendungen muss ein Schutz gegen automatischen Wiederanlauf entsprechendder geforderten Kategorie vorgesehen werden. Dieser kann z. B. über ein externes Sicherheits-schaltgerät oder über eine geeignete Parametrierung des Sicherheitsmoduls CAMC-G-S3 erreichtwerden è 3.7 Sicherheitsfunktionen beenden.

Sicherheit und Voraussetzungen für den Produkteinsatz

15Festo — CAMC-G-S3 — 2019-12a

Page 16: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

2.2.1 Technische VoraussetzungenAllgemeine, stets zu beachtende Hinweise für den ordnungsgemäßen und sicheren Einsatz des Pro-dukts:– Halten Sie die in den technischen Daten spezifizierten Anschluss- und Umgebungsbedigungen des

Sicherheitsmoduls (è 8.1 Technische Daten), des Motorcontrollers sowie aller angeschlossenenKomponenten ein. Nur die Einhaltung der Grenzwerte bzw. der Belastungsgrenzen ermöglicht ein Betreiben des Pro-dukts gemäß der einschlägigen Sicherheitsrichtlinien.

– Beachten Sie die Hinweise und Warnungen in dieser Dokumentation.

2.2.2 Qualifikation des Fachpersonals (Anforderungen an das Personal)Das Gerät darf nur von einer elektrotechnisch befähigten Person in Betrieb genommen werden, dievertraut ist mit:– der Installation und dem Betrieb von elektrischen Steuerungssystemen, – den geltenden Vorschriften zum Betrieb sicherheitstechnischer Anlagen, – den geltenden Vorschriften zur Unfallverhütung und Arbeitssicherheit und – der Dokumentation zum Produkt.

2.2.3 Diagnosedeckungsgrad (DC)Der Diagnosedeckungsgrad hängt von der Einbindung des Motorcontrollers mit Sicherheitsmodul indie Steuerkette, von den verwendeten Motoren/Positionsgebern, sowie von den umgesetzten Maß-nahmen zur Diagnose ab.Wenn bei der Diagnose eine Störung erkannt wird, müssen geeignete Maßnahmen zum Erhalt des Si-cherheitsniveaus vorgesehen werden.

HINWEIS!

Die Reaktion des Sicherheitsmoduls auf erkannte Fehler kann entsprechend parametriert werden, z. B.Aktivierung der Sicherheitsfunktion SS1 und SBC im Falle eines Querschlusses sicherer Eingangssi-gnale.

HINWEIS!

Prüfen Sie, ob in Ihrer Applikation eine Querschlusserkennung des Eingangskreises und der An-schlussverdrahtung erforderlich ist. Verwenden Sie ggf. ein Sicherheitsschaltgerät mit Querschlusserkennung für die Ansteuerung des Si-cherheitsmoduls oder nutzen Sie die sicheren Ausgänge des Sicherheitsmoduls zur Speisung passiverSchaltgeräte in Verbindung mit den entsprechenden Überwachungsfunktionen für die sicheren Ein-gänge.

2.2.4 Einsatzbereich und ZulassungenDer Motorcontroller mit eingebautem Sicherheitsmodul ist ein Sicherheitsbauteil nach Maschinen-richtlinie 2006/42/EG, der Motorcontroller ist mit dem CE-Kennzeichen versehen. Sicherheitsgerichtete Normen und Prüfwerte, die das Produkt einhält und erfüllt, finden Sie im Ab-schnitt "Technische Daten" è 8.1 Technische Daten. Die produktrelevanten EG-Richtlinien und Nor-men entnehmen Sie der Konformitätserklärung.

Sicherheit und Voraussetzungen für den Produkteinsatz

16 Festo — CAMC-G-S3 — 2019-12a

Page 17: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Zertifikate und die Konformitätserklärung zu diesem Produkt finden Sie unterè www.festo.com/sp

3 Produktbeschreibung Sicherheitsmodul CAMC-G-S3

3.1 Produktübersicht

3.1.1 EinsatzzweckMit zunehmender Automatisierung gewinnt der Schutz von Personen vor gefahrbringenden Bewegun-gen immer größere Bedeutung. Die funktionale Sicherheit beschreibt erforderliche Maßnahmen durchelektrische oder elektronische Einrichtungen, um Gefahren durch Funktionsfehler zu vermindern oderzu beseitigen. Im normalen Betrieb verhindern Schutzeinrichtungen den menschlichen Zugriff auf Ge-fahrenstellen. In bestimmten Betriebsarten, z. B. beim Einrichten, müssen sich Personen auch in Ge-fahrenbereichen aufhalten. In diesen Situationen muss der Maschinenbediener durch Antriebs- undsteuerungsinterne Maßnahmen geschützt werden. Die mit dem Sicherheitsmodul CAMC-G-S3 in die Motorcontroller CMMP-AS-...-M3 integrierte funktio-nale Sicherheitstechnik bietet die steuerungs- und antriebsseitigen Voraussetzungen zur optimalenRealisierung von Schutzfunktionen. Die Aufwände für die Planung und die Installation sinken. Durchden Einsatz integrierter funktionaler Sicherheitstechnik ergibt sich eine erweiterte Maschinenfunktio-nalität und eine bessere Verfügbarkeit, im Vergleich zum Einsatz herkömmlicher Sicherheitstechnik. Die Motorcontroller der Baureihe CMMP-AS-...-M3 können mit Steckmodulen für die integrierte funk-tionale Sicherheitstechnik ausgerüstet werden. Die folgenden Module sind verfügbar:

Typ Beschreibung

CAMC-DS-M1 Schaltermodul mit DIP-Schaltern, keine Sicherheitsfunktion.

CAMC-G-S1 Sicherheitsmodul mit DIP-Schaltern und Funktion STO.

CAMC-G-S3 Sicherheitsmodul mit den Funktionen STO, SS1, SS2, SOS, SBC, SLS, SSR,SSM und DIP-Schaltern.

Tab. 4 Übersicht Sicherheits- und Schaltermodule für den CMMP-AS-...-M3

3.1.2 LeistungsmerkmaleDas Sicherheitsmodul CAMC-G-S3 besitzt die folgenden Leistungsmerkmale:– Erreichen einer oder mehrerer der Sicherheitsfunktionen:

– STO – Sicher abgeschaltetes Moment (Safe Torque Off )– SS1 – Sicherer Stopp 1 (Safe Stop 1)– SS2 – Sicherer Stopp 2 (Safe Stop 2)– SOS – Sicherer Betriebshalt (Safe Operating Stop)– SLS – Sicher begrenzte Geschwindigkeit (Safely-Limited Speed)– SSR – Sicherer Geschwindigkeitsbereich (Safe Speed Range)– SSM – Sichere Geschwindigkeitsüberwachung (Safe Speed Monitor)– SBC – Sichere Bremsansteuerung (Safe Brake Control)

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

17Festo — CAMC-G-S3 — 2019-12a

Page 18: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– zweikanalige und einkanalige Eingänge zum Anfordern der Sicherheitsfunktionen– zweikanalige sichere Ausgänge zum Steuern weiterer Sicherheitselemente und -funktionen– Potentialfreier Rückmeldekontakt für den Betriebsstatus– Ausführung als von außen steckbares, nachrüstbares Steckmodul.Die integrierten Sicherheitsfunktionen im Motorcontroller ermöglichen:– kürzeste Reaktionszeiten durch eine schnellere Erkennung gefahrbringender Zustände– eine umfassende Erkennung von Gefährdungen durch den schnellen und direkten Zugriff auf eine

Vielzahl von Signalen und Messgrößen im Motorcontroller– Die Auswertung einer Vielzahl von Positionssensoren, wie z. B. Resolver, SIN/COS-Geber, Hiper-

face-Geber, und die Auswertung von Positionssensoren mit rein seriellen Protokollen (EnDat 2.2,BiSS, ...)

– Bei Bedarf den schnellen, direkten Eingriff in die Sollwerte / Steuerung des Antriebsreglers. EineAchse kann auch ohne Zutun der funktionalen Steuerung / SPS sicher und kontrolliert stillgesetztoder auf eine begrenzte Geschwindigkeit abgebremst werden.

– eine direkte Interaktion zwischen der Ablaufsteuerung im Motorcontroller und dem Sicherheits-modul. So wird z. B. die Feststelleinheit oder Haltebremse nach Anforderung der Sicherheitsfunk-tion SBC und dem anschließenden Wiederanlauf erst dann geöffnet, wenn der Motorcontroller diePosition wieder aktiv regelt. Ein „Durchsacken“ von Vertikalachsen wird vermieden, die Program-mierung eines Ablaufs in der funktionalen Steuerung entfällt.

3.1.3 Unterstützte GeräteDas Sicherheitsmodul CAMC-G-S3 kann ausschließlich in Motorcontrollern vom Typ CMMP-AS-...-M3mit entsprechender Hard- und Firmwareversion eingesetzt werden è 1 Über dieses Dokument.

Die Motorcontroller CMMP-AS-...-M3 werden ohne Sicherheits- oder Schaltermodul im Steckplatz Ext3für Sicherheitsmodule ausgeliefert:• Wird keine Sicherheitsfunktion benötigt, muss das Schaltermodul CAMC-DS-M1 bestellt und im

Steckplatz Ext3 montiert werden.• Für die in dieser Dokumentation beschriebene Sicherheitsfunktion zur sicherheitsgerichteten Be-

wegungsüberwachung und Bewegungssteuerung, muss das Sicherheitsmoduls CAMC-G-S3 imSteckplatz Ext3 montiert werden.

3.1.4 Bedienteile und AnschlüsseDas Sicherheitsmodul CAMC-G-S3 verfügt über die folgenden Bedienteile, Anschlüsse und Anzeigeele-mente:

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

18 Festo — CAMC-G-S3 — 2019-12a

Page 19: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

1 Motorcontroller CMMP-AS-...-M3 mit Steck-platz Ext3

2 7-Segment-Anzeige des Motorcontrollers,zur Anzeige der aktiven Sicherheitsfunktio-noder Fehlermeldungen des Sicherheitsmo-duls

3 Sicherheitsmodul CAMC-G-S3

4 I/O-Schnittstelle [X40A] und [X40B] zurSteuerung der Sicherheitsfunktionen

5 LED zur Anzeige des Betriebszustandes (Sta-tus der funktionalen Sicherheit)

6 DIP-Schalter (Aktivierung/Konfiguration derFeldbus-Kommunikationim Motorcontroller)

7 Anschluss Funktionserde (Flachstecker 6,3mm)

Fig. 3 Bedienteil und Anschlüsse CAMC-G-S3

3.1.5 Lieferumfang

Sicherheitsmodul CAMC-G-S3

Sicherheitsmodul mit Befestigungsmaterial(2 Schrauben mit Federring)

Modul für Sicherheitsfunktionen STO, SS1, SS2,SOS, SLS, SSR, SSM, SBC

2 Stecker für I/O-Schnittstelle [X40A], [X40B] (auch separat als Steckersortiment NEKM-C-9verfügbar)

Phoenix Contact MiniCombicon MC1,5_12-ST-3,81-BK

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

19Festo — CAMC-G-S3 — 2019-12a

Page 20: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Sicherheitsmodul CAMC-G-S3

Anleitung zum Sicherheitsmodul Kurzübersicht zu Funktion, Montage und Installa-tion des Sicherheitsmoduls

Tab. 5 Lieferumfang

3.2 Funktion und Anwendung

3.2.1 SystemübersichtDas folgende Bild zeigt ein typisches Antriebssystem mit integrierter funktionaler Sicherheitstechnik,bestehend aus den folgenden Komponenten:– Motorcontroller CMMP-AS-...-M3– Sicherheitsmodul CAMC-G-S3– Synchron-Servomotor, z. B. aus der Baureihe EMMS-AS oder EMME-AS von Festo– Linearachse mit zweitem Messsystem, z. B. EGC-...-M... von Festo– Sichere Feststelleinheit

Motor

Feldbus

oder X1

µC-GG

µC1

µC2

DIN40A/B

DIN41A/B

DIN42A/B

DIN43A/B

DIN44

DIN45

DIN46

DIN47

DIN48

DIN49

DOUT40A/B

DOUT41A/B

DOUT42A/B

C1

C2

BR+

BR-

STO

SBC

SS1

SS2

SOS

SLS

SSM

SSR

Motor­

controller Sicherheitsmodul Anforderung

über DIN4x

z. B. externe Feststelleinheit über

DOUT4x

X40

Status

DIP

Motorphasen U/V/W

Lineares MesssystemX6

X2A

X2B

X10

Haltebremse im Motor

Status

Diagnose

X2A-Geber

X2B-Geber

X10-Geber

Fig. 4 Funktionsprinzip Sicherheitsmodul

Die Antriebsregelung und die funktionale Steuerung der Bewegungsachse erfolgt optional über:– den Motorcontroller CMMP-AS-...-M3 und die zugeordnete Steuerschnittstelle, z. B. [X1] – einen FeldbusDas Sicherheitsmodul überwacht den Antriebsregler des Motorcontrollers in seiner Funktion. Hierzuwerden die sicherheitsrelevanten Größen der Bewegung des Motors erfasst und in Abhängigkeit derausgewählten Sicherheitsfunktionen überwacht.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

20 Festo — CAMC-G-S3 — 2019-12a

Page 21: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Beispiel: Bei Verletzung von Sicherheitsgrenzen durch Überschreitung einer maximal zulässigen Ge-schwindigkeit , kann das Sicherheitsmodul die Treiberversorgung für die Leistungshalbleiter sicherabschalten und so verhindern, dass die Leistungsendstufe die vom Motor benötigte Energie liefert.

HINWEIS!

Ein technisches Versagen oder ein Ausfall der Spannungsversorgung führt zu einem Abschalten derLeistungsendstufe des Motorcontrollers. Abhängig von der Applikation können Einschränkungen inder Sicherheit die Folge sein.

Die sicherheitsgerichtete Überwachung der Achse erfolgt im Sicherheitsmodul wie folgt:– Im CAMC-G-S3 arbeiten zwei Mikrocontroller in einer redundanten Struktur. Sie vergleichen im Be-

trieb laufend alle relevanten Ein- und Ausgangssignale sowie die Daten der Positionsgeber.– Die Sicherheitsfunktionen im CAMC-G-S3 werden über die digitalen sicheren Eingänge am Sicher-

heitsmodul, durch andere Sicherheitsfunktionen oder als Fehlerreaktion angefordert bzw. akti-viert. Über logische Verknüpfungen ist einstellbar, welche digitalen Eingänge in welcher Signal-kombination eine Sicherheitsfunktion anfordern.

– Sobald eine Sicherheitsfunktion aktiv ist, erfolgt die sichere Überwachung des Zustandes desGrundgerätes und der Achse.

– Das Sicherheitsmodul erfasst dazu die Bewegung der Achse (Position, Geschwindigkeit) über denPositionsgeber im Motor und je nach Systemaufbau noch über ein zweites Messsystem.

– Die Positionssensoren werden dafür wie gewohnt an [X2A], [X2B] und [X10] am Grundgerät ange-schlossen. Die Signale werden geräteintern an das Sicherheitsmodul weitergeleitet.

Wichtig: Je nach geforderter Sicherheitseinstufung und je nach Achskonfiguration kann das zweiteMesssystem an der Achse zwingend erforderlich sein.

– Befindet sich die Achse im sicheren Zustand, meldet die Sicherheitsfunktion den Status SSR, „Sa-fe State Reached“. Bei einer Verletzung der Sicherheitsbedingungen meldet die Sicherheitsfunkti-on den Status SCV „Safety Condition Violated“.

– Die sicheren digitalen Ausgänge melden den Sicherheitsstatus nach außen z. B. an eine externeSicherheitssteuerung, an ein weiteres CAMC-G-S3 oder an digitale Eingänge zur Versorgung mitTestimpulsen.

– Das Sicherheitsmodul steuert über einen geräteinternen Pfad den Brems-Steuerausgang am Mo-toranschluss [X6] und ermöglicht so die Sicherheitsfunktion SBC in Kombination mit einer entspre-chend zertifizierten Feststelleinheit.

– Eine externe Feststelleinheit kann auch über einen sicheren digitalen Ausgang und ein externes si-cheres Schaltgerät angesteuert werden.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

21Festo — CAMC-G-S3 — 2019-12a

Page 22: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Wichtig: Für die Verwendung der Sicherheitsfunktion SBC muss eine Feststelleinheit mit entsprechen-der Sicherheitseinstufung verwendet werden. Grundsätzlich gilt, dass bei allen Arten von Haltebrem-sen oder Feststelleinheiten ohne Zertifizierung eine Risikobeurteilung durchgeführt werden und dieEignung für die betreffende sicherheitsgerichtete Anwendung festgestellt werden muss. Ansonstendürfen diese nicht eingesetzt werden. Die Haltebremse in Motoren ist in der Regel nicht entsprechendqualifiziert und daher nicht geeignet.

– Es steht ein potentialfreier Meldekontakt für Diagnosezwecke zur Verfügung.– Über eine Status-LED und über die 7-Segment-Anzeige des Grundgerätes wird der Betriebsstatus

des Sicherheitsmoduls angezeigt.Über eine interne Kommunikationsschnittstelle werden Daten zwischen dem Sicherheitsmodul unddem Grundgerät ausgetauscht.– Das Grundgerät kennt dadurch immer den aktuellen Betriebsstatus des Sicherheitsmoduls, z. B.

ob eine Sicherheitsfunktion angefordert und ausgeführt wird, oder ob eine Verletzung einer Si-cherheitsbedingung detektiert wird.

– Der Betriebsstatus der Sicherheitstechnik kann so auch über die verschiedenen Feldbusschnitt-stellen an die Funktionale Steuerung gemeldet werden.

– Das Sicherheitsmodul kann aktiv in die Steuerung des Grundgerätes eingreifen, ohne Umwegüber die funktionale Steuerung. Z. B. kann der Antrieb bei Anforderung der SicherheitsfunktionSS2 aktiv bis auf Geschwindigkeit Null verzögert werden

Wichtig: Diese Funktion ist vor allem dann von Vorteil, wenn Einzelachsen verfahren werden. Wird dieAchse in einer interpolierenden Betriebsart (z. B. CAN interpolated position mode) verfahren, machtdiese Funktion hingegen weniger Sinn.

Weitere Funktionen der Firmware im Sicherheitsmodul:– sichere Abschaltung des Motorcontrollers im Fehlerfall, variable Reaktion auf verschiedene Fehler. – Auswertung der Signale der sicheren Eingänge, Überwachung der korrekten Funktion der Hardwa-

re (Testimpulse). – Steuerung der sicheren Ausgänge, Überwachung der korrekten Funktion der Hardware.– sichere Überwachung der ordnungsgemäßen Funktion der Mikrocontroller: Zyklischer Test des

Speichers (RAM, Flash) und der CPU – Überwachung der Versorgungsspannungen– kreuzweise Überwachung der beiden beteiligten Mikrocontroller– Verwaltung der Parametersätze, Realisierung einer sicheren, über Prüfsummen und Passwort ab-

gesicherten Parametrierung

3.2.2 Beschaltung des Sicherheitsmoduls [X40]Zur Beschaltung der Sicherheitsfunktionen verfügt das Sicherheitsmodul über eine 24-polige Schnitt-stelle [X40A/B] mit folgenden Anschlüssen:– 4 digitale, zweikanalige Sensoreingänge mit konfigurierbarer Zuordnung (SIL3-Eingänge),

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

22 Festo — CAMC-G-S3 — 2019-12a

Page 23: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– 6 digitale, einkanalige Eingänge mit konfigurierbarer Zuordnung (max. SIL2-Eingänge), z. B. als– 1 digitaler, 3-poliger Betriebsartenwahlschalter– 1 Eingang für die Fehlerquittierung– 1 Eingang zum Beenden der Anforderung einer Sicherheitsfunktion– 1 Eingang für ein Rückmeldesignal einer externen Feststelleinheit

– 3 digitale, zweikanalige Ausgänge (SIL3) mit konfigurierbarer Zuordnung, wahlweise als Taktaus-gang verwendbar

– 1 Rückmeldekontakt (Relaiskontakt) für Diagnosezwecke– Bezugspotential für alle Ein- und Ausgänge– eine 24 V-Hilfsstromversorgung für angeschlossene SensorenDie folgende Tabelle zeigt die Anschlüsse nach Funktionen geordnet (Steckerbelegung nach Pin-Num-mer è 4.2 Elektrische Installation).

Bezeich-nung

Beschreibung (Werkseinstellung1)) Pin, Stecker

Digitale Eingänge

DIN40A X40A.1

DIN40B

Digitaler Eingang 40 zweikanalig (Werkseinstel-lung: Not-Halt-Schaltgerät, Anforderung STO undSBC)

X40A.2

DIN41A X40B.13

DIN41B

Digitaler Eingang 41 zweikanalig

X40B.14

DIN42A X40A.3

DIN42B

Digitaler Eingang 42 zweikanalig

X40A.4

DIN43A X40B.15

DIN43B

Digitaler Eingang 43 zweikanalig

X40B.16

DIN44 Digitaler Eingang 44 (Werkseinstellung: Rückmel-dung Bremsansteuerung)

X40A.7

DIN45 X40A.8

DIN46 X40A.9

DIN47

Digitale Eingänge 45, 46, 47 (Werkseinstellung:Betriebsartenwahlschalter)

X40A.10

DIN48 Digitaler Eingang 48 (Werkseinstellung: Fehler-quittierung)

X40A.11

DIN49 Digitaler Eingang 49 (Werkseinstellung: Sicher-heitsfunktion Beenden bei steigender Flanke)

X40A.12

Digitale Ausgänge und Meldekontakt

DOUT40A X40A.5

DOUT40B

Digitaler Ausgang 40 zweikanalig

X40A.6

 X40A    X40B

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

23Festo — CAMC-G-S3 — 2019-12a

Page 24: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Bezeich-nung

Beschreibung (Werkseinstellung1)) Pin, Stecker

DOUT41A X40B.17

DOUT41B

Digitaler Ausgang 41, zweikanalig

X40B.18

DOUT42A X40B.19

DOUT42B

Digitaler Ausgang 42, zweikanalig

X40B.20

C1 X40B.21

C2

Meldekontakt, Relaiskontakte (Werkseinstellung:Sicherer Zustand erreicht, keine Sicherheitsbe-dingung verletzt.) – geöffnet: „Sicherheitsfunktionen nicht aktiv“ – geschlossen: „Sicherheitsfunktionen aktiv“

X40B.22

Bezugspotential und Hilfsversorgung

GND24 0 V, Bezugspotential für DINx / DOUTx / +24 V X40B.23

+24 V 24 V -Ausgang, Hilfsversorgung, z. B. für sicher-heitsgerichtete Peripherie (24 V DC Logikversor-gung des Motorcontrollers)

X40B.24

 X40A    X40B

1) Funktion im Auslieferungszustand oder nach Rücksetzen auf Werkseinstellung (Vorparametrierung)

Tab. 6 Digitale Ein- und Ausgänge, Meldekontakt, Bezugspotential und Hilfsversorgung [X40]

3.2.3 Übersicht der unterstützten SicherheitsfunktionenDas Sicherheitsmodul unterstützt folgende sichere Stopp-/Bewegungsfunktionen:

Funktion Anzahl Kommentar

STO 1 Ungesteuertes Stillsetzen, sichere Anlaufsperre

SS1 1 Gesteuertes Stillsetzen mit anschließendem STO

SS2 1 Gesteuertes Stillsetzen mit anschließendem SOS

SOS 1 Sicherer Stillstand (mit „feiner Drehzahlgrenze“1))

„Universal Safety Function“, zusammengefasste Sicherheitsfunktionen. Inder Ausprägung „Safe Speed Funktion“ (SSF) können durch entsprechendeParametrierung folgende Sicherheitsfunktionen realisiert werden:

SLS Sicher begrenzte Geschwindigkeit

SSR Sicherer Geschwindigkeitsbereich

USF 4

SSM Sicher überwachte Geschwindigkeit

SBC 1 Sichere Bremsansteuerung

1) Eine langsame Bewegung innerhalb des überwachten Positionsfensters kann zulässig sein.

Tab. 7 Ausstattung des Sicherheitsmoduls

Detaillierte Informationen è 3.5 Sicherheitsfunktionen.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

24 Festo — CAMC-G-S3 — 2019-12a

Page 25: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

3.2.4 Funktionsschaltbild des SicherheitsmodulsDie Funktionen des Sicherheitsmoduls werden anhand des folgenden Funktionsschaltbildes erläutert:

Fig. 5 Funktionsschaltbild Sicherheitsmodul

Begriff/Abkürzung Erklärung

DIN40A/B … DIN43A/B Zweikanalige digitale Eingänge

DIN44 … DIN49 Einkanalige digitale Eingänge

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

25Festo — CAMC-G-S3 — 2019-12a

Page 26: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff/Abkürzung Erklärung

INPUT FILTER + LOGIC Eingangsfilter und Eingangslogik

Status Signals from Drive Statussignale vom Antrieb

LIN_x Logische Eingänge

VIN_x_y Virtuelle Eingänge

Safety Functions Sicherheitsfunktionen

Logic Logik, bei den Sicherheitsfunktionen über Produktterme konfi-gurierbar

Safety Function STO, SS1, …  Sicherheitsfunktion STO, SS1, …

Logic Functions Logikfunktionen

Additional Logic ALF… Erweiterte Logikfunktionen ALF...

Fixed Inputs LIN_… Fest zugeordnete logische Eingänge LIN_...

Operating Mode Switch Betriebsartenwahlschalter

Two Hand Control Unit Zweihand-Bediengerät

VOUT_x Virtuelle Ausgänge

LOUT_x Logische Ausgänge

Output Driver + Test Pulse Unit Ausgangstreiber und Testimpulserzeugung

DOUT40A/B … DOUT42A/B Zweikanalige digitale Ausgänge

Signal Relais Meldekontakt

C1/C2 Pins C1/C2 des Meldekontakts

Internal Brake Control Interne Bremsansteuerung

BR+/BR- Pins BR+/BR- der internen Bremsansteuerung

Internal Power Stage Enable Interne Endstufenfreigabe

U_OS+/U_OS- Pins U_OS+/U_OS- der internen Endstufenfreigabe

Error Logic + Error Handler Fehler-Logik und Fehlerbehandlung

[5x-x] xxx_ERR Internes Fehlersignal Fehler 5x-x

State Machine Zustandmaschine

Feedback SignalsLIN_xy := VOUT_xy

Rückmeldung der Signale LIN_xy := VOUT_xy

Tab. 8 Legende zu Funktionsschaltbild Sicherheitsmodul

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

26 Festo — CAMC-G-S3 — 2019-12a

Page 27: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die digitalen Eingänge der Schnittstelle [X40] sind im Funktionsschaltbild ganz links dargestellt, die di-gitalen Ausgänge ganz rechts. Dazwischen befinden sich eine Struktur mit Logikblöcken und die Si-cherheitsfunktionen. Allgemein gilt im Funktionsschaltbild und in den weiteren Blockschaltbildern:• Alle sicheren Signale sind im Funktionsschaltbild und in den weiteren Blockschaltbildern gelb hin-

terlegt.• Potentiell unsichere Signale sind grau hinterlegt.

Eingangsfilter und logische Eingänge:Die digitalen Eingangssignale an [X40] werden zunächst im Funktionsblock „Input Filter + Logic“ gefil-tert. Der Block prüft außerdem, ob Testimpulse auf den Eingangssignalen vorhanden und ob dieseplausibel sind. Bei zweikanaligen Eingängen erfolgt die Prüfung, ob die Eingangspegel dem konfigu-rierten Eingangstyp (äquivalent/antivalent schaltend) entspricht und ob die Signale gleichzeitig schal-ten.Als Ergebnis dieser Prüfungen werden die logischen Zustände der Eingangssignale abgebildet. Ein-gangssignale sind im Blockschaltbild mit <LIN_x „Logic Inputs“> gekennzeichnet. Beispiel: Das SignalLIN_D40 bildet den logischen Schaltzustand des zweikanaligen Eingangs DIN40 ab. Liste der logischen Eingängeè Tab. 183 Logische Eingänge, Pegelzuordnung zu den physikalischen Eingängen.

Sicherheitsfunktionen:Die Sicherheitsfunktionen besitzen einheitliche Merkmale. Eine konfigurierbare Logikfunktion defi-niert, welche logischen Eingangssignale (Local Inputs, LINs) auf die Sicherheitsfunktion geschaltetwerden:– zur Anforderung der Sicherheitsfunktion– zur Beendigung der Anforderung– zur optionalen Auswahl zusätzlicher SteuersignaleDer Schaltzustand dieser Signale kann ausgelesen und angezeigt werden. Die internen Steuersignalefür die Sicherheitsfunktionen werden als VIN_x_y „Virtual Inputs“ bezeichnet. Beispiel: <VIN_SS1_RSF> bezeichnet den Eingang zum Anfordern (Request Safety Function) der Sicher-heitsfunktion SS1.Liste der virtuellen Eingänge è Tab. 186 Virtuelle Eingänge.Für die Konfiguration der Schaltbedingungen stehen insgesamt 32 Produktterme zur Verfügung. DieProduktterme sind vergleichbar mit programmierbaren Logikbaustein (PLD) und können flexibel aufdie gewünschten Funktionen verteilt werden. Die Verwaltung der Produktterme erfolgt automatischüber das SafetyTool (eine spezielle, im FCT-PlugIn integrierte Software), und ist damit für den Anwen-der weitgehend unsichtbar.

Für jedes Steuersignal VIN_x_y und für die Konfiguration der Ausgänge VOUT_x können maximal 4ODER-verknüpfte Produktterme mit maximal 7 Eingängen mit/ohne Invertierung verwendet werden. Virtuelle Eingänge, denen kein Produktterm zugeordnet ist, haben den logischen Zustand „0“.

Das nachfolgende Beispiel verwendet zwei der 32 Produktterme, um die STO-Funktion anzufordern:

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

27Festo — CAMC-G-S3 — 2019-12a

Page 28: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 6 Beispiel Konfiguration STO

Die Sicherheitsfunktion selbst beinhaltet parametrierbare Logik- und Ablauffunktionen. Sie berück-sichtigt den aktuellen Zustand des Antriebs (Position, Geschwindigkeit) und führt die Antriebsüberwa-chung durch. Jede Sicherheitsfunktion stellt folgende Ausgangssignale zur Verfügung:– die Statusmeldung, dass die Sicherheitsfunktion angefordert ist– die Statusmeldung, dass der sichere Zustand erreicht ist– eine Fehlermeldung, im Falle einer Verletzung der SicherheitsbedingungEinige Sicherheitsfunktionen stellen darüber hinaus noch weitere Steuersignale für die direkte An-steuerung von Funktionen im Antriebsregler zur Verfügung. Diese Statusmeldungen sind im Block-schaltbild gesamtheitlich dargestellt, sie werden mit VOUT_x „Virtual Output Signals“ gekennzeich-net. Liste der virtuellen Ausgänge è Tab. 187 Virtuelle Ausgangssignale.

Logikfunktionen für die Eingänge:Für einige Applikationen sind spezielle logische Steuersignale erforderlich, die aus einer Kombinationmehrerer Eingangssignale gebildet werden. Das Sicherheitsmodul unterstützt diese Applikationen, in-dem es vordefinierte Logikfunktionen bereitstellt für:– den Betriebsartenschalter– das ZweihandbediengerätDie Ausgangssignale dieser Logikblöcke werden direkt in den LIN_x abgebildet, da sie ebenfalls derSteuerung von Sicherheitsfunktionen dienen. Es können auch eigene Zusatzlogikblöcke konfiguriert werden. Dafür stehen „Additional Logic Functi-ons“ (ALF0 …  ALF7) zur Verfügung. Die Ausgangssignale der Logiksignale stehen als „Virtual OutputSignals“ (VOUT_x) zur Verfügung.Liste der virtuellen Ausgänge è Tab. 187 Virtuelle Ausgangssignale.

Logische Ausgänge und Ausgangstreiber:Das Sicherheitsmodul verfügt über konfigurierbare Blöcke mit Leistungstreibern:– zur Ansteuerung der digitalen Ausgänge mit der Generierung von Testimpulsen– zur Ansteuerung des Relais-Ausgangs

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

28 Festo — CAMC-G-S3 — 2019-12a

Page 29: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– zur Ansteuerung des Grundgerätes. Beispiele:– Ansteuerung des Ausgangs für die Bremsansteuerung– Abschaltung der Treiberversorgung für STO

Über eine konfigurierbare Logikfunktion wird definiert, welche Signale VOUT als „Logic Output Signal“(LOUT) auf den jeweiligen Ausgangstreiber geschaltet werden. Die Logikfunktion besteht aus einem Produktterm mit maximal sieben Eingängen sowie Ein- und Aus-gangsinvertierung.Liste der logischen Ausgänge è Tab. 188 Logische Ausgänge, Abbild der physischen Ausgänge. Der Zustand des logischen Ausgangs (ein Bit) wird vom Ausgangstreiber in die physikalischen Aus-gangssignale (häufig zwei Signale, konfigurierbar antivalent / äquivalent / Testimpulse) umgesetzt.

Rückkopplung:Da es in einigen Applikationen wünschenswert ist, Sicherheitsfunktionen in Abhängigkeit des Zustan-des einer anderen Sicherheits- oder Logikfunktion auszuführen, verfügt das Sicherheitsmodul übereinen intern Rückkopplungspfad: Die wichtigsten VOUT-Signale werden daher auf logische Eingänge LIN zurückgeführt und stehen fürlogische Verknüpfungen zur Verfügung.Liste der logischen Eingängeè Tab. 183 Logische Eingänge, Pegelzuordnung zu den physikalischen Eingängen.

Zustandsmaschine (State Machine):Der Betriebszustand des Sicherheitsmoduls wird über eine Zustandsmaschine gesteuert.Der Betriebsstatus wird über eine Mehrfarb-LED angezeigt und zusätzlich in den VOUT abgebildet. Detaillierte Beschreibung der Betriebszustände è 3.10 Betriebsstatus und Statusanzeigen.

Fehler Management:Das Fehlermanagement steuert, wie das Sicherheitsmodul bei auftretenden Fehlern reagiert. Die wich-tigste Fehlerreaktion ist das sofortige Abschalten der Leistungsendstufe im Grundgerät (Safe TorqueOff, STO) sowie das Abschalten aller sicheren Ausgänge. Konfiguration der Fehlerreaktionen è 3.8 Fehlermanagement und Fehlerquittierung.

3.2.5 Übersicht unterstützte PositionsgeberDie sichere Überwachung der Geschwindigkeit, z. B. für SLS, und der Position, z. B. für SOS, erfordertentsprechende Sensoren zur Positionserfassung. Der Motorcontroller CMMPAS... M3 unterstützt viele verschiedene Drehgeber über die Geräteschnitt-stellen X2A, X2B und X10. Die Signale der Positionsgeber werden geräteintern vom CMMP-AS-...-M3an das Sicherheitsmodul weitergeleitet (è Fig.4). Die meisten Drehgeber können auch direkt vom Si-cherheitsmodul ausgewertet werden, da die Signale dem Sicherheitsmodul zur Verfügung stehen. Über die Drehgeber wird die Position und die Geschwindigkeit erfasst. Folgende Drehgeber werdenvom Sicherheitsmodul unterstützt:– Resolver über X2A – SIN/COS-Inkrementalgeber über X2B – SICK Hiperface Drehgeber über X2B (nur Prozessdatenkanal) – HEIDENHAIN EnDat-Geber über X2B

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

29Festo — CAMC-G-S3 — 2019-12a

Page 30: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Inkrementalgeber mit digitalen A/B-Signalen über X2B– BiSS-Positionssensoren für Linearmotoren über X2B – Inkrementalgeber mit digitalen A/B-Signalen über X10

Die vom Sicherheitsmodul unterstützten Sicherheitsfunktionen erfordern keine Kenntnis der Absolut-position. Daher ist eine sichere Auswertung der Absolutposition der Geber oder eine sichere Referenz-fahrt nicht vorgesehen.

Encoder EvaluationJeder Mikrocontroller auf dem Sicherheitsmodul kann bis zu zwei Positionssensoren auswerten.

Fig. 7 Auswertung der Positionssensoren auf dem Sicherheitsmodul

Begriff/Abkürzung Erklärung

Position Sensor 1/2 Positionsgeber 1/2

μC Base Device Mikrocontroller Grundgerät

Cross Comparison Kreuzvergleich

Tab. 9 Legende zu Auswertung der Positionssensoren auf dem Sicherheitsmodul

– Wenn zwei Positionssensoren verwendet werden, wertet jeder Mikrocontroller beide Sensorenaus. Jeder Mikrocontroller vergleicht die Positions- und Geschwindigkeitswerte beider Sensorenund löst einen Fehlermeldung aus bei unzulässigen Abweichungen.

– Wenn nur ein Positionssensor mit SIL-Einstufung verwendet wird, wird dieser ebenfalls von bei-den Mikrocontrollern auf dem Sicherheitsmodul ausgewertet.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

30 Festo — CAMC-G-S3 — 2019-12a

Page 31: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Wenn ein Positionssensor verwendet wird, der zwar vom Grundgerät (μC GG) ausgewertet werdenkann, der aber nicht direkt vom Sicherheitsmodul unterstützt wird, besteht die Möglichkeit, dienormierte Winkelinformation vom Grundgerät an das Sicherheitsmodul zu übertragen. In Verbin-dung mit einem zweiten Positionssensor, der direkt vom Sicherheitsmodul ausgewertet wird,kann so ebenfalls ein sicheres System (bis SIL2) konfiguriert werden. Die Variante ist in der Tabel-le "Zulässige Kombinationen von Positionsgebern" mit „X2B Sonstiger Geber“ gekennzeichnetè Tab. 10 Zulässige Kombinationen von Positionsgebern.

– In allen Fällen findet ein ständiger Kreuzvergleich der Positionsdaten zwischen Mikrocontroller1und Mikrocontroller2 statt mit Fehlerauslösung bei unzulässigen Abweichungen.

– Die beiden Mikrocontroller 1 und 2 verwenden in jeder Konfiguration diversitäre Positions- undGeschwindigkeitswerte für die Überwachung der Achse. Zusätzlich ist auch eine Beschleunigungs-überwachung für eine Plausibilitätsprüfung konfigurierbar.

Die Hersteller von SIL-zertifizierten Drehgebern geben Richtlinien für den Einsatz dieser Drehgeber insicherheitsgerichteten Applikationen heraus. Das CAMC-G-S3 berücksichtigt in der Auswertung der Gebersignale die folgenden Herstellerspezifika-tionen:• Spezifikation der E/E/PES Sicherheitsanforderungen für den EnDat-Master vom 19.10.2009

(D533095 - 04 - G - 01) è www.heidenhain.de (in Vorbereitung)• Implementierungshandbuch / Implementation Manual HEIDENHAIN Safety vom 21.12.2010

(8014120/2010-12-21) è www.sick.comPrüfen Sie diese Dokumente bezüglich erforderlicher Maßnahmen für den Anbau der Drehgeberund erforderlicher Fehlerausschlüsse.

Zulässige Kombinationen von PositionsgebernDie folgende Tabelle zeigt die zulässigen Geberkombinationen. Andere Kombinationen sind im Sicher-heitsmodul nicht parametrierbar. Erreichbare Sicherheitskennwerte für diese Kombinationen è 8.2.3 Gebersysteme.

Erster Geber Zweiter Geber Hinweis

[X2A] Resolver [X2B] Anderer Geber –

[X2A] Resolver [X10] Inkrementalgeber –

[X2A] Resolver keiner Folgende Hinweise be-achten!

[X2B] SIN/COS-Inkrementalgeber keiner Erfordert SIL-Einstu-fung des Gebers.

[X2B] SIN/COS-Inkrementalgeber [X10] Inkrementalgeber Folgende Hinweise be-achten!

[X2B] Hiperface-Inkrementalgeber [X10] Inkrementalgeber Folgende Hinweise be-achten!

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

31Festo — CAMC-G-S3 — 2019-12a

Page 32: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Erster Geber Zweiter Geber Hinweis

[X2B] Hiperface-Inkrementalgeber keiner Erfordert SIL-Einstu-fung des Gebers.

[X2B] EnDat-Geber [X10] Inkrementalgeber Einstellung Geber 1:„[X2B] Andere Geber“.Folgende Hinweise be-achten!

[X2B] EnDat-Geber keiner In Vorbereitung. Erfordert SIL-Einstu-fung des Gebers.

[X2B] Sonstige Geber [X10] Inkrementalgeber –

Tab. 10 Zulässige Kombinationen von Positionsgebern

HINWEIS!

• Bewerten Sie, ob die von Ihnen gewählten Positionsgeber hinreichend genau sind zur Erfüllungder Überwachungsaufgabe, speziell für die Sicherheitsfunktion SOS.

• Beachten Sie die Hinweise zur Systemgenauigkeit è 8.3 Systemgenauigkeit und Reaktionszeit.

HINWEIS!

In Anwendungen mit nur einem Dreh-/Positionsgeber muss dieser die gemäß Risikobeurteilung erfor-derliche SIL-Einstufung besitzen. Die Einstufung bedingt in den meisten Fällen zusätzliche Anforderungen oder Fehlerausschlüsse in derMechanik. • Prüfen Sie sorgfältig, dass diese Anforderungen in Ihrer Applikation erfüllt sind und die entspre-

chenden Fehlerausschlüsse vorgenommen werden dürfen! • Beachten Sie in diesem Zusammenhang auch stets die Implementierungshinweise und erforderli-

chen Fehlerausschlüsse, die der Hersteller des Positionsgebers voraussetzt.

HINWEIS!

In Anwendungen mit einem Dreh-/Positionsgeber mit analoger Signalschnittstelle (Resolver, SIN/COS,Hiperface,…):• Einschränkungen hinsichtlich der Diagnosedeckung sowie die Einschränkung der erreichbaren Ge-

nauigkeit der Stillstandund Geschwindigkeitsüberwachung berücksichtigenè 8.3.5 Vektor-Längenüberwachung analoger Gebersignale (Resolver, SIN/COS-Geber) undè 8.3.6 Auswirkung eines Winkelfehlers innerhalb der Fehlergrenzen der Vektor-Längenüberwachung auf das Geschwindigkeitssignal.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

32 Festo — CAMC-G-S3 — 2019-12a

Page 33: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

HINWEIS!

Bei Verwendung zweier funktionaler Geber ohne SIL-Einstufung • Eignung der Geberkombination für den Einsatz in sicheren Systemen bis SIL3 separat nachweisen.

Erforderliche Nachweise sind z. B.Diversität der Gebersysteme im Hinblick auf CCF, MTTFd,  … Eignung der Geber für die Betriebs- und Umgebungsbedingungen zur EMV  … 

Empfehlung: Vom Hersteller erstellte Lösungsbeispiele mit definierten Kombinationen aus Achsen,Motoren und Gebern verwenden.

3.2.6 Datenaustausch und Steuerung des MotorcontrollersDas Sicherheitsmodul kann über digitale Steuersignale in die Leistungsendstufe des Motorcontrollerseingreifen. Über weitere digitale Steuersignale signalisiert der Motorcontroller seinen Betriebsstatus.Zusätzlich ist das Sicherheitsmodul über eine interne Kommunikationsschnittstelle mit dem Mikrocon-troller im Grundgerät verbunden è Fig.4.

Das Sicherheitsmodul kann den Motorcontroller wie folgt steuern („Steuerhoheit“). :• Abschaltung der Leistungsendstufe• Eingriff in die Bremsansteuerung• Sollwertvorgabe für die Regelung• Fehlerquittierung

Die digitalen Steuersignale werden wie folgt verwendet:– a) Abschaltung der Treiberversorgung im Motorcontroller:

Die Leistungsendstufe des Motorcontrollers lässt sich durch zwei unabhängige Kanäle abschalten.Der eine Kanal steuert die Versorgung der Oberschalter, der andere die Versorgung der Unter-schalter. Die Kanäle werden diversitär vom Sicherheitsmodul angesteuert und im Betrieb laufendmittels Testimpulsen überwacht. Die Ansteuerung erfolgt ausschließlich über die Sicherheitsfunk-tion STO è 3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).

– b) Eingriff in die Bremsansteuerung (Anschluss [X6] ):Die Abschaltung der Bremsansteuerung erfolgt im Sicherheitsmodul redundant über entsprechen-de Steuersignale zum Grundgerät. Auch die Bremsansteuerung wird im Betrieb laufend mittels Te-stimpulsen überwacht. Der sichere Bremsausgang des Grundgerätes ist so auch für die Ansteue-rung von Feststelleinheiten nutzbar. Die Ansteuerung erfolgt ausschließlich über die Sicherheits-funktion SBC è 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).Im Gegenzug erfolgt das Lüften einer Haltebremse nur, wenn das Grundgerät dem Sicherheitsmo-dul über eine weitere Steuerleitung signalisiert, dass es die Haltebremse auch funktional frei-schalten will. Diese Verknüpfung ermöglicht das einfache Wieder-Anfahren der Achse nach SBC.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

33Festo — CAMC-G-S3 — 2019-12a

Page 34: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Bei Systemfehlern auf dem Sicherheitsmodul sorgen dynamisch angesteuerte Hardwareschaltungendafür, dass die Steuerleitungen für die Treiberversorgung und für die Bremsansteuerung schnell undsicher abgeschaltet werden.

c) Auslösen eines Schnellhalts im Grundgerät:Über eine interne Steuerleitung kann das Sicherheitsmodul einen Schnellhalt im Grundgerät auslösen.Die Reaktionszeit des Grundgerätes ist besonders klein (< 2 ms).Wenn das Signal aktiviert wird, bremst das Grundgerät in den Betriebsarten Drehzahlregelung und Po-sitionierung an der Quick-Stop-Rampe bis auf Geschwindigkeit Null ab, anschließend wird abhängigvon der Betriebsart die Drehzahl auf 0 U/min oder die Lage auf die aktuelle Position geregelt.

Die Funktion wird genutzt für die Realisierung der Sicherheitsfunktion SS1 oder SS2 Typ b)è 3.5.3 SS1 – Sicherer Stopp 1 (Safe Stop 1) und è 3.5.4 SS2 – Sicherer Stopp 2 (Safe Stop 2).

Die interne Kommunikationsschnittelle zwischen dem Sicherheitsmodul und Grundgerät wird für fol-gende Aufgaben genutzt:– Herstellen der Kommunikationsverbindung nach Außen zwischen dem Sicherheitsmodul und dem

PC zur Parametrierung und Diagnose– weitere aktive Eingriffe des Sicherheitsmoduls in die Steuerung des Motorcontrollers– Austausch von Statusmeldungen und Betriebszuständen– Lieferung von Debug-Informationen für die Fehlersuche / Analyse– Bidirektionale Übertragung sicherer Datentelegramme zu externen Sicherheitssteuerungen (in

Vorbereitung)d) Schnittstelle zur Parametrierung:Die Parametrierung des Sicherheitsmoduls erfolgt über das SafetyToolè 3.2.7 Konfigurieren der Sicherheitsfunktionen mit dem SafetyTool undè 5.5 Sichere Parametrierung mit dem SafetyTool.Das SafetyTool wird über das Festo Configuration Tool (FCT) aufgerufen. Die sichere Kommunikationzwischen dem SafetyTool und dem Sicherheitsmodul erfolgt wahlweise über eine der Schnittstellendes Motorcontrollers (Ethernet [X18] oder USB [X19]). Der Motorcontroller leitet die Datentelegrammevon und zum Sicherheitsmodul weiter, ohne sie zu verändern.e) Aktive Begrenzung der Drehzahl / Geschwindigkeit im Grundgerät:Das Sicherheitsmodul kann über die interne Kommunikationsverbindung direkt in die Antriebsrege-lung des Grundgerätes eingreifen, indem es den Geschwindigkeitssollwert im Grundgerät aktiv be-grenzt. Das Grundgerät wird an der im Sicherheitsmodul parametrierten Rampe herunter gebremst.Die Begrenzung ist im folgenden Betriebsarten des Grundgerätes wirksam:– Drehzahl / Geschwindigkeitsregelung – Positionierung (Satz- oder Direktbetrieb)

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

34 Festo — CAMC-G-S3 — 2019-12a

Page 35: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die Funktion wird genutzt für die Realisierung der Sicherheitsfunktion SS1 oder SS2 Typ a)è 3.5.3 SS1 – Sicherer Stopp 1 (Safe Stop 1) und è 3.5.4 SS2 – Sicherer Stopp 2 (Safe Stop 2). Sieist auch sinnvoll nutzbar in Verbindung mit sicheren Geschwindigkeitsfunktionen, wie z. B. SLS, da dieAchse autonom, auch ohne Eingriff der Steuerung abgebremst werden kann.

Wenn auf dem Sicherheitsmodul mehrere Sicherheitsfunktionen gleichzeitig aktiv sind, die unter-schiedliche Geschwindigkeitsbegrenzungen vorgeben, wird das Minimum der Grenzwerte aus sämtli-chen Sicherheitsfunktionen gebildet und an das Grundgerät gesendet.In allen interpolierenden Betriebsarten, in denen das Grundgerät über die Steuerung direkt geführtwird, ist die aktive Begrenzung der Drehzahl nicht sinnvoll.f) Statusmeldungen:Der Betriebsstatus des Sicherheitsmoduls und der Status der Sicherheitsfunktionen (z. B. Safety Fun-ction Requested (SFR), Safe State Reached (SSR)) wird zyklisch über die interne Kommunikations-schnittstelle an das Grundgerät übertragen.Das Grundgerät kann diesen Status– über die digitalen Ausgänge ausgeben und anzeigen– über die jeweils aktive Feldbusschnittstelle an die übergeordnete Steuerung senden– über die 7-Segment-Anzeige ausgeben

Beschreibung der verfügbaren Statusmeldungen è 3.10 Betriebsstatus und Statusanzeigen.Statusinformationen, die über die Kommunikationsprotokolle FHPP und CiA 402 verfügbar sindè 8.4 Statusmeldungen, Diagnose über Feldbus.

g) Fehleranalyse / Debugging:Über die Kommunikationsschnittstelle erhält das Grundgerät auch den Fehlerstatus des Sicherheits-moduls und es hat den Zugriff auf interne Zustandsgrößen, wie die gemessene sichere Geschwindig-keit oder die Überwachungsgrenzen für die Geschwindigkeit.Das Grundgerät verwendet diese Daten:– für die Anzeige des Betriebsstatus und etwaiger Fehlermeldungen auf der 7-Segment-Anzeige– für die Erfassung aller Meldungen in einem nichtflüchtigen Diagnosespeicher für die spätere Dia-

gnose– für die Analyse der Zustandsgrößen des Sicherheitsmoduls über die Oszilloskopfunktion (Trace).

Es lässt sich beispielsweise durch Aufzeichnung der überwachten Geschwindigkeitsgrenze undder aktuellen Geschwindigkeit prüfen, warum das Sicherheitsmodul die Verletzung einer Sicher-heitsbedingung detektiert.

3.2.7 Konfigurieren der Sicherheitsfunktionen mit dem SafetyToolIm Gegensatz zu einer Sicherheitssteuerung ist das Sicherheitsmodul nicht frei programmierbar.Es besitzt einen definierten Funktionsumfang, der vom Anwender aktiviert und parametriert werdenkann. Um die Funktionen im Sicherheitsmodul dennoch flexibel an verschiedene Applikationen anzu-

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

35Festo — CAMC-G-S3 — 2019-12a

Page 36: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

passen, besitzen die eigentlichen Sicherheitsfunktionen und die Ausgänge einen konfigurierbaren Lo-gikteil zur Festlegung der Schaltbedingungen. Die Auswahl der Sicherheitsfunktionen, die Belegung der E/As und die Anforderung der Sicherheits-funktionen über Eingänge und andere Bedingungen werden über das SafetyTool konfiguriert.Das SafetyTool ist ein Softwaremodul zur sicheren Inbetriebnahme des Sicherheitsmoduls, das vomFCT-PlugIn CMMP-AS aus gestartet wird.Durch die Parametrierung werden unter anderem folgende Einstellungen festgelegt:– Die Eingänge werden aktiviert, in dem ihnen eine Funktion zugeordnet wird, wie z. B. ein Sensor-

typ, Beispiel è 5.6.7 Digitale Eingänge konfigurieren.– Die einzelnen Sicherheitsfunktionen werden aktiviert und parametriert, z. B. durch Angabe von

Grenzgeschwindigkeiten etc. – Die Anforderung einer Sicherheitsfunktion wird als logische Verknüpfung parametriert, z. B. über

die Anforderung durch einen Eingang, Beispielè 5.6.8 Auswahl und Parametrierung der Sicherheitsfunktionen.

– Zur Meldung einer aktiven Sicherheitsfunktion kann der interne Zustand z. B. mit einem Ausgangverknüpft werden.

– Das Verhalten im Fehlerfall (die Fehlerreaktion) kann konfiguriert werden.

Die Beschreibung der Vorgehensweise bei der Parametrierung des Sicherheitsmoduls mit dem Safety-Tool è 5.5 Sichere Parametrierung mit dem SafetyTool.

Wichtig:Das SafetyTool unterstützt die automatische Datenübernahme aus dem Grundgerät.Drehgeber, Getriebe, Vorschubkonstanten usw. werden nur einmal im Rahmen der Grundgeräteinbe-triebnahme konfiguriert. Nach der Inbetriebnahme des Grundgerätes werden diese Daten vom Safety-Tool gelesen und dialoggeführt ins Sicherheitsmodul übertragen.• Parametrieren Sie im ersten Schritt das Grundgerät vollständig und optimieren Sie die Applikation

funktional. • Parametrieren Sie im zweiten Schritt die Sicherheitstechnik.

HINWEIS!

Sicherheitsfunktionen in der Inbetriebnahmephase.Da bereits in der Inbetriebnahmephase einer Anlage Maßnahmen zur Sicherstellung der erforderlichenfunktionalen Sicherheit erforderlich sind, beachten Sie:• Das Sicherheitsmodul muss vollständig konfiguriert und die Applikation muss vollständig validiert

werden, bevor es einen Schutz bietet.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

36 Festo — CAMC-G-S3 — 2019-12a

Page 37: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Das Sicherheitsmodul wird ab Werk „vorkonfiguriert“ ausgeliefertè 5.4 Grundlagen zur Parametrierung des Sicherheitsmoduls.• Über DIN40 werden die Sicherheitsfunktionen STO und SBC angefordert. • Über DIN49 werden die Sicherheitsfunktionen STO und SBC beendet und ein Wiederanlauf ermög-

licht.• Über DIN48 erfolgt die Fehlerquittierung.Der Auslieferungszustand ist auch ohne FCT / SafetyTool an der grün-rot blinkenden LED des Sicher-heitsmoduls erkennbar (wenn DIN40 beschaltet wurde und keine Sicherheitsfunktion angefordert istè 3.10 Betriebsstatus und Statusanzeigen).

3.3 Datenübernahme aus dem MotorcontrollerFür die sichere Bewegungsüberwachung muss das Sicherheitsmodul wissen, welche Sensoren zur Po-sitionserfassung angeschlossen sind, welche Auflösung diese besitzen, welche Art von Mechanik, Vor-schub, Getriebe, usw. verwendet wird und in welchen Einheiten der Anwender die Applikation parame-trieren will. Das SafetyTool unterstützt mittels menügeführter Übernahme der Daten aus dem Grund-gerät, so dass die Parametrierung vereinfacht und fehlerhafte Eingaben vermieden werden.

Empfehlung zur Erstellung neuer Projekte: • Ein Sicherheitsmodul im Auslieferungszustand verwenden oder das Sicherheitsmodul auf Werks-

einstellung zurücksetzen è 5.4.2 Auslieferungszustand und è 5.4.1 Werkseinstellung• Das Grundgerät zuerst mittels FCT vollständig parametrieren und wenn möglich, in Betrieb neh-

men.• Danach die sichere Parametrierung mittels SafetyTool starten und die eingestellten Daten

aus dem Grundgerät über die Schaltflächen "Kopieren" automatisch ins SafetyToolübernehmenè 5.5.1 Programmstart und è 5.6.2 Datenübernahme und Abgleich.

HINWEIS!

Eine Datenübernahme aus dem Grundgerät ist auch erforderlich, wenn das Sicherheitsmodul bereitsin einer anderen Applikation mit anderer Mechanik in Verwendung war oder wenn das Sicherheitsmo-dul manuell auf Werkseinstellungen gesetzt wurde. Auch in diesem Fall ist die Konfiguration des Grundgerätes „führend“. Die entsprechenden Daten zuden Anzeigeeinheiten, zur Mechanik und zur Geberkonfiguration müssen aus dem Grundgerät über-nommen werden. Wenn im Sicherheitsmodul bereits parametrierte sichere Bewegungsfunktionen vorhanden sind, wer-den die im Sicherheitsmodul eingestellten Grenzwerte als Sollwerte in das SafetyTool übernommen.Sie müssen erneut ins Sicherheitsmodul übertragen werden, damit die Grenzwerte unverändert sind.

Beispiel:Im Sicherheitsmodul ist ursprünglich eine SLS-Funktion mit einem Grenzwert von +/- 200 mm/s konfi-guriert. Es war an einer Zahnriemenachse mit 100 mm/U Vorschub in Betrieb. Das Sicherheitsmodul wird jetzt in einer anderen Applikation verwendet, der Vorschub in dieser Appli-kation beträgt nun 150 mm/U.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

37Festo — CAMC-G-S3 — 2019-12a

Page 38: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Nach der Übernahme des geänderten Vorschubes zeigt das SafetyTool in der SLS-Funktion eine Dis-krepanz zwischen Soll- und Istwert an:– Sollwert: 200 mm/s – Istwert: 300 mm/sDer Sollwert muss daher erneut ins Sicherheitsmodul geschrieben und validiert werden.

3.3.1 BasisinformationenBasisinformationen werden für die Umrechnung zwischen Anzeige- und Gerätewerten genutzt undbeinhalten:– die gewählten Anzeigeeinheiten:

– Weg (P06.3E und P06.41), – Geschwindigkeit (P06.42 bis P06.45), – Beschleunigung (P06.46 bis P06.49),

– eine Beschreibung der mechanischen Übersetzung– Getriebefaktor (Zähler und Nenner) zwischen Motor und Abtrieb (P06.4A und P06.4B), – Vorschubkonstante (Zähler und Nenner) zur Umrechnung rotatorisch -> translatorisch (P06.3F

und P06.40).

Parameter Basisinformationen:

HINWEIS!

Diese Parameter müssen auf das Sicherheitsmodul übertragen, geprüft und validiert werden, nur soist sichergestellt, dass das Sicherheitsmodul in den gleichen Einheiten rechnet wie das Grundgerät!

Basisinformationen

Nr. Name Beschreibung

P06.3E Anzuzeigende Einheit für Positionen. Anzuzeigende Einheit für Positionen. Bei„UserDefined“ wird im SafetyTool keineEinheit bei Positionswerten angezeigt.

P06.3F Zähler Vorschubkonstante der Achse in Po-sitionseinheiten

Zähler der Vorschubkonstante der Achse inPositionseinheiten pro Motorumdrehung(ohne Getriebefaktoren).

P06.40 Nenner Vorschubkonstante der Achse inPositionseinheiten

Nenner der Vorschubkonstante der Achsein Positionseinheiten pro Motorumdrehung(ohne Getriebefaktoren).

P06.41 Anzahl der angezeigten Nachkommastellenbei Positionen.

Anzahl der angezeigten Nachkommastellenbei Positionswerten.

P06.42 Anzuzeigende Einheit für Geschwindigkei-ten.

Anzuzeigende Einheit für Geschwindigkei-ten. Bei „UserDefined“ wird keine Einheitangezeigt. Wenn die Position UserDefinedist, muss dies auch die Geschwindigkeitsein.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

38 Festo — CAMC-G-S3 — 2019-12a

Page 39: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Basisinformationen

P06.43 Zähler Veränderte Zeitbasis für Geschwin-digkeiten vom Typ UserDefined.

Zähler veränderte Zeitbasis für Geschwin-digkeiten vom Typ „UserDefined“.

P06.44 Nenner Veränderte Zeitbasis für Geschwin-digkeiten vom Typ UserDefined.

Nenner veränderte Zeitbasis für Geschwin-digkeiten vom Typ „UserDefined“.

P06.45 Anzahl der angezeigten Nachkommastellenbei Geschwindigkeiten.

Anzahl der angezeigten Nachkommastellenbei Geschwindigkeiten.

P06.46 Anzuzeigende Einheit für Beschleunigun-gen.

Anzuzeigende Einheit für Beschleunigun-gen. Bei UserDefined wird keine Einheit an-gezeigt. Wenn die Position „UserDefined“ist, muss dies auch die Beschleunigungsein.

P06.47 Zähler Veränderte Zeitbasis für Beschleuni-gungen vom Typ UserDefined.

Zähler veränderte Zeitbasis für Beschleuni-gungen vom Typ „UserDefined“.

P06.48 Nenner Veränderte Zeitbasis für Beschleu-nigungen vom Typ UserDefined.

Nenner veränderte Zeitbasis für Beschleu-nigungen vom Typ „UserDefined“.

P06.49 Anzahl der angezeigten Nachkommastellenbei Beschleunigungen.

Anzahl der angezeigten Nachkommastellenbei Beschleunigungen.

P06.4A Zähler Gesamtgetriebefaktor zwischen Mo-tor und Achse.

Zähler Gesamtgetriebefaktor zwischen Mo-tor und Achse.

P06.4B Nenner Gesamtgetriebefaktor zwischenMotor und Achse.

Nenner Gesamtgetriebefaktor zwischenMotor und Achse.

Tab. 11 Parameter Basisinformationen

3.3.2 Konfiguration der GeberDie Auswahl und die Einstellung der Drehgeber zur Positionserfassung, die Einstellung des Winkel-/Positionszählsinns, die Auflösung des Positionsgebers und die Einstellung der Getriebefaktoren derPositionsgeber werden ebenfalls automatisch aus der Konfiguration des Grundgerätes übernommen.

Wichtig:Häufig wird im Grundgerät nur ein Positionsgeber am Motor für die Regelung verwendet. Für die funk-tionale Sicherheit ist vielen Fällen ein weiterer Positionsgeber vorgesehen z. B. am Abtrieb.Stellen Sie sicher, dass Sie bereits über FCT die verwendeten Positionsgeber im Grundgerät konfigu-riert haben. Nur dann kann die Datenübernahme vollständig erfolgen.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

39Festo — CAMC-G-S3 — 2019-12a

Page 40: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 8 Konfigurationsbeispiel für 2 Geber

HINWEIS!

Diese Parameter müssen auf das Sicherheitsmodul übertragen, geprüft und validiert werden, nur soist sichergestellt, dass das Sicherheitsmodul in den gleichen Einheiten rechnet wie das Grundgerät!

Die Konfiguration der Positionsgeber ist relativ umfangreich, weil das Sicherheitsmodul sehr viele ver-schiedene Gebertypen und Konfigurationen unterstützt. Im Safety-Tool ist die Konfiguration in folgen-de Register gegliedert:– Standardparameter (Auswahl der Geberschnittstellen und Gebertypen), – Parameter für Positionsgeber an [X2B], – Parameter für Positionsgeber an [X10],– Experten-Parameter für den Kreuzvergleich der Positionsdaten,– Experten Parameter zur Konfiguration der sicheren Drehzahlerfassung und Stillstanderkennung, – Experten-Parameter für die Signalüberwachung sicherer Geber mit Analogsignalen (Resolver,

SIN/COS-Geber).

StandardparameterHier erfolgt die Auswahl, welche Geberschnittstelle und welcher Gebertyp im Sicherheitsmodul als Po-sitionsgeber 1 und als Positionsgeber 2 verwendet wird. Über die Getriebefaktoren werden Getriebezwischen Motor und Achse abgebildet, über negative Getriebefaktoren wird eine Drehrichtungsum-kehr berücksichtigt.Es erfolgt die Datenübernahme/Einstellung des führenden Positionsgebers 1 (Erster Geber):– Resolver [X2A], – SIN/COS- oder Hiperface-Geber [X2B], – andere Geber [X2B], z. B. EnDat, BiSS.Des Weiteren ist die Einstellung eines Getriebefaktors für Positionsgeber 1 zwischen Geber und Motormöglich. Weiter erfolgt die Datenübernahme / Einstellung des Positionsgebers 2 (Zweiter Geber):– Anderer Geber [X2B], z. B. SIN/COS, EnDat, BiSS, – Inkrementalgeber [X10], – keiner (nur wenn Positionsgeber 1 ein zertifizierter Positionsgeber ist).Ebenso ist die Einstellung eines Getriebefaktors für Positionsgeber 2 zwischen Geber und Motor mög-lich.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

40 Festo — CAMC-G-S3 — 2019-12a

Page 41: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Wichtig: Das SafetyTool warnt vor unzulässigen Geberkombinationen.

Fig. 9

Zulässige Geberkombinationen und die zugehörige Sicherheitseinstufungè 3.2.5 Übersicht unterstützte Positionsgeber undè Tab. 10 Zulässige Kombinationen von Positionsgebern.

Bei Linearmotoren errechnet FCT über die Positionsauflösung des Messsystems und die Polteilung Ʈp

des Motors sowohl eine Vorschubkonstante (Basisinformationen), einen Getriebefaktor und eine Auf-lösung des Messsystems bezogen auf 2Ʈp. Diese Daten werden an das SafetyTool übergeben. So ist auch für Linearmotoren eine automatischeDatenübernahme gewährleistet.

HINWEIS!

Sollte es trotz erfolgreicher Datenübernahme zum Fehler Kreuzvergleich Geber 1 / 2 kommen.• Prüfen Sie in diesem Fall den Getriebefaktor von Geber 2, da dieser nur vom Sicherheitsmodul

überwacht wird und in FCT nicht in die Regelung eingebunden ist.

3.3.3 Parameter für die Positionsgeber

Parameter für Positionsgeber an [X2A]Der Anschluss [X2A] ist für Resolver vorgesehen. Die analogen amplitudenmodulierten Spursignaledes Resolvers werden im CMMPAS... M3 hinter dem Eingangsdifferenzverstärker abgegriffen, intern andas Sicherheitsmodul geführt und dort von beiden Mikrocontrollern zweikanalig und sicher ausgewer-tet. Eine Parametrierung/ atenübernahme aus dem Grundgerät ist nicht erforderlich.

Parameter für Positionsgeber an [X2B]Der Anschluss [X2B] ist vorgesehen für Geber mit analogen Spursignalen:– Inkrementelle Geber mit SIN/COS-Spursignalen– Hiperface-Gebern mit SIN/COS-SpursignalenDie Spursignale der SIN/COS-Geber und Hiperfacegeber werden im CMMPAS... M3 hinter dem Ein-gangsdifferenzverstärker abgegriffen, intern an das Sicherheitsmodul geführt und dort von beiden Mi-

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

41Festo — CAMC-G-S3 — 2019-12a

Page 42: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

krocontrollern zweikanalig und sicher ausgewertet. Dies ist immer dann der Fall, wenn im Reiter Stan-dardparameter die Auswahl „SIN/COS-Geber / Hiperface (X2B) = [2]“ getroffen wurde. Im Zuge der Datenübernahme/Parametrierung wird die Anzahl der digitalen Winkelzählschritte (ent-spricht 4 x Strichzahl pro Motorumdrehung oder bei Linearmotoren pro 2Ʈp) eingestellt.

HINWEIS!

Bei stillstehender Achse liefern SIN/COS-Geber statische Signale. Wenn kein zweiter Winkelgeber ein-gesetzt wird, können Stuck-At Fehler („Festklemmen des Werts durch keine oder geringe Änderungdes Ausgangssignals) nicht erkannt werden. Daher muss die Achse bei angeforderten Sicherheitsfunk-tionen regelmäßig bewegt werden. Wenn ein SIN/COS oder Hiperfacegeber als einziger Geber eingesetzt wird, wird nach 10 Tagen Still-stand bei angeforderter Sicherheitsfunktion der Fehler 55-2 ausgelöst. Wenn die Sicherheitsfunktion SS2 / SOS länger als 10 Tage durchgängig angefordert wird, wird derFehler 54-7 ausgelöst.

HINWEIS!

In Anwendungen mit nur einem Drehgeber / Positionsgeber mit analoger Signalschnittstelle (Resolver,SIN/COS, Hiperface,…) sind die Einschränkungen hinsichtlich der Diagnosedeckung sowie die Ein-schränkung der erreichbaren Genauigkeit der Stillstand- und Geschwindigkeitsüberwachung zu be-rücksichtigenWeitere Informationen:è 8.3.5 Vektor-Längenüberwachung analoger Gebersignale (Resolver, SIN/COS-Geber)è 8.3.6 Auswirkung eines Winkelfehlers innerhalb der Fehlergrenzen der Vektor-Längenüberwachung auf das Geschwindigkeitssignal

Ferner ist der Anschluss [X2B] auch vorgesehen für Geber mit Digitalschnittstelle:– digitale Inkrementalgeber mit A/B/N Rechtecksignalen, – EnDat-2.1 und EnDat-2.2 Geber mit Digitalschnittstelle, – serielle-Geber mit Digitalschnittstelle, z. B.. BiSS.Diese Geber werden im Grundgerät CMMP-AS-...-M3 nicht sicherheitsgerichtet ausgewertet. Über dieinterne Datenschnittstelle ruft das Sicherheitsmodul zyklisch eine normierte digitale Winkelinformati-on aus dem Grundgerät ab. Dies ist immer dann der Fall, wenn im Register Standardparameter dieAuswahl „Anderer Geber (X2B) = [4]“ getroffen wurde. Die Winkelinformation von einem beliebigen Geber, der an X2B am Motorcontroller angeschlossen istkann als ein Kanal der zweikanaligen sicheren Winkelerfassung verwendet werden. Es ist möglich, eine Fehler-Toleranzzeit zu parametrieren, wenn das Sicherheitsmodul gestörte Daten-telegramme detektiert. Der Defaultwert von 1 ms sollte nicht ohne triftigen Grund geändert werden, dader Wert sich wie ein zusätzlicher Filter auf die Reaktionszeit des Sicherheitsmoduls auswirkt.

HINWEIS!

Die Verwendung von Gebern mit rein digitaler Datenübertragung in sicheren Systemen ist nur in Ver-bindung mit einem zweiten Geber, z. B. an [X10], zulässig.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

42 Festo — CAMC-G-S3 — 2019-12a

Page 43: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die Verwendung eines sicheren EnDat-Gebers ist noch nicht möglich (in Vorbereitung). Formal wird beiVerwendung eines sicheren EnDat-Gebers "Winkelgeber 1 = EnDat" parametriert. Als Winkelgeber 2kann zusätzlich nur noch ein Inkrementalgeber an [X10] ausgewertet werden.

HINWEIS!

Bei einer Referenzfahrt von Antrieben mit EnDat-Multiturngeber mit Speicherung der Nullpunktver-schiebung im Geber tritt beim Speichern ein Sprung in der Istposition auf. Dieser Sprung führt zum An-sprechen der Beschleunigungsüberwachung im Sicherheitsmodul und damit zu einem Fehler des Si-cherheitsmoduls. Diese Referenzfahrt muss nur einmalig beim Einrichten der Maschine durchgeführt werden.

Parameter für Positionsgeber an [X10]Der Anschluss [X10] ist vorgesehen für digitale Inkrementalgeber mit A/B/N Rechtecksignalen. Die Po-sitionserfassung erfolgt über Quadraturzählereingänge der Mikrocontroller des Sicherheitsmoduls.Der Inkrementalgeber [X10] wird bevorzugt als zweites Positionsmesssystem eingesetzt. Dies ist im-mer dann der Fall, wenn im Reiter Standardparameter die Auswahl „Inkrementalgeber (X10) = [5]“ ge-troffen wurde.Im Zuge der Datenübernahme/Parametrierung wird die Anzahl der digitalen Winkelzählschritte (ent-spricht 4 x Strichzahl pro Motorumdrehung oder bei Linearmotoren pro 2Ʈp) eingestellt.

3.3.4 Parameter für die Geberüberwachung und DrehzahlerfassungDas folgende Bild zeigt die Struktur der Geberauswertung und Überwachung:

Fig. 10 Berechnung der Geschwindigkeit und der Beschleunigung

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

43Festo — CAMC-G-S3 — 2019-12a

Page 44: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff/Abkürzung Erklärung

Position Sensor 1/2 Auswertung Positionsgeber 1/2

Evaluation Auswertung oder Evaluierung

Gear Getriebe

Acceleration Comparator Vergleich Beschleunigung 1/2

Position 1/2 Comparator +Speed 1/2 Comparator

Vergleich Position 1/2 undVergleich Geschwindigkeit 1/2

ACTUAL_ACC. Internes Signal: Aktuelle Beschleunigung

ACTUAL_SPEED Internes Signal: Aktuelle Geschwindigkeit

SPEED = 0 Internes Signal: Geschwindigkeit = 0

ACTUAL_POSITION Internes Signal: Aktuelle Position

POSITION + SPEED VALID Internes Signal: Position und Geschwindigkeit gültig

[5x-x] xxx_ERR Internes Fehlersignal Fehler 5x-x

Tab. 12 Legende zu Berechnung der Geschwindigkeit und der Beschleunigung

Beschreibung:– Der Block <Position Sensor Evaluation> ist in jedem Mikrocontroller zweimal vorhanden, getrennt

für Positionsgeber 1 und Positionsgeber 2. – Die Positionsinformation von Geber 1 und Geber 2 wird zunächst normiert auf 232. Dann wird noch

ein Getriebefaktor berücksichtigt, über den auch eine Zählrichtungsumkehr abgebildet werdenkann.

– Der Block liefert so eine normierte Position und errechnet daraus die aktuelle Geschwindigkeit so-wie die Beschleunigung.

– Die Daten des Positionsgebers 1 werden für die Überwachung der Zustandsgrößen herangezogen. – Die Beschleunigung wird überwacht und auf Plausibilität geprüft – parametrierbar. – Jeder Mikrocontroller führt einen kontinuierlichen Vergleich der Positionswerte und Geschwindig-

keitswerte vom Geber 1 mit denen von Geber 2 durch. – Die Toleranzen für diesen Gebervergleich sind parametrierbar. – Zusätzlich vergleicht jeder Mikrocontroller in einem Kreuzvergleich die eigenen Positions- und Ge-

schwindigkeitsdaten mit denen des anderen Mikrocontrollern, auch hierfür sind Grenzwerte para-metrierbar.

– Der Mikrocontroller generiert verschiedene Fehlermeldungen, wenn Abweichungen oder Grenz-wertüberschreitungen festgestellt werden.

HINWEIS!

Die Werkseinstellung der Parameter für die Geberauswertung ist angepasst an die Auflösung der Posi-tionsgeber und an die Auswertelektronik im Sicherheitsmodul.Diese sogenannten „Expertenparameter“ sollten nur in begründeten Fällen geändert werden, weil sieEinfluss auf die Reaktionszeit des Sicherheitsmoduls bei der Erkennung gefährlicher Bewegungenoder für die Fehlererkennung haben.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

44 Festo — CAMC-G-S3 — 2019-12a

Page 45: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Experten-Parameter zur Konfiguration der sicheren Drehzahlerfassung und StillstanderkennungBeide Mikrocontroller berechnen aus den erfassten Positionsdaten die sichere Geschwindigkeit unddie Beschleunigung. Die folgenden Parameter für die Drehzahlerfassung und für die Stillstandserken-nung sind vorhanden:– Die Beschleunigungsüberwachung dient der Plausibilitätskontrolle der Positionserfassung. Es

wird eine Beschleunigung parametriert, die der Motor mit Sicherheit auf Grund seiner Bauweisenicht erreicht. Wenn die Drehzahlrampe eine durch die Maximalbeschleunigung definierte Grenzeüberschreitet, dann wird ein Fehler 55-8 ausgelöstè 6.6 Diagnosemeldungen mit Hinweisen zur Störungsbeseitigung.

– Der Filter für die Drehzahl-/Geschwindigkeitserfassung reduziert das Rauschen auf dem Ge-schwindigkeitssignal, insbesondere wenn Geber mit analogen Signalen oder mit grober Auflösungeingesetzt werden.

– Der Schwellwert und die Filterzeit für die Stillstandserkennung. Die Stillstandserkennung wirdz. B. verwendet für die Sicherheitsfunktion SOS.

Experten-Parameter für den Kreuzvergleich der PositionsdatenDieses Register enthält Parameter für Plausibilitätsprüfung der Positions- und Geschwindigkeitsdaten.– Das Toleranzfenster und die Toleranzzeit für den Vergleich der Positionsdaten Geber 1 / Geber 2

durch den jeweiligen Mikrocontroller im Sicherheitsmodul. – Das Toleranzfenster und die Toleranzzeit für den Vergleich der Geschwindigkeitsdaten Geber 1 /

Geber 2 durch den jeweiligen Mikrocontroller im Sicherheitsmodul. – Das Toleranzfenster und die Toleranzzeit für den Kreuzvergleich der Positionsdaten zwischen Mi-

krocontroller1 und Mikrocontroller2 auf dem Sicherheitsmodul. – Das Toleranzfenster für den Kreuzvergleich der Geschwindigkeitsdaten zwischen Mikrocontroller1

und Mikrocontroller2 auf dem Sicherheitsmodul.Wenn das Sicherheitsmodul eine Abweichung der Positions- oder Geschwindigkeitsdaten detektiert,deren Wert die parametrierbare Zeit lang durchgängig den parametrierbaren Wert überschreitet, dannwird ein Fehler ausgelöst und die Istwerte sind nicht gültig.

Experten-Parameter für die Signalüberwachung sicherer Geber mit AnalogsignalenDieses Register enthält Parameter für Überwachung der analogen Gebersignale von SIN/COS-Gebernund Resolvern.– Die Amplituden- und Vektorlängenüberwachung für die Resolversignale sowie eine Toleranzzeit

für die Überwachung. – Parametrierbarer Beobachterfilter für die Resolverauswertung. – Die Amplituden- und Vektorlängenüberwachung für die SIN/COS und Hiperface Geberauswertung

sowie eine Toleranzzeit für die Überwachung.

Einfluss der Parameter für die Geberkonfiguration auf das ZeitverhaltenFolgende Parameter zur Konfiguration der sicheren Drehzahlerfassung haben Einfluss auf die Reakti-onszeit, mit der Änderungen in der Bewegung erfasst werden.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

45Festo — CAMC-G-S3 — 2019-12a

Page 46: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Parameter für die Bewegungserfassung und Fehlererkennung, die das Zeitverhalten beeinflussen

Parameter min. max. Werksein-stellung

P06.08 Filterzeitkonstante für Drehzahlerfassung 0,4 ms 1000 ms 8,0 ms

P06.0A Filterzeit für Stillstanderkennung 0,0 ms 1000 ms 10,0 ms

P06.04 Toleranzzeit für Positionsdifferenz 1 - 2 0,0 ms 1000 ms 10,0 ms

P06.06 Toleranzzeit für Geschwindigkeitsdifferenz 1 - 2 0,0 ms 1000 ms 10,0 ms

P06.15 Resolver Beobachterfilter - Filterzeit 0,0 ms 3 ms 1,0 ms

P06.13 Resolver Signalüberwachung Toleranzzeit 0,0 ms 10 ms 1,0 ms

P06.1E SIN/COS Signalüberwachung Toleranzzeit 0,0 ms 10 ms 1,0 ms

Tab. 13 Parameter für Fehlererkennung in der Positionssensorik, die das Zeitverhalten beeinflussen

Wenn Sie die Werkseinstellungen nicht verändern, können Sie für die Reaktionszeiten vereinfacht mitfolgender Zeit rechnen:Erfassung der Geschwindigkeit und Position    TI < 10 msErkennung von Fehlern in der Positionserfassung    TF < 10 ms

3.3.5 Liste aller Parameter zur Geber-Konfiguration

Geber-Konfiguration

Nr. Name Beschreibung

Standard-Parameter

P06.00 Auswahl des führenden Positionsgebers 1 Verwendeter Geber 1 für Winkel

P06.0B Getriebefaktor Zähler für Positionsgeber 1 Getriebefaktor/Polpaarzahl Zähler

P06.0C Getriebefaktor Nenner für Positionsgeber1

Getriebefaktor/Polpaarzahl Nenner

P06.01 Auswahl des redundanten Positionsgeber2

Verwendeter Geber 2 für Winkel

P06.0D Getriebefaktor Zähler für Positionsgeber 2 Getriebefaktor/Polpaarzahl Zähler

P06.0E Getriebefaktor Nenner für Positionsgeber2

Getriebefaktor/Polpaarzahl Nenner

X2B

P06.19 Anzahl Inkr./U. des Inkremental-Gebersan X2B

Anzahl Inkremente/Umdrehung des Inkre-mental-Gebers an X2B

Expertenparameter

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

46 Festo — CAMC-G-S3 — 2019-12a

Page 47: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Geber-Konfiguration

Nr. Name Beschreibung

P06.28 Toleranzzeit für gestörte Geberkommuni-kation

Toleranzzeit für gestörte Geberkommuni-kation

X10

P06.18 Anzahl Inkr./U. des Inkremental-Gebersan X10

Anzahl Inkremente/Umdrehung des Inkre-mental-Gebers an X10

Drehzahlerfassung

Expertenparameter

P06.07 Maximalbeschleunigung für Geberüber-wachung

Maximalbeschleunigung, die der Antriebniemals erreicht → Fehlergrenze für Win-kel-Plausibilitätsprüfung

P06.08 Filterzeitkonstante für Drehzahlerfassung Filterzeitkonstante Drehzahlistwertfilter

P06.09 Geschwindigkeitsschwellenwert für Still-standerkennung

Max. Drehzahl für Stillstandserkennung

P06.0A Filterzeit für Stillstanderkennung Zeitfenster für n < nmin für Stillstandser-kennung

Vergleich Geber 1 - 2

P06.03 Toleranzfenster für Positionsversatz Ge-ber1 - 2

Zulässiger Positionsversatz zwischen Win-kelgeber 1 und 2

P06.04 Toleranzzeit für Positionsdifferenz Zeit, die die Positionsdifferenz maximalaußerhalb der Grenze liegen darf

P06.05 Toleranzfenster Geschwindigkeitsabwei-chung Geber 1 - 2

Zulässiger Drehzahlversatz zwischen Win-kelgeber 1 und 2

P06.06 Toleranzzeit für Geschwindigkeitsdiffe-renz

Zeit, die die Drehzahldifferenz maximalaußerhalb der Grenze liegen darf

Expertenparameter

P1D.04 Toleranzfenster für Position - Kreuzver-gleich μC1 - μC2

Zulässiger Winkelversatz zwischen die-sem Prozessor und dem Partner

P1D.05 Toleranzzeit für Position - KreuzvergleichμC1 - μC2

Zeit, die die Kreuzvergleichswerte maxi-mal außerhalb der Grenze liegen dürfen

P1D.06 Toleranzfenster für Geschwindigkeit -Kreuzvergleich μC1 - μC2

Zulässige Drehzahldifferenz zwischen die-sem Prozessor und dem Partner

Signalüberwachung

Expertenparameter

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

47Festo — CAMC-G-S3 — 2019-12a

Page 48: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Geber-Konfiguration

Nr. Name Beschreibung

P06.11 Resolver-Signalamplitude - untere Fehler-grenze

Min. Eingangsspannung Sinus- oder Cosi-nussignal

P06.12 Resolver-Signalamplitude - obere Fehler-grenze

Max. Eingangsspannung Sinus- oder Cosi-nussignal

P06.0F Resolver - Untergrenze Vektorlänge Min. Eingangsspannung U = Wurzel(sin2 +cos2)

P06.10 Resolver - Obergrenze Vektorlänge Max. Eingangsspannung U = Wurzel(sin2

+ cos2)

P06.13 Resolver Signalüberwachung Toleranzzeit Maximale Zeit, die ein Resolversignal au-ßerhalb der Grenzen der Signalüberwa-chung sein darf, bevor ein Fehler ausge-löst wird.

P06.15 Filterzeit Resolverauswertung Filterzeit für den Beobachterfilter

P06.1C SIN/COS-Signalamplitude - untere Fehler-grenze

Min. Eingangsspannung Sinus- oder Cosi-nus-Signal

P06.1D SIN/COS-Signalamplitude - obere Fehler-grenze

Max. Eingangsspannung Sinus- oder Cosi-nus-Signal

P06.1A SIN/COS - Untergrenze Vektorlänge Vektorlänge Wurzel(sin2 + cos2) min.

P06.1B SIN/COS - Obergrenze Vektorlänge Vektorlänge Wurzel(sin2 + cos2) max.

P06.1E Toleranzzeit Signalamplitudenüberwa-chung

Maximale Zeit, die ein Signal außerhalbder Grenze sein darf, bevor ein Fehler aus-gelöst wird.

Tab. 14 Geber-Konfiguration

3.4 Digitale Eingänge

3.4.1 ÜbersichtDas Sicherheitsmodul verfügt über digitale Ein- und Ausgänge zum Anschluss passiver und aktiverSensoren. Sicherheitsfunktionen werden über die zweikanaligen, sicheren Eingänge angefordert.

Begriff Bedeutung

Diskrepanzzeit Maximale Zeit, innerhalb der sich die beiden Kanäle eines sicheren Ein-gangs in antivalenten Zuständen befinden dürfen, ohne dass die Si-cherheitstechnik eine Fehlerreaktion auslöst.

Eingangsfilterzeit Zeit, in der Störimpulse und Testimpulse von z. B. angeschalteten akti-ven Sensoren nicht erkannt werden.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

48 Festo — CAMC-G-S3 — 2019-12a

Page 49: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff Bedeutung

Sicherheitsfunktion imAUSZustand

Die Funktion der Eingänge lässt sich in weiten Bereichen frei konfigu-rieren. Bei der Konfiguration muss der Anwender sicher stellen, dassder Sichere Zustand bei spannungsfreien Eingängen erreicht wird (Ru-hestromprinzip einhalten!).

Steuerfunktion im EIN-Zu-stand

Die Funktion der Eingänge lasst sich in weiten Bereichen frei konfigu-rieren. Steuerfunktionen erfordern die aktive Betätigung / Beschaltungdes Steuereingangs mit 24 V, um die gewünschte Reaktion auszulösen(Beispiel: Fehlerquittierung, Beenden einer Sicherheitsfunktion, Betrie-bsartenwahlschalter). Das Ruhestromprinzip wäre hierfür nicht sicher!

Äquivalente Eingangssi-gnale

Ein sicherer Eingang besteht aus zwei Steuerleitungen, die beidegleichzeitig HIGH bzw. LOW schalten (gleichschaltende Eingänge).

Antivalente Eingangssigna-le

Ein sicherer Eingang besteht aus zwei Steuerleitungen, die beide ge-gensinnig HIGH bzw. LOW schalten. Zu jedem Zeitpunkt (mit Ausnahmeder Diskrepanzzeit) ist nur ein Eingang gleichzeitig HIGH bzw. LOW (un-gleich schaltende Eingänge).

Tab. 15 Begriffsdefinitionen zur Beschreibung der digitalen Eingänge

Passive Sensoren (zweikanalig)Passive Sensoren sind zweikanalige, kontaktbehaftete Schaltelemente. Die Anschlussleitungen unddie Funktion der Sensoren müssen überwacht werden.Die Kontakte können antivalent und äquivaltent schalten (entsprechend der Norm für das jeweiligeSchaltelement). Dessen ungeachtet werden Sicherheitsfunktionen ausgelöst, sobald mindestens einKanal geschaltet ist. Beispiele für passive Sensoren:– Not-Halt-Schaltgeräte (immer äquivalent) – Türkontakt-Schalter (sowohl antivalent, als auch äquivalent) – Zustimmungstaster (sowohl antivalent, als auch äquivalent) – Zweihandbediengeräte – Betriebsartenschalter (1 aus N-Selektion)Folgende Fehler werden bei passiven Sensoren vom Sicherheitsmodul erkannt:– Antivalente oder äquivalente Eingangssignale nach Ablauf der Diskrepanzzeit, je nach Sensortyp

und Parametrierung – Bei Speisung über einen sicheren Ausgang des Sicherheitsmoduls:

Querschlüsse und Schlüsse nach +24 V und 0 V durch das Ausbleiben der Testimpulse.

Passive Sensoren, die einen Not-Halt der Anlage auslösen (STO, SBC, SS1) müssen nach EN 60204-1„zwangsöffnend“ ausgeführt werden und als äquivalente Eingänge parametriert werden.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

49Festo — CAMC-G-S3 — 2019-12a

Page 50: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Sensortypen

Funktion NotHalt-Schaltgerät

TürkontaktSchalter

Zustimmtaster Zweihand Be-diengerät

Betriebsarten-wahlschalter

SymbolOFF

Eingang DIN40A/B …

 DIN43A/BDIN40A/B …DIN43A/B

DIN40A/B …DIN43A/B

DIN40A/B …DIN43A/B

DIN45,DIN46,DIN47

Ausgang DOUT40A/B … DOUT42A/B (TaktA/B) +24V1)

1) Kann auch mit Testimpulsen aus DOUT40 … 42 gespeist werden.

Tab. 16 Zuordnung der Sensoren zu den Ein- und Ausgängen (Beispiele)

Not-Halt-SchaltgerätDas Not-Halt-Schaltgerät wird üblicherweise verwendet, um den Not Halt auszulösen, in den meistenFällen wird die Sicherheitsfunktion STO oder SS1 aktiviert.

Türkontakt-SchalterEs wird überwacht, ob z. B. eine Schutztür, ein Lichtvorhang geöffnet/durchschritten wird.

ZustimmungstasterDer Zustimmungstaster wird in der Regel im Einrichtbetrieb verwendet. Beispiel: Im Einrichtbetrieb ist das Verfahren der Maschine bei geöffneter Schutztür mit der FunktionSLS erlaubt, sobald der Zustimmungstaster betätigt wird. Der Zustimmungstaster hebt damit eine Si-cherheitsfunktion vorübergehend auf, sie wird temporär durch eine andere Sicherheitsfunktion er-setzt. Die Funktion des Zustimmtasters wird über eine entsprechende Parametrierung der Logik (An-forderung, Anforderung beenden) der Sicherheitsfunktionen erreicht.

Die folgenden Logikfunktionen sind bestimmten Eingängen fest zugeordnet:

Zweihandbediengerät (DIN42A/B und DIN43A/B)Das Zweihandbediengerät wird in Applikationen verwendet, in denen der Bediener die Bewegungbeidhändig freischalten muss, sobald er den Gefahrenbereich verlassen hat. Das Zweihandbedienge-rät belegt zwei sichere Eingangspaare. Auch hier kann eine Sicherheitsfunktion, z. B. SS1, durch eineandere Funktion, z. B. SLS überschrieben werden. Die Funktion des Zweihandbediengerätes (Überwa-chung der zwei Eingänge) ist als feste Logikfunktion im Sicherheitsmodul implementiert, die Umschal-tung der Sicherheitsfunktionen wird über eine entsprechende Parametrierung der Logik (Anforderung,Anforderung beenden) der Sicherheitsfunktionen erreicht.

Betriebsartenwahlschalter (DIN45, DIN46, DIN47)Der Schalter zur Auswahl der Betriebsart unterstützt folgende Betriebsarten:– Normalbetrieb / Betriebsart 1 – Einrichtbetrieb / Betriebsart 2 – Sonderbetrieb / Betriebsart 3Hinweis: Die Bezeichnung der Betriebsarten richtet sich nach den C-Normen für die entsprechendenMaschinen. Die Funktion des Betriebsartenwahlschalters ist als feste Logikfunktion im Sicherheitsmo-

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

50 Festo — CAMC-G-S3 — 2019-12a

Page 51: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

dul implementiert. Die Umschaltung der Sicherheitsfunktionen wird über eine entsprechende Parame-trierung der Logik (Anforderung, Anforderung beenden) der Sicherheitsfunktionen erreicht.

Wiederanlauf / Beenden von SicherheitsfunktionenDer "Wiederanlauf" bezeichnet das Anlaufen des Antriebs nach einem vorhergehenden Stopp. Das Si-cherheitsmodul kann diesen Stopp herbeiführen, z. B. über die Sicherheitsfunktionen STO, SS1 oderSS2. Das Beenden der entsprechenden Sicherheitsfunktionen ist die Voraussetzung für einen Wieder-anlauf. Für das Beenden der Sicherheitsfunktionen ist DIN49 vorgesehen, es kann aber auch jeder an-dere Eingang entsprechend parametriert werden. Beispiel: – SS1 wurde über Not-Halt angefordert, SS2 über den Türkontaktschalter. – Jetzt wird Not-Halt wieder herausgenommen, die Tür bleibt offen.⇒ Beim Betätigen des Eingangs "Beenden der Sicherheitsfunktion" bleibt die Anlage mit aktiver Si-cherheitsfunktion SS2 stehen und kann beim Schließen der Schutztür sofort wieder anlaufen, wennfür SS2 der Parameter „automatischer Wiederanlauf“ gesetzt wurde.

Aktive Sensoren (zweikanalig)Aktive Sensoren sind Einheiten mit zweikanaligen Halbleiterausgängen (OSSD-Ausgängen). Beispiele für aktive Sensoren:– Lichtgitter – Laserscanner – SteuerungenDas Sicherheitsmodul unterstützt aktive Sensoren mit äquivalenten / antivalenten Ausgangssignalensowie mit / ohne Prüfimpulsausgängen. Mit der integrierten Sicherheitstechnik der Gerätereihe CMM-PAS-...- M3 sind Prüfimpulse zur Überwachung der Ausgänge und Leitungen zulässig. Plus-/Minus-schaltende Sensoren schalten Plusund Minusleitung bzw. Signalund Masseleitung eines Sensorsi-gnals. Die Ausgänge müssen gleichzeitig schalten. Dessen ungeachtet werden Sicherheitsfunktionenausgelöst, sobald mindestens ein Kanal geschaltet ist. Diese Fehler werden bei aktiven Sensoren erkannt:– Antivalente oder äquivalente Eingangssignale nach Ablauf der Diskrepanzzeit, je nach Sensortyp

und Parametrierung

Passive und aktive Sensoren (einkanalig)Einkanalige Sensoren werden zur Ablaufsteuerung und für Rückmeldungen und Diagnose verwendet. Beispiele für passive Sensoren:– Rückmeldekontakt einer externen Feststelleinheit, – Taster zum Quittieren anstehender Fehler, – Taster für Beenden von Sicherheitsfunktionen.Kombinationen einkanaliger Sensoren können auch für die Steuerung von Sicherheitsfunktionen ver-wendet werden. Beispiel: Betriebsartenschalter (1 aus N-Selektion)Diese Fehler werden bei einkanaligen passiven Sensoren erkannt: – Bei Speisung über einen sicheren Ausgang des Sicherheitsmoduls:

Querschlüsse und Schlüsse nach +24 V und 0V durch das Ausbleiben der Testimpulse

Zulässige SensortypenFolgende Tabelle zeigt eine Übersicht der zulässigen Sensortypen an den digitalen Eingängen.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

51Festo — CAMC-G-S3 — 2019-12a

Page 52: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

DIN … 

40 41 42 43 44 45 46 47 48 49Zulässiger Sensor-typ

zweikanalig einkanalig

1: Allgemeinerzweikanali-ger Eingang

X X X X

2: NotHalt-Schaltgerät

X1) X X X

3: Zustimmtas-ter

X X X X

4: Zweihand-Bedienge-rät2)

X X X X

5: StartTaster X X X X

6: Türverriege-lung

X X X X

7: Sicherer Re-ferenzschal-ter

X X X X

8: Lichtgitter X X X X

9: Rückmel-dung Brems-ansteuerung

X X X X X1) X X X

10: AllgemeinereinkanaligerEingang

X X X X X X X X

11: Betriebsar-tenwahl-schalter2)2)

OFF X X X X X1) X1) X1)

12: Fehler quit-tieren

X X X X X1)

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

52 Festo — CAMC-G-S3 — 2019-12a

Page 53: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

DIN … 

40 41 42 43 44 45 46 47 48 49Zulässiger Sensor-typ

zweikanalig einkanalig

13: Beendenvon Sicher-heitsfunktio-nen (Wieder-anlauf mög-lich)

X X X X X1)

1) Werkseinstellung2) Mit der Aktivierung der Logikfunktion im SafetyTool müssen die zugehörigen Eingänge entsprechend konfiguriert werden.

Tab. 17 Übersicht zulässiger Sensortypen an den digitalen Eingängen

3.4.2 Zweikanalige sichere Eingänge DIN40 … DIN43 [X40]

Verwendung

Fig. 11 Symbol Eingang zweikanalig

Die digitalen Eingänge DIN40..DIN43 sind zweikanalig ausgeführt (DIN40A/B … DIN43A/B). Sie dienender Anforderung der Sicherheitsfunktionen bis Kat. 4 / PL e bzw. SIL3 und sind daher in 1oo2-Architek-tur aufgebaut.Zum Anfordern von Sicherheitsfunktionen werden die zugeordneten internen logischen Eingänge mitder entsprechenden Sicherheitsfunktion verknüpft.

FunktionDas folgende Bild zeigt das Blockschaltbild eines Eingangs. Die Funktion ist nachfolgend für DIN40 er-klärt. Die Eingänge DIN40 bis DIN43 sind identisch aufgebaut.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

53Festo — CAMC-G-S3 — 2019-12a

Page 54: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

DIN40 ... DIN43

Fig. 12 Blockschaltbild der zweikanaligen sicheren Eingänge

Begriff/Abkürzung Erklärung

DIN40A/..., DIN40B/ …  Zweikanalige digitale Eingänge DIN40A/DIN40B ...

GLITCH FILTER Filter für Störimpulse

LPF Low-pass filter, Tiefpassfilter

COMPARATOR + TIMER + LOGIC Komparator (Vergleicher), Zeitgeber (Timer) und Logik

LIN_x Logische Eingänge ...

[5x-x] xxx_ERR Internes Fehlersignal Fehler 5x-x

Tab. 18 Legende zu Blockschaltbild der zweikanaligen sicheren Eingänge

Die Signalpegel an den Eingängen DIN40A und DIN40B werden zunächst in einem EMV-Vorfilter(„Glitch Filter“) entstört. Die Filterzeitkonstante beträgt 500 μs und ist nicht parametrierbar.Auf diesen ersten Filter folgt für jedes Eingangssignal ein zweiter über den Parameter „Filterzeitkon-stante“ (P02.04/...) parametrierbarer Tiefpassfilter „LPF“, ausgeführt als programmierbares Mono-Flop. Das Mono-Flop dient folgenden Zwecken:– Wegfiltern externer Testimpulse, z. B. eines aktiven Sensors mit OSSD-Ausgängen. – Wegfiltern der Testimpulse von DOUT4x im Falle passiver Sensoren. – Wegfiltern von Kontaktprellen.In einer nachgeschalteten Logik mit Komparator wird aus den beiden Eingangssignalen A und B das lo-gische Steuersignal LIN_D40 gebildet. In diesem Teil werden auch die Testimpulse auf dem Eingangausgewertet. Zum Anfordern von Sicherheitsfunktionen wird der logische Eingang mit der entspre-

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

54 Festo — CAMC-G-S3 — 2019-12a

Page 55: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

chenden Sicherheitsfunktion verknüpft (LIN_D40 = 1 entspricht Sicherheitsfunktion angefordert).Über den Parameter „Sensortyp“ (P02.24/...) kann ein Sensortyp ausgewählt werden. Mit dem Parameter „Betriebsart“ (P02.06/...) können die Eingänge in drei verschiedenen Betriebsar-ten verwendet werden:– Betriebsart = „Ungenutzt“ (P02.06/... = 0)

Der Eingang wird nicht genutzt. Das logische Eingangssignal LIN_D40 ist dauerhaft 0. – Betriebsart = „Äquivalent“ (P02.06 = 1)

Der Eingang ist äquivalent schaltend: – Die Eingänge A und B eines Kanals müssen immer den gleichen Signalpegel aufweisen. – Das logische Eingangssignal LIN_D40 ist invers zum Signalpegel an DIN40, wie die folgende

Tabelle zeigt.Hinweis: Die Invertierung des logischen Zustands entspricht dem Ruhestromprinzip. Nutzen Siedie Eingänge ausschließlich nach dem Ruhestromprinzip. Fordern Sie den sicheren Zustand durch0 V am Eingang an.

– Betriebsart = „Antivalent“ (P02.06 = 2)Der Eingang ist antivalent schaltend:– Die Eingänge A und B müssen entgegengesetzte Signalpegel aufweisen.– Das logische Eingangssignal LIN_D40 ist invers zum Signalpegel an DIN40A, wie die folgende

Tabelle zeigt.Hinweis: Passive Sensoren, die einen Not-Halt der Anlage auslösen (STO, SBC, SS1) müssen nachEN 60204-1 „zwangsöffnend“ ausgeführt werden und als äquivalente Eingänge parametriert wer-den.

Eingang DIN40/ … /43 Äquivalent Ruhezustand Sicherheitsfunktion angefordert

DIN40A / … / 43A 24 V 0 V

DIN40B / … / 43B 24 V 0 V

Zustand LIN_D40 / … /43 0 1

Tab. 19 Äquivalent schaltende Eingänge

Eingang DIN40/ … /43 Antivalent Ruhezustand Sicherheitsfunktion angefordert

DIN40A / … / 43A 24 V 0 V

DIN40B / … / 43B 0 V 24 V

Zustand LIN_D40 / … /43 0 1

Tab. 20 Antivalent schaltende Eingänge

FehlererkennungDer Pegel der Eingänge A und B darf für eine parametrierbare Zeit („Diskrepanzzeit“, P02.05/...) vonden dargestellten Zuständen abweichen. Wenn die Abweichung länger besteht, wird Fehler „[57-1] Di-gitale Eingänge - Fehler Signalpegel“ (Diskrepanzfehler) gemeldet. Die Eingänge A und B können mittels Testimpulsen überwacht werden. Die Auswahl der Testimpuls-quelle erfolgt über den Parameter „Quelle für Testimpuls“ (P02.07/...). Wenn ein Testimpuls ausbleibt

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

55Festo — CAMC-G-S3 — 2019-12a

Page 56: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

oder die Eingangslogik einen Kurzschluss oder Querschluss feststellt, wird der Fehler „[57-0] Selbst-test E/A (intern/extern)“ gemeldet. Im Fehlerfall geht der logische Eingang LIN_D40 auf 1 (Sicherheitsfunktion angefordert).

HINWEIS!

Ein erkannter Fehler wird über die im Blockschaltbild dargestellen Fehlersignale an das Fehlermanage-ment weiter geleitet. Die Reaktion auf den Fehler ist einstellbar (nur Warnung, STO, SS1, SS2...). Fürdie weitere Bearbeitung nimmt der logische Eingang LIN_D40 in diesem Fall den Zustand 1 an.Der Anwender muss dafür Sorge tragen, dass ein Fehler (Fehlermanagement) zum sicheren Zustanddes Gesamtsystems führt.

TimingdiagrammeDie folgenden Bilder zeigen die zugehörigen Timingdiagramme eines zweikanaligen Eingangs, jeweilsfür äquivalente und antivalente Parametrierung.

Fig. 13 Timingdiagramm zweikanaliger sicherer Eingang Äquivalent – Anforderung starten (DIN40)

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

56 Festo — CAMC-G-S3 — 2019-12a

Page 57: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 14 Timingdiagramm zweikanaliger sicherer Eingang Äquivalent – Anforderung beenden (DIN40)

Begriff/Abkürzung Erklärung

RSF: Request Safety Function Sicherheitsfunktion anfordern

CSF: Release Safety Function request Anforderung der Sicherheitsfunktion beenden

Error Discrepance Diskrepanzfehler

Tab. 21 Legende zu Timingdiagramm zweikanaliger sicherer Eingang Äquivalent

Fig. 15 Timingdiagramm zweikanaliger sicherer Eingang Antivalent – Anforderung starten (DIN40)

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

57Festo — CAMC-G-S3 — 2019-12a

Page 58: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 16 Timingdiagramm zweikanaliger sicherer Eingang Äquivalent – Anforderung beenden (DIN40)

Begriff/Abkürzung Erklärung

RSF: Request Safety Function Sicherheitsfunktion anfordern

CSF: Release Safety Function request Anforderung der Sicherheitsfunktion beenden

Error Discrepance Diskrepanzfehler

Tab. 22 Legende zu Timingdiagramm zweikanaliger sicherer Eingang Äquivalent

Über den Parameter „Schnellerkennung Anforderung“ (P02.08/...) kann eine Schnellerkennung einerSicherheitsanforderung aktiviert werden. Wenn beide Eingänge DIN40A und DIN40B gleichzeitig denPegel wechseln, wird der Schaltzustand unter Umgehung des Filters „LPF“ an das Logiksignal LIN_D40weitergeleitet. Auch bei relativ langen Testimpulsen und somit großer Zeitkonstante des Filters ist soeine sehr schnelle Erkennung der Anforderung einer Sicherheitsfunktion möglich.

Ab der Anforderung einer Sicherheitsfunktion über DIN40 … DIN43 vergehen folgende Zeiten, bis derLogische Eingang LIN_D... und damit die Anforderung der Sicherheitsfunktion aktiv wird:

Verzögerungszeiten ab dem Pegelwechsel Minimal Maximal Typisch

Ts 0,5 ms 2,5 ms 1,5 ms

„Filterzeitkonstante“ (P02.04/09/0E/13) 1,0 ms 1000,0 ms 3,0 ms

Reaktionszeit bei „Schnellerkennung Anforderung“ = 0(P02.08/P02.0D/P02.12/P02.17 = 0)

1,5 ms 12,5 ms 4,5 ms

Reaktionszeit bei „Schnellerkennung Anforderung“ = 1(P02.08/P02.0D/P02.12/P02.17 = 1)

0,5 ms 2,5 ms 1,5 ms

Tab. 23 Verzögerungszeiten DIN40 … DIN43

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

58 Festo — CAMC-G-S3 — 2019-12a

Page 59: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Parameter für die zweikanaligen digitalen Eingänge

Parameter Nr. für Eingang ...

DIN40 DIN41 DIN42 DIN43

Name Beschreibung

P02.24 P02.25 P02.26 P02.27 Sensortyp Kennung des an DIN4xangeschlossenen Sen-sors.

P02.06 P02.0B P02.10 P02.15 Betriebsart Modus: 0 = ungenutzt,1 = äquivalent, 2 = an-tivalent

P02.05 P02.0A P02.0F P02.14 Diskrepanzzeit Diskrepanzzeit.

P02.07 P02.0C P02.11 P02.16 Quelle für Testimpuls Auswahl des Ausgangsder die Testimpulse lie-fert.

Expertenparameter

P02.04 P02.09 P02.0E P02.13 Filterzeitkonstante Filterzeitkonstante.

P02.08 P02.0D P02.12 P02.17 Schnellerkennung An-forderung

Schnellabschaltung beiLow-Pegel an DIN4xAund DIN4xB verwen-den.

Tab. 24 Parameter zweikanalige digitale Eingänge

Technischen Daten für die Steuereingänge im spezifizierten Betriebsbereich von Logikspannungennach EN 61131-1è Tab. 141 Technische Daten: Digitale Eingänge DIN40A/B bis DIN43A/B und DIN44 bis DIN49 [X40].

3.4.3 Einkanalige (bedingt sichere) digitale Eingänge DIN44 … DIN49 [X40]

Verwendung

Fig. 17 Symbol Eingang einkanalig

Die digitalen Eingänge DIN44..DIN49 sind einkanalig ausgeführt. Sie eignen sich für den Anschlusspassiver Schalter und aktiver Sensoren. Verwenden Sie die einkanaligen Eingänge als Diagnoseeingänge: – für Steuerfunktionen, die nur einen einkanaligen Eingang erfordern– in Kombination mehrerer Eingänge für die Anforderung von Sicherheitsfunktionen

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

59Festo — CAMC-G-S3 — 2019-12a

Page 60: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Bei Verwendung aktiver Zweidrahtsensoren ohne Eigendiagnose: Wird der aktive Zweidrahtsensor nicht betätigt, erfolgen nicht alle erforderlichen Prüfungen durch dasSicherheitsmodul. Deswegen ist zur Funktionsprüfung eine regelmäßige Betätigung erforderlich. Emp-fohlen wird eine Betätigung alle 8 Stunden bzw. einmal pro Schicht, mindestens jedoch einmal alle 24Stundenè Tab. 141 Technische Daten: Digitale Eingänge DIN40A/B bis DIN43A/B und DIN44 bis DIN49 [X40].

Zum Anfordern und Deaktivieren von Sicherheitsfunktionen dürfen nur die zweikanaligen EingängeDIN40 … DIN43 oder geeignete logische Kombinationen aus einkanaligen Eingängen verwendet wer-den.

FunktionFolgendes Bild zeigt das Blockschaltbild der einkanaligen Eingänge. Die Funktion ist nachfolgend fürDIN44 erklärt. Die Eingänge DIN44 bis DIN49 sind identisch aufgebaut.

DIN44 ... DIN49

Fig. 18 Blockschaltbild der einkanaligen Eingänge

Begriff/Abkürzung Erklärung

DIN40A/..., DIN40B/... Zweikanalige digitale Eingänge DIN40A/DIN40B ...

GLITCH FILTER Filter für Störimpulse

LPF Low-pass filter, Tiefpassfilter

COMPARATOR + LOGIC Komparator (Vergleicher) und Logik

LIN_x Logische Eingänge ...

[5x-x] xxx_ERR Internes Fehlersignal Fehler 5x-x

Tab. 25 Legende zu Blockschaltbild der einkanaligen Eingänge

Die Signalpegel an den Eingängen DIN44 bis DIN49 werden zunächst in einem EMV-Vorfilter, „GlitchFilter“ entstört. Die Filterzeitkonstante beträgt 500 μs und ist nicht parametrierbar.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

60 Festo — CAMC-G-S3 — 2019-12a

Page 61: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Auf diesen ersten Filter folgt für jedes Eingangssignal ein zweites über den Parameter „Filterzeitkon-stante“ (P02.18) parametrierbarer Filter „LPF“, ausgeführt als programmierbares Mono-Flop. Es dientfolgenden Zwecken:– Wegfiltern externer Testimpulse, z. B. eines aktiven Sensors mit OSSD-Ausgängen. – Wegfiltern der Testimpulse von DOUT4x im Falle passiver Sensoren.– Wegfiltern von Kontaktprellen.In einer nachgeschalteten Logik mit Komparator wird aus den Eingangssignalen das logische Steuersi-gnal LIN_D44/.../49 gebildet (LIN_D44/.../49 = 1 entspricht Steuerfunktion angefordert). In diesemTeil werden auch die Testimpulse auf dem Eingang ausgewertet. Über den Parameter „Sensortyp“ (P02.28 … P02.2D) kann der Sensortyp ausgewählt werden.

Eingang DIN44/ … /49 Ruhezustand Steuerfunktion angefordert

DIN44 / … / 49 0 V 24 V

Zustand LIN_D44 / …  /49 0 1

Tab. 26 Eingänge antivalent schaltend

Der logische Zustand bildet den Spannungspegel am Eingang direkt ab – im Gegensatz zu den zweika-naligen Eingängen DIN40…DIN43, die dem Ruhestromprinzip folgen! Die Eingänge sind damit ausge-legt für Steuerfunktionen, die eine positive Logik erfordern. Beispiel: BetriebsartenwahlschalterWenn Sie einkanalige Eingänge oder deren Kombination für die Anforderung von Sicherheitsfunktio-nen nutzen, ist das Ruhestromprinzip zu beachten: • Verwenden Sie das invertierte Logiksignal zur Anforderung der Sicherheitsfunktion.

Fig. 19 Verwendung des invertierten Logiksignal zur Anforderung der Sicherheitsfunktion (Beispiel)

FehlererkennungDie Eingänge können mittels Testimpulsen überwacht werden. Die Auswahl der Testimpulsquelle(DOUT40 bis DOUT42) erfolgt über den Parameter „Quelle für Testimpuls“ (P02.19/...). In folgenden Fällen wird der Fehler „[57-0] Selbsttest E/A (intern/extern)“ gemeldet:– Ein Testimpuls bleibt aus.– Die Eingangslogik stellt einen Kurzschluss oder Querschluss fest.Im Fehlerfall geht der logische Eingang LIN_D44 auf 1 (Steuerfunktion angefordert).

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

61Festo — CAMC-G-S3 — 2019-12a

Page 62: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

HINWEIS!

Ein erkannter Fehler wird über die im Blockschaltbild dargestellen Fehlersignale an das Fehlermanage-ment weiter geleitet. Die Reaktion auf den Fehler ist einstellbar (nur Warnung, STO, SS1, SS2...). Fürdie weitere Bearbeitung nimmt der logische Eingang LIN_D44 in diesem Fall den Zustand 1 an. Der Anwender muss sicherstellen, dass ein Fehler (Fehlermanagement) zum sicheren Zustand des Ge-samtsystems führt.

Parameter für die einkanaligen digitalen Eingänge

Parameter Nr. für Eingang ...

DIN44 DIN45 DIN46 DIN47 DIN48 DIN49

Name Beschreibung

P02.28 P02.29 P02.2A P02.2B P02.2C P02.2D Sensortyp Kennung des anDIN4x angeschlos-senen Sensors.

P02.19 P02.1B P02.1D P02.1F P02.21 P02.23 Quelle für Testim-puls

Auswahl des Aus-gangs der die Tes-timpulse liefert.

Expertenparameter

P02.18 P02.1A P02.1C P02.1E P02.20 P02.22 Filterzeit konstan-te

Filterzeitkonstante

Tab. 27 Digitale Eingänge

TimingdiagrammFolgendes Bild zeigt das Timingdiagramm eines einkanaligen Eingangs:

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

62 Festo — CAMC-G-S3 — 2019-12a

Page 63: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Digital Input DIN44

Fig. 20 Timingdiagramm einkanaliger Eingang (Beispiel DIN44)

Ab der Anforderung einer Steuerungsfunktion über DIN44 … DIN49 vergehen folgende Zeiten, bis derlogische Eingang LIN_D... aktiv geschaltet wird:

Verzögerungszeiten ab dem Pegelwechsel Minimal Maximal Typisch

Ts 0,5 ms 2,5 ms 1,5 ms

Filterzeitkonstante (P02.18/1A/1C/1E/20/22) 1,0 ms 10,0 ms 3,0 ms

Reaktionszeit 1,5 ms 12,5 ms 4,5 ms

Tab. 28 Verzögerungszeiten DIN44 … DIN49

Technischen Daten für die Steuereingänge im spezifizierten Betriebsbereich von Logikspannungennach EN 61131-1è Tab. 141 Technische Daten: Digitale Eingänge DIN40A/B bis DIN43A/B und DIN44 bis DIN49 [X40].

3.5 SicherheitsfunktionenDie Sicherheitsfunktionen besitzen eine zweigeteilte Struktur, die bei allen Funktionen ausgeprägt ist:

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

63Festo — CAMC-G-S3 — 2019-12a

Page 64: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Safety Function

Fig. 21 Blockschaltbild der allgemeinen Struktur der Sicherheitsfunktionen

Begriff/Abkürzung Erklärung

Logic Input Signals Logische Eingangssignale

Logic Logik, bei den Sicherheitsfunktionen über Produktterme konfigurierbar

Safety Function Sicherheitsfunktion

VIN_xxx_RSF virtueller Eingang: Sicherheitsfunktion xxx anfordern (Request Safety Functi-on)

VIN_xxx_CSF virtueller Eingang: Sicherheitsfunktion xxx Anforderung beenden (Clear SafetyFunction request)

VOUT_xxx_SFR virtueller Ausgang: Sicherheitsfunktion xxx angefordert (Safety Function re-quested)

VOUT_xxx_SSR virtueller Ausgang: Sicherheitsfunktion xxx Sicherer Zustand erreicht (SafeState Reached)

[5x-x] xxx_ERR internes Fehlersignal: Fehler 5x-x

Tab. 29 Legende zum Blockschaltbild der allgemeinen Struktur der Sicherheitsfunktionen

Logikteil (linker Teil)Über eine konfigurierbare Logikfunktion (UND- , bzw. ODER-Gatter in Disjunktiver Normalform) wirddefiniert, welche Eingangssignale (LIN_x) auf die Sicherheitsfunktion geschaltet werden für:– die Anforderung der Sicherheitsfunktion, Signal VIN_xxx_RSF (Request Safety Function) – die Beendigung der Anforderung der Sicherheitsfunktion, Signal VIN_xxx_CSF (Clear Safety Functi-

on) – die Auswahl zusätzlicher Rückmeldesignale (z. B. bei SBC)

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

64 Festo — CAMC-G-S3 — 2019-12a

Page 65: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die Eingangslogik für die STO-Funktion könnte im SafetyTool im Register „Anfordern“ zum Beispielwie folgt aussehen:

Fig. 22

Die STO Funktion wird angefordert über DIN40, wenn der Betriebsartenschalter DIN45 aktiv ist oderüber DIN41, wenn der Betriebsartenschalter DIN45 nicht aktiv ist. Für jeden Eingang VIN... steht einODER-Gatter mit vier Eingängen und davor geschalteten UND-Gattern mit sieben Eingängen zur Verfü-gung. Alle Signale können auch invertiert werden.

Jede Anforderung der Sicherheitsfunktion hat Priorität gegenüber dem Beenden der Anforderung. Dasbedeutet: Solange eines der Signale xxx_RSF (Request Safety Function) ansteht, kann die Sicherheits-funktion nicht durch ein Signal xxx_CSF (Clear Safety Function) beendet werden.

Sicherheitsfunktion (rechter Teil)Solange die Sicherheitsfunktion angefordert ist, führt sie die entsprechende Überwachung der Zu-standsgrößen des Antriebs sicher aus. Sie beinhaltet die dafür erforderlichen Logik- und Ablauffunk-tionen, die parametriert werden können.Mit der steigenden Flanke der Anforderung wird die Logik und die Ablauffunktion inititialisiert, so wer-den z. B. die Startwerte für Bremsrampen berechnet.Die Sicherheitsfunktion berücksichtigt den aktuellen Zustand des Antriebs (Position, Geschwindigkeit)und sie generiert verschiedene Statusmeldungen und Steuersignale. Nachfolgend sind die wichtigstenFunktionen kurz beschrieben:– Über einen Parameter wird definiert, ob die Sicherheitsfunktion nach Wegnahme der Anforderung

automatisch beendet werden soll.– Die Stopp-Funktionen besitzen einen zusätzlichen Steuereingang zum Anfordern der Sicherheits-

funktion – dieser Eingang ERR_xxx_RSF wird direkt aus dem Fehlermanagement gespeist, da dieStoppfunktionen auch als Fehlerreaktion vom Fehlermanagement angefordert werden können.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

65Festo — CAMC-G-S3 — 2019-12a

Page 66: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Einige Sicherheitsfunktionen können auch direkt aus anderen Sicherheitsfunktionen heraus ange-fordert werden, so wird STO am Ende der Bremsrampe einer SS1-Funktion automatisch von diesermit aktiviert, aber auch automatisch mit beendet.

Jede Sicherheitsfunktion stellt mindestens folgende Ausgangssignale zur Verfügung– die Statusmeldung VOUT_xxx_SFR, Sicherheitsfunktion xxx angefordert, – die Statusmeldung VOUT_xxx_SSR, Sicherer Zustand xxx erreicht, – zumindest eine Fehlermeldung xxx_ERR im Falle einer Verletzung der Sicherheitsbedingung.Darüber hinaus stellen einige Sicherheitsfunktionen weitere Steuersignale zur Verfügung, z. B.– für die direkte Ansteuerung der Hardware, z. B. die Treiberversorgung oder den Haltebremsaus-

gang für die sichere Bremsansteuerung, – für die Anforderung nachgeschalteter Sicherheitsfunktionen, z. B. STO_SBC_RSF.

Diese Ausgangssignale können als Statusmeldung an die funktionale Steuerung übertragen werden;sie können über sichere Ausgänge für die Ansteuerung externer Sicherheitsschaltgeräte verwendetwerden, damit kann z. B. eine externe Feststelleinheit angesteuert werden.

Sicherheitsfunktionen zur Bewegungsüberwachung verwenden zusätzlich die sicher erfasste Ge-schwindigkeit (ACTUAL_SPEED) oder die sicher erfasste Position (ACTAL_POSITION) für die Überwa-chung. Sie steuern die zulässige Geschwindigkeit im funktionalen Teil des Motorcontrollers über eineGeschwindigkeitsbegrenzung (SPEED_LIMIT).Die Sicherheitsfunktionen werden über eine Reihe von Parametern konfiguriert, einstellbar sind:– Geschwindigkeitsrampen, – Überwachungsgrenzwerte für Geschwindigkeit und Position, – Verzögerungszeiten.Weitere einstellbare Optionen sind:– Das Verhalten für das Beenden der Sicherheitsfunktion. – Die Art und Weise, wie das Sicherheitsmodul in den Betrieb des Grundgerätes eingreift:

– Es greift nicht aktiv ein und überwacht nur.– Es steuert den Schnellhalt im Grundgerät an und veranlasst das Grundgerät so zu einem

Quick- Stopp während es den Bremsvorgang überwacht.– Es regelt aktiv die Geschwindigkeit im Grundgerät herunter und überwacht gleichzeitig die

Einhaltung der Grenzwerte.

Die EN 61800-5-2 definiert die verschiedenen Sicherheitsfunktionen für Antriebsregler. Sie definiertauch drei Methoden für die Überwachung des Bremsvorgangs. Durch die oben beschriebene Konfigu-ration unterstützt das Sicherheitsmodul alle in der Norm gelisteten Methoden.Das Sicherheitsmodul unterstützt die in den folgenden Abschnitten beschriebenen sicheren Stopp-und Bewegungsfunktionen.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

66 Festo — CAMC-G-S3 — 2019-12a

Page 67: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off )

Anwendung

0

v

t

STO

Fig. 23 Symbol STO

Die Funktion realisiert die Sicherheitsfunktion STO nach EN 61800-5-2 (Stopp-Kategorie 0 ausEN 60204-1).Nutzen Sie die Funktion "Sicher abgeschaltetes Moment" („Safe Torque Off“, STO), wenn Sie in IhrerAnwendung die Energiezufuhr zum Motor sicher abschalten müssen, aber keine weiteren Anforderun-gen für ein gezieltes Stillsetzen des Antriebs bestehen.

Die Funktion STO ist über die Werkseinstellung (Vorparametrierung) aktiviert.Da die Funktion durch andere Funktionen genutzt wird (Anforderung durch SS1 oder Fehlerreaktionbei Verletzung anderer angeforderter Sicherheitsfunktionen) ist sie grundsätzlich nicht abwählbar.

FunktionDie Funktion „Sicher abgeschaltetes Moment“ schaltet die Treiberversorgung für die Leistungshalblei-ter ab und verhindert somit, dass die Leistungsendstufe die vom Motor benötigte Energie liefert. Bei aktiver Sicherheitsfunktion STO „Safe Torque Off“ ist die Energieversorgung zum Antrieb sicherunterbrochen. Der Antrieb kann kein Drehmoment und somit auch keine gefährlichen Bewegungen er-zeugen. Bei hängenden Lasten oder anderen externen Kräften sind zusätzliche Maßnahmen vorzuse-hen, die ein Absacken sicher verhindern (z. B. mechanische Feststelleinheiten). Im Zustand STO „SafeTorque Off“ erfolgt keine Überwachung der Stillstandsposition. Das Stillsetzen der Maschine muss sicherheitsgerichtet herbeigeführt und sichergestellt werden. Diesgilt insbesondere für Vertikalachsen ohne selbsthemmende Mechanik, Feststelleinheit oder Gewichts-ausgleich.

HINWEIS!

Es besteht die Gefahr des Anruckens des Antriebs bei Mehrfachfehlern im CMMPAS-...- M3.Falls während des Zustands STO die Endstufe des Motorcontrollers ausfällt (gleichzeitiger Kurzschlussvon 2 Leistungshalbleitern in unterschiedlichen Phasen), kann es zu einer begrenzten Rast-Bewegungdes Rotors kommen. Der Drehwinkel/Weg entspricht einer Polteilung. Beispiele:• Rotative Achse, Synchronmaschine, 8-polig è Bewegung < 45° an der Motorwelle.• Linearmotor, Polteilung 20 mm è Bewegung < 20 mm am bewegten Teil.

Die Funktion STO (Safe Torque Off ) schützt nicht gegen elektrischen Schlag, sondern ausschließlichgegen gefährliche Bewegungen! Es erfolgt keine Trennung des Antriebs von der Energieversorgung imSinne der elektrischen Sicherheit è Beschreibung Hardware, GDCP-CMMP-M3-HW-...

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

67Festo — CAMC-G-S3 — 2019-12a

Page 68: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die Logik zur Anforderung der Sicherheitsfunktion STO ist im folgenden Blockschaltbild dargestellt:

Fig. 24 Blockschaltbild STO

Begriff/Abkürzung Erklärung

Safety Function STO Sicherheitsfunktion STO

SS1_STO_RSF internes Signal: Anforderung STO durch SS1

ERR_STO_RSF internes Signal: Anforderung STO durch Fehlerreaktion

VIN_STO_RSF virtueller Eingang: STO anfordern

VIN_STO_CSF virtueller Eingang: STO Anforderung beenden

TIMER Zeitgeber

VOUT_PS_EN virtueller Ausgang: Endstufenfreigabe zulässig

VOUT_STO_SFR virtueller Ausgang: STO angefordert

VOUT_STO_SSR virtueller Ausgang: STO Sicherer Zustand erreicht

[54-5] STO_ERR internes Fehlersignal: Fehler 54-5

STO_SBC_RSF internes Signal: Anforderung SBC durch STO

Tab. 30 Legende zum Blockschaltbild STO

Die Sicherheitsfunktion wird wie folgt angefordert:– vom Anwender, über eine beliebige Kombination von Eingangssignalen LIN_D..., die auf das Si-

gnal VIN_STO_RSF geführt werden– als Fehlerreaktion, gesteuert über das Fehlermanagement, Signal ERR_STO_RSF. – über die Sicherheitsfunktion SS1, Signal SS1_STO_RSF.Die Anforderung der Sicherheitsfunktion STO wird wie folgt aufgehoben:– vom Anwender, über eine Kombination verschiedener Eingänge, die auf das Signal VIN_STO_CSF

geführt werden– durch Setzen des Parameters „Automatischer Wiederanlauf erlaubt“ (P0A.00).

Dadurch wird die Sicherheitsfunktion nach Wegnahme der Anforderung automatisch beendet .

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

68 Festo — CAMC-G-S3 — 2019-12a

Page 69: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Jede Anforderung der Sicherheitsfunktion hat Priorität gegenüber dem Beenden der Anforderung. Dasbedeutet: Solange eines der Signale xxx_RSF (Request Safety Function) ansteht, kann die Sicherheits-funktion nicht durch ein Signal xxx_CSF (Clear Safety Function) beendet werden.Die Sicherheitsfunktion steuert die Abschaltung der Treiberversorgung über das Signal VOUT_PS_EN.Bei Bedarf kann die Sicherheitsfunktion SBC automatisch mit angefordert werden (SignalSTO_SBC_RSF). Zusätzlich generiert die Sicherheitsfunktion die Statusmeldungen:– VOUT_STO_SFR, Sicherheitsfunktion STO angefordert. – VOUT_STO_SSR, Sicherer Zustand STO erreicht.

Fehlererkennung:Bei aktiver Sicherheitsfunktion STO „Safe Torque Off“ ist die Energieversorgung zum Antrieb sofortund sicher unterbrochen, dafür sorgt eine zweikanalige Auslegung des Abschaltkreises, die im Betrieblaufend überprüft wird. Bei einem Ausfall eines Abschaltkanals wird eine Fehlermeldung generiert. DerAntrieb wird über den verbleibenden Kanal abgeschaltet. Die Fehlermeldung [54-5] STO_ERR „Sicherheitsbedingung STO verletzt“ erfolgt im Falle eines Fehlersin der STO-Funktion.

AblaufDer Ablauf der Sicherheitsfunktion STO ist im folgenden Diagramm dargestellt:

Fig. 25 Ablaufdiagramm STO

Begriff/Abkürzung Erklärung

Safety Function Request SFR Anforderung Sicherheitsfunktion

Safe State Reached SSR Sicherer Zustand erreicht

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

69Festo — CAMC-G-S3 — 2019-12a

Page 70: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff/Abkürzung Erklärung

nist Ist-Geschwindigkeit

Tab. 31 Legende zu Ablaufdiagramm STO

Bei Anforderung der Sicherheitsfunktion STO wird die Treiberversorgung sofort und ohne nennens-werte Verzögerung zweikanalig abgeschaltet. Nach einer parametrierbaren Verzögerungszeit „Verzögerungszeit bis Meldung STO“ (P0A.02), wirdder interne Zustand VOUT_STO_SSR, „Sicherer Zustand erreicht“ aktiv. Ab der Anforderung der Sicherheitsfunktion STO vergehen folgende Zeiten, bis die Sicherheitsfunktionaktiv geschaltet wird:

Verzögerungszeiten ab VIN_STO_RSF Minimal Maximal Typisch

VOUT_STO_SFR 2,0 ms 2,1 ms 2,0 ms

VOUT_STO_SSR 2,0 ms +P0A.02

2,1 ms +P0A.02

2,0 ms +P0A.02

Reaktionszeit bis Abschaltung Treiberversorgung Grund-gerät und Endstufe AUS

2,5 ms 4,5 ms 3,5 ms

Tab. 32 Verzögerungszeiten STO

Parameter für STO

STO: Sicher abgeschaltetes Moment

Nr. Name Beschreibung

P0A.02 Verzögerungszeit bis Meldung"STO"

Verzögerungszeit, bis der Ausgang "Sicherer Zu-stand erreicht" aktiv wird.

P0A.00 Automatischer Wiederanlauf er-laubt

Wenn gesetzt: Wegnahme der Anforderung (Wie-deranlauf) bei inaktivem Anforderungseingang

P0A.01 Automatische Aktivierung SBC Wenn gesetzt: Bei Erreichen des sicheren Zustan-des (nach Ablauf der Verzögerungszeit) wird diesichere Bremsansteuerung aktiviert.

Tab. 33 STO: Sicher abgeschaltetes Moment

3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control)

Anwendung

M

v

tSBC

Fig. 26 Symbol SBC

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

70 Festo — CAMC-G-S3 — 2019-12a

Page 71: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die Funktion realisiert die Sicherheitsfunktion SBC nach EN 61800-5-2. Nutzen Sie die Funktion „Si-chere Bremsansteuerung“ („Safe Brake Control“, SBC) zum Ansteuern einer Feststelleinheit oder Halt-bremse, um eine Achse gezielt mechanisch abzubremsen oder sicher zu halten.Die Ansteuerung der Feststelleinheit oder Haltebremse kann wahlweise erfolgen über:– den sicheren Bremsausgang [X6] im Motorcontroller,– einen sicheren Ausgang des Sicherheitsmoduls und ein externes Bremsen- Schaltgerät.

Wichtig: Für die Verwendung der Sicherheitsfunktion SBC muss eine Feststelleinheit oder Haltebremsemit entsprechender Sicherheitseinstufung verwendet werden. Grundsätzlich gilt, dass bei allen Artenvon Feststelleinheiten ohne Zertifizierung eine Risikobeurteilung durchgeführt werden und die Eig-nung für die betreffende sicherheitsgerichtete Anwendung festgestellt werden muss. Ansonsten dür-fen diese nicht eingesetzt werden. Die Haltebremse in Motoren ist in der Regel nicht entsprechendqualifiziert.

Die Funktion SBC ist über die Werkseinstellung (Vorparametrierung) aktiviert. Solange die Funktion durch andere Funktionen genutzt wird (Anforderung durch STO, durch andereParametrierungen oder durch Fehlerreaktion bei Verletzung anderer angeforderter Sicherheitsfunktio-nen) ist sie grundsätzlich nicht abwählbar.

FunktionDie Funktion „Safe Brake Control“ schaltet die Spannung für eine angeschlossene Feststelleinheitoder Haltebremse sofort ab. Die Feststelleinheit oder Haltebremse fällt ein und bremst den Motor,bzw. die Achse ab. Gefährliche Bewegungen werden so mechanisch abgebremst. Die Bremszeit ist da-von abhängig, wie schnell die Bremse eingreift und wie hoch die Energie im System ist.

HINWEIS!

Bei hängenden Lasten kommt es in der Regel zu einem Absacken, wenn SBC zeitgleich mit STO ange-fordert wird. Dies ist auf die mechanische Trägheit der Feststelleinheit oder Haltebremse zurückzufüh-ren und daher unvermeidbar. Das Sicherheitsmodul stellt auch die Sicherheitsfunktion SS1 in Verbindung mit SBC oder die Sicher-heitsfunktion SS2 zur Verfügung. Prüfen Sie, ob Sie diese Sicherheitsfunktionen in Ihrer Anwendungstatt STO mit SBC verwenden können oder dürfen.

Die sichere Bremsansteuerung kann ausschließlich bei Feststelleinheiten oder Haltebremsen einge-setzt werden, die im stromlosen Zustand einfallen. Das Öffnen der Feststelleinheit oder Haltebremseerfolgt dann durch die Zuführung von Energie. Achten Sie bei der Verwendung des Bremsausgangs des Grundgeräts auf die geschützte Verlegungder Leitungen. Ist die Belastbarkeit der sicheren Ausgänge des Sicherheitsmoduls ausreichend, ist ei-ne Querschlusserkennung mit Testimpulsen möglich. Die Logik zur Anforderung der Sicherheitsfunktion SBC ist im folgenden Blockschaltbild dargestellt:

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

71Festo — CAMC-G-S3 — 2019-12a

Page 72: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 27 Blockschaltbild SBC

Begriff/Abkürzung Erklärung

Safety Function SBC Sicherheitsfunktion SBC

#SH2_BRK_EN Grundgerät gibt sichere Bremsansteuerung frei

STO_SBC_RSF Internes Signal: Anforderung SBC durch STO

SS1_SBC_RSF Internes Signal: Anforderung SBC durch SS1

ERR_SBC_RSF Internes Signal: Anforderung SBC durch Fehlerreaktion

VIN_STO_RSF Virtueller Eingang: SBC anfordern

VIN_STO_CSF Virtueller Eingang: SBC Anforderung beenden

VIN_BRK_ACK Virtueller Eingang: Auswertung Rückmeldesignal sichere Bremsan-steuerung

TIMER + BRAKE FEED BACKDETECTION

Zeitgeber (Timer) und Auswertung Rückmeldung sichere Bremsan-steuerung

VOUT_SBC_BRK_ON Virtueller Ausgang: Bremsausgang schalten

VOUT_SBC_SFR Virtueller Ausgang: SBC angefordert

VOUT_SBC_SSR Virtueller Ausgang: SBC Sicherer Zustand erreicht

[54-0] SBC_ERR Internes Fehlersignal: Fehler 54-0

[54-6] 10D_ERR Internes Fehlersignal: Fehler 54-6

Tab. 34 Legende zu Blockschaltbild SBC

Die Sicherheitsfunktion SBC wird wie folgt angefordert:

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

72 Festo — CAMC-G-S3 — 2019-12a

Page 73: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Vom Anwender über eine beliebige Kombination von Eingangssignalen LIN_D..., die auf das SignalVIN_SBC_RSF geführt werden.

– Als Fehlerreaktion, gesteuert über das Fehlermanagement, Signal ERR_SBC_RSF. – Über die Sicherheitsfunktion STO, Signal STO_SBC_RSF. – Über die Sicherheitsfunktion SS1, Signal SS1_SBC_RSF.Die Anforderung der Sicherheitsfunktion SBC wird wie folgt aufgehoben:– Vom Anwender über eine Kombination verschiedener Eingänge, die auf das Signal VIN_SBC_CSF

geführt werden. – Durch Setzen des Parameters P17.03 wird die Sicherheitsfunktion nach Wegnahme der Anforde-

rung automatisch beendet.Jede Anforderung der Sicherheitsfunktion hat Priorität gegenüber dem Beenden der Anforderung. Dasbedeutet: Solange eines der Signale xxx_RSF (Request Safety Function) ansteht, kann die Sicherheits-funktion nicht durch ein Signal xxx_CSF (Clear Safety Function) beendet werden.Die Sicherheitsfunktion steuert die Abschaltung der sicheren Bremsansteuerung über das SignalVOUT_SBC_BRK_ON. Wenn die Sicherheitsfunktion angefordert wird, wird VOUT_SBC_BRK_ON = 1.VOUT_SBC_BRK_ON ist intern zusätzlich mit einem Steuersignal des Grundgerätes verknüpft, dassden Schaltzustand der Bremsansteuerung im Grundgerät wieder gibt. Die sichere sichere Bremsan-steuerung wird nur bestromt, wenn kein SBC angefordert wird und wenn das Grundgerät die Bremsefreigibt (#SH2_BRK_EN ist Low).

Nach einer Anforderung von SBC und anschließender Rücknahme wird die sichere Bremsansteuerungerst dann wieder bestromt, wenn das Grundgerät die Haltebremse freischaltet.So ist gewährleistet, dass auch z-Achsen mit hängender Last ohne Absacken wieder angefahren wer-den können.

Das Steuersignal VOUT_SBC_BRK_ON muss entweder auf die interne Bremsansteuerung des Motor-controllers (Steuersignal LOUT_BRAKE_CTRL, è 9.1.4 Logische Ausgänge LOUT) oder auf einen digi-talen Ausgang zur Steuerung einer externen Feststelleinheit (LOUT_D4x,è 9.1.4 Logische Ausgänge LOUT) geschaltet werden.

Um die Bremsansteuerung des Grundgerätes an [X6] in Verbindung mit SBC zu nutzen, konfigurierenSie den Ausgang „Interne Bremse“ des Sicherheitsmoduls:

Ausgang „Interne Bremse“ konfigurieren

Anforderung:

Standard-Parameter:

Tab. 35

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

73Festo — CAMC-G-S3 — 2019-12a

Page 74: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die Bremsansteuerung des Grundgerätes wird nun zusätzlich mittels Testimpulsen überwacht. Der Motorcontroller erkennt eine Abschaltung der sicheren Bremsansteuerung von außen; er führtggf. einen Quick-Stop aus und schaltet die Endstufe ab. Die Bremsansteuerung kann seitens des Mo-torcontrollers auch dauerhaft eingeschaltet werden (Verwendung der Parameter aus der Haltebrems-ansteuerung im Motorcontroller), so dass die Steuerung ausschließlich über das Sicherheitsmodul er-folgt.

Um die Bremsansteuerung des Grundgerätes [X6] unabhängig von SBC zu nutzen und SBC in Verbin-dung mit DOUT4x zu nutzen , konfigurieren Sie den Ausgang „Interne Bremse“ des Sicherheitsmodulsauf Dauer-EIN:

Ausgang „Interne Bremse“ auf Dauer-EIN konfigurieren

Anforderung:

Standard-Parameter:

Tab. 36

Konfigurieren Sie zusätzlich einen Ausgang, z. B. DOUT41, für die Ausgabe des Steuersignals für diesichere Bremsansteuerung:

Ausgang DOUT41 konfigurieren

Anforderung:

Standard-Parameter:

Tab. 37

Wenn die SBC-Funktion eine externe Feststelleinheit oder Haltebremse über eine digitalen Ausgangansteuert, können die Steuersignale für die Grundgerät-interne sichere Bremsansteuerung so konfigu-riert werden, dass SBC nicht mehr auf diese wirkt. Der Bremsausgang des Grundgerätes steht dann fürandere Funktionen zur Verfügung (=> Steuersignale FSM_BR+_EN und FSM_BR-_EN auf high parame-trierbar).Informationen zur Parametrierung des Bremsausgangs finden Sie in der è Beschreibung Funktionenzum CMMP-AS-...-M3, GDCP-CMMP-M3-FW-...Die Ansteuerung einer Feststelleinheit mit ihrem höheren Strombedarf (typisch 8A oder mehr) erfor-dert eine externe Beschaltung über zwei zwischengeschaltete Schütze mit zwangsgeführten Rückmel-

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

74 Festo — CAMC-G-S3 — 2019-12a

Page 75: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

dekontakten. Die Rückmeldung ist in diesem Fall separat zu verdrahten. Sie erfolgt in diesem Fall andas Sicherheitsmodul über einen digitalen Eingang, in der Regel DIN44.Zusätzlich generiert die SBC-Funktion die Statusmeldungen:– VOUT_SBC_SFR, Sicherheitsfunktion SBC angefordert. – VOUT_SBC_SSR, Sicherer Zustand SSBC erreicht (Verzögerung einstellbar über P17.01).

SBC Ausgangssignale Ruhezu-stand

Sicherheitsfunktion angefordert / erreicht

VOUT_SBC_BRK_ON 0 1

VOUT_SBC_SFR 0 1

VOUT_SBC_SSR 0 1 (verzögert P17.01)

Tab. 38 Ausgangssignale SBC

Fehlererkennung:Die Sicherheitsfunktion kann ein externes Rückmeldesignal auswerten und so kontrollieren, dass dieFeststelleinheit oder Haltebremse auch wirklich eingefallen ist. Die Auswertung erfolgt über den Ein-gang VIN_BRK_ACK, wenn diese Funktion über den Parameter P17.02 aktiviert wird. Über den Parameter P17.00 kann eine Verzögerungszeit für die Rückmeldung parametriert werden.Das Rückmeldesignal wird nach Ablauf der Verzögerung ausgewertet. Wenn keine Rückmeldung vor-liegt, wird die Fehlermeldung [54-0] SBC_ERR generiert.

HINWEIS!

Der Rückmeldeeingang VIN_BRK_ACK kann bei Verwendung des Bremsausgangs an [X6] auf den Rück-meldeeingang vom Grundgerät (Signal LIN_BRAKE_X6_FB) geschaltet werden. Dieses Signal bildetden Schaltzustand des sicheren Bremsausgangs am Grundgerät ab. Wenn an den Bremsausgang [X6] ein Motorkabel, aber keine Feststelleinheit oder Haltebremse ange-schlossen ist, kann es zu Störeinkopplungen in die offene Bremsleitung und damit zu einer falschenRückmeldung (Fehler [54-0]) kommen.• Deaktivieren Sie in diesem Fall den Rückmeldeeingang.

HINWEIS!

Der Rückmeldeeingang VIN_BRK_ACK muss bei Verwendung einer externen Feststelleinheit auf einensicheren digitalen Eingang gemappt werden.Es wird nur der Zustand „Bremse eingefallen“ (Pegelüberwachung des VIN_BRK_ACK) überwacht. EineÜberwachung der Rückmeldung bei „bestromter Bremse“ findet nicht statt.

Zusätzlich besitzt die SBC-Funktion eine integrierte Zeitüberwachung:Die SBC-Funktion darf für maximal 10 Tage angefordert werden. Die Feststelleinheit oder Haltebremsemuss also mindestens einmal innerhalb 10 Tagen geschaltet (gelüftet) werden, da die Leistungsschal-ter nur im eingeschalteten Zustand mittels Testimpulsen geprüft werden können.Die Feststelleinheit oder Haltebremse muss dann für mindestens 20 s geschaltet (gelüftet) bleiben, bisalle Selbsttests erfolgt sind.Bei Überschreitung des Zeitlimits wird der Fehler [54-6] 10D_ERR generiert.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

75Festo — CAMC-G-S3 — 2019-12a

Page 76: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die Zeiteinschränkung entfällt, wenn die SBC-Funktion in Verbindung mit einem sicheren Ausgang(DOUT40 … DOUT42) verwendet wird oder die Haltebremse nicht sicherheitsgerichtet verwendet wird.Die 10-Tage-Überwachung kann dann über den Expertenparameter P17.04 deaktiviert werden.

HINWEIS!

Im Auslieferungszustand des Sicherheitsmoduls ist die SBC-Funktion in Verbindung mit dem Ausgang[X6] immer konfiguriert, auch wenn Sie die SBC-Funktion nicht nutzen wollen. In folgendem Anwendungsfall kann eine Störeinkopplung in die offenen Bremsleitungen dazu führen,dass das Sicherheitsmodul Fehler 57-0 meldet: • Die Bremssteuerleitungen werden im Motorkabel geführt. • Motorseitig ist keine Haltebremse angeschlossen.In diesem Fall:• Bremssteuerleitungen an [X6] abklemmen• Bremssteuerleitungen an [PE] anschließen.

Ablauf:Der Ablauf der Sicherheitsfunktion SBC ist im folgenden Diagramm dargestellt:

Fig. 28 Ablaufdiagramm SBC

Begriff/Abkürzung Erklärung

Safety Function Request SFR Anforderung Sicherheitsfunktion

Safe State Reached SSR Sicherer Zustand erreicht

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

76 Festo — CAMC-G-S3 — 2019-12a

Page 77: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff/Abkürzung Erklärung

VIN_BRK_ACK Virtueller Eingang: Auswertung Rückmeldesignal Haltebremse

Tab. 39 Legende zu Ablaufdiagramm SBC

Bei Anforderung der Sicherheitsfunktion SBC vergehen folgende Zeiten für das Abschalten der Fest-stelleinheit oder Haltebremse (VOUT_SBC_BRK_ON) und die Rückmeldungen der Sicherheitsfunktion:

Verzögerungszeiten ab VIN_SBC_RSF Minimal Maximal Typisch

VOUT_SBC_BRK_ON 2,0 ms 2,1 ms 2,0 ms

VOUT_SBC_SFR 2,0 ms 2,1 ms 2,0 ms

VOUT_SBC_SSR 2,0 ms + P17.01 2,1 ms + P17.01 2,0 ms + P17.01

Fehler-Reaktionszeit bei fehlenderRückmeldung VIN_BRK_ACK

2,0 ms + P17.00 2,1 ms + P17.00 2,0 ms + P17.00

Tab. 40 Verzögerungszeiten SBC

Parameter für SBC

SBC: Sichere Bremsensteuerung

Nr. Name Beschreibung

P17.00 Verzögerungszeit Auswertung Bremsrück-meldung

Zeit, ab Anforderung der Sicherheitsfunk-tion, bis die Rückmeldung der Haltebrem-se erfolgen muss.

P17.01 Verzögerungszeit Meldung "Bremse ein-gefallen"

Verzögerungszeit ab Anforderung der Si-cherheitsfunktion, bis der Ausgang Siche-rer Zustand erreicht aktiv wird

P17.02 Rückmeldung Haltebremse auswerten Wenn 1: Rückmeldung der Haltebremseauswerten.

P17.03 Automatischer Wiederanlauf erlaubt Wenn 1: Wegnahme der Anforderung(Wiederanlauf) bei inaktivem Anforde-rungseingang

Expertenparameter

P17.04 Zyklischer Test/10-Tage-Überwachungdeaktivieren

Auf 0 setzen, wenn für SBC der Halte-bremsausgang am Grundgerät verwendetwird Auf 1 setzen, wenn für SBC eine ex-terne Bremse über DOUT4x angesteuertwird Wenn 1: Der zyklische Test der Bremsan-steuerung und 10-Tage-Überwachung fürBetätigung der Haltebremse durch das GGwird deaktiviert. Der sichere Bremsaus-

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

77Festo — CAMC-G-S3 — 2019-12a

Page 78: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

SBC: Sichere Bremsensteuerung

Nr. Name Beschreibung

gang des GG kann als "normaler" DOUTmit hoher Strombelastbarkeit verwendetwerden.

Tab. 41 SBC: Sichere Bremsensteuerung

3.5.3 SS1 – Sicherer Stopp 1 (Safe Stop 1)

Anwendung

0

v

s

t

SS1 STO

Fig. 29 Symbol SS1

Die Funktion realisiert die Sicherheitsfunktion SS1 nach EN 61800-5-2. Nutzen Sie die Funktion "Si-cherer Stopp 1" („Safe Stop 1“, SS1), wenn Sie in Ihrer Anwendung den Motor abbremsen und danachdie Energiezufuhr zum Motor sicher abschalten müssen, aber keine weiteren Anforderungen für eingezieltes Stillsetzen des Antriebs bestehen (vergl. Stopp-Kategorie 1 aus EN 60204-1).Es werden die drei in der Norm beschriebenen Ausprägungen unterstützt:a) Auslösen und Steuern der Größe der Motorverzögerung innerhalb festgelegter Grenzen und Auslö-sen der STO-Funktion, wenn die Motordrehzahl unter einen festgelegten Grenzwert fällt. è Der Antrieb wird an einer Bremsrampe bis zur Stillstandserkennung (P06.09) geführt, dann wird dieEndstufe abgeschaltet.b) Auslösen und Überwachen der Größe der Motorverzögerung innerhalb festgelegter Grenzen undAuslösen der STO-Funktion, wenn die Motordrehzahl unter einen festgelegten Grenzwert fällt.è  Das Sicherheitsmodul aktiviert einen Schnellhalt im Grundgerät, die Bremsrampe wird überwacht,dann wird die Endstufe abgeschaltet.c) Auslösen der Motorverzögerung und nach einer anwendungsspezifischen Zeitverzögerung Auslösender STO-Funktion.è  Das Sicherheitsmodul liefert eine Statusmeldung, das Grundgerät muss von der funktionalenSteuerung abgebremst werden, nach einer Wartezeit wird die Endstufe abgeschaltet.

Die Funktion SS1 ist über die Werkseinstellung (Vorparametrierung) aktiviert. Solange die Funktion durch andere Funktionen genutzt wird (Fehlerreaktion bei Verletzung andererangeforderter Sicherheitsfunktionen) ist sie grundsätzlich nicht abwählbar.

FunktionBei Anforderung der Sicherheitsfunktion SS1 überwacht diese, dass der Antrieb innerhalb einer defi-nierten Zeit anhand einer definierten Bremsrampe bis zum Stillstand abgebremst wird. Nach Ablaufder definierten Zeit wird STO ausgelöst und die Leistungsendstufe wird sicher abgeschaltet.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

78 Festo — CAMC-G-S3 — 2019-12a

Page 79: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

HINWEIS!

Bei hängenden Lasten kommt es in der Regel zu einem Absacken, wenn nach Ablauf der Bremsrampesofort STO angefordert wird. Daher kann die SS1-Funktion auch SBC auslösen, so dass eine vorhandene Feststelleinheit oder Halte-bremse einfällt und ein Absacken einer Achse vemieden wird. SBC löst dann wiederum STO aus (Ver-kettung der Sicherheitsfunktionen SS1 →SBC → STO).

Die Logik zur Anforderung der Sicherheitsfunktion SS1 ist im folgenden Blockschaltbild dargestellt:

Fig. 30 Blockschaltbild SS1

Begriff/Abkürzung Erklärung

Safety Function SS1 Sicherheitsfunktion SS1

ERR_SS1_RSF Internes Signal: Anforderung SS1 durch Fehlerreaktion

VIN_SS1_RSF Virtueller Eingang: SS1 anfordern

VIN_SS1_CSF Virtueller Eingang: SS1 Anforderung beenden

ACTUAL SPEED Internes Signal: aktuelle Geschwindigkeit

TIMER + SPEED RAMP GE-NERATOR

Zeitgeber (Timer) und Berechnung Geschwindigkeitsrampen

VOUT_SS1_SFR Virtueller Ausgang: SS1 angefordert

VOUT_SS1_SSR Virtueller Ausgang: SS1 Sicherer Zustand erreicht

[54-4] SS1_ERR Internes Fehlersignal: Fehler 54-4

SPEED_LIMIT Internes Signal: Begrenzung Geschwindigkeit im Grundgerät

SS1_STO_RSF Internes Signal: Anforderung STO durch SS1

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

79Festo — CAMC-G-S3 — 2019-12a

Page 80: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff/Abkürzung Erklärung

SS1_SBC_RSF Internes Signal: Anforderung SBC durch SS1

Tab. 42 Legende zu Blockschaltbild SS1

Die Sicherheitsfunktion SS1 wird wie folgt angefordert:– Vom Anwender über eine beliebige Kombination von Eingangssignalen LIN_D..., die auf das Signal

VIN_SS1_RSF geführt werden. – Als Fehlerreaktion, gesteuert über das Fehlermanagement, Signal ERR_SS1_RSF.Die Anforderung der Sicherheitsfunktion SS1 wird wie folgt aufgehoben:– Vom Anwender über eine Kombination verschiedener Eingänge, die auf das Signal VIN_SS1_CSF

geführt werden. – Durch Setzen des Parameters „Automatischer Wiederanlauf erlaubt“ (P0C.08) wird die Sicher-

heitsfunktion nach Wegnahme der Anforderung automatisch beendet.Jede Anforderung der Sicherheitsfunktion hat Priorität gegenüber dem Beenden der Anforderung. Dasbedeutet: Solange eines der Signale xxx_RSF (Request Safety Function) ansteht, kann die Sicherheits-funktion nicht durch ein Signal xxx_CSF (Clear Safety Function) beendet werden.Die Sicherheitsfunktion steuert direkt folgende Sicherheitsfunktionen an:– STO über das Signal SS1_STO_SFR. – SBC über das Signal SS1_SBC_SFR.Bei Beendigung der Anforderung der Funktion SS1 werden die direkt folgenden Sicherheitsfunktionenautomatisch mit beendet.Darüber hinaus liefert die SS1-Funktion auch einige Steuersignale zur Ansteuerung des Grundgerätes:– Begrenzungen für die Geschwindigkeit im Grundgerät, SPEED_LIMIT. – Ein Steuersignal zum Auslösen der Schnellhaltrampe im Grundgerät (im Blockschaltbild nicht dar-

gestellt).Zusätzlich generiert die SS1-Funktion die Statusmeldungen:– VOUT_SS1_SFR, Sicherheitsfunktion SS1 angefordert. – VOUT_SS1_SSR, Sicherer Zustand SS1 erreicht

SS1 Ausgangssignale Ruhezustand Sicherheitsfunktion angefordert / erreicht

VOUT_SS1_SFR 0 1

VOUT_SS1_SSR 0 1 (verzögert über P0C.01 + P0C.0C + P0C.0B)

Tab. 43 Ausgangssignale SS1

FehlererkennungDie Sicherheitsfunktion vergleicht die aktuelle Geschwindigkeit (ACTUAL_SPEED) zyklisch mit der be-rechneten Geschwindigkeitsrampe. Wenn die aktuelle Geschwindigkeit für eine parametrierbare Zeit„Toleranzzeit bei Grenzwertüberschreitung“ (P0C.02) außerhalb des erlaubten Geschwindigkeitsberei-ches liegt, wird der Fehler [54-4] SS1_ERR ausgelöst. Der Status „Sicherheitsbedingung verletzt“ wird bei SS1 nicht zurückgenommen, wenn sich der An-trieb nach einer temporären Verletzung wieder im erlaubten Bereich befindet.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

80 Festo — CAMC-G-S3 — 2019-12a

Page 81: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die EN 61800-5-2 fordert im Falle einer Verletzung der Sicherheitsbedingung als Fehlerreaktion"STO". In einigen Anwendungen können aber auch andere Fehlerreaktionen sinnvoll sein, z. B. "STO +SBC" è 3.8.2 Parametrierung der Fehlerreaktion des Sicherheitsmoduls.

AblaufDer Ablauf der Sicherheitsfunktion SS1 ist im folgenden Diagramm dargestellt:

Fig. 31 Ablaufdiagramm SS1

Begriff/Abkürzung Erklärung

Safety Function Request SFR Anforderung Sicherheitsfunktion

Monitoring Überwachung

SFR (SBC) Anforderung SBC

Safe State Reached SSR Sicherer Zustand erreicht

Initial setting for speed ramp Startwerte für die Geschwindigkeitsrampe

nist Ist-Geschwindigkeit

Tab. 44 Legende zu Ablaufdiagramm SS1

Das Ablaufdiagramm und die nachfolgende Beschreibung gelten für eine positive Geschwindigkeit nist.Für eine negative Geschwindigkeit gilt dies entsprechend, dabei wird nist von einer negativen Drehzahlauf Null verzögert.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

81Festo — CAMC-G-S3 — 2019-12a

Page 82: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Nach dem Anfordern von SS1 wird vom Sicherheitsmodul eine Bremsrampe für die Überwachung desBremsvorgangs gestartet:– Über „Verzögerungszeit, bis Überwachung startet“ (P0C.00) wird eine Verzögerungszeit definiert.

Erst nach dieser Zeit wird die Einhaltung der aktuellen Geschwindigkeitsgrenzwerte überwacht. – Über „Zeit für Bremsrampe“ (P0C.01) wird die Dauer der Bremsrampe bestimmt. – Wenn „Automatische Aktivierung SBC“ (P0C.09) aktiviert wurde, wird nach Ablauf der „Zeit für

Bremsrampe“ (P0C.01) die Sicherheitsfunktion SBC ausgelöst, sonst wird STO ausgelöst.– Nur bei Auslösung SBC (P0C.09 = 1):

Die mechanische Verzögerungszeit der Feststelleinheit oder Haltebremse kann über „Verzögerungnach Ablauf P0C.01 bis STO ausgelöst wird“ (P0C.0B) berücksichtigt werden. Nach Ablauf der ZeitP0C.01 + P0C.0B wird STO ausgelöst und die Meldung VOUT_SS1_SSR wird gesetzt.Die Zeit P0C.0b wird immer abgewartet, auch wenn P0C.01 = 0 ist.

– Der Startwert der Überwachungsbremsrampe, nmax, wird nach der Formel im Diagramm berech-net, er ist über „Bremsrampe - Startwert Faktor“ (P0C.03) und „Bremsrampe - Startwert Offset“(P0C.04) parametrierbar. Die Rampe endet bei Geschwindigkeit = 0.Toleranz ist durch den Grenzwert „Geschwindigkeitsschwellenwert für Stillstandserkennung“(P06.09) vorgegeben.

– Über „Bremsrampe - Verzögerungszeit bis Start“ (P0C.05) kann eine Verzögerungszeit für denStart der Bremsrampe parametriert werden.

Wenn der Bremsvorgang bei SS1 nicht über das Sicherheitsmodul gesteuert werden soll, sondernüber die funktionale Steuerung, kann über P0C.05 eine Verzögerung der Rampe parametriert werden,um so die Reaktionszeit der Steuerung auszugleichen.

Über den Parameter „Geschwindigkeit im Grundgerät aktiv begrenzen“ (P0C.06) wird die aktive Be-grenzung der Geschwindigkeit im Grundgerät eingeschaltet:– Es werden zyklisch aktuelle Geschwindigkeitsgrenzen ans Grundgerät übertragen. Die Geschwin-

digkeitsgrenzen müssen einen Sicherheitsabstand zu den Überwachungsgrenzen haben, dieserwird über den Parameter „Geschwindigkeitsoffset für die Begrenzung im Grundgerät“ (P0C.0A)eingestellt.

– Am Ende der Überwachungsbremsrampe ist die Geschwindigkeitsgrenze = 0. – Das Grundgerät begrenzt aktiv den Geschwindigkeitssollwert und je nach Parametrierung auch

die Verfahrgeschwindigkeit laufender Positioniervorgänge.Über den Parameter „Schnellhaltrampe im Grundgerät aktivieren“ (P0C.07) wird der Schnellhalt imGrundgerät aktiviert:– Beim Anfordern von SS1 wird automatisch die Schnellhaltrampe im Grundgerät aktiviert, der An-

trieb bremst mit der Schnellhaltrampe auf Null.

HINWEIS!

Um eine Verletzung der Sicherheitsbedingung beim Bremsen über die Schnellhaltrampe des Grundge-rätes zu vermeiden:• Stellen Sie sicher, dass die über „Zeit für Bremsrampe“ (P0C.01) parametrierte Rampenzeit größer

ist, als die Bremszeit des Grundgerätes an der Schnellhaltrampe aus maximaler Geschwindigkeit. Das SafetyTool weist bei der Parametrierung auf einen möglichen Konflikt hin.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

82 Festo — CAMC-G-S3 — 2019-12a

Page 83: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Nach Beenden der Anforderung der SS1-Funktion werden die internen Steuersignale für den Schnell-halt und die Geschwindigkeitsbegrenzung im Grundgerät wieder zurückgesetzt.

Hinweise zur Parametrierung Modus a), b) und c) nach EN 61800-5-2

Modus Parametrierung

Modus a) „Geschwindigkeit im Grundgerät aktiv begrenzen“ (P0C.06) setzen.Das Sicherheitsmodul steuert die Bremsrampe im Grundgerät anhand der im Si-cherheitsmodul gesetzten Parameter für die Rampe.

Modus b) „Schnellhaltrampe im Grundgerät aktivieren“ (P0C.07) setzen.Das Sicherheitsmodul veranlasst das Grundgerät, mit der Schnellhaltrampe zubremsen und überwacht aber gleichzeitig die im Sicherheitsmodul eingestellteBremsrampe.

Modus c) Keine Bremsrampe parametrieren:Die funktionale Steuerung muss die Achse abbremsen, dafür muss das SignalVOUT_SS1_SFR oder die Sammelmeldung VOUT_SFR an die funktionale Steuerunggemeldet werden è Abschnitt B.1.5.Über „Verzögerungszeit, bis Überwachung startet“ (P0C.00) die gewünschte Zeiteinstellen, bis die Achse steht und die SS1-Überwachung greifen soll, auf jeden Fallgrößer als 4 ms. Vorher wird auch keine Bremsrampe überwacht.„Zeit für Bremsrampe“ (P0C.01), „Drehzahlrampe - Verzögerungszeit Überwa-chung“ (P0C.0C) und „Verzögerungszeit nach Erreichen n = 0 bis STO ausgelöstwird“ (PC.0B) auf den Minimalwert stellen (je 2 ms).

Tab. 45 Parametrierung Modus a), b) und c) nach EN 61800-5-2

Ab der Anforderung der Sicherheitsfunktion SS1 vergehen folgende Zeiten, bis die Sicherheitsfunktionaktiv geschaltet und Fehler erkannt werden:

Verzögerungszeiten ab VIN_SS1_RSF Minimal Maximal Typisch

VOUT_SS1_SFR 2,0 ms 2,1 ms 2,0 ms

VOUT_SS1_SSR 2,0 ms +P0C.01+ P0C.0B + P0C.0C

2,1 ms +P0C.01 + P0C.0B + P0C.0C

2,0 ms +P0C.01+ P0C.0B+ P0C.0C

Erkennung einer Verletzung der Sicherheitsbe-dingung nach VOUT_SBC_SFR

2,0 ms +P0C.00 + P0C.02

2,1 ms +P0C.00 + P0C.02

2,0 ms +P0C.00+ P0C.02

Tab. 46 Verzögerungszeiten SS1

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

83Festo — CAMC-G-S3 — 2019-12a

Page 84: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Parametrieren Sie P0C.00 kleiner als die Bremsrampe bis STO (P0C.01 + P0C.0B + P0C.0C). Wird die „Verzögerungszeit, bis die Überwachung startet“ (P0C.00) größer als die gesamte Bremsram-pe bis STO (P0C.01 + P0C.0B + P0C.0C) parametriert, dann wird STO und damit die Meldung SS1_SSRauch erst nach 2,1 ms + P0C.00 erreicht.

Parameter für SS1

SS1: Sicherer Stopp 1

Nr. Name Beschreibung

P0C.00 Verzögerungszeit, bis Überwachung star-tet

Zeit, ab Anforderung der Sicherheitsfunk-tion, in der keine Drehzahlüberwachungstatt findet

P0C.01 Zeit für Bremsrampe Zeit, ab Anforderung der Sicherheitsfunk-tion, nach deren Ablauf die Drehzahlram-pen angehalten werden und der sichereZustand erreicht ist.

P0C.02 Toleranzzeit bei Grenzwertüberschreitung Zeitintervall, während dessen der Dreh-zahlistwert außerhalb der Grenzen liegendarf, bevor der Zustand "Sicherheitsbe-dingung verletzt" erreicht ist.

P0C.06 Geschwindigkeit im Grundgerät aktiv be-grenzen

Wenn gesetzt: Drehzahl des Grundgerätessteuern

P0C.07 Schnellhaltrampe im Grundgerät aktivie-ren

Wenn gesetzt: Bei Anforderung der Si-cherheitsfunktion wird das Schnellhalt-Kommando (Steuerleitung) an das Grund-gerät abgesetzt

P0C.08 Automatischer Wiederanlauf erlaubt Wenn gesetzt: Wegnahme der Anforde-rung (Wiederanlauf) bei inaktivem Anfor-derungseingang

P0C.09 Automatische Aktivierung SBC Wenn gesetzt: Bei Erreichen des Still-stands oder nach Ablauf der Verzöge-rungszeit wird die sichere Bremsansteue-rung aktiviert.

Expertenparameter

P0C.0C Drehzahlrampe - Verzögerungszeit Über-wachung

Verzögerungszeit zwischen der Drehzahl-rampe, die in das Grundgerät geschriebenwird, und dem Start der Überwachungdurch das Sicherheitsmodul.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

84 Festo — CAMC-G-S3 — 2019-12a

Page 85: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

SS1: Sicherer Stopp 1

Nr. Name Beschreibung

P0C.0B Verzögerung nach Ablauf P0C.01 bis STOausgelöst wird

Zeit nach deren Ablauf am Ende desBremsvorgangs STO ausgelöst wird.

P0C.05 Bremsrampe - Verzögerungszeit bis Start Verzögerungszeit, nach deren Ablauf dieRampen starten.

P0C.03 Bremsrampe - Startwert Faktor Faktor zur Berechnung des Startwertesder Drehzahl-Rampen.

P0C.04 Bremsrampe - Startwert Offset Offset zur Berechnung des Startwertesder Drehzahl-Rampen.

P0C.0A Geschwindigkeitsoffset für die Begren-zung im Grundgerät

Offset für Drehzahlgrenzen zum Steuerndes Grundgeräts.

Tab. 47 SS1: Sicherer Stopp 1

3.5.4 SS2 – Sicherer Stopp 2 (Safe Stop 2)

Anwendung

0

v

s

t

SS2 SOS

Fig. 32 Symbol SS2

Die Funktion realisiert die Sicherheitsfunktion SS2 nach EN 61800-5-2. Nutzen Sie die Funktion "Si-cherer Stopp 2" („Safe Stop 2“, SS2), wenn Sie in Ihrer Anwendung den Motor abbremsen und danachverhindern müssen, dass der Motor um mehr als einen festgelegten Betrag von der Halteposition ab-weicht (vergl. Stopp-Kategorie 2 aus EN 60204-1).Es werden die drei in der Norm beschriebenen Ausprägungen unterstützt:a) Auslösen und Steuern der Größe der Motorverzögerung innerhalb festgelegter Grenzen und Auslö-sen der SOS-Funktion, wenn die Motordrehzahl unter einen festgelegten Grenzwert fällt. è Der Antrieb wird an einer Bremsrampe bis zur Stillstandserkennung (P06.09) geführt, dann wird einsicherer Betriebshalt ausgeführt. b) Auslösen und Überwachen der Größe der Motorverzögerung innerhalb festgelegter Grenzen undAuslösen der SOS-Funktion, wenn die Motordrehzahl unter einen festgelegten Grenzwert fällt.è  Das Sicherheitsmodul aktiviert einen Schnellhalt im Grundgerät, die Bremsrampe wird überwacht,dann wird ein sicherer Betriebshalt ausgeführt. c) Auslösen der Motorverzögerung und nach einer anwendungsspezifischen Zeitverzögerung Auslösender SOS-Funktion.è Das Sicherheitsmodul liefert eine Statusmeldung, das Grundgerät muss von der funktionalenSteuerung abgebremst werden, nach einer Wartezeit wird die Sicherheitsfunktion SOS aktiviert.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

85Festo — CAMC-G-S3 — 2019-12a

Page 86: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die Funktion SS2 kann auch als Fehlerreaktion bei Verletzung anderer angeforderter Sicherheitsfunk-tionen genutzt werden. Hierfür muss die Funktion aktiviert und parametriert werden.

FunktionBei Anforderung der Sicherheitsfunktion SS2 überwacht diese, dass der Antrieb innerhalb einer defi-nierten Zeit anhand einer definierten Bremsrampe bis zum Stillstand abgebremst wird. Nach Ablaufder definierten Zeit wird SOS ausgelöst und damit ein sicherer Betriebshalt ausgeführt.Die Logik zur Anforderung der Sicherheitsfunktion SS2 ist im folgenden Blockschaltbild dargestellt:

Fig. 33 Blockschaltbild SS2

Begriff/Abkürzung Erklärung

Safety Function SS2 Sicherheitsfunktion SS2

ERR_SS2_RSF Internes Signal: Anforderung SS2 durch Fehlerreaktion

VIN_SS2_RSF Virtueller Eingang: SS2 anfordern

VIN_SS2_CSF Virtueller Eingang: SS2 Anforderung beenden

ACTUAL SPEED Internes Signal: aktuelle Geschwindigkeit

TIMER + SPEED RAMP GE-NERATOR

Zeitgeber (Timer) und Berechnung Geschwindigkeitsrampen

VOUT_SS2_SFR Virtueller Ausgang: SS2 angefordert

VOUT_SS2_SSR Virtueller Ausgang: SS2 Sicherer Zustand erreicht

[54-2] SS2_ERR Internes Fehlersignal: Fehler 54-2

SPEED_LIMIT Internes Signal: Begrenzung Geschwindigkeit im Grundgerät

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

86 Festo — CAMC-G-S3 — 2019-12a

Page 87: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff/Abkürzung Erklärung

SS2_SOS_RSF Internes Signal: Anforderung SOS durch SS2

Tab. 48 Legende zu Blockschaltbild SS2

Die Sicherheitsfunktion SS2 wird wie folgt angefordert:– Vom Anwender über eine beliebige Kombination von Eingangssignalen LIN_D..., die auf das Signal

VIN_SS2_RSF geführt werden. – Als Fehlerreaktion, gesteuert über das Fehlermanagement, Signal ERR_SS2_RSF.Die Anforderung der Sicherheitsfunktion SS2 wird wie folgt aufgehoben:– Vom Anwender über eine Kombination verschiedener Eingänge, die auf das Signal VIN_SS2_CSF

geführt werden. – Durch Setzen des Parameters „Automatischer Wiederanlauf erlaubt“ (P0D.08) wird die Sicher-

heitsfunktion nach Wegnahme der Anforderung automatisch beendet.Jede Anforderung der Sicherheitsfunktion hat Priorität gegenüber dem Beenden der Anforderung. Dasbedeutet: Solange eines der Signale xxx_RSF (Request Safety Function) ansteht, kann die Sicherheits-funktion nicht durch ein Signal xxx_CSF (Clear Safety Function) beendet werden. Die Sicherheitsfunktion steuert direkt folgende Sicherheitsfunktionen an:– SOS über das Signal SS2_SOS_RSF.Bei Beendigung der Anforderung der Funktion SS2 werden die direkt folgenden Sicherheitsfunktionenautomatisch mit beendet.Darüber hinaus liefert die SS2-Funktion auch einige Steuersignale zur Ansteuerung des Grundgerätes:– Begrenzungen für die Geschwindigkeit im Grundgerät, SPEED_LIMIT. – Ein Steuersignal zum Auslösen der Schnellhaltrampe im Grundgerät (im Blockschaltbild nicht dar-

gestellt).Zusätzlich generiert die SS2-Funktion die Statusmeldungen:– VOUT_SS2_SFR, Sicherheitsfunktion SS2 angefordert. – VOUT_SS2_SSR, Sicherer Zustand SS2 erreicht

SS2 Ausgangssignale Ruhezu-stand

Sicherheitsfunktion angefordert / erreicht

VOUT_SS2_SFR 0 1

VOUT_SS2_SSR 0 1 (verzögert über P0D.01 + P0D.0A)

Tab. 49 Ausgangssignale SS2

FehlererkennungDie Sicherheitsfunktion vergleicht die aktuelle Geschwindigkeit (ACTUAL_SPEED) zyklisch mit der be-rechneten Geschwindigkeitsrampe. Wenn die aktuelle Geschwindigkeit für eine parametrierbare Zeit„Toleranzzeit bei Grenzwertüberschreitung“ (P0D.02) außerhalb des erlaubten Geschwindigkeitsbe-reiches liegt, wird der Fehler [54-2] SS2_ERR ausgelöst. Der Status „Sicherheitsbedingung verletzt“ wird bei SS2 nicht zurückgenommen, wenn sich der An-trieb nach einer temporären Verletzung wieder im erlaubten Bereich befindet. Sobald der Antrieb bis zum Stillstand abgebremst ist, wird die Sicherheitsfunktion SOS angefordert,die über eine eigene Fehlererkennung (Positionsüberwachung) verfügt.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

87Festo — CAMC-G-S3 — 2019-12a

Page 88: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die EN 61800-5-2 fordert im Falle einer Verletzung der Sicherheitsbedingung als Fehlerreaktion"STO". In einigen Anwendungen können aber auch andere Fehlerreaktionen sinnvoll sein, z. B. "STO +SBC" è 3.8.2 Parametrierung der Fehlerreaktion des Sicherheitsmoduls.

AblaufDer Ablauf der Sicherheitsfunktion SS2 ist im folgenden Diagramm dargestellt:

Fig. 34 Ablaufdiagramm SS2

Begriff/Abkürzung Erklärung

Safety Function Request SFR Anforderung Sicherheitsfunktion

Monitoring Überwachung

Safe State Reached SSR Sicherer Zustand erreicht

Initial setting for speed ramp Startwerte für die Geschwindigkeitsrampe

nist Ist-Geschwindigkeit

Tab. 50 Legende zu Ablaufdiagramm SS2

Das Ablaufdiagramm und die nachfolgende Beschreibung gelten für eine positive Geschwindigkeit nist,für eine negative Geschwindigkeit gilt das an der Zeitachse gespiegelte Diagramm.

Nach dem Anfordern von SS2 wird vom Sicherheitsmodul eine Bremsrampe gestartet:– Über „Verzögerungszeit, bis Überwachung startet“ (P0D.00) wird eine Verzögerungszeit definiert.

Erst nach dieser Zeit wird die Einhaltung der aktuellen Geschwindigkeitsgrenzwerte überwacht.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

88 Festo — CAMC-G-S3 — 2019-12a

Page 89: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Über „Zeit für Bremsrampe“ (P0D.01) wird die Dauer der Bremsrampe bestimmt. – Der Startwert der Überwachungsbremsrampe, nmax, wird nach der Formel im Diagramm berech-

net, er ist über „Bremsrampe - Startwert Faktor“ (P0D.03) und „Bremsrampe - Startwert Offset“(P0D.04) parametrierbar. Die Rampe endet bei Geschwindigkeit = 0 (Toleranz ist durch den Grenz-wert für die Stillstandserkennung „Geschwindigkeitsschwellenwert für Stillstandserkennung“(P06.09) vorgegeben).

– Über „Bremsrampe - Verzögerungszeit bis Start“ (P0D.05) kann eine Verzögerungszeit für denStart der Bremsrampe parametriert werden.

Wenn der Bremsvorgang bei SS2 nicht über das Sicherheitsmodul gesteuert werden soll, sondernüber die Funktionale Steuerung, kann über P0D.05 eine Verzögerung der Rampe parametriert werden,um so die Reaktionszeit der Steuerung auszugleichen.

Über den Parameter „Geschwindigkeit im Grundgerät aktiv begrenzen“ P0D.06 wird die aktive Begren-zung der Geschwindigkeit im Grundgerät eingeschaltet:– Es werden zyklisch aktuelle Geschwindigkeitsgrenzen ans Grundgerät übertragen. Die Geschwin-

digkeitsgrenzen müssen einen Sicherheitsabstand zu den Überwachungsgrenzen haben, dieserwird über den Parameter „Geschwindigkeitsoffset für die Begrenzung im Grundgerät“ (P0D.09)eingestellt.

– Am Ende der Überwachungsbremsrampe ist die Geschwindigkeitsgrenze = 0. – Das Grundgerät begrenzt aktiv den Geschwindigkeitssollwert und je nach Parametrierung auch

die Verfahrgeschwindigkeit laufender Positioniervorgänge.Über den Parameter „Schnellhaltrampe im Grundgerät aktivieren“ (P0D.07) wird der Schnellhalt imGrundgerät aktiviert:– Beim Anfordern von SS2 wird automatisch die Schnellhaltrampe im Grundgerät aktiviert, der An-

trieb bremst mit der Schnellhaltrampe auf Null.

HINWEIS!

Um eine Verletzung der Sicherheitsbedingung beim Bremsen über die Schnellhaltrampe des Grundge-rätes zu vermeiden:• Stellen Sie sicher, dass die über P0D.01 parametrierte Rampenzeit größer ist, als die Bremszeit

des Grundgerätes an der Schnellhaltrampe aus maximaler Geschwindigkeit. Das SafetyTool weist Sie bei der Parametrierung auf einen möglichen Konflikt hin.

Nach Beenden der Anforderung der SS2-Funktion werden die internen Steuersignale für den Schnell-halt und die Geschwindigkeitsbegrenzung im Grundgerät wieder zurückgesetzt.

Hinweise zur Parametrierung Modus a), b) und c) nach EN 61800-5-2

Modus Parametrierung

Modus a) „Geschwindigkeit im Grundgerät aktiv begrenzen“ (P0D.06) setzen.Das Sicherheitsmodul steuert die Bremsrampe im Grundgerät anhand der im Si-cherheitsmodul gesetzten Parameter für die Rampe.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

89Festo — CAMC-G-S3 — 2019-12a

Page 90: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Modus Parametrierung

Modus b) „Schnellhaltrampe im Grundgerät aktivieren“ (P0D.07) setzen.Das Sicherheitsmodul veranlasst das Grundgerät, mit der Schnellhaltrampe zubremsen und überwacht gleichzeitig die im Sicherheitsmodul eingestellte Brems-rampe.

Modus c) Keine Bremsrampe parametrieren:Die funktionale Steuerung muss die Achse abbremsen, dafür muss das SignalVOUT_SS2_SFR oder die Sammelmeldung VOUT_SFR an die funktionale Steuerunggemeldet werdenè 9.1.5 Statusworte für den Datenaustausch / Diagnose über Feldbusse.Über „Verzögerungszeit, bis Überwachung startet“ (P0D.00) die gewünschte Zeiteinstellen, bis die Achse steht und die SS2-Überwachung greifen soll, auf jeden Fallgrößer als 4 ms. Vorher wird auch keine Bremsrampe überwacht.„Zeit für Bremsrampe“ (P0D.01) und „Drehzahlrampe - Verzögerungszeit Überwa-chung“ (P0D.0A) auf den Minimalwert stellen (je 2ms).

Tab. 51 Parametrierung Modus a), b) und c) nach EN 61800-5-2

Ab Anforderung der Sicherheitsfunktion SS2 vergehen folgende Zeiten, bis die Sicherheitsfunktion ak-tiv geschaltet und Fehler erkannt werden:

Verzögerungszeiten ab VIN_SS2_RSF Minimal Maximal Typisch

VOUT_SS2_SFR 2,0 ms 2,1 ms 2,0 ms

VOUT_SS2_SSR 2,0 ms +P0D.01+ P0D.0A

2,1 ms +P0D.01+ P0D.0A

2,0 ms +P0D.01+ P0D.0A

Erkennung einer Verletzung der Sicherheitsbe-dingung nach VOUT_SS2_SFR

2,0 ms +P0D.00 + P0D.02

2,0 ms +P0D.00 + P0D.02

2,0 ms +P0D.00 + P0D.02

Tab. 52 Verzögerungszeiten SS2

Parametrieren Sie P0D.00 kleiner als die Bremsrampe bis SOS (P0D.01 + P0D.0A). Wird die „Verzögerungszeit, bis die Überwachung startet“ (P0D.00) größer als die gesamte Bremsram-pe bis SOS (P0D.01 + P0D.0A) parametriert, dann wird SOS und damit die Meldung SS2_SSR entspre-chend auch erst nach 2,1 ms + P0D.00 erreicht.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

90 Festo — CAMC-G-S3 — 2019-12a

Page 91: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Parameter für SS2

SS2: Sicherer Stopp 2

Nr. Name Beschreibung

P0D.00 Verzögerungszeit, bis Überwachungstartet

Zeit, ab Anforderung der Sicherheitsfunktion, inder keine Drehzahlüberwachung statt findet.Für SS2 werden die Überwachungsgrenzen derSOS-Funktion verwendet.

P0D.01 Zeit für Bremsrampe Zeit, ab Anforderung der Sicherheitsfunktion,nach deren Ablauf die Drehzahlrampen angehal-ten werden und der sichere Zustand erreicht ist.

P0D.02 Toleranzzeit bei Grenzwertüber-schreitung

Zeitintervall, während dessen der Drehzahlist-wert außerhalb der Grenzen liegen darf, bevorder Zustand "Sicherheitsbedingung verletzt" er-reicht ist.

P0D.06 Geschwindigkeit im Grundgerät ak-tiv begrenzen

Wenn gesetzt: Drehzahl des Grundgerätes steu-ern

P0D.07 Schnellhaltrampe im Grundgerät ak-tivieren

Wenn gesetzt: Bei Anforderung der Sicherheits-funktion wird das Schnellhalt-Kommando (Steu-erleitung) an das Grundgerät abgesetzt

P0D.08 Automatischer Wiederanlauf erlaubt Wenn gesetzt: Wegnahme der Anforderung (Wie-deranlauf) bei inaktivem Anforderungseingang

Expertenparameter

P0D.0A Drehzahlrampe - VerzögerungszeitÜberwachung

Verzögerungszeit zwischen Beginn der Drehzahl-rampe, die in das Grundgerät geschrieben wird,und dem Start der Überwachung durch das Si-cherheitsmodul.

P0D.05 Bremsrampe - Verzögerungszeit bisStart

Verzögerungszeit, nach deren Ablauf die Rampenstarten.

P0D.03 Bremsrampe - Startwert Faktor Faktor zur Berechnung des Startwertes der Dreh-zahl-Rampen

P0D.04 Bremsrampe - Startwert Offset Offset zur Berechnung des Startwertes der Dreh-zahl-Rampen

P0D.09 Geschwindigkeitsoffset für die Be-grenzung im Grundgerät

Offset für Drehzahlgrenzen zum Steuern desGrundgeräts.

Tab. 53 SS2: Sicherer Stopp 2

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

91Festo — CAMC-G-S3 — 2019-12a

Page 92: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

3.5.5 SOS – Sicherer Betriebshalt (Safe Operating Stop)

Anwendung

0

v

s

t

SOS

Fig. 35 Symbol SOS

Die Funktion realisiert die Sicherheitsfunktion SOS nach EN 61800-5-2. Nutzen Sie die Funktion "Si-cherer Betriebshalt" („Safe Operating Stop“, SOS), wenn Sie in Ihrer Anwendung sicherstellen müs-sen, dass die Motorposition bzw. die Achsposition aktiv gehalten und dabei sicher überwacht wird.

Die Funktion SOS wird auch von der Funktion SS2 ausgelöst und kann darüber auch als Fehlerreaktion(bei Verletzung anderer angeforderter Sicherheitsfunktionen) genutzt werden. In diesem Fall wird sieüber die Werkseinstellung aktiviert und ist dann grundsätzlich nicht abwählbar.

FunktionBei Anforderung der Sicherheitsfunktion SOS überwacht diese nach einer definierten Zeit, dass derAntrieb innerhalb einer festgelegten Positionstoleranz geregelt wird. Bei Bedarf kann vorher einSchnellhalt im Grundgerät angefordert werden, mit der der Antrieb bis zum Stillstand abgebremstwird. Auch bei angeforderter Sicherheitsfunktion SOS wird dem Motor weiter Energie zugeführt, sodass er dem Angreifen äußerer Kräfte standhalten kann. Die Geschwindigkeit wird dabei im Grundge-rät zu Null geregelt.

HINWEIS!

Da die Signale der Positionsgeber im Stillstand statisch sein können, z. B. bei SIN/ COS-Spursignalen,darf die Funktion SOS nicht unbegrenzt durchgängig angefordert sein, es ist zwischendurch eine Achs-bewegung erforderlich. Wenn SOS für > 10 Tage angefordert ist, wird der Fehler 54-7 ausgelöst. Die maximale Stillstandszeit in der Funktion SOS ist somit auf 10 Tage begrenzt.

Die Logik zur Anforderung der Sicherheitsfunktion SOS ist im folgenden Blockschaltbild dargestellt:

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

92 Festo — CAMC-G-S3 — 2019-12a

Page 93: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 36 Blockschaltbild SOS

Begriff/Abkürzung Erklärung

Safety Function SOS Sicherheitsfunktion SOS

VIN_SOS_RSF Virtueller Eingang: SOS anfordern

VIN_SOS_CSF Virtueller Eingang: SOS Anforderung beenden

ACTUAL POSITION Internes Signal: aktuelle Position

TIMER + POSITION COMPARATOR Zeitgeber (Timer) und Positionsvergleicher

VOUT_SOS_SFR Virtueller Ausgang: SOS angefordert

VOUT_SOS_SSR Virtueller Ausgang: SOS Sicherer Zustand erreicht

[54-3] SOS_ERR Internes Fehlersignal: Fehler 54-3

[54-7] 10D_ERR Internes Fehlersignal: Fehler 54-7

Tab. 54 Legende zu Blockschaltbild SOS

Die Sicherheitsfunktion SOS wird wie folgt angefordert:– Vom Anwender über eine beliebige Kombination von Eingangssignalen LIN_D..., die auf das Signal

VIN_SOS_RSF geführt werden. – Über die Sicherheitsfunktion SS2, Signal SS2_SOS_RSF.Die Anforderung der Sicherheitsfunktion SOS wird wie folgt aufgehoben:– Vom Anwender über eine Kombination verschiedener Eingänge, die auf das Signal VIN_SOS_CSF

geführt werden.– Durch Setzen des Parameters „Automatischer Wiederanlauf erlaubt“ (P0B.03) wird die Sicher-

heitsfunktion nach Wegnahme der Anforderung automatisch beendet.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

93Festo — CAMC-G-S3 — 2019-12a

Page 94: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Jede Anforderung der Sicherheitsfunktion hat Priorität gegenüber dem Beenden der Anforderung. Dasbedeutet: Solange eines der Signale xxx_RSF ansteht, kann die Sicherheitsfunktion nicht durch ein Si-gnal xxx_CSF beendet werden.

FehlererkennungDie Sicherheitsbedingung gilt als verletzt, wenn sich der Antrieb nach Ablauf von P0B.00 um mehr alsdie Strecke „Toleranzfenster Positionsüberwachung“ (±P0B.01) bewegt, oder wenn über die Ge-schwindigkeitsmessung eine Bewegung der Achse detektiert wird.

HINWEIS!

In Anwendungen mit nur einem Drehgeber / Positionsgeber mit analoger Signalschnittstelle (Resolver,SIN/COS, Hiperface,…) sind die Einschränkungen hinsichtlich der Diagnosedeckung sowie die Ein-schränkung der erreichbaren Genauigkeit der Stillstandund Geschwindigkeitsüberwachung zu berück-sichtigen è 8.3.5 Vektor-Längenüberwachung analoger Gebersignale (Resolver, SIN/COS-Geber) undè 8.3.6 Auswirkung eines Winkelfehlers innerhalb der Fehlergrenzen der Vektor-Längenüberwachung auf das Geschwindigkeitssignal.

Die Sicherheitsbedingung gilt ebenfalls als verletzt, wenn der Positions-Istwert den Status „ungültig“einnimmt, während die Sicherheitsfunktion angefordert ist (zum Beispiel bei Ausfall eines Positions-gebers).Wenn die Sicherheitsbedingung verletzt wird, wird ein Fehler ausgelöst. Die Funktion „SOS“ ist gemäßEN 61800-5-2 realisiert, wenn die Fehlerreaktion auf „STO“ parametriert ist.Die Sicherheitsfunktion kann unabhängig davon ausgeführt werden, ob die Achse referenziert ist odernicht.

AblaufDer Ablauf der Sicherheitsfunktion SOS ist im folgenden Diagramm dargestellt:

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

94 Festo — CAMC-G-S3 — 2019-12a

Page 95: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 37 Ablaufdiagramm SOS

Begriff/Abkürzung Erklärung

Safety Function Request SFR Anforderung Sicherheitsfunktion

Safe State Reached SSR Sicherer Zustand erreicht

nist Ist-Geschwindigkeit

Tab. 55 Legende zu Ablaufdiagramm SOS

Wenn mit „Schnellhaltrampe im Grundgerät aktivieren“ (P0B.02) entsprechend parametriert, wird derMotorcontroller über die Leitung “Schnellhalt” angewiesen, den Antrieb stillzusetzen.Nach Ablauf der Zeit „Verzögerungszeit, bis Überwachung startet“ (P0B.00) wird der Antrieb auf Still-stand überwacht. Zu diesem Zeitpunkt wird der Ausgang „Sicherer Zustand erreicht“ aktiv, wenn keineVerletzung der Sicherheitsbedingung vorliegt.Während die Zeit P0B.00 läuft, ist die Positionsüberwachung noch nicht aktiv. Nach Ablauf von P0B.00wird die aktuelle Istposition gespeichert und als Sollwert für die zu überwachende Lage verwendet.Die Lage wird überwacht, indem der Lageistwert zyklisch mit dem gespeicherten Wert verglichen wird. Ab Anforderung der Sicherheitsfunktion SOS vergehen folgende Zeiten, bis die Sicherheitsfunktion ak-tiv geschaltet und Fehler erkannt werden:

Verzögerungszeiten ab VIN_SOS_RSF Minimal Maximal Typisch

VOUT_SOS_SFR 2,0 ms 2,1 ms 2,0 ms

VOUT_SOS_SSR 2,0 ms + P0B.00 2,1 ms + P0B.00 2,0 ms + P0B.00

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

95Festo — CAMC-G-S3 — 2019-12a

Page 96: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Verzögerungszeiten ab VIN_SOS_RSF Minimal Maximal Typisch

Erkennung einer Verletzung der Sicher-heitsbedingung1) nach P0B.00 inner-halb

0,0 ms 2,0 ms 2,1 ms

1) Die Sicherheitsbedingung gilt als verletzt, wenn das Überwachungsfenster +/- P0B.01 verlassen wird oder eine Achsbewegung überdie Stillstanderkennung innerhalb des Positionsfensters erkannt wird.

Tab. 56 Verzögerungszeiten SOS

Parameter für SOS

SOS: Sicherer Betriebshalt

Nr. Name Beschreibung

P0B.00 Verzögerungszeit, bis Überwachung star-tet

Verzögerungszeit nach Anforderung derFunktionbis zum Start der Überwachung

P0B.01 Toleranzfenster Positionsüberwachung Grenzwert für Bewegung nach Einnahmedes Zustands Stillstand

P0B.03 Automatischer Wiederanlauf erlaubt Wenn gesetzt: Wegnahme der Anforde-rung (Wiederanlauf) bei inaktivem Anfor-derungseingang

Expertenparameter

P0B.02 Schnellhaltrampe im Grundgerät aktivie-ren

Bremsbefehl an Grundgerät senden (Si-gnal SS1) Ja / Nein

Tab. 57 SOS: Sicherer Betriebshalt

3.5.6 Universelle Sicherheitsfunktionen USF

0

s

t

USF

M

v

Fig. 38 Symbol USF

Die „Universellen Sicherheitsfunktionen“ (Universal Safety Function, USF) ) dienen der Überwachungder Zustandsgrößen (Weg, Geschwindigkeit und Kraft/Drehmoment) des Motors/der Achse. Aktuell steht zur Verfügung:– „Sichere Geschwindigkeitsfunktion“ („Save Speed Function“, SSF) Die USF-Funktion fasst folgende Produktterme zusammen:– "Anfordern", "Anforderung beenden", – die logischen und virtuellen Ein- und Ausgänge (LIN_USFx..., VOUT_USFx...)– die Parameter des FehlermanagementsEs stehen 4 USF-Funktionen (USF0 … USF3) zur Verfügung.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

96 Festo — CAMC-G-S3 — 2019-12a

Page 97: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

3.5.7 Sichere Geschwindigkeitsfunktionen SSF

AnwendungDie „Sichere Geschwindigkeitsfunktion“ („Save Speed Function“, SSF) kann über die Parametrierungausgeprägt werden als eine der folgenden Sicherheitsfunktionen:– SLS – Sicher begrenzte Geschwindigkeit (Safely-Limited Speed)è 3.5.8 SLS – Sicher begrenzte Geschwindigkeit (Safely-Limited Speed),

– SSR – Sicherer Geschwindigkeitsbereich (Safe Speed Range)è 3.5.9 SSR – Sicherer Geschwindigkeitsbereich (Safe Speed Range),

– SSM –Sichere Geschwindigkeitsüberwachung (Safe Speed Monitoring)è 3.5.10 SSM – Sichere Geschwindigkeitsüberwachung (Safe Speed Monitor).

Die spezifische Funktion wird dann über eine jeweils spezifische Parametrierung der SSF festgelegt,siehe folgende Abschnitte. Jede der 4 USF-Funktionen enthält dafür eine SSF-Funktion (SSF0 … SSF3). Damit lassen sich bis zu 4der Sicherheitsfunktionen realisieren und parallel ausführen.

FunktionDie SSF in den Ausprägungen SLS / SSR / SSM überwachen die Geschwindigkeit des Antriebs anhandvon Minimal- und Maximalgrenzen. Wenn die Geschwindigkeit des Motors den Grenzwert übersteigt,wird der Fehler „Verletzung Sicherheitsbedingung“ ausgelöst. Die Geschwindigkeitsgrenzen für die Überwachung sind nicht statisch vorgegeben. Die SSF kann dyna-misch Geschwindigkeitsrampen berechnen und so auch überwachen, dass der Antrieb aus beliebigerGeschwindigkeit in den gewünschten sicheren Geschwindigkeitsbereich überführt wird. Außerdem kann die Geschwindigkeitsbegrenzung des Motorcontrollers so gesteuert werden, dass dieSicherheitsbedingung nicht verletzt wird.Die Logik zur Anforderung der Sicherheitsfunktion SSF0 ist im folgenden Blockschaltbild dargestellt:

Fig. 39 Blockschaltbild SSF0

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

97Festo — CAMC-G-S3 — 2019-12a

Page 98: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff/Abkürzung Erklärung

Safety Function SFF0 Sicherheitsfunktion SFF0

VIN_USF0_RSF Virtueller Eingang: USF0 anfordern

VIN_USF0_CSF Virtueller Eingang: USF0 Anforderung beenden

ACTUAL SPEED Internes Signal: aktuelle Geschwindigkeit

TIMER + SPEED RAMPGENERATOR

Zeitgeber (Timer) und Berechnung Geschwindigkeitsrampen

VOUT_USF0_SFR Virtueller Ausgang: USF0 angefordert

VOUT_USF0_SSR Virtueller Ausgang: USF0 Sicherer Zustand erreicht

[53-0] USF0_ERR Internes Fehlersignal: Fehler 53-0

SPEED_LIMIT Internes Signal: Begrenzung Geschwindigkeit im Grundgerät

Tab. 58 Legende zu Blockschaltbild SSF0

Die Sicherheitsfunktion SSF0 wird wie folgt angefordert:– Vom Anwender über eine beliebige Kombination von Eingangssignalen LIN_D..., die auf das Signal

VIN_USF0_RSF geführt werden, wenn die SSF-Funktion über den Parameter „SSF aktivieren“(P0E.00/...) aktiviert wurde.

Die Anforderung der Sicherheitsfunktion SSF0 wird wie folgt aufgehoben:– Vom Anwender über eine Kombination verschiedener Eingänge, die auf das Signal VIN_USF0_CSF

geführt werden. – Durch Setzen des Parameters „Automatischer Wiederanlauf erlaubt“ (P0E.0B/...) wird die Sicher-

heitsfunktion nach Wegnahme der Anforderung automatisch beendet.Die SSF0-Funktion liefert folgende Steuersignale zur Ansteuerung des Grundgerätes:– zeitabhängige Begrenzungen für die Geschwindigkeit im Grundgerät, SPEED_LIMIT.Zusätzlich generiert die SSF0-Funktion die Statusmeldungen– VOUT_USF0_SFR, Sicherheitsfunktion USF0 angefordert. – VOUT_USF0_SSR, Sicherer Zustand USF0 erreicht.

USF0 Ausgangssignale Ruhezustand Sicherheitsfunktion angefordert / erreicht

VOUT_USF0_SFR 0 1

VOUT_USF0_SSR 0 1 (verzögert, siehe Zeitverhalten)

Tab. 59 Statusmeldungen SSF0

Jede Anforderung der Sicherheitsfunktion hat Priorität gegenüber dem Beenden der Anforderung. Dasbedeutet: Solange eines der Signale xxx_RSF ansteht, kann die Sicherheitsfunktion nicht durch ein Si-gnal xxx_CSF beendet werden.

FehlererkennungDie Sicherheitsbedingung gilt als verletzt, wenn die Drehzahl die Zeit „Toleranzzeit bei Grenzwertüber-schreitung“ (P0E.03/...) lang durchgängig außerhalb des erlaubten Bereichs liegt. Die Verletzung giltals aufgehoben, wenn die Drehzahl während der Zeit „Toleranzzeit bei Grenzwertüberschreitung“durchgängig innerhalb des erlaubten Bereichs liegt.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

98 Festo — CAMC-G-S3 — 2019-12a

Page 99: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

HINWEIS!

In Anwendungen mit nur einem Drehgeber / Positionsgeber mit analoger Signalschnittstelle (Resolver,SIN/COS, Hiperface,…) sind die Einschränkungen hinsichtlich der Diagnosedeckung sowie die Ein-schränkung der erreichbaren Genauigkeit der Stillstandund Geschwindigkeitsüberwachung zu berück-sichtigen è 8.3.5 Vektor-Längenüberwachung analoger Gebersignale (Resolver, SIN/COS-Geber) undè 8.3.6 Auswirkung eines Winkelfehlers innerhalb der Fehlergrenzen der Vektor-Längenüberwachung auf das Geschwindigkeitssignal.

Wenn die Sicherheitsbedingung verletzt wird, wird ein Fehler ausgelöst, der eine parametrierbare Feh-lerreaktion zur Folge hat. Der Fehler „Sicherheitsbedingung verletzt“ wird auch generiert, wenn ein Positionsgeber ausfällt undso keine sichere Geschwindigkeitsinformation mehr zur Verfügung steht.

Ablauf der Sicherheitsfunktion (Parameter è Tab. 62 SSF: Sichere Geschwindigkeit)Der Ablauf der Sicherheitsfunktion SSF0 ist im folgenden Diagramm dargestellt:

Fig. 40 Ablaufdiagramm SSF0

Begriff/Abkürzung Erklärung

Safety Function Request SFR Anforderung Sicherheitsfunktion

Monitoring Überwachung

Safe State Reached SSR Sicherer Zustand erreicht

Initial setting for speed ramp Startwerte für die Geschwindigkeitsrampe

nist Ist-Geschwindigkeit

Tab. 60 Legende zu Ablaufdiagramm SSF0

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

99Festo — CAMC-G-S3 — 2019-12a

Page 100: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die Sicherheitsfunktion SSF0 überwacht im stationären Zustand die Geschwindigkeit des Antriebs. Dererlaubte Geschwindigkeitskorridor wird durch die Parameter „Sichere Geschwindigkeit - obere Gren-ze“ (P0E.07/..., nmax_end) und „Sichere Geschwindigkeit - untere Grenze“ (P0E.08/..., nmin_end) definiert(è Fig.40, rechter Teil).Wenn die Ist-Geschwindigkeit den Geschwindigkeitskorridor verlässt, wird nach einer Toleranzzeit,„Toleranzzeit bei Grenzwertüberschreitung“ (P0E.03/...), der Fehler „Sicherheitsbedingung verletzt“generiert.

Die Ausprägung der Sicherheitsfunktion SSF als SLS, SSR oder SSM wird im Wesentlichen durch dieParametrierung der Endgeschwindigkeit definiert:• „Safely-Limited Speed“ (SLS)è 3.5.8 SLS – Sicher begrenzte Geschwindigkeit (Safely-Limited Speed),

• „Safe Speed Range“ (SSR) è 3.5.9 SSR – Sicherer Geschwindigkeitsbereich (Safe Speed Range),• „Safe Speed Monitoring“ (SSM)è 3.5.10 SSM – Sichere Geschwindigkeitsüberwachung (Safe Speed Monitor).

Bei Anforderung der Sicherheitsfunktion SSF0 (VOUT_USF0_SFR) wird eine Berechnung für eine Ge-schwindigkeitsrampe durchgeführt, um den Antrieb ausgehend von der aktuellen Geschwindigkeit inden erlaubten Geschwindigkeitskorridor zu überführen:– Der Berechnung der Startwerte nmax und nmin liegt die aktuelle Ist-Geschwindigkeit nist als

Startwert zugrunde. Basierend auf einem Gain-Parameter „Bremsrampe - Startwert Faktor“(P0E.04/...) und einem Offset-Parameter „Bremsrampe - Startwert Offset“ (P0E.05/...) wird zu-nächst ein Start- Fenster um die aktuelle Ist-Geschwindigkeit berechnet.

– Die Lage des Start-Fensters wird in Relation zum gewünschten Geschwindigkeitskorridor gesetzt,die Startwerte werden ggf. so angepasst, dass sich ein trapezförmig verjüngender Geschwindig-keitskorridor ergibt è Fig.40.

– Der Startzeitpunkt der Rampe kann über „Bremsrampe - Verzögerungszeit bis Start“ (P0E.06/...,Minimalwert: 6 ms) festgelegt werden, der Endzeitpunkt der Rampe über „Zeit für Bremsrampe“(P0E.02). Nach Ablauf von P0E.02 ist der stationäre Geschwindigkeitskorridor erreicht und dieSSF0 meldet VOUT_USF0_SSR (wenn die Ist-Geschwindigkeit im erlaubten Bereich liegt!).

– Über „Verzögerungszeit, bis Überwachung startet“ (P0E.01/...) kann festgelegt werden, ab wanndie SSF0-Funktion die Geschwindigkeit überwacht.

Eine Verzögerung der Rampe über „Bremsrampe - Verzögerungszeit bis Start“ (P0E.06/...) macht im-mer dann Sinn, wenn die Achse über die Funktionale Steuerung abgebremst und in den überwachtenGeschwindigkeitskorridor überführt wird. Mit P0E.06 kann die Reaktionszeit der funktionalen Steue-rung kompensiert werden.

Das Sicherheitsmodul kann aktiv in die Regelung des Grundgerätes eingreifen und so die Geschwin-digkeit der Achse aktiv begrenzen. Die Grenzwerte werden zyklisch an das Grundgerät übertragen:– Aktiviert wird diese Funktion durch Setzen des Parameters „Geschwindigkeit im Grundgerät aktiv

begrenzen“ (P0E.09/...).

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

100 Festo — CAMC-G-S3 — 2019-12a

Page 101: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Um bei aktiver Begrenzung der Geschwindigkeit im Grundgerät sicherzustellen, dass die über-wachten Grenzwerte sicher eingehalten werden, sind weitere Parameter vorgesehen:– Über den Minimalwert von „Bremsrampe - Verzögerungszeit bis Start“ (P0E.06, 6 ms) werden

die geräteinternen Laufzeiten für die Signalübertragung der neuen Grenzwerte zum Grundge-rät bis zum Eingreifen der Regelung im Grundgerät kompensiert.

– Über „Drehzahlrampe - Verzögerungszeit Überwachung“ (P0E.0D/...) kann die zur Überwa-chung herangezogene Geschwindigkeitsgrenze im Sicherheitsmodul gezielt um einige weitereMillisekunden verzögert werden. Dies gibt dem Grundgerät zusätzliche Zeit, wenn z. B. imGrundgerät ein ruckbegrenztes Verfahrprofil gewählt wurde und nur mit Ruckbegrenzung ab-gebremst werden darf.

– Über „Offset Geschwindigkeitsbegrenzung“ (P0E.0C/...) schließlich kann ein Geschwindigkeit-soffset parametriert werden. Die Geschwindigkeitsgrenzen für das Grundgerät liegen dann umP0E.0C/... versetzt innerhalb des Geschwindigkeitskorridors für die Überwachung, so das ge-ringfügige Schwankungen der Ist-Geschwindigkeit noch nicht zum Ansprechen der Überwa-chung führen.

– Wenn sich die obere und untere Geschwindigkeitsgrenzen für das Grundgerät auf Grund einessehr engen Korridors und des Offsets P0E.0C/... überschneiden, dann werden beide Grenzenauf den Mittelwert zwischen der überwachten Minimal- und Maximaldrehzahl gesetzt.

Die Beschreibung ist entsprechend auf die Parameter für die Funktionen SSF1, SSF2 und SSF3 über-tragbar.

Die SSF0 erlaubt so die Anpassung an verschiedene Applikationen. Die Parameter der SSF0 sind im SafetyTool gegliedert in:• Standard-Parameter – dies sind die einfachen Parameter, die für jede Geschwindigkeitsüberwa-

chung individuell an die Applikation anzupassen sind. • Experten-Parameter – dies sind Parameter für eine Optimierung der Funktion im Zusammenspiel

mit den Regelfunktionen im Grundgerät, diese Parameter sind ab Werk sinnvoll voreingestellt.In den allermeisten Anwendungen benötigen Sie nur die Standard-Parameter!

Ab Anforderung der Sicherheitsfunktion SSF0 vergehen folgende Zeiten, bis die Sicherheitsfunktionaktiv geschaltet und Fehler erkannt werden:

Verzögerungszeiten abVIN_USF0_RSF

min. max. typisch

MeldungVOUT_USF0_SFR

2,0 ms 2,1 ms 2,0 ms

MeldungVOUT_USF0_SSR

8,0 ms +(P0E.02 + P0E.0D)

8,1 ms + (P0E.02 + P0E.0D)

8,0 ms +(P0E.02 + P0E.0D)

Start der Überwachungder Sicherheitsbedin-gung nachVOUT_USF0_SFR

2,0 ms + MAX (P0E.01 ODER (P0E.06+ P0E.0D))

2,1 ms + MAX (P0E.01ODER (P0E.06 +P0E.0D))

2,0 ms + MAX(P0E.01 ODER (P0E.06+ P0E.0D))

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

101Festo — CAMC-G-S3 — 2019-12a

Page 102: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Verzögerungszeiten abVIN_USF0_RSF

min. max. typisch

Erkennung einer Verlet-zung der Sicherheitsbe-dingung nach P0E.01oder (P0E.06 + P0E.0D)innerhalb

P0E.03 P0E.03 P0E.03

Tab. 61 Verzögerungszeiten SSF0

Parameter für SSF

SSF: Sichere Geschwindigkeit

Parameter Nr. für ...

SSF0 SSF1 SSF2 SSF3

Name Beschreibung

P0E.00 P0E.14 P0E.28 P0E.3C SSF aktivieren Wenn 1: Anforderungder USF triggert Anfor-derung der SSF

P0E.01 P0E.15 P0E.29 P0E.3D Verzögerungszeit, bisÜberwachung startet

Zeit, ab Anforderungder Sicherheitsfunkti-on, in der keine Dreh-zahlüberwachung stattfindet

P0E.07 P0E.1B P0E.2F P0E.43 Sichere Geschwindig-keit obere Grenze

Endwert der oberenRampe auf nmax_end

P0E.08 P0E.1C P0E.30 P0E.44 Sichere Geschwindig-keit untere Grenze

Endwert der unterenRampe auf nmin_end

P0E.02 P0E.16 P0E.2A P0E.3E Zeit für Bremsrampe Zeit, ab Anforderungder Sicherheitsfunkti-on, nach deren Ablaufdie Rampen angehaltenwerden und der sichereZustand erreicht ist.

P0E.03 P0E.17 P0E.2B P0E.3F Toleranzzeit bei Grenz-wertüberschreitung

Zeitintervall, währenddessen der Geschwin-digkeitsistwert außer-halb der Grenzen liegendarf, bevor der Zustand"Sicherheitsbedingungverletzt" erreicht ist.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

102 Festo — CAMC-G-S3 — 2019-12a

Page 103: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

SSF: Sichere Geschwindigkeit

Parameter Nr. für ...

SSF0 SSF1 SSF2 SSF3

Name Beschreibung

P0E.09 P0E.1D P0E.31 P0E.45 Geschwindigkeit imGrundgerät aktiv be-grenzen

Wenn gesetzt: Die Ge-schwindigkeitsbegren-zung wird an dasGrundgerät übertragen,die Geschwindigkeitwird im Grundgerät ak-tiv begrenzt.

P0E.0B P0E.1F P0E.33 P0E.47 Automatischer Wieder-anlauf erlaubt

Wenn 1: Wegnahme derAnforderung (Wieder-anlauf) bei inaktivemAnforderungseingang

P0E.0D P0E.21 P0E.35 P0E.49 Drehzahlrampe - Verzö-gerungszeit Überwa-chung

Die Rampe, die für dieÜberwachung der Ge-schwindigkeit im Si-cherheitsmodul ver-wendet wird, wird zu-sätzlich verzögert ge-genüber der Rampe,die an das Grundgerätherunter geschriebenwird.

P0E.06 P0E.1A P0E.2E P0E.42 Bremsrampe - Verzöge-rungszeit bis Start

Verzögerungszeit, nachderen Ablauf die Über-wachungsrampe im Si-cherheitsmodul startet.

P0E.04 P0E.18 P0E.2C P0E.40 Bremsrampe - Start-wert Faktor

Faktor zur Berechnungdes Startwertes derRampen

P0E.05 P0E.19 P0E.2D P0E.41 Bremsrampe - Start-wert Offset

Offset zur Berechnungdes Startwertes derRampen

P0E.0C P0E.20 P0E.34 P0E.48 Offset Geschwindig-keitsbegrenzung

Offset für die Ge-schwindigkeitsgrenzenzum Steuern des Gund-geräts.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

103Festo — CAMC-G-S3 — 2019-12a

Page 104: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

SSF: Sichere Geschwindigkeit

Parameter Nr. für ...

SSF0 SSF1 SSF2 SSF3

Name Beschreibung

P0E.0A P0E.1E P0E.32 P0E.46 Schnellhaltrampe imGrundgerät aktivieren

Wenn gesetzt: Bei An-forderung der Sicher-heitsfunktion wird dasSchnellhalt-Kommando(Steuerleitung) an dasGrundgerät abgesetzt

Tab. 62 SSF: Sichere Geschwindigkeit

3.5.8 SLS – Sicher begrenzte Geschwindigkeit (Safely-Limited Speed)

0

v

t

SLS

Fig. 41 Symbol SLS

Die Funktion realisiert die Sicherheitsfunktion SLS nach EN 61800-5-2. Nutzen Sie die Funktion "Si-cher begrenzte Geschwindigkeit" („Safely-Limited Speed“, SLS), wenn Sie in Ihrer Anwendung verhin-dern müssen, dass der Motor eine festgelegte Begrenzung der Geschwindigkeit überschreitet.Die Funktion ist gekennzeichnet durch einen nullsymmetrischen Überwachungsbereich für die Ge-schwindigkeit. Die Grenzen können separat eingestellt werden.Der Antrieb kann entlang einer Bremsrampe auf eine zulässige Drehzahl gebremst werden. Die Funkti-on ist abschaltbar. Im einfachsten Fall beginnt nach der Zeit „Verzögerungszeit, bis Überwachung star-tet“ (P0E.01/P0E.15/P0E.29/P0E.3D) die Überwachung. Die Maximaldrehzahl wird über „Sichere Ge-schwindigkeit - obere Grenze“ (P0E.07/P0E.1B/P0E.2F/P0E.43) festgelegt. Mit folgender Parametrierung entspricht die Sichere Geschwindigkeitsfunktion SSF der Sicherheits-funktion SLS mit sofortiger Überwachung der Geschwindigkeit ohne Bremsrampe.

SSF als SLS parametrieren

Parameter Nr. für ...

SSF0 SSF1 SSF2 SSF3

Name Einstellung für Sicher-heitsfunktion SLS

Standardparameter SSF

P0E.00 P0E.14 P0E.28 P0E.3C SSF aktivieren = 1, aktivieren

P0E.01 P0E.15 P0E.29 P0E.3D Verzögerungszeit, bisÜberwachung startet

2,0 ms

P0E.07 P0E.1B P0E.2F P0E.43 Sichere Geschwindig-keit obere Grenze

Positive Grenzge-schwindigkeit für SLSsetzen.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

104 Festo — CAMC-G-S3 — 2019-12a

Page 105: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

SSF als SLS parametrieren

Parameter Nr. für ...

SSF0 SSF1 SSF2 SSF3

Name Einstellung für Sicher-heitsfunktion SLS

P0E.08 P0E.1C P0E.30 P0E.44 Sichere Geschwindig-keit untere Grenze

= -P0E.07/-P0E.1B /-P0E.27 /-P0E.43

P0E.02 P0E.16 P0E.2A P0E.3E Zeit für Bremsrampe 6,2 ms, Minimalwert

P0E.03 P0E.17 P0E.2B P0E.3F Toleranzzeit bei Grenz-wertüberschreitung

Defaultwert: 10 ms,kann verringert werdenfür schnellere Fehlerer-kennung.

P0E.09 P0E.1D P0E.31 P0E.45 Geschwindigkeit imGrundgerät aktiv be-grenzen

Kann gesetzt werden.

Expertenparameter SSF: Keine Änderung gegenüber Werkseinstellungen (wichtig!)

P0E.06 P0E.1A P0E.2E P0E.42 Bremsrampe - Verzöge-rungszeit bis Start

= 6 ms (kleinster ein-stellbarer Wert)

Fehlermanagement

P20.00 P20.01 P20.02 P20.03 [53-x] USFx: Sicher-heitsbedingung verletzt

Entsprechend der not-wendigen Fehlerreakti-on der Anwendung.

Tab. 63 SSF als SLS parametrieren

3.5.9 SSR – Sicherer Geschwindigkeitsbereich (Safe Speed Range)

s

t

SLP

s

t

SLP

v

t

SSR

Fig. 42 Symbol SSR

Die Funktion realisiert die Sicherheitsfunktion SSR nach EN 61800-5-2. Nutzen Sie die Funktion "Si-cherer Geschwindigkeitsbereich" („Safe Speed Range“, SSR), wenn Sie in Ihrer Anwendung sicherstellen müssen, dass die Motorgeschwindigkeit innerhalb festgelegter Grenzwerte bleibt. Mit folgender Parametrierung entspricht die Sichere Geschwindigkeitsfunktion SSF der Sicherheits-funktion SSR (mit sofortiger Überwachung der Geschwindigkeit ohne Bremsrampe):

SSF als SSR parametrieren

Parameter Nr. für ...

SSF0 SSF1 SSF2 SSF3

Name Einstellung für Sicher-heitsfunktion SSR

Standardparameter SSF

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

105Festo — CAMC-G-S3 — 2019-12a

Page 106: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

SSF als SSR parametrieren

Parameter Nr. für ...

SSF0 SSF1 SSF2 SSF3

Name Einstellung für Sicher-heitsfunktion SSR

P0E.00 P0E.14 P0E.28 P0E.3C SSF aktivieren = 1, aktivieren

P0E.01 P0E.15 P0E.29 P0E.3D Verzögerungszeit, bisÜberwachung startet

2,0 ms

P0E.07 P0E.1B P0E.2F P0E.43 Sichere Geschwindig-keit obere Grenze

Obere Grenzgeschwin-digkeit für SSR setzen.

P0E.08 P0E.1C P0E.30 P0E.44 Sichere Geschwindig-keit untere Grenze

Untere Grenzgeschwin-digkeit für SSR setzen.

P0E.02 P0E.16 P0E.2A P0E.3E Zeit für Bremsrampe 6,2 ms, Minimalwert

P0E.03 P0E.17 P0E.2B P0E.3F Toleranzzeit bei Grenz-wertüberschreitung

Defaultwert: 10 ms,kann verringert werdenfür schnellere Fehlerer-kennung.

P0E.09 P0E.1D P0E.31 P0E.45 Geschwindigkeit imGrundgerät aktiv be-grenzen

Kann gesetzt werden.

Expertenparameter SSF: Keine Änderung gegenüber Werkseinstellungen (wichtig!)

P0E.06 P0E.1A P0E.2E P0E.42 Bremsrampe - Verzöge-rungszeit bis Start

= 6 ms (kleinster ein-stellbarer Wert)

Fehlermanagement

P20.00 P20.01 P20.02 P20.03 [53-x] USFx: Sicher-heitsbedingung verletzt

Entsprechend der not-wendigen Fehlerreakti-on der Anwendung.

Tab. 64 SSF als SSR parametrieren

3.5.10 SSM – Sichere Geschwindigkeitsüberwachung (Safe Speed Monitor)

Fig. 43 Symbol SSM

Die Funktion realisiert die Sicherheitsfunktion SSM nach EN 61800-5-2.Nutzen Sie die Funktion "Sichere Geschwindigkeitsüberwachung" („Safe Speed Monitor“, SSM),wenn Sie in Ihrer Anwendung ein sicheres Ausgangssignal benötigen, um anzuzeigen, ob die Motor-drehzahl innerhalb der festgelegten Grenzwerte liegt. Setzen Sie einen Grenzwert auf Null, um dieSSM-Funktion so zu realisieren, wie in der EN 61800-5-2 beschrieben.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

106 Festo — CAMC-G-S3 — 2019-12a

Page 107: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die Parametrierung des SSM entspricht derjenigen für SSR, lediglich das Fehlermanagement muss an-gepasst werden:

SSF als SSM parametrieren

Parameter Nr. für … 

SSF0 SSF1 SSF2 SSF3

Name Einstellung für Sicher-heitsfunktion SSM

Standardparameter SSF: siehe SSR, è Tab. 64 SSF als SSR parametrieren

Expertenparameter SSF: siehe SSR, è Tab. 64 SSF als SSR parametrieren

Fehlermanagement

P20.00 P20.01 P20.02 P20.03 [53-x] USFx: Sicher-heitsbedingung verletzt

Abhängig von der An-wendung: – keine = [0], oder – keine, nur Eintrag

Diagnosespeicher= [1]

– Warnung + EintragDiagnosespeicher= [2]

Tab. 65 SSF als SSM parametrieren

3.6 Logikfunktionen

3.6.1 Betriebsartenwahlschalter

Verwendung

OFF

Fig. 44 Symbol Betriebsartenwahlschalter

Verwenden Sie die Logikfunktion „Betriebsartenwahlschalter“ um zwischen verschiedenen Betriebsar-ten/Überwachungsfunktionen des Sicherheitsmoduls umzuschalten. Beispiel: – In der Schalterstellung Normalbetrieb ist ein normales Verfahren der Anlage möglich. Bei Eingriff

in die Anlage erfolgt ein Stopp, z. B. über SS1.– In der Schalterstellung Einrichtbetrieb wird die Sicherheitsfunktion SLS aktiviert. Ein Eingriff in die

Anlage soll nicht zu SS1 führen, da der Einrichtbetrieb zugelassen ist. Die Eingänge DIN45, DIN46 und DIN47 können als Eingänge zur Betriebsartenwahl konfiguriert wer-den. Der „Betriebsartenwahlschalter“ stellt drei sicherere logische Steuersignale zur Verfügung, diefür eine Umschaltung zwischen verschiedenen Sicherheitsfunktionen genutzt werden können: – LIN_D45_SAFE– LIN_D46_SAFE

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

107Festo — CAMC-G-S3 — 2019-12a

Page 108: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– LIN_D47_SAFE

FunktionDer Status der drei Eingänge DIN45, DIN46 und DIN47 wird 1:1 auf die sicheren logischen SignaleLIN_D45_SAFE, LIN_D46_SAFE und LIN_D47_SAFE abgebildet. Wenn die Eingänge DIN45 ... DIN47 als Betriebsartenwahlschalter konfiguriert sind, muss genau einEingang HighPegel führen. Die Logikfunktion führt dafür eine 1/N-Überwachung mit Diskrepanzzeit-überwachung durch.

Logische Eingänge Systemanlauf1) Normalbetrieb Fehler-Zustand

LIN_D45_SAFE 1 = LIN_D45

LIN_D46_SAFE 0 = LIN_D46

LIN_D47_SAFE 0 = LIN_D47

letzter gültiger Zustand

1) Zustand, bis ein gültiger Zustand erkannt wird - oder - Zustand, wenn die sichere Auswertung des Betriebsartenwahlschalters nichtaktiv ist.

Tab. 66 Logische Eingänge Betriebsartenwahlschalter

Operating Mode Switch

Fig. 45 Blockschaltbild Betriebsartenwahlschalter

Begriff/Abkürzung Erklärung

LIN_ …  Logische Eingänge

TIMER + 1/N LOGIC Zeitgeber (Timer) und 1 aus n Logik

[57-1] IO_ERR Internes Fehlersignal Fehler 57-1

Tab. 67 Legende zu Blockschaltbild Betriebsartenwahlschalter

FehlererkennungWenn bei der Funktion Betriebsartenwahlschalter eine parametrierbare Zeit lang entweder kein Ein-gang oder mehr als ein Eingang High-Pegel führt, wird ein Fehler ausgelöst und die Eingangssignalewerden als nicht gültig gekennzeichnet. Wenn die Eingänge DIN45 … DIN47 einen fehlerhaften Zustand haben, behalten die SignaleLIN_D45_SAFE, LIN_D46_SAFE und LIN_D47_SAFE den zuletzt erkannten fehlerfreien Zustand bei.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

108 Festo — CAMC-G-S3 — 2019-12a

Page 109: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Verzögerungszeiten ab Pegelwechsel LIN_D... Minimal Maximal Typisch

LIN_D45/46/47_SAFE 2,0 ms 2,1 ms 2,0 ms

Fehler-Reaktionszeit bei Verletzung der 1/N-Be-dingung

2,0 ms +P02.01

2,1 ms + P02.01

2,0 ms + P02.01

Tab. 68 Zeitverhalten des Betriebsartenwahlschalters

Parameter des Betriebsartenwahlschalters

Betriebsartenwahlschalter

Nr. Name Beschreibung

P02.00 Aktivierung DIN45..DIN47 werden als Betriebsartenwahlschalter (1 aus 3)verwendet.

P02.01 Diskrepanzzeit Zeit, in der mehr als ein Eingang gleichzeitig oder kein Ein-gang High-Pegel führen darf.

Tab. 69 Betriebsartenwahlschalter

3.6.2 Zweihandbediengerät

Verwendung

Fig. 46 Symbol Zweihandschaltung

Die Logikfunktion „Zweihandbediengerät“ wird in Applikationen verwendet, in denen der Bediener dieBewegung beidhändig freischalten muss, sobald er den Gefahrenbereich verlassen hat (z. B. Pres-senAnwendungen).

VerwendungDas Zweihandbediengerät liefert das Steuersignal LIN_2HAND_CTRL = LIN_DIN42 OR LIN_DIN43, mitdem Sicherheitsfunktionen über logische Verknüpfungen umgeschaltet werden können. Zusätzlichüberwacht es das gleichzeitige Schalten der Eingänge (Diskrepanzzeitüberwachung).Das Zweihandbediengerät belegt die beiden Eingänge DIN42 und DIN43 (jeweils zweikanalig A und B)und kann erst aktiviert werden, wenn für die Steuereingänge DIN42 und DIN43 als angeschlossenerSensortyp "Zweihandbediengerät" gewählt wurde. Die einzelnen Eingänge DIN42 und DIN43 haben inder Betriebsart „Zweihandbediengerät“ weiterhin sämtliche „normale“ Funktionen (Äquivalenz/Anti-valenz, Testsignale, Kreuzvergleich mit 2. Prozessor ...).

FunktionDas Ergebnis der Verknüpfung der beiden Eingänge wird auf den separaten logischen EingangLIN_2HAND_CTRL geleitet. LIN_2HAND_CTRL stellt eine OR-Verknüpfung aus LIN_D42 und LIN_D43dar. LIN_2HAND_CTRL hat nur dann den Zustand ‚0’, wenn beide logischen Eingänge den Zustand ‚0’

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

109Festo — CAMC-G-S3 — 2019-12a

Page 110: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

haben.LIN_2HAND_CTRL = LIN_DIN42 OR LIN_DIN43

Two-Hand Control Unit

Fig. 47 Blockschaltbild Zweihandbediengerät

Begriff/Abkürzung Erklärung

LIN_ …  Logische Eingänge

TIMER + LOGIC Zeitgeber (Timer) und Logik

ENABLE Freigabesignal

[57-1] IO_ERR Internes Fehlersignal Fehler 57-1

Tab. 70 Legende zu Blockschaltbild Zweihandbediengerät

FehlererkennungDie logischen Zustände der Eingänge DIN42 und DIN43 müssen übereinstimmen. Wenn die logischenZustände länger als eine einstellbare Diskrepanzzeit voneinander abweichen, wird ein Fehler gemel-det.

Der Parameter „Diskrepanzzeit“ (P02.03) ist in der Regel länger einzustellen als die Diskrepanzzeit fürdie Überwachung der Eingänge DIN42, DIN43, weil hiermit die Zeit überbrückt wird, die der Bedienerbraucht, um beide Tasten des Zweihandbediengeräts zu drücken oder loszulassen.

Verzögerungszeiten ab Pegelwechsel LIN_D... Minimal Maximal Typisch

LIN_2HAND_CTRL 2,0 ms 2,1 ms 2,0 ms

Fehler-Reaktionszeit bei Verletzung der Zwei-hand-Bedingung

2,0 ms + P02.03

2,1 ms + P02.03

2,0 ms + P02.03

Tab. 71 Zeitverhalten des Zweihandbediengeräts

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

110 Festo — CAMC-G-S3 — 2019-12a

Page 111: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Parameter des Zweihandbediengeräts

Zweihandbediengerät

Nr. Name Beschreibung

P02.02 Aktivierung DIN42 und DIN43 werden als Zweihandterminal verwendet

P02.03 Diskrepanzzeit Zeit, in der die logischen Zustände von DIN42 und DIN43 vonein-ander abweichen dürfen

Tab. 72 Zweihandbediengerät

3.6.3 Additional Logic Functions – ALF

Verwendung

Fig. 48 Symbol ALF

Verwenden Sie die ALF, wenn Sie komplexere Verknüpfungen logischer Eingangssignale LIN_x herstel-len müssen, oder wenn es aus Gründen der Übersichtlichkeit in der Applikation Sinn macht, eine be-stimmte Kombination der LIN_x als internes sicheres Logiksignal zusammenzufassenMit der Additional Logic Function können interne Ein- und Ausgänge logisch verknüpft werden. Damitlassen sich z. B. spezielle Eingangskombinationen realisieren. Die ALF wird eingesetzt, wenn komple-xere Logikverknüpfungen erforderlich sind und die Eingangslogik (ODER-Gatter mit 4 vorgeschaltetenUND-Gattern mit je 7 Eingängen) einer Sicherheitsfunktion nicht ausreicht.

Funktion

Additional Logic Function

Fig. 49 Blockschaltbild Additional Logic Fuctions

Begriff/Abkürzung Erklärung

VIN_x_y Virtuelle Eingänge

VOUT_x_y Virtuelle Ausgänge

Tab. 73 Legende zu Blockschaltbild Additional Logic Fuctions

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

111Festo — CAMC-G-S3 — 2019-12a

Page 112: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Verzögerungszeiten ab VIN_ALFx_IN Minimal Maximal Typisch

VOUT_ALFx_OUT 2,0 ms 2,1 ms 2,0 ms

Tab. 74 Zeitverhalten der Additional Logic Functions

Parameter der Additional Logic-Functions

Additional Logic Functions

ALF... Nr. Name Beschreibung

ALF0 P12.00 Übertragungsfunktion

ALF1 P12.03 Übertragungsfunktion

ALF2 P12.06 Übertragungsfunktion

ALF3 P12.09 Übertragungsfunktion

ALF4 P12.0C Übertragungsfunktion

ALF5 P12.0F Übertragungsfunktion

ALF6 P12.12 Übertragungsfunktion

ALF7 P12.15 Übertragungsfunktion

Auswahl der Funktionalität (fix):Identität (OUT = IN) = [2] Der Ausgang hat bei der Funktion „Identi-tät“ immer den logischen Zustand desEingangs.

Tab. 75 Additional Logic Functions

3.7 Sicherheitsfunktionen beenden

3.7.1 Funktionsumfang

Funktionsumfang

Fig. 50 Symbol Sicherheitsfunktion beenden (Wiederanlauf)

Über die Funktion werden eine oder mehrere Sicherheitsfunktionen beendet, so dass der Antrieb „wie-der anlaufen“ kann.In Verbindung mit sicheren Bewegungsfunktionen, wie z. B. SLS bedeutet „Wiederanlauf“, dass derAntrieb nicht länger überwacht wird und wieder mit voller Geschwindigkeit verfahren kann.Der Anwender kann für jede Sicherheitsfunktion getrennt festlegen, welches Steuersignal die Sicher-heitsfunktion beenden soll. Dafür besitzen die Sicherheitsfunktionen den virtuellen EingangVIN_xxx_CSF (Clear Safety Function). Für jede Sicherheitsfunktion muss dies definiert werden, außer, wenn die Sicherheitsfunktion auf „au-tomatischen Wiederanlauf“ parametriert wurde. In dem Fall erfolgt das Beenden der Sicherheitsfunkti-on automatisch, sobald die Anforderung für die Sicherheitsfunktion zurück genommen wird. Das Beenden einer Sicherheitsfunktion ist nur möglich, wenn die Anforderung für die Sicherheitsfunk-tion zuvor zurück genommen wurde. Eine Anforderung einer Sicherheitsfunktion hat stets eine höherePriorität, als das Beenden.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

112 Festo — CAMC-G-S3 — 2019-12a

Page 113: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Im Auslieferungszustand ist der einkanalige Eingang DIN49 auf den Sensortyp „SicherheitsfunktionBeenden“ voreingestellt undauf die Sicherheitsfunktionen „STO“ und „SBC“ geschaltet. Das Signal LIN_D49_RISING_EDGE liefert bei jeder steigenden Flanke (0 V -> 24 V) an DIN49 einen kur-zen Schaltimpuls von 2 ms Länge, über den die Sicherheitsfunktionen zurückgesetzt werden können.

Fig. 51 Konfiguration Wiederanlauf (Beispiel)

Verzögerungszeiten ab LIN_D49_RISING_EDGE Minimal Maximal Typisch

VIN_xxx_CSF bis Beendigung der Sicherheits-funktion

0,0 ms 2,1 ms 2,0 ms

Tab. 76 Zeitverhalten Sicherheitsfunktion Beenden

HINWEIS!

Prüfen Sie, ob in Ihrer Applikation ein einkanaliger Steuereingang für das Beenden der Sicherheits-funktion zulässig ist und ob dieser pegelgesteuert oder flankengesteuert einzusetzen ist. Verwenden Sie folgende Eingänge:• LIN_D49, wenn ein pegelgesteuertes Rücksetzen zulässig ist,• LIN_D49_RISING_EDGE, wenn ein flankengesteuertes Rücksetzen erforderlich ist,• in allen anderen Fällen einen zweikanaliger Eingang LIN_D40 bis LIN_D43.

HINWEIS!

Prüfen Sie, ob sich aus der Risikobeurteilung für die Maschine zusätzliche Anforderungen für dieSteuerung des Wiederanlaufs und für die Diagnose der zugehörigen Steuereingänge bestehen, z. B.bei hintertretbaren Schutzeinrichtungen ein manuelles flankengesteuertes Rücksetzen.

3.7.2 Beispiele und besondere Hinweise zur Implementierung

Beendigung STODas folgende Bild zeigt die Struktur für die Sicherheitsfunktion STO è Fig.52. STO kann im Betriebüber VIN_STO_RSF angefordert werden. Die Anforderung der Sicherheitsfunktion STO bewirkt die Ab-schaltung der Treiberversorgung im Motorcontroller. Um den Antrieb nach erfolgter Anforderung STOwieder einzuschalten muss die Anforderung beendet werden è 3.7.1 Funktionsumfang.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

113Festo — CAMC-G-S3 — 2019-12a

Page 114: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 52 Anforderung einer Sicherheitsfunktion (Beispiel STO) / Wiederanlauf

Beenden der Sicherheitsfunktion nach FehlerquittierungDas Fehlermanagement kann als Fehlerreaktion ebenfalls die Funktion STO anfordern (über SignalERR_STO_RSF). Die Anforderung wird, wie in vorstehendem Bild gezeigt, in die Funktion STO einge-speist.Damit STO nach quittiertem Fehler beendet wird, muss ein Wiederanlauf über VIN_STO_CSF erfolgen,oder der Parameter „Automatischer Wiederanlauf erlaubt“ (P0A.00) muss gesetzt sein. Dies gilt in ent-sprechender Weise auch für die Sicherheitsfunktionen SS1, SS2 und SBC, die als Fehlerreaktion konfi-gurierbar sind.

Beenden von STO nach Beendigung SS1Die Funktion SS1 fordert am Ende ihres Ablaufs STO über den Steuereingang SS1_STO_RSF an. Die Anforderung STO wird automatisch mit deaktiviert, wenn die Anforderung der Funktion SS1 nichtmehr besteht è Fig.52. Die Anforderung der Funktion STO muss nicht separat deaktiviert werden.Dies gilt auch bei Anforderung der Funktion SS1 im Fehlerfall: Der Fehler muss quittiert und SS1 deak-tiviert sein. STO braucht nicht separat deaktiviert zu werden.

Beenden von SBC nach Beendigung STO / SS1Die Logik zur Anforderung und Beendigung der Funktion SBC entspricht weitgehend derjenigen für dieAnforderung von STO è Fig.27.Zusätzlich zur herkömmlichen Logik kann SBC über direkte Steuersignale von STO (STO_SBC_RSF)und von SS1 (SS1_SBC_RSF) angesteuert werden. Mit dem Beenden von STO oder SS1 erfolgt dannauch das automatische Beenden von SBC.

Es ist somit möglich, unterschiedliche Bedingungen für das Beenden von Sicherheitsfunktionen zu im-plementieren, obwohl die gleichen Sicherheitsfunktionen verwendet werden:• Direkte Anforderung von SBC, Beenden z. B. über LIN_D49_RISING_EDGE,• Indirekte Anforderung, z. B. über SS1, Beenden von SBC zusammen mit dem Beenden von SS1,

sobald dessen Wiederanlaufbedingung erfüllt ist (z. B. LIN_D40).

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

114 Festo — CAMC-G-S3 — 2019-12a

Page 115: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Beenden von SOS nach Beendigung von SS2Analog zu der oben beschriebenen Kombination aus SS1 und STO funktioniert die Kombinationen ausSS2 und SOS.

3.8 Fehlermanagement und Fehlerquittierung

3.8.1 Auslösen von Fehlern und FehlerklassenDas Sicherheitsmodul führt die angeforderten Sicherheitsfunktionen aus. Es überwacht sich selbst,die Ein- und Ausgänge und die Positionsgeber 1 und 2. Bei Verletzung einer Sicherheitsfunktion oderbei Erkennung eines Fehlers wechselt das Sicherheitsmodul in den Fehlerzustand.In Verbindung mit der funktionalen Sicherheitstechnik und dem Sicherheitsmodul CAMC-G-S3 gibt esfolgende Fehlergruppen:– Fehler, die vom Grundgerät ausgelöst werden.– Fehler, die vom Sicherheitsmodul ausgelöst werden. Die Fehler sind in verschiedene Klassen gegliedert, die sich an der angezeigten Fehlernummer der7-Segmentanzeige des Motorcontrollers unterscheiden lassen.Die Nummer setzt sich aus einem zweistelligen Hauptindex (Bereich 51 … 59) mit einem Subindex (Be-reich 0 … 9) zusammen:

Fehlernummer

Hauptindex Subindex Fehlerart/Klasse

Grundgerätefehler

51-x 91) 81) 71) 6 5 4 3 2 1 0 Steuersignale vomSicherheitsmodulnicht in Ordnung,Modultyp / Ken-nung nicht in Ord-nung

52-x 91) 81) 71) 61) 51) 41) 3 2 1 0 Fehler im Ablaufder Ansteuerungmit dem Sicher-heitsmodul

Fehler des Sicherheitsmoduls

53-x 91) 81) 71) 61) 51) 41) 3 2 1 0 Verletzung einerSicherheitsfunkti-on

54-x 91) 81) 7 6 5 4 3 2 11) 0 Verletzung einerSicherheitsfunkti-on

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

115Festo — CAMC-G-S3 — 2019-12a

Page 116: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlernummer

Hauptindex Subindex Fehlerart/Klasse

55-x 91) 81) 7 6 5 4 3 2 1 0 Systemfehler: Ist-werterfassung /Positionsgebernicht in Ordnung

56-x 9 8 71) 61) 51) 41) 31) 21) 11) 01) Systemfehler: Po-sitionserfassung /Vergleich nicht inOrdnung

57-x 91) 81) 71) 6 5 4 3 2 1 0 Systemfehler: Ein-und Ausgängeoder interne Test-signale nicht inOrdnung

58-x 91) 81) 71) 6 5 4 3 2 1 0 Systemfehler:Kommunikationextern / internnicht in Ordnung

59-x 9 8 7 6 5 4 3 2 1 0 Systemfehler derFirmware / Hard-warefehler des Si-cherheitsmoduls

1) reserviert für zukünftige Erweiterungen

Tab. 77 Bitfeld der Fehlernummern

Eine vollständige Beschreibung aller Fehler mit möglichen Ursachen und möglichen Maßnahmen zurVermeidung è 6.6 Diagnosemeldungen mit Hinweisen zur Störungsbeseitigung.

Grundgerätefehler:Das Grundgerät überwacht im Betrieb die Kommunikation mit dem Sicherheitsmodul und die Plausibi-lität der Steuersignale vom Sicherheitsmoduls. Nach dem Einschalten prüft das Grundgerät, dass derrichtige Typ des Sicherheitsmoduls montiert wurde und ob ein Modultausch stattgefunden hat. Im Fal-le von Fehlern generiert es eine entsprechende Fehlermeldung mit parametrierbarer Fehlerreaktion(è Beschreibung Funktionen zum CMMP-AS-...-M3, GDCP-CMMP-M3-FW-...).

Fehler des Sicherheitsmoduls:Das Sicherheitsmodul führt die angeforderten Sicherheitsfunktionen aus. Es überwacht sich selbst ,die Ein- und Ausgänge und die Positionsgeber 1 und 2. Bei Verletzung einer Sicherheitsfunktion oderbei Erkennung eines Fehlers wechselt das Sicherheitsmodul in den Fehlerzustand. Im Sicherheitsmodul wird unterschieden zwischen folgenden Fehlern

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

116 Festo — CAMC-G-S3 — 2019-12a

Page 117: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Fehlern bei Verletzung einer Sicherheitsbedingung (53-x und 54-x)LED leuchtet dauerhaft rot

– Systemfehlern (55-x bis 59-x)LED blinkt rot.

Weitere Informationen zur LED Anzeige è 3.10.2 Zustandsanzeige am SicherheitsmodulFehler werden von den verschiedenen Funktionsblöcken im Sicherheitsmodul generiert.Zum Beispiel generiert die Sicherheitsfunktion SSF ein Fehlersignal, wenn der Antrieb sich außerhalbdes überwachten Geschwindigkeitsbereichs bewegt.Das Fehlersignal kann sehr kurz sein, wenn der Antrieb nur kurz den erlaubten Bereich verlässt. So-wohl das Grundgerät als auch das Sicherheitsmodul, verfügen daher intern über einen Diagnosespei-cher.Jeder Fehler, der im Betrieb auftritt, wird zunächst in diesen Diagnosespeicher eingetragen und zwi-schengespeichert:– Der Diagnosespeicher des Grundgerätes kann mehr als 200 Einträge aufnehmen. Bei Erreichen

dieser Grenze werden die jeweils ältesten Einträge überschrieben. – Der Diagnosespeicher des Sicherheitsmoduls umfasst 32 Einträge.

Er dient als Zwischenpuffer, bevor die Fehler an das Grundgerät gemeldet und dort in dessen per-manenten Diagnosespeicher eingetragen werden.

Der permanente Diagnosespeicher des Grundgerätes bleibt auch bei Spannungsausfall erhalten, sodass eine Fehlerhistorie verfügbar ist. In den permanenten Diagnosespeicher werden neben Fehlernauch andere Ereignisse eingetragen.Ausführliche Beschreibungè 3.11 Permanenter und temporärer Diagnosespeicher im Motorcontroller.

Zusätzlich wird auf der 7-Segment-Anzeige des Motorcontrollers die Fehlernummer, bestehend ausHauptindex und Subindex angezeigt. Angezeigt wird jeweils der zuletzt ausgelöste Fehler mit derhöchsten Priorität (Fehlernummer). Spätere Fehler mit niedrigerer Priorität werden zwar in den Dia-gnosespeicher eingetragen, aber nicht auf der 7-Segment-Anzeige ausgegeben.Ein Fehlerzustand bleibt so lange bestehen, bis er quittiert wird.

Verletzung von SicherheitsbedingungenDie Signale „Sicherheitsbedingung verletzt“ der einzelnen Sicherheitsfunktionen werden je nach para-metrierter Fehlerreaktion in einer Sammel-Fehlermeldung bzw. einer Sammel-Warnmeldung zusam-mengefasst. Damit kann z. B. das Melderelais gesteuert werden. Die Sammelmeldungen selbst führennicht zu einer Fehlerreaktion.Die Fehlerreaktion wird individuell für jede Sicherheitsfunktion festgelegtè 5.6.12 Fehlermanagement und è 9.2 Liste zusätzlicher Parameter. Ein Fehler wird einmalig bei derersten Verletzung der Sicherheitsbedingung nach der Anforderung der Sicherheitsfunktion ausgelöst.Eine wiederholte Verletzung der Sicherheitsbedingung führt erst nach Quittierung des Fehlers erneutzu einer Fehlermeldung.Der Ausgang „Sicherheitsbedingung verletzt“ gibt den aktuellen Zustand wieder. Beispiel:1. SLS wird angefordert. 2. Geschwindigkeit außerhalb des zulässigen Bereichs } Fehlermeldung, Ausgang aktiv.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

117Festo — CAMC-G-S3 — 2019-12a

Page 118: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

3. Geschwindigkeit wieder im zulässigen Bereich } Ausgang wird inaktiv. 4. Geschwindigkeit erneut außerhalb des zulässigen Bereichs } Ausgang aktiv, keine erneute Fehler-

meldung.

Reaktion auf fehlerhafte ZustandsgrößenSolange eine Sicherheitsfunktion nicht angefordert ist, wird die Gültigkeit der Eingangsgrößen (z. B.Geschwindigkeitssignal, Signal der Stillstand-Erkennung,...) nicht überwacht oder geprüft.Während eine Sicherheitsfunktion angefordert wird oder erreicht ist, wird die Gültigkeit der Eingangs-größen überwacht. Wenn ein Fehler erkannt wird, führt dies zur entsprechenden Fehlermeldung „Si-cherheitsbedingung verletzt“.

Mit dem versteckten Expertenparameter P09.00 kann eine Maske gesetzt werden, um einzelne Sicher-heitsfunktionen aus der Generierung der Status VOUT_SSR und VOUT_SCV auszuschließen. Der Parameter kann verwendet werden, um Sicherheitsfunktionen zur Beobachtung zu nutzen, z. B.„Safe Speed Monitor, SSM“ und dabei aus Betriebsstatusmeldungen auszublenden.Wenden Sie sich bei Bedarf an Ihren regionalen Ansprechpartner von Festo.

3.8.2 Parametrierung der Fehlerreaktion des SicherheitsmodulsFür viele Fehler der Gruppen 53-x bis 57-x kann die Fehlerreaktion in einem weiten Bereich konfiguriertwerden. Für einige kritische Fehler ist die Auswahl eingeschränkt oder ganz unterbunden. Jeder Fehlerlöst unabhängig von der zeitlichen Reihenfolge des Auftretens die ihm zugeordnete Fehlerreaktionaus. Wenn mehrere Fehler gleichzeitig vorliegen, dann werden auch mehrere Fehlerreaktionen gleich-zeitig durchgeführt. Bei Verletzung einer Sicherheitsbedingung muss das Sicherheitsmodul einen definierten Stopp derAchse einleiten, je nach geforderter Stopp-Kategorie (STO, SS1, SS2, ggf. SBC). Bei Systemfehlern hängt der Umfang der erforderlichen Fehlerreaktion davon ab, ob die sichere Funk-tion des Sicherheitsmoduls gewährleistet werden kann.Folgende Fehlerreaktionen (beginnend mit der Höchstprioren) stehen zur Verfügung:[8] Anforderung STO + SBC + alle digitalen Ausgänge auf „0“ setzen [7] Anforderung STO + SBC [6] Anforderung STO [5] Anforderung SS1 + SBC[4] Anforderung SS1[3] Anforderung SS2[2] Generierung einer Warnung (Display des Motorcontrollers), keine weitere Reaktion[1] Keine Reaktion, nur Eintrag in Diagnosespeicher [0] Keine Reaktion, kein Eintrag in Diagnosespeicher

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

118 Festo — CAMC-G-S3 — 2019-12a

Page 119: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

HINWEIS!

Bei Fehlern muss der Antrieb im Zweifelsfall schnellstmöglich energielos abgeschaltet werden (STO),die Feststelleinheit oder Haltebremse muss einfallen (SBC) und die sicheren Ausgänge müssen alle-samt abgeschaltet werden, dies entspricht Fehlerreaktion [8]. Dieser Zustand ist der „Sichere Grund-zustand“ des Sicherheitsmoduls.• Eine Energiezufuhr zum Motor ist nicht mehr möglich.• Eine Bewegung wird über eine externe Feststelleinheit mit Notbrems-Eigenschaften gebremst.• Externe Folgeelektronik wird abgeschaltet / in den sicheren Zustand gebracht.Prüfen Sie, welche Fehlerreaktion in Ihrer Safety-Anwendung erforderlich ist. Wählen Sie im Zweifels-fall die höchste Fehlerreaktion [8].

3.8.3 Logik für Fehlerquittierung

Fig. 53 Symbol Quittierung

Über die hier beschriebene Funktion „Fehlerquittierung“ werden aufgetretene Fehler zurückgesetzt.Dies ist die Voraussetzung für das Beenden von aktiven Sicherheitsfunktionen in Folge einer Fehlerre-aktion.Über eine steigende Flanke des Steuersignals VIN_ERR_QUIT können Fehler quittiert werden. DasSteuersignal muss dafür mit einem digitalen Eingang verbunden werden.:– Schalten Sie einen Steuereingang auf VIN_ERR_QUIT – Betätigen Sie den Eingang, damit das Sicherheitsmodul den Fehlerzustand verlässt.Die Konfiguraton erfolgt in der gleichen Weise, wie die Konfiguration der Anforderung oder das Been-den einer Sicherheitsfunktion.

Im Auslieferungszustand und nach Zurücksetzen auf Werkseinstellungen ist der Eingang DIN48 für dieFunktion „Fehlerquittierung“ vorgesehen. Fehler werden mit der steigenden Flanke (0 V -> 24 V) quit-tiert.

Fig. 54 Konfiguration Fehlerquittierung

Ein Fehler kann nur dann aus dem „temporären“ Diagnosespeicher des Sicherheitsmoduls entferntwerden, wenn die Fehlerbedingung nicht mehr existiert. Das Sicherheitsmodul prüft beim Quittierendaher systematisch alle Fehlerbedingungen und löscht die Einträge der Fehler, die behoben sind. Dieübrigen Fehler bleiben erhalten. Nach einem durchlaufenen Quittierungs-Vorgang schreibt das Sicher-heitsmodul einen Eintrag „Fehlerquittierung“ in den „permanenten“ Speicher des Grundgerätes. NachEnde der Fehlerquittierung werden noch vorhandene Fehler erneut in die Diagnosespeicher eingetra-

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

119Festo — CAMC-G-S3 — 2019-12a

Page 120: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

gen.Am Ende der Fehlerquittierung im Sicherheitsmodul sendet das Sicherheitsmodul ein „Fehler Quittie-ren“ Kommando an das Grundgerät, so dass auch anstehende Fehler im Grundgerät mit quittiert wer-den.

Das Sicherheitsmodul besitzt eine Master-Funktion für das Quittieren von Fehlern:• Fehler die im Sicherheitsmodul quittiert werden, werden im Grundgerät ebenfalls quittiert. • Fehlernummern, die vom Sicherheitsmodul generiert werden (53-x bis 59-x) können ausschließ-

lich über das Sicherheitsmodul quittiert werden. • Das Grundgerät kann bei einer Fehlerquittierung über die funktionale Steuerung oder über E/A

nur die Fehlernummern quittieren, die auch vom Grundgerät generiert werden.

Das Quittieren von Fehlern des Sicherheitsmoduls erfolgt ausschließlich über den dafür konfiguriertenSteuereingang.

Verzögerungszeiten LIN_D48 bis ... Minimal Maximal Typisch

VIN_ERR_QUIT bis zum Löschen des Temporären Diagnose-speichers und Wechsel der Betriebsart

4,0 ms 20 ms 10 ms

VIN_ERR_QUIT bis zum Löschen der Fehler im Grundgerät undBetriebsbereitschaft Grundgerät

20 ms 500 ms 100 ms

Tab. 78 Zeitverhalten der Fehlerquittierung

HINWEIS!

Bei Verletzung einer Sicherheitsbedingung kann der Fehler erst quittiert werden, wenn sich die Zu-standsgrößen des Antriebs wieder im erlaubten Bereich befinden.

Beispiel - Verletzung SOS:Nachdem SOS angefordert wurde, wurde die Achse über den Toleranzbereich hinaus bewegt –> DerFehler [54-3] Verletzung SOS wird generiert. Der Fehler kann erst quittiert werden, wenn:– die Achse in den erlaubten Bereich zurück bewegt wurde, oder (alternativ) – die Anforderung der Sicherheitsfunktion SOS beendet wurde.In Folge der Verletzung SOS wird als Fehlerreaktion eine andere Sicherheitsfunktion, in diesem Bei-spiel SS1 ausgeführt. Für einen Wiederanlauf nach einer „Verletzung SOS“ ist folgender Ablauf erforderlich:1. Betätigung "Beenden Sicherheitsfunktion"

➙ Beendet die SOS-Funktion, SS1 (aus Fehlerreaktion) wird weiterhin ausgeführt 2. Fehlerquittieren

➙ Löscht den Fehler „Verletzung SOS“ 3. Erneute Betätigung "Beenden Sicherheitsfunktion"

➙ Beendet die Sicherheitsfunktion SS1 ➙ Achse/Motor kann wieder anlaufen

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

120 Festo — CAMC-G-S3 — 2019-12a

Page 121: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehler folgender Sicherheitsfunktionen können auch bei angeforderter Sicherheitsfunktion quittiertwerden:STO, SS1, SBC, USF/SSF in allen drei Ausprägungen SLS, SSR, SSM.

3.9 Digitale Ausgänge

3.9.1 Zweikanalige sichere Ausgänge DOUT40 … DOUT42 [X40]

Verwendung

Fig. 55 Symbol Ausgang zweikanalig

Verwenden Sie die zweikanaligen sicheren Ausgänge, um:– Sichere Statusmeldungen an externe Steuergeräte zu übertragen. – Sicherheitsschaltgeräte anzusteuern. – Dauerhaft eingeschaltet können sie als Quelle für Testimpulse genutzt werden.

FunktionDas Sicherheitsmodul verfügt über die drei sicheren Ausgänge DOUT40A/B, DOUT41A/B,DOUT42A/B. Die Ausgänge sind weitgehend frei konfigurierbar und lassen sich mit verschiedenenFunktionen (Sicherheitsfunktion angefordert, sicherer Zustand erreicht, Fehler ...) belegen. Der Betrie-bsstatus des Sicherheitsmoduls oder einzelner Sicherheitsfunktion kann so nach außen gemeldetwerden:– um den Sicherheitsstatus an Folgeantriebe zu melden, – um Sicherheitsfunktionen in Folgeantrieben mit Sicherheitsmodul CAMC-G-S3 anzufordern, – um den Sicherheitsstatus an eine externe Sicherheitssteuerung oder an eine funktionale Steue-

rung zu melden, – um externe sichere Aktoren anzusteuern, z. B. eine Feststelleinheit, eine Ventilentlüftung, eine

Türzuhaltung o. ä.

Blockschaltbild

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

121Festo — CAMC-G-S3 — 2019-12a

Page 122: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

DOUT40 ... DOUT42

Fig. 56 Blockschaltbild der zweikanaligen sicheren Ausgänge

Begriff/Abkürzung Erklärung

LOUT_x Logische Ausgänge

DRIVER + TEST PULSE GENERATOR + FEED BACKEVALUATION

Treiber, Erzeugung Testimpulse und Auswertung

DOUT4...A / DOUT4...B Zweikanalige digitale Ausgänge

[57-0] IO_ERR Internes Fehlersignal Fehler 57-0

Tab. 79 Legende zu Blockschaltbild der zweikanaligen sicheren Ausgänge

Die Ansteuerung des Ausgangs erfolgt durch Auswahl eines oder mehrerer Signale VOUT_x, die aufLOUT_D4x gelegt werden.Jeder sichere digitale Ausgang ist wie folgt konfigurierbar (P03.30 für DOUT40):– dauerhaft AUS (DOUT40A/B = 0 V)– dauerhaft EIN (DOUT40A/B = 24 V)– äquivalent schaltend– antivalent schaltendDie Testimpulslänge ist parametrierbar (P03.31 für DOUT40).

Sie können die Ausgänge nutzen, um passive Sensoren mittels Testimpulsen zu überwachen. Dafürkonfigurieren Sie einen der Ausgänge auf "dauerhaft ein" und nutzen die Ausgänge DOUT4x A/B zurSpeisung des Schaltgerätes è 4.3 Schaltungsbeispiele.

Die folgenden Tabellen zeigen die Zuordung von Logiksignal LOUT_D4x zum Ausgangspegel für äqui-valent und antivalent schaltende Ausgänge:

Ausgang DOUT40/41/42 Äquivalent Ruhezustand Sicherer Zustand angefordert

LOUT_D40/41/42 1 0

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

122 Festo — CAMC-G-S3 — 2019-12a

Page 123: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Ausgang DOUT40/41/42 Äquivalent Ruhezustand Sicherer Zustand angefordert

DOUT40A/41A/42A 24 V 0 V

DOUT40B/41B/42B 24 V 0 V

Tab. 80 Logiksignale DOUT40/41/42 Äquivalent

Ausgang DOUT40/41/42 Antivalent Ruhezustand Sicherer Zustand angefordert

LOUT_D40/41/42 1 0

DOUT40A/41A/42A 24 V 0 V

DOUT40B/41B/42B 0 V 24 V

Tab. 81 Logiksignale DOUT40/41/42 Antivalent

Die sicheren Ausgänge (einschließlich Taktausgang) sollen immer dem Ruhestrom-Prinzip folgen, dasbedeutet, der Low-Pegel ist der sichere Zustand.Der Anwender muss dies bei der Konfiguration dadurch sicherstellen, dass er das SteuersignalLOUT_D40 invertiert, so dass dieses Prinzip gewahrt bleibt.

Fig. 57 Konfiguration der sicheren Ausgänge (Beispiel)

Der Anwender muss sicherstellen, dass ein spannungsfreier Ausgang zu einem sicheren Zustand desGesamtsystems führt.Jeder sichere digitale Ausgang lässt sich auch als Taktausgang für die Speisung passiver Sensorenverwenden, in dem Fall wird er als „dauerhaft EIN“ konfiguriert.

FehlererkennungDie Ausgangstreiber sind zweikanalig und redundant aufgebaut. Die Ausgangspegel an DOUT4xA/Bwerden im Betrieb laufend von beiden Mikrocontrollern zurückgelesen. Beide Mikrocontroller gebenTestimpulse auf den Ausgängen aus, die im Wechsel vom jeweils anderen zurückgelesen und ausge-wertet werden.Durch diese Maßnahmen werden Kurzschlüsse nach 24 V, 0 V und Querschlüsse zwischen beliebigenAusgängen sicher erkannt. Im Fehlerfall geht der Ausgang in den sicheren Zustand (DOUT4xA/B abge-schaltet, bzw. 0 V). Es wird eine Fehlermeldung [57-0] IO-ERR generiert. Bei schweren internen Fehlern, die dazu führen, dass ein oder beide Mikrocontroller den Zustand derAusgänge nicht mehr sicher steuern können, werden alle Ausgänge gemeinsam abgeschaltet, auch beiantivalenten Ausgängen werden beide Pins A/B auf LowPegel geschaltet.Beispiele für derartige Fehler:– Betriebsspannung fehlerhaft– Positionssensoren fehlerhaft

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

123Festo — CAMC-G-S3 — 2019-12a

Page 124: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Speicherfehler, StackFehler– Programmablaufüberwachung meldet Fehler, interne Kommunikationsfehler

TimingdiagrammDas folgende Bild zeigt exemplarisch das Zeitverhalten beim Ab- und Wiedereinschalten des AusgangsDOUT40. Die Testimpulse bei High-Pegel sind ebenfalls dargestellt. Sie sind für alle Ausgänge zeitlichversetzt.

Digital Output DOUT40A/B

Fig. 58 Timingdiagramm der zweikanaligen sicheren Ausgänge

Begriff/Abkürzung Erklärung

VOUT_x Virtuelle Ausgänge

LOUT_x Logische Ausgänge

DOUT40A, DOUT40B Zweikanalige digitale Ausgänge

Equivalent / Antivalent Äquivalent / Antivalent

Tab. 82 Legende zu Timingdiagramm der zweikanaligen sicheren Ausgänge

Ab der Ansteuerung eines sicheren Ausgangs vergehen folgende Zeiten, bis die Ausgangspins umge-schaltet werden:

Verzögerungszeiten ab LOUT_D4x bis Pegel-wechsel Ausgang

Minimal Maximal Typisch

Verzögerungszeit Ts 0,0 ms 2,5 ms 0,5 ms

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

124 Festo — CAMC-G-S3 — 2019-12a

Page 125: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Verzögerungszeiten ab LOUT_D4x bis Pegel-wechsel Ausgang

Minimal Maximal Typisch

Dauer der Testimpulse (P02.31, … ) 0,4 ms 10,0 ms 1,0 ms

Tab. 83 Verzögerungszeiten DOUT40 … DOUT42

Parameter für die zweikanaligen digitalen Ausgänge

Parameter Nr. für Ausgang … 

DIN40 DIN41 DIN42

Name Beschreibung

P02.30 P02.32 P02.34 Betriebsart Modus: Aus (0 V) / äquivalent /antivalent / EIN (24 V)

P02.31 P02.33 P02.35 Testimpulslän-ge

Länge des Testimpulses

Tab. 84 Parameter zweikanalige digitale Ausgänge

3.9.2 Interne Bremsansteuerung des Motorcontrollers [X6]

Verwendung

Fig. 59 Symbol Haltebremse

Der Motorcontroller verfügt über integrierte Leistungsschalter für sichere Bremsansteuerung. Es wirdsowohl der +24-V-Anschluss als auch der 0-V-Anschluss der Haltebremse über separate Leistungstran-sistoren geschaltet.Die Ansteuerung der Haltebremse erfolgt üblicherweise funktional über den Motorcontroller. Die Leis-tungsschalter können aber in Verbindung mit dem CAMC-G-S3 auch genutzt werden, um eine Feststel-leinheit oder Haltebremse über die Sicherheitsfunktion SBC anzusteuern.

Die integrierte Bremsansteuerung am Ausgang [X6] erfüllt die Anforderungen PL d / Kat. 3 nachEN ISO 13849, bzw. SIL 2 nach EN 61800-5-2.

FunktionDas Sicherheitsmodul greift aktiv in die Ansteuerung der High- und Low-Side-Schalter im Motorcon-troller ein. Der Eingriff erfolgt auf dem Sicherheitsmodul diversitär über beide Mikrocontroller über dieSignale BR+_BASEUNIT und BR-_BASEUNIT. Der Low-Zustand des jeweiligen Signals schaltet den ent-sprechenden Leistungstransistor ab, die Haltebremse fällt ein.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

125Festo — CAMC-G-S3 — 2019-12a

Page 126: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Im Auslieferungszustand ist die interne Bremsansteuerung bereits so konfiguriert, dass eine Anforde-rung der Sicherheitsfunktions SBC eine Abschaltung der Signale BR+_BASEUNIT und BR-_BASEUNITbewirkt.Beachten Sie die Polarität des Steuersignals aus der SBC-Funktion: VOUT_SBC_BRK_ON = 1 bedeutet, dass die Feststelleinheit oder Haltebremse einfallen soll.Das Steuersignal muss daher invertiert werden: LOUT_BRAKE_CTRL = NOT(VOUT_SBC_BRK_ON)

Fig. 60 Konfiguration Bremsenansteuerung (Beispiel)

Blockschaltbild

Fig. 61 Blockschaltbild der sicheren Bremsansteuerung im Grundgerät

Begriff/Abkürzung Erklärung

LOUT_BRAKE_CONTROL Logischer Ausgang Bremsansteuerung

DRIVER + TEST PULSE GENERATOR Treiber und Erzeugung Testimpulse

BR+_BASEUNIT/BR-_BASEUNIT Interne Signale: Bremsansteuerung

[57-0] IO_ERR Internes Fehlersignal Fehler 57-0

Tab. 85 Legende zu Blockschaltbild der sicheren Bremsansteuerung im Grundgerät

Ausgang Steuersignale BR+ /BR-

sichere Bremsansteuerungnicht bestromt

sichere Bremsansteuerungbe-stromt

LOUT_BRAKE_CTRL 1 0

BR+_BASEUNIT 0 1

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

126 Festo — CAMC-G-S3 — 2019-12a

Page 127: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Ausgang Steuersignale BR+ /BR-

sichere Bremsansteuerungnicht bestromt

sichere Bremsansteuerungbe-stromt

BR-_BASEUNIT 0 1

Tab. 86 Logiksignale BR+_BASEUNIT/BR-_BASEUNIT

FehlererkennungDurch Testimpulse wird die Funktion der High-Side und Low-Side-Schalter im Betrieb geprüft. Die Tes-timpulslänge ist parametrierbar (P02.37). Die Prüfung mittels Testimpulsen erfolgt separat für jedenLeistungsschalter im Grundgerät immer dann, wenn die sichere Bremsansteuerung bestromt ist. DieImpulsdauer ist parametrierbar. Über ein internes Rückmeldesignal wird die Spannung am sicherenBremsausgang vom Sicherheitsmodul gemessen.Folgende Fehler werden erkannt– Schluss von BR+ nach 24 V.– Schluss von BR- nach 0 V.Im Fehlerfall wird der Fehler [57-0] IO_ERR generiert.

Die integrierte Bremsansteuerung am Ausgang [X6] ist geeignet für Feststelleinheiten oder Haltebrem-sen mit 24 V und einer Stromaufnahme von max. 2 A è Technische Daten Bremsausgang in Beschrei-bung Hardware GDCP-CMMP-AS-G3-HW-...Alternativ kann die Ansteuerung der Feststelleinheit oder Haltebremse über einen sicheren digitalenAusgang (DOUT40 bis DOUT42) und ein externes Bremsenschaltgerät erfolgen.Beispiele è 4.3.5 Ansteuerung einer Feststelleinheit undè 4.3.6 Ansteuerung einer 2-kanaligen Feststelleinheit.

TimingdiagrammFolgendes Bild zeigt exemplarisch das Zeitverhalten beim Ab- und Wiedereinschalten des internenBremsausgangs [X6]. Die Testimpulse bei bei bestromter Feststelleinheit oder Haltebremse (gelüftet)sind ebenfalls dargestellt. Sie sind zeitlich versetzt.

Internal Brake

Fig. 62 Timingdiagramm der integrierten Bremsansteuerung im Grundgerät

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

127Festo — CAMC-G-S3 — 2019-12a

Page 128: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff/Abkürzung Erklärung

VOUT_SBC_BRK_ON Virtueller Ausgang Ansteuerung interne Bremse

LOUT_BRK_CONTROL Logischer Ausgang Ansteuerung interne Bremse

X6.x BR+ / X6.y BR- Signale an den Kontakten des Bremsausgangs im Grundgerät

Tab. 87 Legende zu Timingdiagramm der integrierten Bremsansteuerung im Grundgerät

Ab der Ansteuerung der internen Bremse vergehen folgende Zeiten, bis die Ausgangspins an [X6] um-geschaltet werden:

Verzögerungszeiten ab LOUT_BRAKE_CTRL bisPegelwechsel Bremsausgang [X6] des Grundge-räts

Minimal Maximal Typisch

Verzögerungszeit Ts 0,0 ms 4,0 ms 2,0 ms

Dauer der Testimpulse (P02.37) 0,4 ms 10,0 ms 1,0 ms

Tab. 88 Verzögerungszeiten interne Bremse

Parameter für die interne sichere Bremsansteuerung

Interne Bremse

Nr. Name Beschreibung

P02.37 Testimpulslänge Länge des Testimpulses

Tab. 89 Parameter interne Bremse

3.9.3 Meldekontakt C1, C2 [X40]

Verwendung

Fig. 63 Symbol Relaisausgang

Der potentialfreie Meldekontakt wird bevorzugt als Diagnoseausgang verwendet. Der Betriebsstatusdes Sicherheitsmoduls kann darüber an eine externe Sicherheitssteuerung gemeldet werden.

FunktionDer Meldekontakt ist einkanalig und darf nicht als Teil einer Sicherheitskette verwendet werden.Der Kontakt verfügt nicht über zwangsgeführten Kontakte zur sicherheitsgerichteten Überwachung derfehlerfreien Funktion. Der potentialfreie Meldekontakt ist genauso wie ein sicherer Ausgang konfigu-rierbar, es können aber keine Testimpulse zur Prüfung digitaler Eingänge ausgegeben werden.Der Kontakt ist als Schließerkontakt ausgeführt. Im Ruhezustand / unbestromten Zustand ist der Kon-takt offen, ebenso während der Initialisierung und Power off/on des Sicherheitsmoduls.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

128 Festo — CAMC-G-S3 — 2019-12a

Page 129: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Blockschaltbild

Fig. 64 Blockschaltbild des potentialfreien Relaisausgangs

Begriff/Abkürzung Erklärung

LOUT_RELAIS Logischer Ausgang Rückmeldekontakt

DRIVER Treiber

Tab. 90 Legende zu Blockschaltbild des potentialfreien Relaisausgangs

Ausgang Meldekontakt Ruhezustand Aktiv

LOUT_RELAIS 0 1

Kontakt C1/C2 offen geschlossen

Tab. 91 Logiksignale Meldekontakt

FehlererkennungDer Zustand des Schaltkontaktes wird nicht überwacht.

Im Auslieferungszustand ist der Meldekontakt wie folgt vorkonfiguriert:Kontakt geschlossen, wenn kein Fehler vorliegt und alle angeforderten Sicherheitsfunktionen den si-cheren Zustand rückmelden (Sammelmeldung VOUT_SSR „Safe State Reached“).

TimingdiagrammFolgendes Bild zeigt exemplarisch das Zeitverhalten beim Ab- und Wiedereinschalten des Meldekon-taktes.

Fig. 65 Timingdiagramm des potentialfreien Meldekontaktes

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

129Festo — CAMC-G-S3 — 2019-12a

Page 130: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Signaling contact C1/C2

Begriff/Abkürzung Erklärung

VOUTx Virtueller Ausgang

OPEN / CLOSED (Relaiskontakt) offen / geschlossen

Tab. 92 Legende zu Timingdiagramm des potentialfreien Meldekontaktes

Ab der Ansteuerung des Relais vergehen folgende Zeiten, bis die Ausgangspins umgeschaltet werden:

Verzögerungszeiten ab LOUT_RELAIS bis Relaisschaltet

Minimal Maximal Typisch

Verzögerungszeit Ts 0,0 ms 20,0 ms 6,0 ms

Tab. 93 Verzögerungszeiten Relaisausgang

Der Meldekontakt ist als Miniaturrelais ausgeführt.

Die Lebensdauer und Schaltzyklusfestigkeit des Relais ist wesentlich von Höhe und Art der Belastungdes Relaiskontaktes abhängig.Elektrischen Daten des Meldekontakts è Tab. 143 Technische Daten: Meldekontakt C1/C2 [X40].

3.9.4 Hilfsversorgung +24 V [X40]Die Hilfsversorgung kann bei der Nutzung des Rückmeldekontaktes C1/C2 oder zur Versorgung exter-ner aktiver Sensoren eingesetzt werden.Das Sicherheitsmodul stellt an der Schnittstelle X40 eine 24-V-Gleichspannung mit einer Belastbarkeitvon maximal 100 mA zur Verfügung.Der Ausgang für die 24 V wird über einen PTC gegen Überlast und Kurzschluss geschützt.

Elektrischen Daten der Hilfsversorgung è Tab. 144 Technische Daten: 24V-Hilfsversorgung [X40].

3.10 Betriebsstatus und Statusanzeigen

3.10.1 Zustände des Systems / ZustandmaschineFolgendes Bild zeigt die Zustandsübergänge des Sicherheitsmoduls beim Start nach Power-ON.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

130 Festo — CAMC-G-S3 — 2019-12a

Page 131: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Endstufe freigegeben

Ausgänge spannungsfrei

Endstufe gesperrt

Ausgänge spannungsfrei

Endstufe freigegeben,

wenn keine Sicherheitsbedingung verletztSystemfehler

Systemfehler, nicht quittierbar,

z. B. Stack, RAM, Prozessor,

Hardwaredefekt

Betriebsbereit, keine Sicherheitsfunktion

Sicherheitsfunktion angefordert

Sicherer Zustand erreicht

Sicherheitsbedingung verletzt

Systemfehler quittierbar

Betrieb

Parametrier­

sitzung einleitenFehler-

Quittierung

Kommunikations­

fehler

Timeout

Parametrier­

sitzung einleiten

Kommunikations

ufbau Systembus

Parametrier­

sitzung läuft

Parametrier­

sitzung be­

enden, Pa­

rameter

validiert

Parametrier­

sitzung be­

enden, Pa­

rameter nicht

validiert

Parametrier­

sitzung ein­

leiten

Parametrierung

Grundgerät

Lade Parameter

Keine Parameter

vorhanden

Initialisierung 2

Initialisierung 1

LED-Anzeige

– Parameter vorhanden

– Parameter validiert

– Parametersatz = default

– keine Parameter

– Parameter nicht validiert

– Kennwort wurde zurückgesetzt

Fig. 66 Zustände des „Gesamtsystems“

Beschreibung der Zustände des „Gesamtsystems“– In der Phase Initialisierung 1 erfolgen grundlegende Systemtests der Hard- und Firmware.– Anschließend wird der Parametersatz aus dem FLASH-Speicher des Moduls geladen und über-

prüft:– Das Sicherheitsmodul prüft, ob ein gültiger sicherer Parametersatz im Sicherheitsmodul vor-

handen ist. Ein gültiger sicherer Parametersatz liegt vor, wenn alle Einzelparameter validiertsind und auch der Parametersatz gesamt die Kennzeichnung „validiert“ besitzt.

– prüft, ob sich das Sicherheitsmodul im Auslieferungszustand befindet. Im Auslieferungszu-stand sind alle Einzelparameter validiert aber der Parametersatz gesamt hat die Kennzeich-nung „nicht validiert“. Zusätzlich ist im Parametersatz die Kennung „Auslieferungszustand“gesetzt.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

131Festo — CAMC-G-S3 — 2019-12a

Page 132: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Im Auslieferungszustand kann das Grundgerät in Betrieb genommen und der Motor verfahren werden.Das Sicherheitsmodul ist vorkonfiguriert mit den Sicherheitsfunktionen STO und SBC, die über DIN40angefordert werden können, und bietet so einen minimalen Schutz è 5.4.2 Auslieferungszustand undè 5.4.1 Werkseinstellung.

– Wenn nicht alle Einzelparameter validiert sind oder der Parametersatz gesamt die Kennung „nichtvalidiert“ besitzt und kein Auslieferungszustand vorliegt, geht das Sicherheitsmodul in den Zu-stand „Service“ und wartet auf eine Parametrierung von außen.

Im Zustand „Service“ kann der Motor und das Grundgerät nicht in Betrieb genommen werden. Das Si-cherheitsmodul hat alle sicheren Ausgänge und die geräteinternen Steuersignale zum Freischalten derEndstufe und der Haltebremse abgeschaltet.

– Beim Beenden einer Parametrierung schließt sich eine zweite Initialisiserung an.– Anschließend wird die Kommunikation mit dem Grundgerät aufgebaut.– Wenn bisher keine Fehler festgestellt wurden und das Sicherheitsmodul über einen gültigen si-

cheren und gesamt-validierten Parametersatz verfügt, geht es in den Zustand „Betrieb“, in demSicherheitsfunktionen angefordert und ausgeführt werden können. Im Zustand „Betrieb“ arbeitensämtliche Module gemäß ihrer spezifizierten Funktionalität.

– Wenn Systemfehler detektiert werden, z. B. ein defekter Positionsgeber, geht das Sicherheitsmo-dul in den Zustand „Systemfehler“, der nur nach Behebung des Fehlers und anschließender Feh-lerquittierung oder einen Neustart des Systems verlassen werden kann.

Zustandsübergänge des Sicherheitsmoduls im laufenden „Betrieb“ è Fig.67. – Solange keine Sicherheitsfunktion angefordert ist besteht der Zustand „Betriebsbereit“.– Wenn zumindest eine Sicherheitsfunktion angefordert wird, wechselt das Sicherheitsmodul in den

Zustand „Sicherheitsfunktion angefordert“. Die Überwachung ist bereits aktiv, aber der sichereZustand ist noch nicht erreicht, z. B. weil eine Geschwindigkeitsrampe abgefahren wird.

– Es folgt der Status „Sicherer Zustand erreicht“. Die Überwachung ist aktiv. Der Antrieb befindetsich im sicheren Zustand.

– Der Zustand „Sicherheitsbedingung verletzt“ wird im Fehlerfall eingenommen. Er kann nur überdie Fehlerquittierung verlassen werden.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

132 Festo — CAMC-G-S3 — 2019-12a

Page 133: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Sicherheitsfunktionanfordern

nicht angefordert

Bei diesen Übergängen wird ein Fehler ausgelöst, der zu der parametriertenFehlerreaktion führt

Sicherheitsfunktionangefordert

Anforderungbeenden

Anforderungbeenden

Anforderungbeenden

Sicherheitsbe­dingung verletzt

Sicherer Zustanderreicht

Sicherer Zustand erreicht,abhängig von der jeweiligenSicherheitsfunktion

Zustandsgrößeaußerhalb /innerhalb deserlaubtenBereichs

Zustandsgrößeaußerhalb /innerhalb deserlaubtenBereichs

Fig. 67 Zustände der Sicherheitsfunktionen „Betrieb“

Die Sicherheitsfunktionen besitzen kleine Ablaufsteuerungen und generieren Status- und Fehlermel-dungen (Beispiel Sicherheitsfunktion SS1 è Fig.30). Aus den Fehler oder Betriebszuständen der ein-zelnen Sicherheits- und Logikfunktionen werden verschiedene Sammel-Statusmeldungen generiert.

Die Sammelmeldungen werden formal als virtuelle Ausgänge implementiert. Sie werden in jeweils alsentsprechende logischen Eingänge zurückgeführt.Dadurch lassen sich Ausgänge (z. B. Melderelais) in Abhängigkeit des Systemzustandes ansteuern,und es lassen sich Sicherheitsfunktionen in Abhängigkeit vom Systemzustand ansteuern.Die Sammel-Statusmeldungen sind nachfolgend beschrieben.

VOUT_READY: „Betriebsbereit, keine Sicherheitsfunktion angefordert“Das Signal „Betriebsbereit, keine Sicherheitsfunktion angefordert“ wird „1“, wenn keine Fehlermel-dung vorliegt, deren Reaktion eine Warnung übersteigt, und wenn keine Sicherheitsfunktion angefor-dert ist.

VOUT_SERVICE: „Service“, das Sicherheitsmodul muss parametriert werdenDas Signal „Service“ wird „1“, wenn der Parametersatz des Moduls ungültig ist, wenn eine Parame-triersitzung läuft, oder wenn kein Parametersatz vorliegt. Im Parametersatz existiert eine Kennung, mitder das Sicherheitsmodul erkennen kann, ob es sich um den Auslieferungszustand(=Standardparametersatz) handelt.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

133Festo — CAMC-G-S3 — 2019-12a

Page 134: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

HINWEIS!

Wenn die Checksumme des Parametersatzes fehlerhaft ist, dann ist dies ein schwerwiegender internerFehler, der in den Zustand „Systemfehler“ führt.

VOUT_SFR: „Safety Function Requested“ / „Sicherheitsfunktion angefordert“Das Signal „Sicherheitsfunktion angefordert“ wird „1“, wenn mindestens eine Sicherheitsfunktion an-gefordert ist. Es bleibt aktiv, bis alle Anforderungen zurückgesetzt sind.

VOUT_SSR: „Safe State Reached“ / „Sicherer Zustand erreicht“Das Signal „Sicherer Zustand erreicht“ wird „1“, wenn bei allen angeforderten Sicherheitsfunktionender Ausgang „Sicherer Zustand erreicht“ aktiv ist, und wenn mindestens eine Sicherheitsfunktion an-gefordert ist.

VOUT_ERROR: „System Error“ / „Interner Systemfehler“Das Signal „Systemfehler“ wird „1“, wenn mindestens ein Fehler vorliegt, dessen Reaktion höher als„Warnung“ parametriert ist. Davon ausgenommen sind Fehler der Kategorie „Sicherheitsbedingungverletzt“, die eine eigene Sammelfehlermeldung besitzen. Anmerkung: Dies ist der Fall, wenn entweder ein quittierbarer Fehler eines Moduls vorliegt oder wennsich das Gesamtsystem im Zustand „Systemfehler“ oder „Kommunikationsfehler“ befindet.

VOUT_SCV: „Safety Condition Violated“ / „Sicherheitsbedingung verletzt“Das Signal „Sicherheitsbedingung verletzt“ wird „1“, wenn mindestens ein Fehler der Kategorie „Si-cherheitsbedingung verletzt“ im Fehlermanagement vorliegt, und wenn die Fehlerreaktion dieses Feh-lers höher als „Warnung“ priorisiert ist.

VOUT_WARN: „Warnung“Das Signal „Warnung“ wird „1“, wenn mindestens ein Fehler vorliegt, dessen Reaktion als „Warnung“parametriert ist. Davon ausgenommen sind Fehler der Kategorie „Sicherheitsbedingung verletzt“.

VOUT_PS_EN: „Power Stage Enable“ / „Bereit zum Einschalten der Endstufe“Das Signal „Bereit zum Einschalten der Endstufe“ bildet direkt den Zustand der sicheren Impulssperre(Sicherheitsfunktion STO) ab. Es ist „1“, wenn die Treiberversorgung vom Sicherheitsmodul freigege-ben ist und „0“ wenn die Treiberversorung über die Sicherheitsfunktion STO abgeschaltet wurde.

3.10.2 Zustandsanzeige am SicherheitsmodulZur Statusanzeige der Sicherheitsfunktion besitzt das Sicherheitsmodul eine LED auf der Frontseiteè 6.4.1 LED-Anzeige am Sicherheitsmodul.Die Status LED zeigt den Betriebszustand des Sicherheitsmoduls an. Die Anzeige ist ausschließlich fürdie Diagnose und nicht sicherheitsgerichtet zu verwenden.Wenn mehrere Zustände gleichzeitig vorliegen, die eine Anzeige zur Folge haben, wird der Zustand mitder höchsten Priorität angezeigt. Die Prioritäten sind in folgender Tabelle dargestellt.Die Anzeige erfolgt als Dauerlicht oder als Blinken mit ca. 3 Hz.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

134 Festo — CAMC-G-S3 — 2019-12a

Page 135: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

LED-Anzeige Statusmeldung Prio Zustand Sicherheits-modul

Interner Status

blinkt rot VOUT_ERROR = 1 7 „System Fehler“ Das Gesamtsystem befindetsich im Zustand „Systemfeh-ler“ oder „Kommunikations-fehler“.

leuchtet rot VOUT_SCV = 1 VOUT_SFR = 1

6 „Safety ConditionViolated“, Fehlerreak-tion eingeleitet

Verletzung mindestens einerder aktuell angeforderten Si-cherheitsfunktionen.

leuchtet gelb VOUT_SSR = 1 VOUT_SFR = 1

5 „Safe State Rea-ched“, Sicherer Zu-stand erreicht

Alle angeforderten Sicher-heitsfunktionen befinden sichim Zustand „Sicherer Zustanderreicht“.

blinkt gelb VOUT_SFR = 1 4 „Safety Function Re-quested“, Sicher-heitsfunktion ange-fordert

Das Signal ist aktiv, sobaldmindestens eine Sicherheits-funktion angefordert wird. Esbleibt aktiv, bis alle Anforde-rungen zurückgesetzt sind.

blinktrot/grün

VOUT_SERVICE = 1 VOUT_PS_EN = 1

3 „Auslieferungszu-stand“

Auslieferungszustand kannüber VOUT_PS_EN vom „Ser-vicezustand“ unterschiedenwerden.

blinkt grün VOUT_SERVICE = 1VOUT_PS_EN = 0

2 „Service-Zustand“ Keine Parameter vorhanden,Parameter ungültig oder Pa-rametriersitzung läuft.

leuchtet grün VOUT_READY = 1 VOUT_PS_EN = 1

1 „Ready“, Betriebsbe-reit

Betriebsbereit, keine Sicher-heitsfunktion angefordert,keine Fehler.

aus VOUT_READY = 0 VOUT_PS_EN = 0

0 „Initialisierung läuft“ Initialisierung 1: Lade Para-meter, Initialisierung 2: Kom-munikationsaufbau.

Tab. 94 Systemzustände und Meldungen

3.10.3 7-Segment-Anzeige des MotorcontrollersDie 7-Segment-Anzeige des Motorcontrollers zeigt zusätzliche Informationenè 6.4.2 7-Segment-Anzeige des Motorcontrollers, z. B.:– Anzeige der aktiven Sicherheitsfunktion– Anzeige von Fehlermeldungen des Sicherheitsmodul mit eindeutigen Fehlernummern. Bereits an-

geforderte Stopp-Funktionen (STO, SS1, SS2, SOS) haben dabei eine höhere Anzeigepriorität, alsdie übrigen Sicherheitsfunktionenè 6.6 Diagnosemeldungen mit Hinweisen zur Störungsbeseitigung.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

135Festo — CAMC-G-S3 — 2019-12a

Page 136: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Anzeige einer aktiven Parametriersitzung.

3.11 Permanenter und temporärer Diagnosespeicher im MotorcontrollerIm permanenten Speicher der Motorcontroller werden die Diagnosemeldungen dauerhaft (netzausfall-sicher) gespeichert. Dieser Speicher besteht aus 2 Segmenten, die nacheinander gefüllt werden. Wennbeide Segmente gefüllt sind, wird automatisch das ältere Segment gelöscht. Damit steht ein Quasi-Ringspeicher für die permanent gespeicherten Meldungen zur Verfügung. Der Motorcontroller verwaltet einen permanenten Diagnosespeicher, der im nichtflüchtigen Speicherdes Gerätes abgelegt ist und so auch bei Spannungsausfall / Power-Off erhalten bleibt. Der perma-nente Diagnosespeicher dient der nichtflüchtigen Speicherung von Fehlern und sonstigen Ereignissen.Der permanente Diagnosespeicher besteht aus zwei Blöcken, die im Wechsel beschrieben werden.Wenn ein Block voll ist, wird der andere Block gelöscht. Die Architektur des Speichers bedingt, dassbei einem Löschvorgang die Hälfte der gespeicherten Einträge verloren geht. Der permanente Diagnosespeicher wird sowohl vom Sicherheitsmodul, als auch vom Motorcontrollergenutzt. Einträge des Motorcontrollers gehen zu Lasten des insgesamt zur Verfügung stehenden Spei-cherplatzes. Es gibt keine Speicherplatz Reservierung für das Sicherheitsmodul. Status und Fehlermeldungen werden chronologisch eingetragen. Die jeweils ältesten Eintragungenwerden gelöscht, wenn ein Block voll ist. In Bezug auf das Sicherheitsmodul werden die folgenden Ereignisse im permanenten Diagnosespei-cher protokolliert:– Eröffnung einer Parametriersitzung (auch Versuch der Eröffnung) – Schließen der Parametriersitzung – Ändern / Rücksetzen des Passwortes – Sichern des Parametersatzes im Sicherheitsmodul – Fehler und Warnungen – Quittieren von Fehlern – Anforderung einer Sicherheitsfunktion (aktivierbar)

Das Protokollieren der Anforderung einer Sicherheitsfunktion ist ab Werk deaktiviert, es lässt sich beiBedarf über den Parameter P20.4A aktivieren.

Ein Eintrag in der Fehlerliste stellt sich im FCT wie folgt dar:

Nr. Störnr. Störungsbeschrei-bung

Zeit stem-pel

Konstan-te

Freier Parameter Typ

1 00-21 Log-Eintrag aus demSicherheitsmodul

580:15:0-3

0x0000 Fehler quittiert, Quel-le: 0x01, fehlerfrei

Fehler

2 00-8 Controller eingeschal-tet

580:15:0-0

0x0000 0x0000 Fehler

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

136 Festo — CAMC-G-S3 — 2019-12a

Page 137: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Nr. Störnr. Störungsbeschrei-bung

Zeit stem-pel

Konstan-te

Freier Parameter Typ

3 00-12 Modulwechsel: aktu-elles Modul

580:15:2-2

0x4830 CAMC-G-S3, S/N: 1212820487, HW-Rev.: 1.0, SW-Rev.: 1.0

Fehler

4 00-11 Modulwechsel: vorhe-riges Modul

580:15:2-2

0x48FF CAMC-DS-M1, S/N: 3781764777, HW-Rev.: 0.1, SW-Rev.: 0.1

Fehler

 …   …   …   …   …   …   … 

Tab. 95 Beispiel Einträge im permanenten Diagnosespeicher des Grundgerätes mit Fehlermeldungendes Sicherheitsmoduls

Ein Eintrag in den permanenten Diagnosespeicher enthält folgende Informationen:– laufende Nummer – Status- oder Fehlernummer, bestehend aus Hauptindex und Subindex, mit Kurzbeschreibung– Diagnoseparameter in Hexadezimaldarstellung:

1 x 16 Bit Konstante 1 x 32 Bit Freier Parameter (Bedeutung abhängig vom Fehler)

– Zeitstempel, aktuelle Systemzeit des Betriebsstundenzählers im MotorcontrollerFehlermeldungen des Sicherheitsmoduls enthalten ggf. weitere Zusatzinformationen, die in einem Fol-geeintrag dargestellt werden. So enthält der Eintrag Nr. 2 die Zusatzinformationen zum FehlereintragNr. 1.

Dokumentieren Sie bei Supportanfragen immer die vollständige Fehlerinformation, insbesondere dieDiagnoseparameter und auch Folgeeinträge. Die Diagnoseparameter enthalten interne Informationen z. B. darüber, in welchem Programmmodulund unter welchen Bedingungen der Fehler aufgetreten ist. Diese Informationen sind für den Herstel-ler bestimmt und können unter Umständen bei der Lösung des Problems hilfreich sein. Sie können den gesamten Diagnosespeicher des Gerätes auslesen und in eine CSV-Datei exportieren.Die Datei enthält dann die gesamte Fehlerhistorie des Gerätes und kann für die Fehlerklärung und fürSupport-Anfragen verwendet werden.

3.12 Zeitverhalten

3.12.1 AbtastzeitenDas Sicherheitsmodul arbeitet mit einer zyklischen Erfassung aller Ein- und Ausgangsgrößen. Die Er-fassung erfolgt mit zwei festen Taktfrequenzen è Tab. 96 Abtastzeiten des Sicherheitsmoduls.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

137Festo — CAMC-G-S3 — 2019-12a

Page 138: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Takt Abtastfre-quenz

Zykluszeit Funktion

TSample typ. 8 KHz typ. 125 μs Der Takt wird intern auf den Regelabtasttakt desGrundgerätes synchronisiert,Bereich TSample = 100 μs – 200 μs – Erfassung aller Ein- und Ausgänge– Auswertung der Positionsgeber – Filterberechnung – Generierung der Testimpulse– Interne Kommunikation

TLogic 500 Hz 2 ms Fester Abtasttakt für Sicherheitsfunktionen – Berechnung der Sicherheitsfunktionen– Berechnung der Logikfunktionen– Zustandmaschine, Fehlermanagement – Signaldurchlauf LIN_x ➙ VOUT_x

Tab. 96 Abtastzeiten des Sicherheitsmoduls

Die Erfassung der Eingangssignale unterliegt damit einem maximalen Jitter von TLogic + TSample. Ein Ein-gangssignal wird damit schnellstens sofort, spätestens aber nach 2,125 ms erfasst. Auch der Start ei-ner Sicherheitsfunktion unterliegt diesem Jitter bezogen auf das Eingangssignal. Der Jitter ist in denspezifizierten Reaktionszeiten der einzelnen Funktionsblöcke berücksichtigt.

3.12.2 Reaktionszeit bei Anforderung einer SicherheitsfunktionDie Reaktionszeit des Sicherheitsmoduls setzt sich aus drei Komponenten zusammen:

Fig. 68 Reaktionszeiten des Sicherheitsmoduls (schematische Darstellung, Ausschnitt aus Funktions-schaltbild Sicherheitsmodul)

TI : Zeit vom Signalwechsel am Eingang bis zur Abbildung des Eingangsstatus im logischen Eingangssi-gnal LIN_x. Die Zeit ist abhängig von den Einstellungen der Eingangsfilter è 3.4 Digitale Eingänge.TL : Zeit für die Ausführung der Sicherheits- oder Logikfunktion von LIN_x bis zur Ausgabe des Statusin VOUT_x. Die Zeit ist abhängig von den Einstellungen der Sicherheits- und Logikfunktionen, spezifi-ziert in è 3.5 Sicherheitsfunktionen und è 3.6 Logikfunktionen.TO : Zeit für die Ausgabe der Statusinformationen VOUT_x auf die digitalen Ausgänge. Die Zeit ist ab-hängig von der Schaltverzögerung der Ausgänge è 3.8 Fehlermanagement und Fehlerquittierung.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

138 Festo — CAMC-G-S3 — 2019-12a

Page 139: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Wenn Sie Ausgangssignale VOUT_x auf Eingänge LIN_x zurückführen, ist zu beachten, dass eine zu-sätzliche Laufzeit von TLogic auftritt. Beispiel: Nutzung der erweiterten Logikfunktionen zur Anforderung einer Sicherheitsfunktion, überdas Signal LIN_ALFx_OUT.è Wenn möglich sollten Sicherheitsfunktionen direkt angefordert werden, um Laufzeiten zu minimie-ren.

Die resultierende Reaktionszeit bis zur Ausführung der Sicherheitsfunktion setzt sich zusammen aus: Tres = TI + TL

Beispiel: Anforderung STO über DIN40, Schnellanforderung P02.08 gesetzt

Reaktionszeiten Minimal Maximal Typisch

Angabe für TI für DIN4x è Tab. 23 Verzögerungszeiten DIN40 … DIN43

Reaktionszeit bei „Schnellerkennung Anforde-rung“ = 1(P02.08/P02.0D/P02.12/P02.17 = 1)

0,5 ms 2,5 ms 1,5 ms

Angabe für TL für STO è Tab. 32 Verzögerungszeiten STO

Reaktionszeit bis Abschaltung TreiberversorgungGrundgerät und Endstufe AUS

2,5 ms 4,5 ms 3,5 ms

Summe: 3,5 ms 7,0 ms 5,0 ms

Tab. 97

Die Zeit bis zur Statusmeldung, dass die Sicherheitsfunktion angefordert ist, berechnet sich ausTres = TI + TL + TO

Beispiel: Anforderung SOS über DIN40, P02.08 =0, P02.04 = 3 ms, P0B.00 = 2 ms

Reaktionszeiten Minimal Maximal Typisch

Angabe für TI für DIN4x è Tab. 23 Verzögerungszeiten DIN40 … DIN43

Reaktionszeit ohne „Schnellerkennung Anforde-rung“ und 3 ms Filterzeit

3,5 ms 5,5 ms 4,5 ms

Angabe für TL für SOSè Tab. 56 Verzögerungszeiten SOS

Ausgabe VOUT_SOS_SSR mit P0B.00 = 2 ms 4,0 ms 4,1 ms 4,0 ms

Angabe für TO über DOUT40 è Tab. 83 Verzögerungszeiten DOUT40 … DOUT42

Verzögerungszeit Ts 0,0 ms 2,5 ms 0,5 ms

Summe: 7,5 ms 12,1 ms 9,0 ms

Tab. 98

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

139Festo — CAMC-G-S3 — 2019-12a

Page 140: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

3.12.3 Reaktionszeit bei Verletzung einer SicherheitsfunktionDie Reaktionszeit des Sicherheitsmoduls beim Auftreten gefährlicher Bewegungen oder bei Ausfall ei-nes Positionsgebers setzt sich ebenfalls aus drei Komponenten zusammen:

Fig. 69 Berechnung der Geschwindigkeit und der Beschleunigung (schematische Darstellung, Aus-schnitte aus Berechnung der Geschwindigkeit und der Beschleunigung und Funktionsschaltbild Si-cherheitsmodul)

TF : Zeit vom Auftreten der gefährlichen Bewegung, bis zur Abbildung im Sicherheitsmodul (Filter fürGeschwindigkeitssignale), bzw. Zeit bis zur Erkennung des defekten Positionsgebersè Tab. 13 Parameter für Fehlererkennung in der Positionssensorik, die das Zeitverhalten beeinflussenTL : Zeit für die Ausführung der Sicherheits- oder Logikfunktion von LIN_x unter Berücksichtigung et-waiger Toleranzzeiten bis zur Ausgabe des Fehlersignals VOUT_xxx_SCV è 3.5 Sicherheitsfunktionen.TO : Zeit für die Ausgabe der Statusinformationen VOUT_x auf die Digitalen Ausgänge. Die Zeit ist ab-hängig von der Schaltverzögerung der Ausgänge è 3.8 Fehlermanagement und Fehlerquittierung.Detektion einer gefährlichen Bewegung: Die Reaktionszeit bis zur modulinternen Erkennung der Ver-letzung setzt sich zusammen aus:Tres = TF + TL

Beispiel: Sicherheitsfunktion SSF0, ausgeprägt als SLS, Toleranzzeit P0E.03 = 4 ms Geberkonfigurati-on mit Drehzahlfilter P06.08 = 8 ms

Reaktionszeiten Minimal Maximal Typisch

Erfassung der gefährlichen Bewegung TF

Signalverzögerung im Drehzahlfilter, P06.08 8,0 ms 8,1 ms 8,0 ms

Sicherheitsfunktion SS0, TL

Reaktionszeit unter Berücksichtigung der ToleranzzeitP0E.03

4,0 ms 6,0 ms 5,0 ms

Summe: 12,0 ms 14,1 ms 13,0 ms

Tab. 99

Detektion einer gefährlichen Bewegung: Die Zeit bis zur sicheren Ausgabe der Statusmeldung, dassdie Sicherheitsfunktion verletzt ist, berechnet sich wie folgt:Tres = TF + TL + TO

Reaktionszeiten Minimal Maximal Typisch

Erfassung der gefährlichen Bewegung TF

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

140 Festo — CAMC-G-S3 — 2019-12a

Page 141: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Reaktionszeiten Minimal Maximal Typisch

Signalverzögerung im Drehzahlfilter, P06.08 8,0 ms 8,1 ms 8,0 ms

Sicherheitsfunktion SS0, TL

Reaktionszeit unter Berücksichtigung der Toleranzzeit P0E.03 = 4 ms

4,0 ms 6,0 ms 5,0 ms

Angabe für TO über DOUT40 è Tab. 83 Verzögerungszeiten DOUT40 … DOUT42

Verzögerungszeit Ts 0,0 ms 2,5 ms 0,5 ms

Summe: 12,0 ms 16,6 ms 13,5 ms

Tab. 100

Detektion einer gefährlichen Bewegung: Die Zeit vom Auftreten einer gefährlichen Bewegung bis zurFehlerreaktion (hier STO) und bis zur sicheren Abschaltung der Endstufe, berechnet sich wie folgt:Tres = TF + TL,SSF0 + TL,STO Beispiel: Wie zuvor, Abschaltung des Antriebs über Fehlerreaktion STO

Reaktionszeiten Minimal Maximal Typisch

Erfassung der gefährlichen Bewegung TF

Signalverzögerung im Drehzahlfilter, P06.08 8,0 ms 8,1 ms 8,0 ms

Sicherheitsfunktion SS0, TL

Reaktionszeit unter Berücksichtigung der Toleranzzeit P0E.03 = 4 ms

4,0 ms 6,0 ms 5,0 ms

Angabe für TL für STO è Tab. 32 Verzögerungszeiten STO

Reaktionszeit bis Abschaltung Treiberversorgung Grund-gerät und Endstufe AUS

2,5 ms 4,5 ms 3,5 ms

Summe: 14,5 ms 18,6 ms 16,5 ms

Tab. 101

Detektion eines defekten Positionsgebers. Die Zeit vom Auftreten eines Fehlers im Positionsgeber biszur Fehlerreaktion (hier STO) und bis zur sicheren Abschaltung der Endstufe, berechnet sich wie folgt:Tres = TF + TL,STO

Beispiel: Detektion Geberfehler, Abschaltung des Antriebs über Fehlerreaktion STO

Reaktionszeiten Minimal Maximal Typisch

Detektion des Geberfehlers TF

Fehlererkennung in der Geberauswertung 10,0 ms 10,1 ms 10,0 ms

Angabe für TL für STO è Tab. 32 Verzögerungszeiten STO

Reaktionszeit bis Abschaltung Treiberversorgung Grund-gerät und Endstufe AUS

2,5 ms 4,5 ms 3,5 ms

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

141Festo — CAMC-G-S3 — 2019-12a

Page 142: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Reaktionszeiten Minimal Maximal Typisch

Summe: 12,5 ms 14,6 ms 13,5 ms

Tab. 102

3.12.4 Sonstige Zeiten für Fehlererkennung und KommunikationWeitere Verzögerungszeiten / Fehlerreaktionszeiten siehe folgende Tabelle:

Beschreibung Zeit TF maximal

Sicherheitsfunktion wird angefordert, Zustandsgrößensind nicht verfügbar → Sicherheitsbedingung verletzt

2 ms

Eingang: Stuck-At-Fehler erkannt, Ausbleiben Testim-puls

< 16 s

Ausgang: Stuck-At-Fehler erkannt, Ausbleiben Testim-puls

< 16 s

Zweikanalige Eingänge:Äquivalenz/Antivalenzfehler an Eingang (Diskrepanzzeit)

parameterierbar, typisch 100 ms (P02.05,P02.0A, P02.0F, P02.14)

Zweihandbediengerät:Zeitverletzung Gleichzeitigkeit (Diskrepanzzeit)

parameterierbar, typisch 500 ms (P02.03)

Betriebsartenwahlschalter: Verletzung 1-aus-N (Diskre-panzzeit)

parameterierbar, typisch 100 ms (P02.01)

RAM-Fehler, Flash-Fehler, Stack-Fehler, CPU-Fehler, Pro-grammlauffehler

je nach Fehlerart 2 ms … 8 h

Kreuzvergleich Daten μC1/μC2 liefert Fehler < 16 s

Betriebsspannung fehlerhaft: Zeit zwischen Auftretendes Fehlers und Auslösen der Reaktion

£ 2 ms

Digitale Winkelgeber: Kommunikationsfehler, Fehler vie-rer-Zyklus (EnDat-Pakete falsch oder fehlen)

£ 2 ms

Sonstiger Winkelgeber [X2B]:Verzögerungszeit für dieÜbermittlung der Daten aus dem Grundgerät

£ 400 μs, typisch 250 μs

Übermittlung der Sollwertgrenzen (Sicherheitsfunktio-nen steuern Sollwertgrenzen im Motorcontroller)

£ 2 ms

Tab. 103 Sonstige Verzögerungszeiten / Fehlerreaktionszeiten

3.13 DIP-SchalterAuf der Frontseite des Sicherheitsmoduls befinden sich DIP-Schalter. Diese haben keine sicherheitsge-richtete Funktion. Die Bedeutung der einzelnen Schalter hängt von dem eingesetzten Interface zurFeldbuskommunikation ab. Mit Hilfe der DIP-Schalter kann die Feldbus-Kommunikation aktiviert/deaktiviert und z. B. eine Teil-nehmer- Adresse eingestellt werden.

Produktbeschreibung Sicherheitsmodul CAMC-G-S3

142 Festo — CAMC-G-S3 — 2019-12a

Page 143: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Informationen zur DIP-Schaltereinstellung finden Sie in der è Beschreibung Montage und Installati-on, GDCP-CMMP-M3-HW-...

4 Montage und Installation

4.1 Montage / DemontageDas Sicherheitsmodul CAMC-G-S3 ist ausschließlich für die Integration in die MotorcontrollerCMMPAS-…- M3 geeignet. Es kann nicht außerhalb des Motorcontrollers betrieben werden.

WARNUNG!

Gefahr des elektrischen Schlags bei nicht montiertem Sicherheitsmodul.Berühren von spannungsführenden Teilen führt zu schweren Verletzungen und kann zum Tod führen. Vor Berührung spannungsführender Teile bei Wartungs-, Instandsetzungs- und Reinigungsarbeitensowie bei langen Betriebsunterbrechungen:• Die elektrische Ausrüstung über den Hauptschalter spannungsfrei schalten und gegen Wiederein-

schalten sichern.• Nach dem Abschalten mindestens 5 Minuten Entladezeit abwarten, bevor auf den Controller zuge-

griffen wird.

HINWEIS!

Beschädigung des Sicherheitsmoduls oder des Motorcontrollers durch unsachgemäße Handha-bung.• Vor Montage- und Installationsarbeiten Versorgungsspannungen ausschalten. Versorgungsspan-

nungen erst dann einschalten, wenn Montage- und Installationsarbeiten vollständig abgeschlos-sen sind.

• Sicherheitsmodul nie unter Spannung aus dem Motorcontroller abziehen oder einstecken!• Beachten Sie die Handhabungsvorschriften für elektrostatisch gefährdete Bauelemente. Berühren

Sie nicht die Bauteile und Leiterbahnen der Platine und die Pins der Anschlussleiste im Motorcon-troller. Greifen Sie das Sicherheitsmodul nur an der Frontplatte oder am Platinenrand.

Sicherheitsmodul montieren 1. Sicherheitsmodul in die Führungen schieben. 2. Schrauben festdrehen. Anziehdrehmoment 0,4 Nm ± 10% einhalten.

Resultat: Frontplatte hat leitenden Kontakt mit dem Gehäuse.

Sicherheitsmodul demontieren1. Schrauben herausdrehen. 2. Sicherheitsmodul durch leichtes Hebeln an der Frontblende oder durch Ziehen am Gegenstecker

um einige Millimeter lösen und aus dem Steckplatz ziehen.

Montage und Installation

143Festo — CAMC-G-S3 — 2019-12a

Page 144: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 70 Montage / Demontage

4.2 Elektrische Installation

4.2.1 Sicherheitshinweise

WARNUNG!

Gefahr durch Verlust der Sicherheitsfunktion!In maschinellen Einrichtungen ohne Einwirkung äußerer Kräfte wird grundsätzlich davon ausgegan-gen, dass der Energieverlust in den sicheren Zustand führt (Ruhestromprinzip). Dies muss durch dieGefahren- und Risikoanalyse der Anwendung gezeigt/bestätigt werden. Fehlende Sicherheitsfunktion kann zu schweren, irreversiblen Verletzungen führen, z. B. durch unge-wollte Bewegungen der angeschlossenen Aktorik.• Sorgen Sie entsprechend Ihrer Anwendung für eine sichere Spannungsversorgung oder sehen Sie

andere entsprechende Maßnahmen vor.

Bei der Installation müssen die Anforderungen der EN 60204-1 erfüllt werden. Ist dies nicht möglich,kann z. B. ein Fehlerausschluss durch ein Sicherheitsschaltgerät mit Querschlusserkennung erfolgen.

WARNUNG!

Gefahr des elektrischen Schlags bei Spannungsquellen ohne Schutzmaßnahmen.• Verwenden Sie für die elektrische Logikversorgung ausschließlich PELV-Stromkreise nach

EN 60204-1 (Protective Extra-Low Voltage, PELV).• Berücksichtigen Sie die allgemeinen Anforderungen an PELV-Stromkreise gemäß der EN 60204-1.• Verwenden Sie ausschließlich Spannungsquellen, die eine sichere elektrische Trennung der Be-

triebsspannung von anderen aktiven Stromkreisen nach EN 60204-1 gewährleisten.

Durch die Verwendung von PELV-Stromkreisen wird der Schutz gegen elektrischen Schlag (Schutz ge-gen direktes und indirektes Berühren) nach EN 60204-1 sichergestellt. Das im System verwendete 24V-Netzteil muss die in der EN 60204-1 definierte Spannungsunterbrechung beherrschen.Der Anschluss der Kabel erfolgt an zwei Steckern. Dadurch können z. B. beim Austausch des Sicher-heitsmoduls die Kabel in den Steckern angeschlossen bleiben.

Montage und Installation

144 Festo — CAMC-G-S3 — 2019-12a

Page 145: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Stellen Sie sicher, dass keine Brücken o. ä. parallel zur Sicherheitsverdrahtung eingesetzt werden kön-nen, z. B. durch Verwendung des maximalen Aderquerschnitts von 1,5 mm² oder geeigneten Aderend-hülsen mit Isolierkragen. Verwenden Sie zum Durchschleifen von Leitungen zwischen benachbarten Geräten Zwillings-Aderend-hülsen.

ESD-SchutzAn nicht belegten Steckverbindern besteht die Gefahr, dass durch ESD (electrostatic discharge) Schä-den am Gerät oder anderen Anlagenteilen entstehen. Erden Sie die Anlagenteile vor der Installationund verwenden Sie geeignete ESD Ausrüstung (z. B. Erdungsbänder etc.).

4.2.2 FunktionserdeWenn Sie ein geschirmtes Anschlusskabel für [X40] verwenden: Halten Sie den ungeschirmten Teil des Kabels möglichst kurz (< 50 mm), verwenden Sie für den Schir-manschuss ein kurzes Erdungsband mit Flachstecker 6,3 mm. Stecken Sie den Flachstecker für den Schirmanschluss am dafür vorgesehenen Anschluss für Funkti-onserde an è Fig.3, Anschluss 7.

4.2.3 Anschluss [X40]Das Sicherheitsmodul CAMC-G-S3 besitzt an der Frontseite eine kombinierte Schnittstelle für Steue-rung und Rückmeldung über den Steckverbinder [X40].– Ausführung am Gerät: Phoenix Contact MINICOMBICON MC 1,5/8-GF-3,81 BK– Stecker (im Lieferumfang): Phoenix Contact MINICOMBICON MC 1,5/8-STF-3,81 BKDer Gegensteckersatz, bestehend aus Gegensteckern für X40A und X40B ist auch separat bestellbar:Steckersortiment NEKM-C-9.

Stecker Pin Bezeich-nung

Beschreibung (Werkseinstellung1))

Steckverbinder X40A

1 DIN40A

2 DIN40B

Digitaler Eingang 40 zweikanalig(Werkseinstellung: Not-Halt-Schaltgerät,Anforderung STO und SBC)

3 DIN42A

4 DIN42B

Digitaler Eingang 42 zweikanalig

5 DOUT40A

6 DOUT40B

Digitaler Ausgang 40 zweikanalig

7 DIN44 Digitaler Eingang 44(Werkseinstellung: Rückmeldung Bremse)

8 DIN45

 X40A    X40B

9 DIN46

Digitale Eingänge 45, 46, 47

Montage und Installation

145Festo — CAMC-G-S3 — 2019-12a

Page 146: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Stecker Pin Bezeich-nung

Beschreibung (Werkseinstellung1))

10 DIN47 (Werkseinstellung: Betriebsartenwahl-schalter)

11 DIN48 Digitaler Eingang 48 (Werkseinstellung: Fehlerquittierung).

12 DIN49 Digitaler Eingang 49 (Werkseinstellung: SicherheitsfunktionBeenden bei steigender Flanke).

Steckverbinder X40B

13 DIN41A

14 DIN41B

Digitaler Eingang 41 zweikanalig

15 DIN43A

16 DIN43B

Digitaler Eingang 43 zweikanalig

17 DOUT41A

18 DOUT41B

Digitaler Ausgang 41, zweikanalig

19 DOUT42A

20 DOUT42B

Digitaler Ausgang 42, zweikanalig

21 C1

22 C2

Meldekontakt, Relaiskontakte (Werkseinstellung: Sicherer Zustand er-reicht, keine Sicherheitsbedingung ver-letzt). – geöffnet: „Sicherheitsfunktionen

nicht aktiv“ – geschlossen: „Sicherheitsfunktionen

aktiv“

23 GND24 0 V, Bezugspotential für DINx / DOUTx /+24 V

 X40A    X40B

24 +24 V 24 V -Ausgang, Hilfsversorgung, z. B. fürsicherheitsgerichtete Peripherie(24 V DC Logikversorgung des Motorcon-trollers).

1) Funktion im Auslieferungszustand oder nach Rücksetzen auf Werkseinstellung (Vorparametrierung)

Tab. 104 Steckerbelegung [X40]

Zur Sicherstellung der Sicherheitsfunktionen sind die Steuereingänge zweikanalig in Parallelverdrah-tung anzuschließen, Beispielè Die Sicherheitsfunktion (z. B. STO – sicher abgeschaltetes Moment oder SS1 – sicherer Halt 1)

Montage und Installation

146 Festo — CAMC-G-S3 — 2019-12a

Page 147: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

wird durch ein Eingabegerät zur Sicherheitsanforderung ausgelöst. Die Sicherheitsanforderungerfolgt 2-kanalig über das Eingabegerät S1 und führt zum 2-kanaligen Abschalten der Endstufe desMotorcontrollers.- 1T1: Motorcontroller mit Sicherheitsmodul (nur relevante Anschlüsse dargestellt)- 2S1: Eingabegerät, z. B. Not-Halt-Schalter- 3S1: Eingabegerät, z. B. SchutztürFig. 71 Schaltungsbeispiel mit Schaltkontakten.

4.2.4 Mindestbeschaltung für die Erstinbetriebnahme [X40]

HINWEIS!

Verlust der Sicherheitsfunktion!Fehlende Sicherheitsfunktion kann zu schweren, irreversiblen Verletzungen führen, z. B. durch unge-wollte Bewegungen der angeschlossenen Aktorik.• Klären Sie vor der Erstinbetriebnahme, welche Sicherheitsfunktionen während der Inbetriebnah-

mephase benötigt werden, um die Sicherheit der Anlage auch in dieser Phase vor Auslieferung zugewährleisten. In der Regel ist zumindest eine sichere Not-Halt-Funktion erforderlich!

Inbetriebnahme nach Maschinenrichtlinie ist die erste bestimmungsgemäße Verwendung der Maschi-ne durch den Endkunden. Hier ist die Inbetriebnahme durch den Hersteller der Maschine während derMontage der Maschine gemeint.

Wenn in der Inbetriebnahmephase eine sicherheitsgerichtete Beschaltung (noch) nicht benötigt wird,kann das Schaltermodul CAMC-DS-M1 eingesetzt werden. Das CAMC-G-S3 kann dann erst nach derfunktionalen Inbetriebnahme der Achsen in den Motorcontroller eingebaut werden.Wenn in der Inbetriebnahmephase nur die Sicherheitsfunktionen STO und SBC benötigt werden (Not-Halt), sollte die Erstinbetriebnahme des Motorcontrollers CMMP-AS-...-M3 mit dem SicherheitsmodulCAMC-G-S3 mit einer Mindestbeschaltung entsprechend Schaltungsbeispiel(è 4.3 Schaltungsbeispiele) mit einem Not- Halt-Schalter (2) erfolgen.Verwenden Sie dafür ein Sicherheitsmodul, das sich im „Auslieferungszustand“ befindet (es blinktrot/grün ), è Tab. 94 Systemzustände und Meldungen. Im Auslieferungszustand sind dieSicherheitsfunktionen STO und SBC bereits vorbereitet.

HINWEIS!

Sicherheitsfunktionen dürfen nie überbrückt werden:• Führen Sie Mindestbeschaltungen für die Erstinbetriebnahme so aus, dass diese zwangsweise

entfernt werden müssen, wenn die endgültige Sicherheitsbeschaltung erfolgt.

Weitere Beispielanschaltungen mit ausführlicher Beschreibung finden Sie in den folgenden Abschnit-ten.

Montage und Installation

147Festo — CAMC-G-S3 — 2019-12a

Page 148: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

4.3 Schaltungsbeispiele

In den folgenden Schaltungsbeispielen ist jeweils ein einphasiger Motorcontroller CMMP-AS-C...-3A-M3 dargestellt. Für dreiphasige Motorcontroller muss die Beschaltung von [X9] entsprechend ange-passt werden.Es ist jeweils nur ein Eingabe- / Schaltgerät dargestellt. Es können aber alle vier zweikanaligen Eingän-ge für die Anforderung von Sicherheitsfunktionen genutzt werden!

HINWEIS!

Die folgenden Schaltungsbeispiele verwenden zum Teil passive Sensoren, wie z. B. Not-Halt Schalter,die über externe Taktsignale überwacht werden. Die digitalen Ausgänge des Sicherheitsmoduls soll-ten als Quelle für diese Taktsignale verwendet werden. Damit ist die Erkennung folgender Fehler mög-lich:• Kurzschlüsse zwischen Eingang A und B, im Ausgangskreis (DOUT4x) und im Eingangskreis

(DIN4x).• Schlüsse einer Leitung gegen 0 V oder +24 V.Schlüsse zwischen Eingang und Ausgang des passiven Sensors werden nicht, bzw. erst bei Betätigung(über die Diskrepanzüberwachung) erkannt. Bei der Verdrahtung des Systems sind daher Vorkehrun-gen zur Vermeidung dieses Fehlers zu treffen (Fehlerausschluss).

4.3.1 Sicherheitsanforderung über Geräte mit SchaltkontaktenDie Sicherheitsfunktion (z. B. STO – sicher abgeschaltetes Moment oder SS1 – sicherer Halt 1) wirddurch ein Eingabegerät zur Sicherheitsanforderung ausgelöst. Die Sicherheitsanforderung erfolgt2-kanalig über das Eingabegerät S1 und führt zum 2-kanaligen Abschalten der Endstufe des Motorcon-trollers.

Montage und Installation

148 Festo — CAMC-G-S3 — 2019-12a

Page 149: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

1 T1: Motorcontroller mit Sicherheitsmodul(nur relevante Anschlüsse dargestellt)

2 S1: Eingabegerät, z. B. Not-Halt-Schalter

3 S1: Eingabegerät, z. B. Schutztür

Fig. 71 Schaltungsbeispiel mit Schaltkontakten

Hinweise zum Schaltungsbeispiel:– Im Eingangskreis für die Schalter S1, für den Quittierungs-Taster S2 und für den Start-Taster S3

erfolgt eine Querschlusserkennung durch das Sicherheitsmodul CAMC-G-S3.– Mit der Betätigung des Start-Tasters S3 werden die Sicherheitsfunktionen beendet. – Wenn das Sicherheitsmodul CAMC-G-S3 eine Verletzung einer Sicherheitsbedingung erkennt oder

ein Fehler vorliegt, z. B. in der Anschlussverdrahtung, geht es auf Störung. Die Fehlerquittierungerfolgt über den Quittierungs-Taster S2.

– Der Rückmeldekontakt C1/C2 sollte über die Steuerung abgefragt werden. – Die Eingangsbeschaltung weist eine 2-kanalige Struktur auf, die für Kategorie 4 geeignet ist. – Abhängig vom Anwendungsbereich und Sicherheitskonzept der Maschine sind weitere Maßnah-

men notwendig.

4.3.2 Sicherheitsanforderung über Geräte mit Halbleiter-AusgängenDie Sicherheitsfunktion kann durch verschiedene Geräte angefordert werden. Der Schalter S1 kann einLichtvorhang oder ein Sicherheitsschaltgerät mit Halbleiterausgängen sein. Die Sicherheitsanforde-rung erfolgt 2-kanalig über den Schalter S1. Ist die Sicherheitsfunktion aktiv, wird dies im Beispieldurch den potentialfreien Kontakt C1/C2 ausgegeben.

Montage und Installation

149Festo — CAMC-G-S3 — 2019-12a

Page 150: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

1 T1: Motorcontroller mit Sicherheitsmodul(nur relevante Anschlüsse dargestellt)

2 S1: Eingabegerät, z. B. Lichtgitter

Fig. 72 Schaltungsbeispiel Gerät mit Halbleiter-Ausgängen

Hinweise zum Schaltungsbeispiel:– Im Eingangskreis für die Schalter S1 erfolgt die Querschlusserkennung durch den Lichtvorhang

S1. – Im Eingangskreis für den Start-Taster S3 und den Quittierungs-Taster S2 erfolgt eine Querschlus-

serkennung durch das Sicherheitsmodul CAMC-G-S3. – Mit der Betätigung des Quittierungs-Tasters S2 werden Fehler quittiert, mit der Betätigung von S3

werden die Sicherheitsfunktionen beendet.– Wenn das Sicherheitsmodul CAMC-G-S3 eine Verletzung einer Sicherheitsbedingung erkennt oder

ein Fehler vorliegt, z. B. in der Anschlussverdrahtung, geht es auf Störung. Die Fehlerquittierungerfolgt über den Quittierungs-Taster S2.

– Der Rückmeldekontakt C1/C2 sollte über die Steuerung abgefragt werden. – Die Eingangsbeschaltung weist eine 2-kanalige Struktur auf, die für Kategorie 4 geeignet ist. – Abhängig vom Anwendungsbereich und Sicherheitskonzept der Maschine sind weitere Maßnah-

men notwendig.

4.3.3 Sicherheitsanforderung über ein SicherheitsschaltgerätWerden mehr als vier Sicherheitsbefehlsgeräte (S1) benötigt oder soll eine übergeordnete Sicherheits-steuerung verwendet werden, kann der Motorcontroller (T1) auch über andere Sicherheitsbefehlsgerä-te angesteuert werden. Die Sicherheitsfunktion kann durch verschiedene Geräte angefordert werden. Die Sicherheitsanforde-rung erfolgt 2-kanalig über den Schalter S1 und wird vom Sicherheitsschaltgerät S2 (Sicherheitsrelais,

Montage und Installation

150 Festo — CAMC-G-S3 — 2019-12a

Page 151: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Sicherheits-SPS) ausgewertet. Ist die Sicherheitsfunktion aktiv, wird dies im Beispiel durch den poten-tialfreien Kontakt C1/C2 ausgegeben.

1 T1: Motorcontroller mit Sicherheitsmodul(nur relevante Anschlüsse dargestellt)

2 S1: Sicherheitsschaltgerät

3 S1: Lichtgitter

4 S1: Schutztür

5 S1: Not-Halt-Schalter

Fig. 73 Schaltungsbeispiel mit Sicherheitsschaltgerät

Hinweise zum Schaltungsbeispiel:– Im Eingangskreis für die Schalter S1 erfolgt die Querschlusserkennung durch das Sicherheits-

schaltgerät T2. Ist für die Anwendung ein Start-Taster erforderlich, wird dieser ebenfalls am Si-cherheitsschaltgerät T2 angeschlossen. Für den Quittierungs-Taster S2 erfolgt eine Querschlus-serkennung durch das Sicherheitsmodul CAMC-G-S3.

– Die Sicherheitsfunktionen im CAMC-G-S3 werden bei der Verwendung eines externen Sicherheits-schaltgeräts auf „automatischen Wiederanlauf nach Wegnahme der Anforderung“ parametriert.

– Wenn das Sicherheitsmodul CAMC-G-S3 eine Verletzung einer Sicherheitsbedingung erkennt oderein Fehler vorliegt, z. B. in der Anschlussverdrahtung, geht es auf Störung. Die Fehlerquittierungerfolgt über den Quittierungs-Taster S2.

– Der Rückmeldekontakt C1/C2 wird in den Rückführkreis des Sicherheitsschaltgerätes eingebun-den.

– Die Eingangsbeschaltung weist eine 2-kanalige Struktur auf, die für Kategorie 4 geeignet ist. – Abhängig vom Anwendungsbereich und Sicherheitskonzept der Maschine sind weitere Maßnah-

men notwendig.

Montage und Installation

151Festo — CAMC-G-S3 — 2019-12a

Page 152: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

4.3.4 Verkettung von mehreren CMMP-AS-…-M3 mit CAMC-G-S3Die Sicherheitsfunktion wird durch ein Eingabegerät zur Sicherheitsanforderung für beide Motorcon-troller ausgelöst. Die Sicherheitsanforderung erfolgt 2-kanalig über das Eingabegerät S1 und führtzum 2-kanaligen Abschalten der Endstufe des Motorcontrollers T1 und T2. Ist der sichere Zustand inbeiden Motorcontrollern erreicht, wird dies durch den potentialfreien Kontakt C1-C2 der Motorcontrol-ler T1 und T2 ausgegeben.

Montage und Installation

152 Festo — CAMC-G-S3 — 2019-12a

Page 153: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

1 T1/T2: Motorcontroller mit Sicherheitsmodul(nur relevante Anschlüsse dargestellt)

2 S1: Eingabegerät zur Sicherheitsanforde-rung

Fig. 74 Schaltungsbeispiel mehrere CMMP-AS-…-M3 mit CAMC-G-S3

Montage und Installation

153Festo — CAMC-G-S3 — 2019-12a

Page 154: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Hinweise zum Schaltungsbeispiel:– Im Eingangskreis für die Eingabegeräte zur Sicherheitsanforderung S1, für den Quittierungs-Tas-

ter S2 und für den Start-Taster S3 erfolgt eine Querschlusserkennung durch das CAMC-G-S3 in T1. – Mit der Betätigung des Start-Tasters S3 erfolgt das Beenden der Sicherheitsfunktionen. – Der Motorcontroller T1 muss die Sicherheitsanforderung über DOUT40A/B an den Motorcontroller

T2 weiterleiten, der dann ebenfalls auf die Sicherheitsanforderung reagiert. – Der MotorcontrollerT2 muss dem Motorcontroller T1 eine Sicherheitsanforderung zurückmelden.

– Die Rückmeldekontakte C1, C2 von T1 und T2 sind in Reihe geschaltet, das Signal sollte über dieSteuerung abgefragt werden. Ist eine Sicherheitsanforderung erfolgt, sollte die Steuerung geeig-net reagieren (z. B. bei SLS sollten die Sollwerte reduziert werden, bei SS1 sollte die Reglerfreiga-bezurückgenommen werden).

– Wenn das Sicherheitsmodul CAMC-G-S3 eine Verletzung einer Sicherheitsbedingung erkennt oderein Fehler vorliegt, z. B. in der Anschlussverdrahtung, geht es auf Störung. Die Fehlerquittierungerfolgt über den Quittierungs-Taster S2.

– Die Eingangsbeschaltung weist eine 2-kanalige Struktur auf, die für Kategorie 4 geeignet ist. – Abhängig vom Anwendungsbereich und Sicherheitskonzept der Maschine sind weitere Maßnah-

men notwendig.

4.3.5 Ansteuerung einer FeststelleinheitDie Sicherheitsfunktion (z. B. STO – Sicher abgeschaltetes Moment oder SS1 – Sicherer Halt 1) wirddurch ein Eingabegerät zur Sicherheitsanforderung ausgelöst. Die Sicherheitsanforderung erfolgt2-kanalig über das Eingabegerät S1 und führt zum 2-kanaligen Abschalten der Endstufe des Motorcon-trollers. Gleichzeitig wird die Feststelleinheit aktiviert und überwacht.

Montage und Installation

154 Festo — CAMC-G-S3 — 2019-12a

Page 155: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

1 T1: Motorcontroller mit Sicherheitsmodul(nur relevante Anschlüsse dargestellt)

2 S1: Eingabegerät zur Sicherheitsanforde-rung

3 V1/Y1: Ventil und Feststelleinheit S4: Druck-schalter zur Überwachung der Ansteuerung-der Feststelleinheit

Fig. 75 Schaltungsbeispiel Feststelleinheit

Hinweise zum Schaltungsbeispiel:– Im Eingangskreis für die Eingabegeräte zur Sicherheitsanforderung S1, für den Quittierungs-Tas-

ter S2 und für den Start-Taster S3 erfolgt eine Querschlusserkennung durch das SicherheitsmodulCAMC-G-S3.

– Mit der Betätigung des Start-Tasters S3 erfolgt das Beenden der Sicherheitsfunktionen. – Der Rückmeldekontakt C1, C2 sollte über die Steuerung abgefragt werden. Ist eine Sicherheitsan-

forderung erfolgt, sollte die Reglerfreigabe zurückgenommen werden. – Wenn das Sicherheitsmodul CAMC-G-S3 eine Verletzung einer Sicherheitsbedingung erkennt oder

ein Fehler vorliegt, z. B. in der Anschlussverdrahtung, geht es auf Störung. Die Fehlerquittierungerfolgt über den Quittierungs-Taster S2.

– Die Feststelleinheit wird über den Ausgang BR+/BR- des Motorcontrollers (T1) angesteuert undüber den Schalter S4 vom Sicherheitsmodul CAMC-G-S3 überwacht. (Hinweis: dafür werden aktiveDruckschalter verwendet, Querschlusserkennung mit DOUT42 nicht möglich!). Die gezeigte indi-rekte Überwachung erfordert einen regelmäßigen Funktionstest der Feststelleinheit.

– Die Überwachung der Feststelleinheit überprüft nur die Betätigung und nicht, ob der Reibwert derFeststelleinheit groß genug ist, damit diese noch ordnungsgemäß funktionieren kann.

– Das Schaltungsbeispiel weist in der Feststelleinheit eine überwachte 1-kanalige Struktur auf, diemit einem Funktionstest der Feststelleinheit bis Kategorie 2 geeignet ist.

– Abhängig vom Anwendungsbereich und Sicherheitskonzept der Maschine sind weitere Maßnah-men notwendig.

Montage und Installation

155Festo — CAMC-G-S3 — 2019-12a

Page 156: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

4.3.6 Ansteuerung einer 2-kanaligen FeststelleinheitDie Sicherheitsfunktion (z. B. STO – sicher abgeschaltetes Moment oder SS1 – sicherer Halt 1) wirddurch ein Eingabegerät zur Sicherheitsanforderung ausgelöst. Die Sicherheitsanforderung erfolgt2-kanalig über das Eingabegerät S1 und führt zum 2-kanaligen Abschalten der Endstufe des Motorcon-trollers. Gleichzeitig werden die Feststelleinheiten aktiviert und überwacht.

1 T1: Motorcontroller mit Sicherheitsmodul(nur relevante Anschlüsse dargestellt)

2 S1: Eingabegerät zur Sicherheitsanforde-rung

3 V1/V2/Y1: Ventile und zweikanalige Fest-stelleinheit S4/S5: Druckschalter zur Über-wachung der Ansteuerung der Feststellein-heit

Fig. 76 Schaltungsbeispiel 2-kanalige Fest

Hinweise zum Schaltungsbeispiel:– Im Eingangskreis für die Eingabegeräte zur Sicherheitsanforderung S1, für den Quittierungs-Tas-

ter S2 und für den Start-Taster S3 erfolgt eine Querschlusserkennung durch das SicherheitsmodulCAMC-G-S3.

– Mit der Betätigung des Start-Tasters S3 erfolgt das Beenden der Sicherheitsfunktionen. – Wenn das Sicherheitsmodul CAMC-G-S3 eine Verletzung einer Sicherheitsbedingung erkennt oder

ein Fehler vorliegt, z. B. in der Anschlussverdrahtung, geht es auf Störung. Die Fehlerquittierungerfolgt über den Quittierungs-Taster S2.

– Die Feststelleinheiten werden über den zweikanaligen Ausgang DOUT41A/DOUT41B des Sicher-heitsmoduls angesteuert.

– Wenn die Ventile für die Feststelleinheiten mehr Strom erfordern, als DOUT41 liefern kann, mussein geeignetes Relais (mit zwangsgeführten Kontakten und Rückmeldung) zwischengeschaltetwerden. Alternativ ist zu prüfen, ob der Ausgang BR+/BR- des Motorcontrollers T1 verwendet wer-den kann.

– Die Funktion der Feststelleinheiten wird über die Druckschalter S4 und S5 vom Sicherheitsmodulüberwacht (Hinweis: Dafür werden aktive Druckschalter verwendet, Querschlusserkennung mitDOUT41 nicht möglich!). Die gezeigte indirekte Überwachung erfordert einen regelmäßigen Funk-tionstest der Feststelleinheit.

Montage und Installation

156 Festo — CAMC-G-S3 — 2019-12a

Page 157: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Die Überwachung der Feststelleinheit überprüft nur die Betätigung und nicht, ob der Reibwert derFeststelleinheit groß genug ist, damit diese noch ordnungsgemäß funktionieren kann.

– Das Schaltungsbeispiel weist in der Feststelleinheit eine 2-kanalige Struktur auf, die mit einemFunktionstest der Feststelleinheit bis Kategorie 3 geeignet ist.

– Abhängig vom Anwendungsbereich und Sicherheitskonzept der Maschine sind weitere Maßnah-men notwendig.

4.3.7 Anschluss von Encodern für dynamische SicherheitsfunktionenDie Überwachung über Encoder erfolgt über die Steckverbindungen [X2A], [X2B] und [X10]. Je nach ver-fügbaren inkrementellen oder absoluten Messwerten können Geschwindigkeits- und Stillstandsüber-wachungen ausgeführt werden.In der Betriebsart „Automatik“ wird die Sicherheitsfunktion (z. B. STO – Sicher abgeschaltetes Mo-ment oder SS1 – Sicherer Halt 1) durch ein Eingabegerät zur Sicherheitsanforderung ausgelöst. Die Sicherheitsfunktion „Sicher begrenzte Geschwindigkeit (SLS)“ wird über den Betriebsartenwahl-schalter S6 in der Stellung „Manuell“ angefordert. Die Sicherheitsanforderung erfolgt 2-kanalig über das Eingabegerät S1 und führt zum 2-kanaligen Ab-schalten der Endstufe des Motorcontrollers. Ist die Abschaltung der Endstufe erfolgt, wird dies durchden potentialfreien Kontakt C1/C2 des Motorcontrollers ausgegeben.

1 T1: Motorcontroller mit Sicherheitsmodul(nur relevante Anschlüsse dargestellt)

2 S1: Eingabegerät zur Sicherheitsanforde-rung

3 n1: Encoder im Servomotor an X2B

4 n2: Encoder an X10

Fig. 77 Schaltungsbeispiel Encoder für dynamische Sicherheitsfunktionen

Hinweise zum Schaltungsbeispiel:– Die Encoder müssen für sicherheitsgerichtete Anwendungen geeignet sein. – Die sichere Überwachung der Geschwindigkeit (SLS, SSR, SS1, usw.) sowie die Stillstandspositi-

onsüberwachung mittels SS2 und SOS ist mittels Encodern mit rein inkrementellen Signalen mög-lich.

Montage und Installation

157Festo — CAMC-G-S3 — 2019-12a

Page 158: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Im Eingangskreis für die Eingabegeräte zur Sicherheitsanforderung S1, für den Quittierungs-Tas-ter S2, für den Start-Taster S3 und den Betriebsartenwahlschalter S6 erfolgt eine Querschlusser-kennung durch das Sicherheitsmodul CAMC-G-S3.

– Mit der Betätigung des Start-Tasters S3 erfolgt das Beenden der Sicherheitsfunktionen.– Der Rückmeldekontakt C1, C2 sollte über die Steuerung abgefragt werden. Ist eine Sicherheitsan-

forderung erfolgt, sollte die Reglerfreigabe zurückgenommen werden.

4.3.8 Ansteuerung eines 2-kanaligen Ventilsteuerblocks mit SicherheitsfunktionenDie Sicherheitsfunktion (z. B. beim Motorcontroller STO – sicher abgeschaltetes Moment oder SS1 –sicherer Halt 1; beim Ventilsteuerblock sicheres Entlüften oder sicheres Reversieren) wird durch einEingabegerät zur Sicherheitsanforderung für den Motorcontroller und dem Steuerblock mit Sicher-heitsfunktion ausgelöst. Die Sicherheitsanforderung erfolgt 2-kanalig über das Eingabegerät S1 undführt zum 2-kanaligen Abschalten der Endstufe des Motorcontrollers und des Steuerblocks.

Montage und Installation

158 Festo — CAMC-G-S3 — 2019-12a

Page 159: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

1 T1: Motorcontroller mit Sicherheitsmodul(nur relevante Anschlüsse dargestellt)

2 S1: Eingabegerät zur Sicherheitsanforde-rung

3 Y1: zweikanaliger Steuerblock

Fig. 78 Schaltungsbeispiel 2-kanaliger Steuerblock mit Sicherheitsfunktionen

Montage und Installation

159Festo — CAMC-G-S3 — 2019-12a

Page 160: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Hinweise zum Schaltungsbeispiel:– Im Eingangskreis für die Schalter S1, für den Quittierungs-Taster S2 und für den Start-Taster S3

erfolgt eine Querschlusserkennung durch das Sicherheitsmodul CAMC-G-S3. – Mit der Betätigung des Start-Tasters S3 erfolgt das Beenden der Sicherheitsfunktionen. – Wenn das Sicherheitsmodul CAMC-G-S3 eine Verletzung einer Sicherheitsbedingung erkennt oder

ein Fehler vorliegt, z. B. in der Anschlussverdrahtung, geht es auf Störung. Die Fehlerquittierungerfolgt über den Quittierungs-Taster S2.

– Die Eingänge DIN42A/B müssen so konfiguriert werden, dass sie das Ein- und Ausschalten desSteuerblocks V1 überwachen. Eine Reihenschaltung zu den Schützkontakten 41/42 der SchützeK1 und K2 ist nicht möglich, da dies bei den verwendeten induktiven Näherungsschaltern nichtmöglich ist.

– Der Rückmeldekontakt C1, C2 sollte über die Steuerung abgefragt werden. Ist eine Sicherheitsan-forderung erfolgt sollten die Reglerfreigabezurückgenommen werden.

– Die Eingangsbeschaltung weist eine 2-kanalige Struktur auf, die für Kategorie 4 geeignet ist. – Abhängig vom Anwendungsbereich und Sicherheitskonzept der Maschine sind weitere Maßnah-

men notwendig.

5 Inbetriebnahme

Dieses Kapitel beschreibt die Inbetriebnahme des Sicherheitsmoduls. Informationen zur Inbetriebnah-me des Motorcontrollers finden Sie hier: è Beschreibung Hardware „Montage und Installation“ GDCP-CMMP-M3-HW-... è  Hilfe zu FCT-PlugIn CMMP-AS.

HINWEIS!

Mit Inbetriebnahme im Sinne dieses Dokuments ist nicht die erste bestimmungsgemäße Verwendungdurch den Endkunden gemeint, sondern die Inbetriebnahme durch den Maschinenhersteller währenddes Aufbaus der Maschine.

HINWEIS!

Verlust der Sicherheitsfunktion!Fehlende Sicherheitsfunktionen können zu schweren, irreversiblen Verletzungen führen, z. B. durchungewollte Bewegungen der angeschlossenen Aktorik.• Sicherheitsmodul nur betreiben:

– in eingebautem Zustand,– nachdem das Sicherheitsmodul vollständig parametriert ist,– wenn alle Schutzmaßnahmen einschließlich der Sicherheitsfunktion installiert und auf Funkti-

onsfähigkeit geprüft sind.• Sicherheitsfunktion zum Abschluss der Inbetriebnahme validierenè 5.8 Funktionstest, Validierung.

Inbetriebnahme

160 Festo — CAMC-G-S3 — 2019-12a

Page 161: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Falsche Verdrahtung, Verwendung eines falschen Sicherheitsmoduls oder externer Bauteile, die nichtentsprechend der Kategorie ausgewählt wurden, führen zum Verlust der Sicherheitsfunktion.

– Führen Sie eine Risikobeurteilung für Ihre Applikation durch und legen Sie die Beschaltung unddie Bauteile entsprechend aus.

– Beachten Sie die Beispiele è 4.3 Schaltungsbeispiele.

5.1 Vor der InbetriebnahmeFühren Sie folgende Schritte zur Vorbereitung der Inbetriebnahme durch:1. Sicherstellen, dass das Sicherheitsmodul korrekt montiert ist è 4.1 Montage / Demontage.2. Elektrische Installation prüfen (Anschlusskabel, Kontaktbelegung, è 4.2 Elektrische Installation).

Alle PE-Schutzleiter angeschlossen?

5.2 DIP-SchaltereinstellungAuf dem Sicherheitsmodul befinden sich DIP-Schalter zur Aktivierung und Steuerung der Buskonfigu-ration. Die Funktionalität der DIP-Schalter ist für alle Module im Steckplatz Ext3 identisch und abhän-gig von der verwendeten Busschnittstelle.

Stellen Sie die DIP-Schalter ein wie in der Beschreibung Hardware „Montage und Installation“ GDCP-CMMP-M3-HW-... oder der entsprechenden busspezifischen Dokumentation beschriebenè Tab. 2 Dokumentationen zum Motorcontroller CMMP-AS-...-M3.

5.3 Hinweise zur Parametrierung mit dem FCT-PlugIn CMMP-ASVor der Parametrierung des Sicherheitsmoduls mit dem SafetyTool muss der Motorcontroller mit Hilfedes FCT-PlugIn CMMP-AS vollständig parametriert werden.In den folgenden Abschnitten finden Sie einige Hinweise, was Sie im Zusammenhang mit dem Sicher-heitsmodul beachten müssen.

Weitere Informationen zur Inbetriebnahme mit dem FCT finden Sie in der Hilfe zum PlugIn CMMP-ASoder ggf. in der Beschreibung Funktionen zum CMMP-AS-...-M3, GDCP-CMMPM3- FW-...

5.3.1 Einstellen der KonfigurationNehmen Sie die Projektierung des Sicherheitsmoduls im FCT auf der Seite „Konfiguration“ des PlugInCMMP-AS vor:– Keine Antriebskonfiguration vorhanden: Schaltfläche „Neue Antriebskonfiguration erstellen“. – Antriebskonfiguration vorhanden: Schaltfläche „Ändern“. – Wählen Sie dann im Fenster „Antriebskonfiguration erstellen“ bzw. „Antriebskonfiguration bear-

beiten“ für den Optionsschacht Ext3 das verwendete Sicherheitsmodul.

Inbetriebnahme

161Festo — CAMC-G-S3 — 2019-12a

Page 162: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 79 FCT-PlugIn CMMP-AS: „Antriebskonfiguration bearbeiten/erstellen“

Im weiteren Verlauf der Parametrierung des Motorcontrollers müssen Sie das Sicherheitsmodul im On-line-Betrieb explizit übernehmen è 5.3 Hinweise zur Parametrierung mit dem FCT-PlugIn CMMP-AS.

5.3.2 Einstellung der GeberkonfigurationDie sichere Überwachung der Geschwindigkeit, z. B. für SLS, und der Position, z. B. für SOS, erfordertentsprechende Sensoren zur Positionserfassung.

Informationen zu den erforderlichen Gebern è 3.2 Funktion und Anwendung. Beachten Sie die zuläs-sigen Geberkombinationen è Tab. 10 Zulässige Kombinationen von Positionsgebern.

Den ersten Geber legen Sie über die Auswahl des Motors bei der Antriebskonfiguration fest. Informa-tionen werden auf der Seite „Motor“, Register „Winkelgeber“ angezeigt. Die Schnittstelle des zweiten Gebers wählen Sie auf der Seite „Messsysteme“, Register „Allgemein“unter „Überwachung“ aus. Anschließend müssen Sie den Geber im entsprechenden Register der gewählten Schnittstelle konfigu-rieren.

5.3.3 Festlegen der Maßeinheiten (Optional)Die Maßeinheiten im FCT-PlugIn CMMP-AS werden durch folgende Einstellungen festgelegt:– Auswahl der Achse – lineare oder rotative Einheiten. – Optional: Anpassung der Maßeinheiten (Menü [Komponente] [Maßeinheiten] ) – metrische/ impe-

riale Einheiten (mm/zoll), Nachkommastellen.

5.3.4 Übernehmen des SicherheitsmodulsFür die funktionale Sicherheit besteht die Anforderung an eine Nachvollziehbarkeit von Änderungen.Um dies sicherstellen zu können, werden auf dem Sicherheitsmodul Angaben zum Modultyp, zur Seri-ennummer und zur Revision gespeichert. Im Motorcontroller werden diese Daten ausgelesen und beider Modulübernahme dauerhaft gespeichert. Dadurch kann eine Änderung an den Komponenten er-kannt werden. Auf der Seite „Geräteinformationen“ werden im Online-Betrieb Information zu den Versionen ange-zeigt.

Inbetriebnahme

162 Festo — CAMC-G-S3 — 2019-12a

Page 163: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Seite „Geräteinformationen“

Controller

Controllertyp Typ des Motorcontrollers (Grundgerät).

Hardwareversion Hardwareversion des Motorcontrollers.

Firmwareversion Firmwareversion des Motorcontrollers.

Seriennummer Seriennummer des Motorcontrollers.

Optionsschacht Ext3

Modultyp Typ des Moduls: CAMC-G-S3: Sicherheitsmodul.

Gesamt-Revision Gesamt-Revision des Sicherheitsmoduls, z. B. 1.0.

Seriennummer Seriennummer des Sicherheitsmoduls, z. B. 1212820487.

Tab. 105 Seite „Controller“ – Informationen zu den Versionen

Sicherheitsmodul übernehmenBei der Erkennung einer unzulässigen Änderung, z. B. einem Modultausch, wird ein nicht quittierbarerFehler ausgelöst. Um die Applikation mit dem Motorcontroller wieder in Betrieb setzen zu können,muss die Änderung „projektiert“ werden. Das bedeutet, dass die Änderung explizit übernommen bzw.bestätigt wird. In Bezug auf die Sicherheits- oder Schaltermodule handelt es sich bei diesen nachvoll-ziehbaren Änderungen um einen Modultausch.

Für den Modultausch gelten folgende Regeln:• Ein Modultausch Schaltermodul gegen Schaltermodul ist immer möglich. • Ein Modultausch CAMC-G-S1 gegen ein anderes CAMC-G-S1 muss normalerweise nicht bestätigt

werden.Ausnahme: die Versionsprüfung im Grundgerät ergibt, dass die Module nicht kompatibel sind –Fehlermeldung 51-3 – dann muss der Modulwechsel bestätigt werden.

• Beim Tausch eines Modultyps gegen einen anderen Typ – Fehlermeldung 51-2 – muss der Modul-tausch immer bestätigt werden.

• Beim Modultausch CAMC-G-S3 gegen CAMC-G-S3 – Fehlermeldung 51-6 – muss der Modultauschebenfalls immer bestätigt werden.

Für die Bestätigung des Modultauschs haben Sie zwei Möglichkeiten:– Beim Aktivieren des Online-Betriebs wird der Modulwechsel erkannt und automatisch ein Dialog

zur Bestätigung angezeigt.– Wenn Sie den Modulwechsel nicht direkt beim Aktivieren des Online-Betriebs bestätigt haben,

können Sie den Dialog zur Bestätigung jederzeit mit dem Menübefehl [Komponente] [Online] [Mo-dulwechsel bestätigen] öffnen.

Im Dialog „Modulwechsel bestätigen“ werden Modultyp, Gesamtrevision (CAMC-G-S3) oder Revisionund Version (CAMC-G-S1, CAMC-DS-M1) sowie Seriennummer des vorherigen Moduls sowie des aktu-ell montierten Moduls angezeigt.

Inbetriebnahme

163Festo — CAMC-G-S3 — 2019-12a

Page 164: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Mit „Ja“ bestätigen Sie den Modulwechsel, die Parameter werden im Grundgerät remanent ge-speichert und ein Neustart ausgeführt.

5.3.5 StatusanzeigeInformationen zum Status des Sicherheitsmoduls werden im Online-Betrieb im Bereich der Projektaus-gabe im Register „Sicherheitsfunktionen“ angezeigt.

Projektausgabe – Online-Register „CAMC-G-S3: Sicherheitsmodul“

Rahmen „CAMC-G-S3: Statussignale“

Anzeige der Status des Sicherheitsmoduls Status1)

Grün Endstufenfreigabe zulässig VOUT_PS_EN = 1

Rot Warnung VOUT_WARN = 1

Rot Sicherheitsbedingung verletzt VOUT_SCV = 1

Rot Fehler VOUT_ERROR = 1

Gelb Sicherheitsfunktion erreicht VOUT_SSR = 1

Gelb Sicherer Zustand angefordert VOUT_SFR = 1

Grün Servicezustand VOUT_SERVICE = 1

Grün Betriebsbereit VOUT_READY = 1

Rahmen „CAMC-G-S3: Sicherheitsfunktionen“

Sicherheitsfunktionen STO SS1 SS2 SOS SBC USF0 USF1 USF2USF3

Status2)

Grün Normalbetrieb VOUT_xxx_SFR = 0

Gelb Sicherer Zustand erreicht VOUT_xxx_SFR = 1

Rahmen „CAMC-G-S3: Digitale E/A“

Zustand DINxx, DOUTxx, C1/C2 (GND/+24V ohne Funktion)

Grün Eingang = 1

Gelb Ausgang = 1 bzw. Relais geschlossen

Grau Eingang oder Ausgang = 0 bzw. Relais offen

1) Status des Sicherheitsmoduls 2) Status der Sicherheitsfunktion

Tab. 106 Anzeigen im Online-Register „CAMC-G-S3: Sicherheitsmodul“

Status des Sicherheitsmoduls è Tab. 94 Systemzustände und Meldungen.Status der Sicherheitsfunktion è 3.5 Sicherheitsfunktionen.

5.3.6 Permanenten Diagnosespeicher des Motorcontrollers anzeigenZur Anzeige oder zum Speichern des permanenten Diagnosespeichers aktivieren Sie im FCT-PlugIn dasOnline-Register „Diagnose“.

Inbetriebnahme

164 Festo — CAMC-G-S3 — 2019-12a

Page 165: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Bei aktiver Online-Verbindung aktivieren Sie dann das Register „Permanent“. Mit „Auslesen“ werdendie unter „Einträge“ festgelegte Anzahl Einträge des permanenten Diagnosespeichers gelesen und inchronologischer Reihenfolge angezeigt, der neueste Eintrag zuerst. Mit „alle Einträge“ lesen Sie den kompletten permanenten Diagnosespeicher. Dies kann einige Minu-ten daueren. Der Inhalt des Diagnosspeichers wird tabellarisch angezeigt:

Spalte Erklärung

Nr. Laufende Nummer des Eintrags.

Störnr. Fehler-, Warnungs oder Ereignisnummer è 6.5.3 Diagnosemeldungen.

Störungsbeschreibung Name des Eintrags, Fehlertext.

Zeitstempel Zeitpunkt des Diagnoseereignisses im Format <hh>:<mm>:<ss> (Betriebs-stundenzähler, Einschaltdauer der Logik-Versorgung).

Konstante Zusatz-Informationen für das Festo Service-Personal

Freier Parameter Zusatz-Informationen für das Festo Service-Personal

Typ Typ des Eintrags (Fehler, Warnung, Logeintrag).

Tab. 107 Anzeige des permanenten Diagnosespeichers

Die folgende Tabelle zeigt beispielhaft einige Einträge:

Nr. Störnr. Störungsbeschreibung Zeit stempel Konstante Freier Parameter Typ

1 00-21 Log-Eintrag aus dem Si-cherheitsmodul

580:15:03 0x0000 Fehler quittiert,Quelle:0x01, fehlerfrei

Fehler

2 00-8 Controller eingeschal-tet

580:15:00 0x0000 0x0000 Fehler

3 00-12 Modulwechsel: aktuel-les Modul

580:15:22 0x4830 CAMC-G-S3, S/N: 1212820487, HW-Rev.: 1.0, SW-Rev.: 1.0

Fehler

4 00-11 Modulwechsel: vorheri-ges Modul

580:15:22 0x48FF CAMC-DS-M1,S/N: 3781764777, HW-Rev.: 0.1,SW-Rev.: 0.1

Fehler

 …   …   …   …   …   …   … 

Tab. 108 Beispiel Einträge im Diagnosespeicher

Inbetriebnahme

165Festo — CAMC-G-S3 — 2019-12a

Page 166: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Weitere Hinweise zu den Einträgen im Diagnosespeicher:• Die Einträge erfolgen chronologisch, der oberste Eintrag ist der neueste Eintrag. • Geringe Abweichungen des Zeitstempels nach Power-OFF/-ON sind möglich, da der Motorcontrol-

ler den Zeitstempel nur einmal pro Minute nichtflüchtig speichert.

Mit „Kopieren“ und „Exportieren“ können Sie den Inhalt im csv-Format mit ';'-Trennzeichen in die Win-dows-Zwischenablage oder in eine Datei übernehmen. In der Spalte „Zeitstempel“ wird der Wert des Betriebsstundenzähler des Motorcontrollers zum Zeit-punkt des Log-Eintrags angezeigt.

Oberhalb der Liste wird als „Aktuelle Systemzeit“ der momentane Wert des Betriebsstundenzählersdes Motorcontrollers angezeigt

5.4 Grundlagen zur Parametrierung des Sicherheitsmoduls

5.4.1 WerkseinstellungZur vereinfachten Parametrierung sind im Auslieferungszustand oder nach Rücksetzen auf Werksein-stellung einige Funktionen aktiviert bzw. Standardwerte voreingestellt. Eine Übersicht der wichtigsten Einstellungen bietet folgende Tabelle.

Seite Werkseinstellung Zuordnung

Digitale Eingänge

Sensortyp: Not-Halt-Schaltgerät

Betriebsart: Äquivalent

Diskrepanzzeit: 100 ms

DIN40

Quelle für Testimpuls: Keine

Anforderung STO undSBC

Sensortyp: Nicht definiert

Betriebsart: Äquivalent

Diskrepanzzeit: 100 ms

DIN41

Quelle für Testimpuls: Keine

Keine Verwendung

Sensortyp: Nicht definiert

Betriebsart: Äquivalent

Diskrepanzzeit: 100 ms

DIN42

Quelle für Testimpuls: Keine

Keine Verwendung

Inbetriebnahme

166 Festo — CAMC-G-S3 — 2019-12a

Page 167: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Seite Werkseinstellung Zuordnung

Sensortyp: Nicht definiert

Betriebsart: Äquivalent

Diskrepanzzeit: 100 ms

DIN43

Quelle für Testimpuls: Keine

Keine Verwendung

Sensortyp: Rückmeldung BremseDIN44

Quelle für Testimpuls: Keine

Keine Verwendung

Sensortyp: BetriebsartenwahlschalterDIN45

Quelle für Testimpuls: Keine

Keine Verwendung

Sensortyp: BetriebsartenwahlschalterDIN46

Quelle für Testimpuls: Keine

Keine Verwendung

Sensortyp: BetriebsartenwahlschalterDIN47

Quelle für Testimpuls: Keine

Keine Verwendung

Sensortyp: FehlerquittierungDIN48

Quelle für Testimpuls: Keine

Anforderung Fehler-quittierung

Sensortyp: Sicherheitsfunktion BeendenDIN49

Quelle für Testimpuls: Keine

Steigende Flanke: STO,SS1 und SBC beenden

Sicherheitsfunktionen

Anfordern: DIN40

Automatischer Wiederanlauf: nein

Automatische AktivierungSBC:

ja

STO

Anforderung beenden: DIN49, steigende Flanke

Anfordern: keine Zuordnung

Schnellhaltrampe: ja

Automatischer Wiederanlauf: nein

Automatische AktivierungSBC:

nein

SS1

Anforderung beenden: DIN49, steigende Flanke

Keine Verwendung

SS2 nicht aktiviert –

SOS nicht aktiviert –

USF…  nicht aktiviert –

Inbetriebnahme

167Festo — CAMC-G-S3 — 2019-12a

Page 168: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Seite Werkseinstellung Zuordnung

Anfordern: DIN40

Rückmeldung Haltebremse: nein

Automatischer Wiederanlauf: nein

Zyklischer Test 10 Tage deak-tivieren:

nein

SBC

Anforderung beenden: DIN49, steigende Flanke

Logikfunktionen

Betriebs-artenwahl-schalter

Nicht aktiviert –

Zweihand-Bedienge-rät

Nicht aktiviert –

ALF… Nicht aktiviert –

Logik Fehlerquittierung

Logik Feh-lerquittie-rung

Anfordern: DIN48 –

Digitale Ausgänge

Anfordern: keine Zuordnung –DOUT40

Betriebsart: Äquivalent –

Anfordern: keine Zuordnung –DOUT41

Betriebsart: Äquivalent –

Anfordern: Keine Zuordnung –DOUT42

Betriebsart: Dauerhaft eingeschaltet –

Anfordern: SBC angefordert –InterneBremse Betriebsart: Äquivalent –

Meldekon-takt C1/C2

Anfordern: Sicherer Zustand erreicht undkeine Sicherheitsbedingungverletzt

Fehlermanagement

Inbetriebnahme

168 Festo — CAMC-G-S3 — 2019-12a

Page 169: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Seite Werkseinstellung Zuordnung

Sicherheitsbedingung ver-letzt: diverse weitere

SBC + STOFehlerma-nagement

Weitere schwere Fehler: SBC + STO + Ausgänge = 0

Zusätzliche Einstellun-gen beachten und prü-fen.

Tab. 109 Werkseinstellung

5.4.2 AuslieferungszustandAb Werk erhalten Sie das Sicherheitsmodul im sogenannten „Auslieferungszustand“. Dieser wird durch die grün/rot blinkende LED sowie durch entsprechende Statusmeldungen angezeigtè Tab. 94 Systemzustände und Meldungen.Besonderheiten des Auslieferungszustands im Unterschied zu den Werkeinstellungen:– Das Sicherheitsmodul ist mit der Parametrierung der Werkseinstellung „Gesamtvalidiert“ und da-

mit funktionsfähig. Der Motorcontroller kann in Betrieb genommen werden, die Endstufen- undReglerfreigabe kann gesetzt werden.

– Alle Fehlermeldungen werden unterdrückt, die auf eine unterschiedliche Parametrierung desGrundgerätes und des Sicherheitsmoduls zurückzuführen sind.Damit ist die Basis-Inbetriebnahme des Motorcontrollers unabhängig von aufwändiger sicher-heitstechnischer Peripherie möglich. Z. B. ist das Sicherheitsmodul im Auslieferzustand auf „Re-solver“ parametriert. Bei Verwendung anderer Geber könnte der Motorcontroller ohne Unter-drückung der Fehlermeldung des Sicherheitsmoduls nicht in Betrieb genommen werden.

Der Auslieferungszustand kann vom Anwender nicht wiederhergestellt werden. Nur die Werkseinstel-lungen können wieder hergestellt werden.

5.4.3 FCT-PlugIn CMMP-AS und SafetyToolDie Basis-Inbetriebnahme des Motorcontrollers erfolgt mit dem zugehörigen PlugIn CMMP-AS für dasFesto Configuration Tool (FCT). Dies beinhaltet die Festlegung der Hardwarekonfiguration, wie z. B. den angeschlossenen Motor, dieMesssysteme, die Achse sowie die in den Optionsschächten montierten Module und Interfaces. Die Parametrierung des Sicherheitsmoduls erfolgt dann mit einer speziellen Software, dem Safety-Tool. Das SafetyTool wird vom FCT-PlugIn CMMP-AS aus aufgerufen.

HINWEIS!

Vor dem Start des SafetyTools muss unbedingt die Hardwarekonfiguration sowie ggf. festgelegteMaßeinheiten in den Motorcontroller geladen und gesichert werdenè 5.3 Hinweise zur Parametrierung mit dem FCT-PlugIn CMMP-AS. Dies ist für die Datenübernahme im SafetyTool erforderlich.

5.5 Sichere Parametrierung mit dem SafetyTool

5.5.1 ProgrammstartStarten Sie das SafetyTool bei aktivem FCT-PlugIn CMMP-AS mit der Schaltfläche „SafetyTool starten“.

Inbetriebnahme

169Festo — CAMC-G-S3 — 2019-12a

Page 170: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 80 SafetyTool starten

5.5.2 Auswahl der Sitzungsarten – Konfigurations-Assistent

Das SafetyTool ist in beiden Sitzungsarten (Online/Offline) ein Offline-Softwarewerkzeug im Sinne derEN 61508 für die Installation und Inbetriebnahme (Phase 12). Darüber hinaus unterstützt das Safety-Tool bei der Validierung (Phase 13), in dem ein entsprechendes Protokoll über die parametriertenFunktionen des Sicherheitsmoduls erstellt werden kann. Eine Änderung von Parametern im aktivenBetrieb ist nicht möglich, das Sicherheitsmodul geht bei der Eröffnung einer Online-Parametriersit-zung in den sicheren Zustand (STO + SBC). Die Validierung der Funktionen obliegt in jedem Fall demMaschinenhersteller oder Maschinenbetreiber.

Das SafetyTool unterstützt 2 Sitzungs-Arten:– Online: Auf dem Sicherheitsmodul arbeiten.

Das SafetyTool kommuniziert mit dem Zielsystem (dem Sicherheitsmodul). Sie können das Sicherheitsmodul beobachten und Parameter lesen; Sie können einzelne Parame-ter ändern oder einen kompletten sicheren Parametersatz übertragen. Vor dem Ändern von Parametern wechselt das Sicherheitsmodul in den „Sicheren Grundzustand“.Die Parameter müssen validiert werden, bevor das Sicherheitsmodul den „Sicheren Grundzu-stand“ verlässt. Geänderte Parameter werden nicht sofort wirksam, sondern erst nach derGesamt- Validierung und dem Neustart.

– Offline: Auf lokaler Datei arbeiten.Das SafetyTool kommuniziert nicht mit dem Zielsystem (demSicherheitsmodul). Sie können aber eine Vorab-Parametrierung für das Sicherheitsmodul erstellen und speichern.

Inbetriebnahme

170 Festo — CAMC-G-S3 — 2019-12a

Page 171: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Wenn das SafetyTool keine Online-Sitzung zulässt, obwohl es eine Kommunikationsverbindung zumGerät gibt, erscheint folgende Meldung: • Auf dem Sicherheitsmodul ist bereits eine Parametriersitzung geöffnet!

Es sind nur Offline-Parametriersitzungen möglich.Alternative: Beenden Sie die andere Sitzung.Nach Verbindungsabbruch: Gerät neu starten.

Das SafetyTool unterstützt Sie beim Programmstart mit dem „Konfigurations-Assistent zur sicherenParametrierung“. Wählen Sie die gewünschte Sitzungsvariante aus.

Sitzungsart Sitzungsvariante Beschreibung

Neue Parametrierung starten Öffnet ein neues Projekt mit den Stan-dardparametern aus dem Sicherheits-modul.

Neue Parametrierung mit vorhande-nem Projekt starten1)

Öffnet ein neues Projekt basierend aufeiner lokal gespeicherten Projektdatei.

Parametrierung anzeigen Zeigt die im Sicherheitsmodul vorhan-dene Parametrierung an (nur lesen!).

Vorhandene Parametrierung ändern Lädt die im Sicherheitsmodul vorhan-dene Parametrierung zur Bearbeitung.

Onlineè 5.5 SichereParametrierungmit demSafetyTool

Sicheren Parametersatz übertragen Überträgt einen zuvor gespeichertensicheren Parametersatz in das Sicher-heitsmodul.

Neues Projekt anlegen Öffnet ein neues Projekt mit den Stan-dardeinstellungen des SafetyTools.

Neues Projekt aus sicherem Parame-tersatz erzeugen

Öffnet ein neues Projekt basierend aufeinem gespeicherten sicheren Parame-tersatz.

Offline

è 5.5 SichereParametrierungmit demSafetyTool

Vorhandenes Projekt öffnen1) Öffnet eine lokal gespeicherte Projekt-datei.

1) Nur möglich, wenn der Achstyp (linear/rotativ) der SafetyTool-Projektdatei mit dem aktuellen FCT-Projekt übereinstimmt.

Tab. 110 Auswahl der Sitzungsvarianten – Konfigurations-Assistent

5.5.3 Online-ParametrierungWenn im FCT-PlugIn die Online-Verbindung zum Motorcontroller aktiv ist, stehen im SafetyTool dieFunktionen zur Online-Parametrierung zur Verfügung.

Inbetriebnahme

171Festo — CAMC-G-S3 — 2019-12a

Page 172: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Stellen Sie sicher, dass die Daten im Motorcontroller mit den Projektdaten übereinstimmen („Down-load“) und gesichert wurden („Sichern“), bevor Sie das SafetyTool starten. Andernfalls besteht dieMöglichkeit, dass die Basisinformationen nach einem Neustart des Grundgeräts von den verwendetenBasisinformationen abweichen.

Nur bei der Online-Parametrierung können die Parameter und der Parametersatz validiert werden! Fürdie Funktionen der Online-Parametrierung ist immer die Angabe eines Benutzernamens sowie die Ein-gabe eines Kennworts notwendig:

Die Werkseinstellung für das Kennwort ist: SAFETY Vergeben Sie für Ihr Projekt ein individuelles Kennwort, um die Sicherheitsparameter vor unbeabsich-tigten Änderungen zu schützen (Menü [Extras] [Kennwort ändern]è 5.7 Spezielle Funktionen des SafetyTools.

Beim Start des SafetyTools gleicht das SafetyTool seine Datenbasis mit den Daten des Grundgerätesund mit denen des Sicherheitsmoduls ab. Je nach gewählter Sitzungsvariante ist dafür ein Upload allerParameter aus dem Sicherheitsmodul erforderlich.Der Vorgang wird über einen Fortschrittsbalken angezeigt. Die Dauer kann je nach Sitzungsvarianteund Geschwindigkeit der Kommunikationsverbindung variieren.

Inbetriebnahme

172 Festo — CAMC-G-S3 — 2019-12a

Page 173: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

1 Start des Assistenten mit der Möglich-keit,auch den Offline Betriebauszuwählen

2 Auswahl der Online Sitzungsvariante

3 Hinweis zur jeweiligen Sitzungsvariante

4 Auswahl einer Projektdatei / eines Parame-tersatzes

5 Persönliche Identifikation

6 Start Assistentenbeenden

Fig. 81 Schritte zur Auswahl der OnlineSitzungsvariante

Eine Parametriersitzung kann auch bei eingeschaltetem Antrieb gestartet werden. Wenn die Parame-triersitzung eingeleitet ist, wird der Antrieb vom Sicherheitsmodul abgeschaltet (keine Endstufenfrei-gabe). Bei einer laufenden Parametriersitzung werden alle digitalen Ausgänge abgeschaltet.Das SafetyTool beendet beim Schließen die Parametriersitzung automatisch. Beim Beenden müssenalle Parameter den Status „validiert“ haben. Ansonsten gehen alle Änderungen verloren, das Sicher-heitsmodul startet mit dem zuletzt gespeicherten und validierten Parametersatz.

5.5.4 Offline-ParametrierungZur Vorbereitung einer Parametrierung können Sie diese vorerst komplett Offline durchführen. Um das Sicherheitsmodul korrekt in Betrieb zu nehmen, müssen Sie die Parameter jedoch online vali-dieren und die validierten Parameter in das Sicherheitsmodul übertragen.

Inbetriebnahme

173Festo — CAMC-G-S3 — 2019-12a

Page 174: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

1 Start des Assistenten im Offline-Betrieb

2 Auswahl der Offline-Sitzungsvariante

3 Hinweisseite zur jeweiligen Sitzungsvariante

4 Auswahl einer Projektdatei / eines Parame-tersatzes

5 Assistenten beenden.

Fig. 82 Schritte zur Auswahl der OfflineSitzungsvariante

5.5.5 Grundregeln bei der Parametrierung mit dem SafetyTool

Gemeinsame Eigenschaften der ParametriervorgängeEine Parametrierung besteht immer aus den folgenden Schritten:1. Eröffnen einer Parametriersitzung. 2. Ändern einzelner Parameter. 3. Validierung einzelner Parameter oder des gesamten Parametersatzes (Erzeugung eines Validie-

rungscodes). 4. Dauerhaft Speichern des Parametersatzes im Sicherheitsmodul, gesamter Parametersatz gilt als

validiert. Nach weiteren Parameteränderungen müssen die Schritte 3. und 4. erneut ausgeführtwerden.

5. Schließen der Parametriersitzung, „Aktivierung“ des Parametersatzes. 6. Neustart des Sicherheitsmoduls.

Öffnen einer ParametriersitzungBeim Öffnen einer Parametriersitzung geht das Sicherheitsmodul in den sicheren Grundzustand, derAntrieb wird abgeschaltet (Endstufe abgeschaltet, sichere Bremsansteuerung nicht bestromt, DOUT4xam Sicherheitsmodul abgeschaltet). Während einer Parametriersitzung ist der Status VOUT_SERVICE aktiv.

Inbetriebnahme

174 Festo — CAMC-G-S3 — 2019-12a

Page 175: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Ein Einschalten/Anfahren des Antriebs ist erst wieder nach Schließen der Parametriersitzung möglich,und auch dann nur wenn der Parametersatz validiert ist. Das Öffnen einer Parametriersitzung wird im permanenten Diagnosespeicher gespeichert. Während der aktiven Parametriersitzung wird die Meldung „FSPArA“ an der 7-Segment-Anzeige desMotorcontrollers ausgegeben (sofern kein Fehler anliegt), è 6.4 Diagnose und Störungsbeseitigung.Mit der Schaltfläche „Identifizierung starten“ im Start-Assistenten können Sie die Meldung „HELLO...“ausgeben. Die Meldung dient dazu, den Motorcontroller zu identifizieren, wenn mehrere Motorcontrol-ler mit dem ParametrierPC verbunden sind. Es kann zu jedem Zeitpunkt nur eine Parametriersitzung je Sicherheitsmodul geöffnet werden.Wenn bereits eine Parametriersitzung geöffnet ist, lehnt das Sicherheitsmodul weitere Anfragen ab,bis die bereits laufende Parametriersitzung geschlossen wird. Dadurch wird ausgeschlossen, dass ein Sicherheitsmodul über mehrere PCs mit dem SafetyToolgleichzeitig parametriert werden kann. Das SafetyTool erlaubt eine Änderung von Parametern erst,nachdem eine Parametriersitzung eröffnet wurde.

Benutzerkennung und KennwortBeim Öffnen einer Parametriersitzung muss eine Benutzerkennung (Anwendername) und ein Kenn-wort eingegeben werden. Benutzerkennung und Kennwort bestehen jeweils aus ASCII-Zeichen (Buchstaben, Zahlen und Umlau-te, keine Sonderzeichen) und haben eine Länge von maximal 8 Zeichen. Im Auslieferungszustand oder nach zurücksetzen auf Werkseinstellung ist das Kennwort „SAFETY“.

Das Kennwort sollte sofort nach der Inbetriebnahme geändert werden. Das neue Kennwort sowie das Kennwort der Werkseinstellung sollte nur dem jeweiligen „Verantwortli-chen der funktionalen Sicherheit der Maschine“ bekannt sein. Das geänderte Kennwort wird im Sicherheitsmodul gespeichert und ersetzt das vorher gültige, es giltfür alle Nutzer. Das Kennwort wird nicht in einer Parameterdatei gespeichert. Es lässt sich nicht ausdem Sicherheitsmodul auslesen.

Datenübernahme aus dem MotorcontrollerUm die relevanten Parameter im Sicherheitsmodul mit denen des Motorcontrollers (Grundgerät) abzu-gleichen, erfolgt bei einer Online-Sitzungsvariante immer zuerst eine Datenübernahme aus demGrundgerät.

Damit eventuell vom FCT-PlugIn in den Motorcontroller geladene Daten beim Neustart nach Beendendes SafetyTools nicht verloren gehen, müssen die Daten zum Start des SafetyTools bei aktiver Online-Verbindung zwingend gesichert werden. Dies wird durch einen Dialog abgefragt.

Bei der Datenübernahme ins SafetyTool werden neben den Maßeinheiten vor allem die Parameter derangeschlossenen Drehgeber übernommen, die auf die Sicherheitsparameter für Geber 1 und Geber 2abgebildet werden.

Inbetriebnahme

175Festo — CAMC-G-S3 — 2019-12a

Page 176: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Prinzip „Senden und Validieren“Alle im SafetyTool geänderten Parameter müssen zum Sicherheitsmodul gesendet, geprüft und vali-diert werden. Dies gilt für die übernommenen Daten aus dem Motorcontroller (Grundgerät) ebensowie für die Produktterme zum Anfordern von Sicherheitsfunktionen oder andere Mappings. Der Ablauf ist dabei auf allen Parameterseiten gleich:– Schritt 1: Parameter über die Schaltfläche „Bearbeitung freigeben“ zur Bearbeitung freigeben. – Schritt 2: Parameter manipulieren bzw. ändern. Dabei wird der Wertebereich geprüft. – Schritt 3: Geänderte Parameter über die Schaltfläche „Senden“ an das Sicherheitsmodul senden. – Schritt 4: Abschließend müssen die gesendeten Parameter validiert werden. Zum Validieren werden jeweils die Sollwerte (aus dem SafetyTool) und die Istwerte (aus dem Sicher-heitsmodul) angezeigt. Abweichende Werte sind durch ein Symbol gekennzeichnet:

Symbol Zustand

Sollwert und Istwert weichen voneinander ab. Dieser Parameter muss abgeglichen werden.

Sollwert und Istwert weichen geringfügig voneinander ab. Bestimmte Werte - wie z. B. Zeiten - werden im Sicherheitsmodul auf das Vielfacheeiner Basiseinheit gerundet. Deshalb können Sollwert und Istwert im Rahmen die-ser Rundung unterschiedlich sein. Ein solcher Wert kann validiert werden!

Tab. 111 Anzeige Abweichung Soll- und Istwert

Zur Validierung nach der Prüfung aktivieren Sie die entsprechenden Kontrollkästchen in der Spalte„Geprüft“ und validieren die gewählten Paremeter mit der Schaltfläche „Validieren“. Erst dann sinddie Parameter auch gültig im Sicherheitsmodul übernommen. In der Spalte „Gültig“ wird angezeigt, ob die Istwerte der Parameter gültig, d.h. validiert sind.

Symbol Zustand

Parameter ist noch nicht validiert.

Parameter ist validiert.

Tab. 112 Anzeige der Gültigkeit der Parameter

PlausibilitätsprüfungDas SafetyTool führt während der Parametriersitzung verschiedene Plausibilitätsprüfungen durch. Dies reicht von der Überwachung von Bereichsgrenzen bis zur logischen Prüfung von Drehzahlgrenzen(obere Drehzahlgrenze darf nicht unterhalb der Mindestdrehzahl liegen, untere Grenzen müssen un-terhalb der oberen Grenzen liegen, ...). Sie können die Plausibilitätsprüfung auch manuell durchführenè 5.7 Spezielle Funktionen des SafetyTools.

Freigeben und im Gerät dauerhaft speichernNachdem Parameter geändert wurden, müssen diese im Sicherheitsmodul remanent gespeichert wer-den. Zusätzlich ist die Konsistenz des Parametersatzes über einen eindeutigen Gesamtvalidierungsco-de abgesichert. Das remanente Speichern und die Berechnung des Validierungscodes erfolgt über dieentsprechende Schaltfläche auf der Seite „Abschluss“.

Inbetriebnahme

176 Festo — CAMC-G-S3 — 2019-12a

Page 177: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Wenn eine Parametriersitzung im SafetyTool mit Schreibzugriff aktiv war, wird beim Beenden des Sa-fetyTools automatisch ein Neustart ausgeführt.

Parametrierte Zwischenstände (ohne Gesamtvalidierung) speichern:Mit der Funktion „Parametrierung/Parameter dauerhaft im Sicherheitsmodul speichern“ werden dieParameter gespeichert, sind aber nicht „gesamtvalidiert“. Das Sicherheitsmodul erkennt diesen Zu-stand beim Neustart und geht in den Sicheren Grundzustand.

Standard- und ExpertenparameterEinige der Parameter sind als „Expertenparameter“ gekennzeichnet bzw. in einem eigenen Register„Expertenparameter“.

HINWEIS!

Expertenparameter müssen normalerweise nicht geändert werden, nur im Bedarfsfall kann eine Ände-rung erforderlich sein.

Status der ParametergruppenJede Seite im SafetyTool beihaltet eine sogenannte Parametergruppe. Der Status dieser Parameter-gruppe wird bei einer Online-Sitzung durch das LED-Symbol im Navigationsbaum angezeigt:

Symbol Zustand

Die Parameter sind noch nicht validiert (alle Stadien der Parameter vor der Validie-rung).

Alle Parameter dieser Seite sind validiert. Diese Parameter sind mit den Parameternim Gerät identisch. Nur wenn alle Parameter auf allen Seiten validiert sind, ist eineGesamtvalidierung und das permanente Speichern der Parameter im Sicherheits-modul möglich.

Mindestens ein Parameter weicht vom Parameter im Gerät ab. Die Unterschiedemüssen angeglichen werden.

In einem Eingabe oder Auswahlfeld ist ein fehlerhafter Wert vorhanden. Der Fehlermuss korrigiert werden.

Tab. 113 Anzeige des Status der Parametergruppen

5.5.6 Verhalten bei ungültiger ParametrierungWenn im Sicherheitsmodul kein gültiger Parametersatz vorhanden ist, wird die Endstufe des Motor-controllers gesperrt, sämtliche digitalen Ausgänge sind spannungsfrei. Das Sicherheitsmodul kann er-neut mit dem SafetyTool parametriert werden.

5.5.7 ParametersatzversionEine Änderung der Revision des Sicherheitsmoduls bedingt nicht unbedingt eine neue Parametersatz-version (Änderung von Firmwareversion oder Hardwareversion führt zu einer neuen Gesamtrevisiondes Sicherheitsmoduls). Mit der Parametersatzversion wird die Kompatibilität zwischen SafetyTool und Sicherheitsmodul über-wacht.

Inbetriebnahme

177Festo — CAMC-G-S3 — 2019-12a

Page 178: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Neuer Parametersatz in alter FirmwareParametersätze, die mit einer neueren Firmwareversion als die im Sicherheitsmodul vorliegende gene-riert wurden, werden nicht akzeptiert. Es wird eine Fehlermeldung „Parametersatz inkompatibel“ ge-neriert.

Alter Parametersatz in neuer FirmwareDie Parameter werden zunächst geladen. Anhand der Versionsnummer des Parametersatzes wirdüberprüft, wie mit dem Parametersatz zu verfahren ist. Wenn die Version des Parametersatzes nicht kompatibel ist, wird die Validierung über den Validie-rungscode abgelehnt. Wenn die Version des Parametersatzes kompatibel ist, werden z. B. nicht enthaltene Parameter aufWerte gesetzt, die dafür sorgen, dass sich das Sicherheitsmodul so verhält wie eine ältere Revision.

Eine Aktualisierung der Firmware ist nur beim Hersteller möglich.

5.6 Ablauf der Parametrierung mit dem SafetyTool (Beispiel)Im diesem Abschnitt wird ein kompletter Ablauf der Parametrierung anhand eines Beispiels beschrie-ben. Die grundsätzlichen Schritte sind aber auf beliebige andere Anwendungsfälle übertragbar. Fürden Ablauf wird Folgendes vorausgesetzt:– Die Basis-Inbetriebnahme des Motorcontrollers mit dem FCT-PlugIn ist erfolgt, mit dem FCT ist ei-

ne Online-Verbindung aktiv. – Das Sicherheitsmodul ist im Auslieferungszustand oder mit

Werkseinstellungè 5.7 Spezielle Funktionen des SafetyTools.

Eine vollständige Beschreibung der Oberfläche und der Funktionen des SafetyTools finden Sie in derHilfe zum SafetyTool. Informationen zu einigen spezielle Funktionen è 5.7 Spezielle Funktionen des SafetyTools.

Beispielapplikation:Maschine mit:1. Nothalt-Schalter (DIN40), der bei Betätigung immer SS1 Typ b) und anschließend SBC auslösen

soll. 2. Lichtgitter (DIN41) zum Schutz gegen Eingriff in die Maschine, im Normalbetrieb wird ebenfalls

SS1 ausgelöst, im Einrichtbetrieb wird SS2 angefordert. 3. Zustimmtaster (DIN42), um im Einrichtbetrieb die Achse mit SLS verfahren zu können. 4. Betriebsartenwahlschalter für Normalbetrieb und Einrichtbetrieb (DIN45, DIN46). 5. Überwachung der Schalter über Testimpulse über DOUT42. 6. Fehler quittieren (DIN48). 7. Beenden der Sicherheitsfunktion (DIN49) steigende Flanke, das Beenden von SS1 erfolgt über ein

externes Steuersignal. 8. Die Umschaltung zwischen SS2 und SLS erfolgt mit "automatischem Wiederanlauf".Im Beispiel wird folgende Parametrierung vorgenommen:

Inbetriebnahme

178 Festo — CAMC-G-S3 — 2019-12a

Page 179: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Nach dem Einschalten:STO mit automatischer Aktivierung SBC ist angefordert.

– Normalbetrieb:Bei Betätigung Nothalt oder Eintritt in das Lichtgitter soll SS1 ausgelöst werden mit anschließen-dem SBC, Beenden der Sicherheitsfunktion nur über DIN49.

– Einrichtbetrieb:– Bei Betriebsartenwahl Einrichtbetrieb wird immer SLS angefordert.– SLS kann nur beendet werden wenn,

a) der Betriebsartenschalter wieder auf Normalbetrieb steht undb) die Lichtschranke nicht mehr unterbrochen ist undc) der Wiederanlauf betätigt wird.

– Bei Eintritt in das Lichtgitter wird zusätzlich SS2 ausgelöst.– Beenden von SS2 nur über DIN49 und wenn das Lichtgitter verlassen wurde, oder über den

Zustimmtaster DIN42.– Bei Betätigung des Zustimmtasters soll von SS2 auf SLS umgeschaltet werden.

Die für Ihre Anwendung erforderliche Beschaltung und Parametrierung müssen Sie im Rahmen IhrerRisikobeurteilung individuell ermitteln.

5.6.1 Auswahl der Sitzungsvariante im Assistent1. Starten Sie das SafetyTool mit der Schaltfläche „SafetyTool starten“ è 5.5.1 Programmstart.

Inbetriebnahme

179Festo — CAMC-G-S3 — 2019-12a

Page 180: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 83

2. Wählen Sie im Assistent zum Start der sicheren Parametrierung die Sitzungsart „Online ...“ undBestätigen Sie dies mit „Weiter“.

Inbetriebnahme

180 Festo — CAMC-G-S3 — 2019-12a

Page 181: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 84

3. Wählen Sie die Sitzungsvariante „Vorhandene Parametrierung ändern“ und Bestätigen Sie diesmit „Weiter“.Danach wird ein Hinweis zur Sitzungsvariante angezeigt, den Sie Beachten und dann mit „Weiter“bestätigen.

Inbetriebnahme

181Festo — CAMC-G-S3 — 2019-12a

Page 182: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 85

4. Für das Schreiben von Parametern ist die Eingabe einer Benutzerkennung und des Kennworts er-forderlich. Im Auslieferungszustand oder nach zurücksetzen auf Werkseinstellung ist dies „SAFE-TY“.Beenden Sie dann den Assistenten mit „Fertigstellen“.

5.6.2 Datenübernahme und Abgleich1. Normalerweise weichen die Basisinformationen der Werkseinstellung von der aktuellen Grundge-

räteparametrierung ab. Dies wird durch einen Dialog angezeigt, den Sie mit „OK“ bestätigen. Soll-te dies nicht der Fall sein, können Sie mit Punkt 3. fortfahren.

Inbetriebnahme

182 Festo — CAMC-G-S3 — 2019-12a

Page 183: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 86

2. Die abweichenden Werte werden auf der Seite Basisinformationen rot angezeigt und müssen zu-erst abgeglichen werden.

Fig. 87

3. Klicken Sie auf „Bearbeitung freigeben“ und aktivieren Sie die Kontrollkästchen der abweichen-den Parameter unter „Senden“.

4. Mit der Schaltfläche „Senden“ werden die gewählten Parameter in das Sicherheitsmodul geladen.

Fig. 88

Inbetriebnahme

183Festo — CAMC-G-S3 — 2019-12a

Page 184: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

5. Dadurch sind die Parameter zunächst nicht mehr gültig. Prüfen Sie die Parameter durch Vergleichder Werte unter „Sollwert“ und „Istwert“. Bestätigen Sie die Prüfung durch aktivieren des Kon-trollkästchens unter „Geprüft“. Danach validieren Sie diese mit der Schaltfläche „Validieren“ .

Fig. 89

6. Wenn alle Parameter der Basisinformationen identisch sind, werden die anderen Parameter ausdem Sicherheitsmodul geladen, die Seite „Datenübernahme“ mit der Gegenüberstellung der vomGrundgerät übernommenen Daten wird angezeigt.

Fig. 90

Inbetriebnahme

184 Festo — CAMC-G-S3 — 2019-12a

Page 185: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

5.6.3 Beginn der ParametrierungJetzt ist die Sitzungsvariante „Vorhandene Parametrierung ändern“ aktiv und Sie können mit der ei-gentlichen Parametrierung beginnen.• Gehen Sie hierzu mit den Pfeilschaltflächen 1 nacheinander durch alle Parameterseiten und prü-

fen oder ändern Sie die angezeigten Parameter.

Fig. 91 Datenübernahme

Die jeweilige Parameterseite wird im Navigationsbaum 2 angezeigt, über den Sie auch direkt zu eineranderen Seite wechseln können, z. B. um nachträglich nochmals Parameter anzusehen. Für die Inbetriebnahme wird empfohlen, alle Seiten nacheinander zu prüfen oder zu bearbeiten.

5.6.4 Überprüfung der DatenübernahmeAuf der ersten Parameterseite „Datenübernahme“ werden die wichtigsten Parameter der Geber-Konfi-guration angezeigt.

Fig. 92

Vorhandene Abweichungen werden jeweils durch eine blauen Pfeil angezeigt. Mit einem Klick auf denPfeil wird die Grundgeräteeinstellung als Parameter-Sollwert übernommen. Der Parameter-Sollwertmuss dann später auf der entsprechenden Seite Geber-Konfiguration noch an das Sicherheitsmodulgesendet und validiert werden.

5.6.5 BasisinformationenFalls die Basisinformationen schon bearbeitet bearbeitet wurden(è 5.6 Ablauf der Parametrierung mit dem SafetyTool (Beispiel), sollten die Werte auf dieser Seite be-reits stimmen.

Inbetriebnahme

185Festo — CAMC-G-S3 — 2019-12a

Page 186: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

5.6.6 Geber-Konfiguration• Prüfen oder bearbeiten Sie nacheinander die Parameter der Geber-Konfiguration.Wenn Sie die Sollwerte übernommen haben, sind diese beim entsprechenden Parameter bereits ein-getragen (è 5.6 Ablauf der Parametrierung mit dem SafetyTool (Beispiel)). Dann können Sie diese mit„Bearbeitung freigeben“, „Senden“ übernehmen und nachfolgend prüfen und validieren.

Fig. 93

5.6.7 Digitale Eingänge konfigurierenAuf der Seite „Digitale Eingänge“ wird die Zuordnung aller zwei- und einkanaligen Eingänge angezeigt.Die Bearbeitung erfolgt dann aber auf den folgenden Seiten für jeden Eingang separat.

Fig. 94

Inkonsistenzen sind durch ein Fehlersymbol gekennzeichnet, im Beispiel sind DIN45, DIN46 undDIN47 zwar als Sensortyp „Betriebsartenwahlschalter“ parametriert, der Parameter „Aktivierung“ desBetriebsartenwahlschalters ist jedoch nicht aktiv.Nun bearbeiten Sie nacheinander die Seiten der digitalen Eingänge.

DIN40• Für das Beispiel wird DOUT42A/B als Quelle für den Testimpuls eingestellt.

Inbetriebnahme

186 Festo — CAMC-G-S3 — 2019-12a

Page 187: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 95

DIN41• Für das Beispiel wird als Sensortyp „Lichtgitter“ und DOUT42A/B als Quelle für den Testimpuls

eingestellt.

Fig. 96

DIN42• Für das Beispiel wird als Sensortyp „Zustimmtaster“ und DOUT42A/B als Quelle für den Testim-

puls eingestellt.

Fig. 97

DIN45 ... DIN47• Für das Beispiel wird für DIN45, DIN46 und DIN47 jeweils DOUT42B als Quelle für den Testimpuls

eingestellt.

Fig. 98

DIN43 und DIN44, DIN48 und DIN49Für das Beispiel sind keine Änderungen notwendig, da alle Einstellungen den Werkseinstellungen ent-sprechen.

Inbetriebnahme

187Festo — CAMC-G-S3 — 2019-12a

Page 188: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

5.6.8 Auswahl und Parametrierung der SicherheitsfunktionenAuf der Seite „Sicherheitsfunktionen“ werden die aktiven Funktionen angezeigt.• Aktivieren Sie für das Beispiel zusätzlich SS2, SOS und USF0. Mit der USF können Sie die Sicher-

heitsfunktion SLS parametrieren. Für das Aktivieren von Sicherheitsfunktionen ist kein Sendenund Validieren notwendig.

Fig. 99

STO: Sicher abgeschaltetes Moment1. Prüfen und bei Bedarf ändern Sie die Parameter der Sicherheitsfunktion STOè 3.5 Sicherheitsfunktionen.

2. Löschen Sie im Register „Anfordern“ die in der Werkseinstellung vorhandene Anforderung überDIN40. Nach dem Freigeben der Bearbeitung wählen Sie dazu im Gatter den logischen EingangLIN_D40 aus (blau markiert) und entfernen diesen mit „Operanden: Entf.“. Da der Operand jetzt zwar aus dem Produktterm gelöscht ist, aber der Produktterm (hier P04.00)selbst noch belegt wird, wird dieser unten noch angezeigt.

Fig. 100

Inbetriebnahme

188 Festo — CAMC-G-S3 — 2019-12a

Page 189: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

3. Wählen Sie im rechten Rahmen „Operanden“ LIN_AFTER_RST_PULSE aus und übernehmen Sieden Eintrag mit „Gatter: Einfg.“.

4. Mit „Senden“ übertragen Sie die Änderung an das Sicherheitsmodul. Dann wird unter „Validie-rung“ (im Bild oben rechts) die neue Zuordnung sowie auch der Löschvorgang angezeigt und kanngeprüft und validiert werden.

Die Einstellung im Register „Anforderung beenden“ durch LIN_D49_RISING_EDGE kann im Beispiel be-lassen werden.

SS1: Sicherer Stopp 11. Prüfen Sie im Register „Standard-Parameter“ die Einstellungen und passen Sie diese bei Bedarf

an Ihre Applikation an è 3.5 Sicherheitsfunktionen.2. Aktivieren Sie für das Beispiel die „Automatische Aktivierung SBC“ (P0C.09).

Für das Beispiel stellen Sie im Register „Anfordern“ folgende Logik her:Ä

Fig. 101

3. Für das Beispiel stellen Sie im Register „Anfordern“ folgende Logik her:Ä

Fig. 102

4. Wählen Sie im rechten Rahmen „Operanden“ LIN_D40 aus und übernehmen Sie den Eintrag mit„Operanden: Einfg.“. Alternativ können Sie den Eintrag mit der Maus auf die Treiber-Verknüpfungziehen (hier Produktterm P04.00).

5. Dann wählen Sie LIN_D45_SAFE aus und übernehmen den Eintrag mit „Gatter: Einfg.“. Alternativkönnen Sie den Eintrag mit der Maus auf das Oder-Gatter (≥ 1) ziehen. Dadurch wird ein neuesGatter mit dem Eingang LIN_D45_SAFE eingefügt (im Beispiel Produktterm P04.07).

6. Wählen Sie nun unter „Gatter“ den eben eingefügten Eintrag LIN_D45_SAFE, um das zweite Gatterals Ziel zum Einfügen weiterer Operanden zu markieren (hier Produktterm P04.07).

Inbetriebnahme

189Festo — CAMC-G-S3 — 2019-12a

Page 190: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

7. Dann wählen Sie im rechten Rahmen „Operanden“ den Eintrag LIN_D41 aus und übernehmen die-sen mit „Operanden: Einfg.“. Alternativ können Sie den Eintrag mit der Maus auf die Treiber-Ver-knüpfung ziehen. Die Treiber-Verknüpfung ändert sich dadurch automatisch zur UND-Verknüp-fung.

8. Nach dem Senden müssen Sie durch die ODER-Verknüpfung nun 2 Produktterme validieren.

Fig. 103

Die Einstellung im Register „Anforderung beenden“ durch LIN_D49_RISING_EDGE kann im Beispiel be-lassen werden.

SS2: Sicherer Stopp 21. Prüfen Sie im Register „Standard-Parameter“ die Einstellungen und passen Sie diese bei Bedarf

an Ihre Applikation an è 3.5 Sicherheitsfunktionen. Stellen Sie für das Beispiel im Register „Anfordern“ folgende Logik her: Ä

Fig. 104

2. Wählen Sie im rechten Rahmen „Operanden“ LIN_D41 aus und übernehmen Sie den Eintrag mit„Operanden: Einfg.“. Alternativ können Sie den Eintrag mit der Maus auf die Treiber-Verknüpfungziehen (hier Produktterm P04.08).

3. Wiederholen Sie Schritt 2. mit den Operanden LIN_D46_SAFE und LIN_D42. 4. Invertieren Sie LIN_D42 mit „Operanden: Invert.“. Falls Sie zwischenzeitlich ein anderes Element

ausgewählt hatten, müssen Sie LIN_D42 eventuell vorher nochmals auswählen.

Inbetriebnahme

190 Festo — CAMC-G-S3 — 2019-12a

Page 191: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

5. Nach dem Senden müssen Sie nur einen Produktterm validieren. Für das Beispiel stellen Sie im Register „Anforderung beenden“ folgende Logik her: Ä

Fig. 105

6. Wählen Sie im rechten Rahmen „Operanden“ LIN_D49_RISING_EDGE aus und übernehmen Sieden Eintrag mit „Operanden: Einfg.“.

7. Wiederholen Sie Schritt 6. mit dem LIN_D41. 8. Invertieren Sie LIN_D41 mit „Operanden: Invert.“. 9. Danach wählen Sie LIN_D42 aus und fügen diesen mit „Gatter: Einfg.“ als UND-Verknüpfung ein. 10. Nach dem Senden müssen Sie durch die ODER-Verknüpfung nun 2 Produktterme validieren.

SOS: Sicherer Betriebshalt1. Parametrieren Sie die Sicherheitsfunktion SOS entsprechend ihrer Applikationè 3.5 Sicherheitsfunktionen.

2. Für das Anfordern von SOS ist keine Logik erforderlich, da SOS nur als Fehlerreaktion verwendetwird.

3. Für „Anforderung beenden“ fügen Sie LIN_D49_RISING_EDGE ein (wie bei SS2).

USF0: Universal Funktion1. Fügen Sie für die Anforderung der USF0 im Beispiel LIN_DIN46_SAFE ein.Ä

Fig. 106

Inbetriebnahme

191Festo — CAMC-G-S3 — 2019-12a

Page 192: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

2. Für das Beispiel stellen Sie im Register „Anforderung beenden“ folgende Logik her:Ä

Fig. 107

Die grundsätzlichen Bedienungsschritte sind in den vorhergehenden Schritten beschrieben.

SSF0: Sichere Geschwindigkeit• Parametrieren Sie für die Sicherheitsfunktion SLS die Funktion SSF0 entsprechend ihrer Applikati-

on è 3.5 Sicherheitsfunktionen.

Fig. 108

Fig. 109

SBC: Sichere Bremsenansteuerung1. Parametrieren Sie die Sicherheitsfunktion SBC entsprechend ihrer Applikationè 3.5 Sicherheitsfunktionen.

2. Löschen Sie für das Beispiel die Anforderung durch LIN_D40. 3. Für „Anforderung beenden“ belassen Sie LIN_D49_RISING_EDGE. 4. Abhängig von Ihrer Applikation kann im Register „Rückmeldung“ eine Logik für die Bremsrückmel-

dung notwendig sein.

Inbetriebnahme

192 Festo — CAMC-G-S3 — 2019-12a

Page 193: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

5.6.9 LogikfunktionenIm Beispiel werden die Additional Logic Functions ALFx nicht verwendet und müssen deshalb auf derSeite „Logikfunktionen“ nicht aktiviert werden.

Betriebsartenwahlschalter• Aktivieren Sie den Betriebsartenwahlschalter auf der Seite „Betriebsartenwahlschalter“.

Fig. 110

ZweihandbediengerätDas Zweihandbediengerät wird in diesem Beispiel nicht verwendet.

5.6.10 Logik FehlerquittierungDie Logik Fehlerquittierung kann für das Beispiel in Werkseinstellung belassen werden.

5.6.11 Digitale Ausgänge

DOUT40, DOUT41Für das Beispiel werden die digitalen Ausgänge DOUT40 und DOUT41 nicht verwendet.

DOUT42Für das Beispiel muss an der Parametrierung nichts geändert werden, da DOUT42 in Werkseinstellungbereits auf „Dauerhaft eingeschaltet“ parametriert ist.

Interne BremseDie Parametrierung für die interne Bremse kann im Beispiel auf Werkseinstellung belassen werden.

MeldekontaktDie Parametrierung für den Meldekontakt kann im Beispiel auf Werkseinstellung belassen werden.Das Relais ist geschlossen wenn alle angeforderten Sicherheitsfunktionen aktiv sind und keine Sicher-heitsbedingung verletzt ist.

5.6.12 FehlermanagementFür die Verletzung von Sicherheitsbedingungen und für Fehler z. B. bei der Winkelgeberauswertungmüssen Sie auf der Seite „Fehlermanagement“ eine adäquate Fehlerreaktion auswählen. Für das Beispiel wird die Werkseinstellung belassen, d.h. im Wesentlichen wird im Fehlerfall STO oderSS1 sowie SBC ausgelöst.

5.6.13 Abschluss der ParametrierungWenn die LEDs der Hauptknoten "Grün" zeigen, ist der Parametersatz validierbar (Gesamtvalidie-rung). Der aktuell vom Sicherheitsmodul berechnete Validierungscode wird ausgelesen und im Anzeigefeld„Validierungscode“ in hexadezimaler Form angezeigt. Unter dem Feld „Validierungscode“ wird der aktuelle Stand der Parametrierung angezeigt. Um eine Parametrierung erfolgreich abzuschließen müssen die Parameter im Gerät gesichert werden.

Inbetriebnahme

193Festo — CAMC-G-S3 — 2019-12a

Page 194: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 111

1. Klicken Sie hierzu zunächst auf „Freigeben und im Gerät dauerhaft speichern“. 2. Der Validierungscode muss zur Bestätigung in umgekehrter Reihenfolge eingegeben und mit OK

bestätigt werden. Ä

Fig. 112

3. Bei richtiger Eingabe des Validierungscode speichert das Sicherheitsmodul die Parameter rema-nent im FLASH-Speicher, die Seite „Abschluss“ wird im Navigationsbaum jetzt auch grün ange-zeigt.

4. Für die Erstellung des notwendigen Validierungsreports können Sie die Zusammenfassung entwe-der mit „Drucken“ direkt auf einem Drucker ausgeben oder mit „Als PDF speichern“ ein entspre-chendes PDF-Dokument generieren.

Inbetriebnahme

194 Festo — CAMC-G-S3 — 2019-12a

Page 195: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

5. Für die spätere Verwendung auf weiteren, identisch parametrierten Sicherheitsmodulen oderbeim Austausch des Sicherheitsmoduls können Sie mit „Sicheren Parametersatz erstellen“ eineDatei speichern, mit der Sie den validierten Parametersatz später auf ein anderes Sicherheitsmo-dul senden können.

6. Zum Abschluss der Parametrierung Klicken Sie auf „Neustart durchführen“. Dadurch wird der Mo-torcontroller und das Sicherheitsmodul neu gestartet.

Damit ist die Parametrierung des Beispiels abgeschlossen

5.7 Spezielle Funktionen des SafetyTools

5.7.1 Kennwort ändernWährend eine Parametriersitzung aktiv ist, können Sie jederzeit das Kennwort ändern.1. Öffnen Sie den Dialog „Kennwort ändern“ mit dem Menübefehl [Extras] [Kennwort ändern].

Fig. 113

2. Geben Sie unter „Kennwort“ das bestehende Kennwort ein.3. Geben Sie das neue Kennwort zweimal unter „Neues Kennwort“ und „Kennwort bestätigen“ ein. 4. Bestätigen Sie mit „OK“.Das neue Kennwort ist sofort im Sicherheitsmodul aktiv.

5.7.2 Werkseinstellungen setzenWerkseinstellungen è 5.4.1 Werkseinstellung.Um das Sicherheitsmodul auf Werkseinstellungen zurückzusetzen:1. Starten Sie bei aktiver Online-Verbindung das SafetyToolè 5.6 Ablauf der Parametrierung mit dem SafetyTool (Beispiel).

2. Wählen Sie die Online-Sitzungsvariante „Parametrierung anzeigen“ (kein Kennwort notwendig). 3. Eventuell werden danach abweichende Basisinformation angezeigt, die Sie mit OK bestätigen.

Inbetriebnahme

195Festo — CAMC-G-S3 — 2019-12a

Page 196: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

4. Mit dem Menübefehl [Extras] [Werkseinstellungen setzen] wird das Sicherheitsmodul zurückge-setzt. Hierzu wird der Benutzername abgefragt (wird im permanenten Diagnosespeicher protokol-liert).

5. Dann wird der Parametersatz wieder aus dem Sicherheitsmodul gelesen. Dabei müssen eventuellabweichende Basisinformationen erneut bestätigt werden.

6. Beenden Sie das SafetyTool.

5.7.3 PlausibilitätsprüfungDie Plausibilitätsprüfung kann jederzeit während einer Parametriersitzung durchgeführt werden.– Öffnen Sie das Fenster „Plausibilitätsprüfung“ mit dem Menübefehl [Extras] [Parameter auf Plausi-

bilität prüfen].

Fig. 114

Die bei der Prüfung erkannten Punkte sind jeweils mit einem Symbol gekennzeichnet.

Symbol Bedeutung

Information: Reine Information, hat keine funktionale Bedeutung.

Warnung: Die Parametrierung funktioniert, ist aber eventuell nicht vollständig.

Fehler: Fehlerhafte Parametrierung, das Sicherheitsmodul wird nicht ordnungsge-mäß funktionieren.

Tab. 114 Anzeige der Plausibilitätsprüfung

5.7.4 Parameter-ÜbersichtFür den schnellen Zugriff für Experten können die Parameter in einem separaten Fenster angezeigt undbearbeitet werden. – Öffnen Sie das Fenster „Parameter-Übersicht“ mit dem Menübefehl [Extras] [Parameter-Über-

sicht].

Inbetriebnahme

196 Festo — CAMC-G-S3 — 2019-12a

Page 197: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 115

5.7.5 DiagnosefensterIm Untermenü [Extras] [Diagnose] finden Sie verschiedene Befehle zur Anzeige von verschiedenen Dia-gnosefenstern. Weitere Informationen finden Sie in der Hilfe zum SafetyTool. Das Fenster „Digitale E/A (logische Zustände)“ zeigt z. B. den logischen Zustand der Ein- und Ausgän-ge an:

Fig. 116 Digitale EA – logische Zustände

Inbetriebnahme

197Festo — CAMC-G-S3 — 2019-12a

Page 198: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Das Fenster „Fehleranzeige“ zeigt die aktiven Fehler an, mit der Schaltfläche „Fehler quittieren!“ kön-nen diese soweit möglich hier auch quittiert werden.

Fig. 117 Fehleranzeige

Mit dem Menübefehl [Extras] [Diagnose] [Interne Signale] öffnen Sie das Fenster „Funktionsschalt-bild“. Das Fenster zeigt eine Gesamtübersicht der logischen und virtuellen Eingänge sowie der virtuel-len und logischen Ausgänge des Sicherheitsmoduls. Mit einem Klick auf einen der blauen Textlinks öffnen Sie ein weiteres Fenster, in dem der Zustand derjeweiligen Signalgruppe angezeigt wird (im Beispiel die von den physikalischen Eingängen abgebilde-ten logischen Eingänge).

Inbetriebnahme

198 Festo — CAMC-G-S3 — 2019-12a

Page 199: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 118 Funktionsschaltbild

5.8 Funktionstest, ValidierungHINWEIS!

Die Sicherheitsfunktionen müssen nach der Installation und nach jeder Veränderung der Installationvalidiert werden.Diese Validierung ist vom Inbetriebnehmer zu dokumentieren. Als Hilfe für die Inbetriebnahme sindnachfolgend in Form von Checklisten Fragen zur Risikominderung zusammengestellt.

Die folgenden Checklisten ersetzen keine sicherheitstechnische Ausbildung. Für die Vollständigkeit der Checklisten kann keine Gewähr übernommen werden.

Nr. Fragen Trifft zu Erledigt

1. Wurden alle Betriebsbedingungen und alle Eingriffsver-fahren berücksichtigt?

Ja ☐   Nein ☐ ☐

Inbetriebnahme

199Festo — CAMC-G-S3 — 2019-12a

Page 200: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Nr. Fragen Trifft zu Erledigt

2. Wurde die „3-Stufen-Methode“ zur Risikominderung an-gewendet, d. h. 1. Inhärent sichere Konstruktion,2. Technische und evtl. ergänzende Schutzmaßnahmen,3. Benutzerinformation über das Restrisiko?

Ja ☐   Nein ☐ ☐

3. Wurden die Gefährdungen beseitigt oder die Risiken derGefährdungen soweit vermindert, wie dies praktisch um-setzbar ist?

Ja ☐   Nein ☐ ☐

4. Ist sichergestellt, dass die durchgeführten Maßnahmennicht neue Gefährdungen schaffen?

Ja ☐   Nein ☐ ☐

5. Sind die Benutzer hinsichtlich der Restrisiken ausrei-chend informiert und gewarnt?

Ja ☐   Nein ☐ ☐

6. Ist sichergestellt, dass die Arbeitsbedingungen der Bedi-enpersonen durch die ergriffenen Schutzmaßnahmennicht verschlechtert worden sind?

Ja ☐   Nein ☐ ☐

7. Sind die durchgeführten Schutzmaßnahmen miteinandervereinbar?

Ja ☐   Nein ☐ ☐

8. Wurden die Folgen ausreichend berücksichtigt, diedurch den Gebrauch einer für gewerbliche/industrielleZwecke konstruierten Maschine beim Gebrauch im nichtgewerblichen/nicht industriellen Bereich entstehen kön-nen?

Ja ☐   Nein ☐ ☐

9. Ist sichergestellt, dass die durchgeführten Maßnahmendie Fähigkeit der Maschine zur Erfüllung ihrer Funktionnicht übermäßig beeinträchtigen?

Ja ☐   Nein ☐ ☐

Tab. 115 Fragen für die Validierung nach EN 12100 (Beispiel)

Nr. Fragen Trifft zu Erledigt

1. Wurde eine Risikobeurteilung durchgeführt? Ja ☐   Nein ☐ ☐

2. Wurden eine Fehlerliste und ein Validierungsplan er-stellt?

Ja ☐   Nein ☐ ☐

Wurde der Validierungsplan, inkl. Analyse und Prüfung,abgearbeitet und ein Validierungsbericht erstellt?Es müssen zumindest folgende Prüfungen im Rahmender Validierung erfolgen:

Ja ☐   Nein ☐ ☐3.

a) Überprüfung der Komponenten: Wird der CMMP-AS-…-M3 mit dem CAMC-G-S3 verwendet (Prüfung anhandder Typenschilder)

Ja ☐   Nein ☐ ☐

Inbetriebnahme

200 Festo — CAMC-G-S3 — 2019-12a

Page 201: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Nr. Fragen Trifft zu Erledigt

b) Ist die Verdrahtung korrekt (Überprüfung anhand desSchaltplans)?

Ja ☐   Nein ☐ ☐

– Sind Sicherheitsbefehlsgeräte, z. B. Schutztürschal-ter, NotHalt-Schalter, usw. an X40 verdrahtet wor-den?

Ja ☐   Nein ☐ ☐

– Sind die Sicherheitsbefehlsgeräte für die Anforde-rungen der Anwendung geeignet und entsprechendverdrahtet?

Ja ☐   Nein ☐ ☐

c) Prüfung der Parametrierung: Ja ☐   Nein ☐ ☐

– Wurde die Parametrierung des Sicherheitsmodulsabgeschlossen, sind alle Parameter validiert?

Ja ☐   Nein ☐ ☐

– Wurde der Parametersatz gedruckt und dem Validie-rungsplan hinzugefügt?

Ja ☐   Nein ☐ ☐

d) Funktionsprüfungen: Ja ☐   Nein ☐ ☐

– Betätigung des Nothalts der Anlage: Wird der Antrieb stillgesetzt?

Ja ☐   Nein ☐ ☐

– Betätigung des Nothalts der Anlage: Wird nur einer der dem Nothalt zugeordneten Ein-gang DIN4xA oder DIN4xB aktiviert – wird die zuge-ordnete Sicherheitsfunktion sofort ausgeführt undwird nach Ablauf der Diskrepanzzeit der Fehler "Dis-krepanzzeitverletzung" (Anzeige 57-1) im CMMP-AS-M3 gemeldet?

Ja ☐   Nein ☐ ☐

3.

– Betätigung der weiteren Sicherheitsfunktionen derAnlage – für jede Sicherheitsfunktion separat durch-zuführen:Wird nur einer der für die Anforderung der Sicher-heitsfunktion zugeordneten zweikanaligen EingängeDIN4xA/B aktiviert – wird die zugeordnete Sicher-heitsfunktion sofort ausgeführt und wird nach Ab-lauf der Diskrepanzzeit der Fehler "Diskrepanzzeit-verletzung" (Anzeige 57-1) im CMMPAS-...-M3 ge-meldet?

Ja ☐   Nein ☐ ☐

3. – Bei Verwendung sicherer Ausgänge – für jeden Aus-gang separat durchzuführen:Schalten beide Ausgänge DOUT4xA/B äquivalent abbei Vorliegen der entsprechenden Schaltbedingungund wird im nachfolgenden Sicherheitsschaltgerät

Ja ☐   Nein ☐ ☐

Inbetriebnahme

201Festo — CAMC-G-S3 — 2019-12a

Page 202: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Nr. Fragen Trifft zu Erledigt

im Fehlerfall (Leitungsbruch, Kurzschluss,…) der si-chere Zustand eingenommen?

– Nur bei Verwendung eines Sicherheitsschaltgerätesmit Auswertung des Rückmeldekontaktes C1/C2:Wird bei Kurzschluss von C1 nach C2 der Antriebspätestens bei der nächsten Sicherheitsanforderungstillgesetzt?

Ja ☐   Nein ☐ ☐

3.

– Ist der Wiederanlauf verhindert? D. h. bei betätig-tem Not- Halt und aktiven Enable-Signalen wird oh-ne vorherige Betätigung des Eingangs "Sicherheits-funktion beenden" bei einem Start-Befehl keine Be-wegung erfolgen?

Ja ☐   Nein ☐ ☐

Tab. 116 Fragen für die Validierung nach EN ISO 13849-2 (Beispiel)

6 Bedienung und Betrieb

6.1 Verpflichtungen des BetreibersDie Funktionsfähigkeit des Sicherheitsmoduls CAMC-G-S3 ist in angemessenen Zeitabständen zu prü-fen. Es liegt in der Verantwortung des Betreibers, die Art der Überprüfung und die Zeitabstände im ge-nannten Zeitraum zu wählen. Die Prüfung ist so durchzuführen, dass die einwandfreie Funktion der Si-cherheitseinrichtung im Zusammenwirken aller Komponenten nachgewiesen wird. Prüfintervall (Proof-Test-Interval) è 8.1.1 Sicherheitstechnik.

WARNUNG!

Gefahr durch Verlust der Sicherheitsfunktion!Bei Spannungsausfall sind die Sicherheitsfunktionen nicht gewährleistet (Ausnahme: Sicher abge-schaltetes Moment, STO; Sichere Bremsenansteuerung, SBC). Fehlende Sicherheitsfunktion kann zu schweren, irreversiblen Verletzungen führen, z. B. durch unge-wollte Bewegungen der angeschlossenen Aktorik.• Sorgen Sie entsprechend Ihrer Anwendung für eine sichere Spannungsversorgung oder sehen Sie

andere entsprechende Maßnahmen vor.

6.2 Wartung und PflegeDas Sicherheitsmodul ist wartungsfrei.

6.3 Schutzfunktionen

6.3.1 Versorgung – Überspannungs- und Verpolschutz SpannungsüberwachungDie 24-V-Versorgung erfolgt über das Grundgerät. Der zulässige Betriebsspannungsbereich wird vomSicherheitsmodul überwacht. Die Versorgung des Sicherheitsmoduls ist darüber hinaus besonders ge-schützt gegen

Bedienung und Betrieb

202 Festo — CAMC-G-S3 — 2019-12a

Page 203: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Surge gemäß EN 61326-3-1. – Anstieg der 24-V-Versorgung im Fehlerfall bis auf 60 V (Spezifikaton PELV-Versorgung).Ein Verpolungsschutz ist über das Grundgerät gegeben.

6.3.2 Interne Elektronik-SpannungsversorgungDie internen Betriebsspannungen werden aus der 24-V-Versorgung generiert. Die internen Elektronikversorgungsspannungen sind redundant ausgeführt. Die beiden Mikrocontroller im Sicherheitsmodul werden somit unabhängig versorgt. Sie überwachen alle internen Betriebsspannungen wechselseitig.

6.3.3 Failsafe-VersorgungHerzstück für die Ansteuerung der Ausgänge ist die sogenannte „Failsafe-Versorgung“. Jeder Mikro-controller generiert über ein dynamisches Signal eine eigene (interne) Hilfsversorgung (U_FS1, U_FS2)zum Ansteuern der verschiedenen (sicheren) Ausgänge für– die Versorgung für Treiberansteuerung, getrennt für Ober- und Unterschalter, – die Bremsansteuerung, getrennt für Leistungsschalter BR+ und BR-, – die digitalen Ausgänge DOUT40 – DOUT42, getrennt für Pin A und Pin B.Die U_FS1 wirkt auf die Ausgänge, die von Mikrocontroller2 angesteuert werden, umgekehrt wirktU_FS2 auf die Ausgänge von Mikrocontroller1. So ist gewährleistet, dass jeder Mikrocontroller im Feh-lerfall die Ausgänge des jeweils anderen Mikrocontroller abschalten kann.Bei Ausfall eines Mikrocontrollers (ganz gleich welcher Ursache – Hardwarefehler, Programmabsturzetc.) bricht die entsprechende „Failsafe“-Versorgung zusammen und die Ausgänge werden abgeschal-tet.

6.3.4 Schutzfunktionen für die digitalen AusgängeDie digitalen Ausgänge sind geschützt gegen:– Kurzschluss nach 0 V und 24 V und PE – Beliebige Querschlüssen zu anderen Ausgängen – Spannungsanstieg bis 60 VAktive Ausgänge werden im Betrieb mittels Testimpulsen überwacht.Im Fehlerfall werden die Ausgänge abgeschaltet, auch alle zusammen.

6.3.5 Schutzfunktionen für die digitalen EingängeDie digitalen Eingänge sind geschützt gegen: – Kurzschluss nach 0 V und 24 V und PE– Beliebige Querschlüssen zu anderen Ausgängen – Surge-Störungen– Spannungsanstieg bis 60 V Die Eingänge werden im Betrieb mittels interner Testimpulse überwacht. Die Überwachung der angeschlossenen passiven Sensoren erfolgt über externe Testimpulse über dieDOUT4x. Bei mehrkanaligen Eingängen erfolgt eine Plausibilitätsprüfung auf gleichzeitiges Schalten mit Diskre-panzzeit-Überwachung.

6.3.6 Schutzfunktionen für die BremsansteuerungDie Ausgänge für die Bremsansteuerung sind geschützt gegen:

Bedienung und Betrieb

203Festo — CAMC-G-S3 — 2019-12a

Page 204: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

– Kurzschluss nach 0 V und 24 V und PE– Beliebige Querschlüssen zu anderen‚ Ausgängen– Spannungsanstieg bis auf 60 V Die Ausgänge werden im Betrieb mittels Testimpulsen überwacht. Im Fehlerfall werden die Ausgängeabgeschaltet.

6.3.7 Schutzfunktionen der Versorgung für die TreiberansteuerungDie Ausgänge für die Treiberansteuerung sind geschützt gegen: – Kurzschluss nach 0 V und 5 V sowie Fremdspannung bis 60 V– Querschlüsse zwischen den beiden Versorgungen – Spannungsanstieg bis auf 60 V Die Ausgänge werden im Betrieb mittels Testimpulsen überwacht. Im Fehlerfall werden die Ausgänge abgeschaltet.

6.3.8 Schutzfunktionen für die angeschlossenen PositionsgeberDie Funktion der Positionsgeber wird im Betrieb laufend überwacht. Der Umfang der Überwachung richtet sich nach dem verwendeten Gebertyp, z. B.: – Überwachung der analogen Spursignale, Amplituden und Vektorlängenüberwachung bei

SIN/COS- und Hiperface-Gebern sowie Resolvern – Überwachung der Kommunikation bei rein seriellen Gebern – Zusätzlich Plausibilitätsprüfung der Positionsdaten mittels Beschleunigungsüberwachung – Vergleich der Positions- und Geschwindigkeitsdaten von Positionsgeber 1 mit denen von Positi-

onsgeber 2 im Kreuzvergleich zwischen den Mikrocontrollern – Zeitüberwachung bei Stillstand und angeforderter Sicherheitsfunktion für Positionsgeber ohne

Zwangsdynamisierung (10-Tage-Überwachung).

6.3.9 Interne Schutzfunktionen der Elektronik auf dem SicherheitsmodulDas Sicherheitsmodul verfügt über zahlreiche weitere interne Überwachungsfunktionen, die durch dieinternen Mikrocontroller gegenseitig durchgeführt werden: – Dynamisierung vieler interner analoger Signale mittels Testimpulsen – Eigenüberwachung der Mikrocontroller im laufenden Betrieb über Speichertests, OP-Code-Tests,

Stack- und Programmlaufüberwachung – Kreuzvergleich der korrekten Programmausführung und der synchronen Programmabarbeitung

zwischen Mikrocontroller1 und Mikrocontroller2 – Kreuzvergleich aller wichtigen Betriebszustände und der wichtigen Zustandsgrößen zwischen Mi-

krocontroller1 und Mikrocontroller2 – Überwachung der Umgebungsbedingungen (Temperatur) – Überwachung der internen Kommunikationsschnittstellen – Überwachung der Kommunikation nach außen – Überwachung der Datenintegrität der sicheren Parametersätze – Überwachung der Betriebszustände und Wechsel – Überwachung der Parametriersitzung (Session, Passwort, Steuerhoheit, ...)– Überwachung des Fehlerstatus

Bedienung und Betrieb

204 Festo — CAMC-G-S3 — 2019-12a

Page 205: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

6.3.10 Überwachung der Einhaltung der angeforderten SicherheitsfunktionenAlle angeforderten Sicherheitsfunktionen und Logikfunktionen werden im Sicherheitsmodul perma-nent überwacht. Bei Verletzung einer Sicherheitsgrenze wird der entsprechende Fehler ausgelöst. DieÜberwachung umfasst im Wesentlichen: – Einhaltung der gesetzten Geschwindigkeitsgrenzen – Einhaltung der gesetzten Positionsgrenzen – Stillstandsüberwachung – Einhaltung der geforderten Zeitbedingungen – Überwachung der Rückmeldesignale (Vorhanden sein, Zeitverhalten) – 10-Tage-Überwachung (bei Sicherem Betriebshalt SOS und Sicherer Bremsenansteuerung SBC)

6.4 Diagnose und Störungsbeseitigung

6.4.1 LED-Anzeige am SicherheitsmodulDer Betriebszustand wird direkt an der zweifarbigen Status-LED des Sicherheitsmoduls angezeigtè Fig.3, 5.Es werden folgende Zustände angezeigt:

LED-Anzeige Betriebszustand Statusmeldung

blinkt rot Sicherheitsmodul ist im Zustand „Interner Fehler“, Fehlerim Sicherheitsmodul.

VOUT_ERROR = 1

leuchtet rot Sicherheitsmodul ist im Zustand „Sicherheitsbedingungverletzt“, Fehlerreaktion eingeleitet.

VOUT_SCV = 1 VOUT_SFR = 1

leuchtet gelb Sicherheitsmodul ist im Zustand „Sicherer Zustand er-reicht“.

VOUT_SSR = 1 VOUT_SFR = 1

blinkt gelb Sicherheitsmodul ist im Zustand „Sicherheitsfunktion ange-fordert, noch nicht erreicht“.

VOUT_SFR = 1

blinkt rot/grün Sicherheitsmodul ist im Zustand „Auslieferzustand - Para-metrierung Motorcontroller“. Der Antrieb ist freigegeben,alle digitalen IO sind spannungsfrei.

VOUT_SERVICE =1 VOUT_PS_EN = 1

blinkt grün – Sicherheitsmodul ist im Zustand Service (Grundzu-stand).

– Der Parametersatz des Sicherheitsmoduls ist nicht vali-diert.

– Es liegt kein Parametersatz im Motorcontroller vor.– Es wurde eine Parametriersitzung eröffnet. – Parametersätze im Motorcontroller und im Sicherheits-

modul sind abweichend.

VOUT_SERVICE =1 VOUT_PS_EN = 0

leuchtet grün Sicherheitsmodul ist im Zustand „Betriebsbereit, Keine Si-cherheitsfunktion angefordert“. Sicherheitsmodul ist feh-lerfrei initialisiert und betriebsbereit.

VOUT_READY = 1VOUT_PS_EN = 1

Bedienung und Betrieb

205Festo — CAMC-G-S3 — 2019-12a

Page 206: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

LED-Anzeige Betriebszustand Statusmeldung

aus Sicherheitsmodul ist nicht initialisiert / nicht Betriebsbe-reit.

VOUT_READY = 0VOUT_PS_EN = 0

Tab. 117 LED-Anzeige des Sicherheitsmoduls

Vollständige Beschreibung der Zustände è 3.10.2 Zustandsanzeige am Sicherheitsmodul.

6.4.2 7-Segment-Anzeige des Motorcontrollers

HINWEIS!

Die Siebensegmentanzeige des Motorcontrollers ist eine reine Diagnoseanzeige. Die Anzeige sicher-heitsgerichteter Daten würde einen vorgelagerten Funktionstest der Anzeige erfordern – dies ist nichtvorgesehen.

Auf der 7SegmentAnzeige des Motorcontrollers werden Statusmeldungen des Motorcontrollers ange-zeigt. Zusätzlich kann das Sicherheitsmodul Status- und Fehlermeldungen über die 7-Segment-Anzei-ge ausgeben, wenn der Motorcontroller selbst nicht im Fehlerzustand ist.

Anzeige von ZeichenkettenDie einzelnen Zeichen werden hintereinander angezeigt. Bei jedem Zeichenwechsel wird die Anzeigekurz ausgetastet. Die Anzeige wird zyklisch wiederholt. Zwischen dem letzten Zeichen der Zeichenket-te und dem ersten Zeichen der Wiederholung gibt es eine Pause, die Anzeige ist kurz dunkel. Zeichen-ketten können auch „schnell blinkend“ angezeigt werden. Dabei blinkt jedes Zeichen während der An-zeigezeit mehrfach auf.

Anzeige von FehlernEs werden nur Fehler und Warnungen angezeigt (ein Fehler ist aufgetreten, dessen Reaktion nicht auf„keine Reaktion, nur Eintrag im Diagnosespeicher“ parametriert wurde).Die Anzeige von Fehlern des Sicherheitsmoduls erfolgt genauso wie die Anzeige von Fehlern im Motor-controller.

Eine Sicherheitsfunktion wurde angefordertFunktionen, die einen Stopp des Antriebs zur Folge haben (STO, SOS, SS1, SS2) werden bevorzugt an-gezeigt, ansonsten wird die zuletzt angeforderte Sicherheitsfunktion angezeigt. Wenn eine Sicherheitsfunktion angefordert ist, aber der sichere Zustand noch nicht erreicht ist, wirdder Name der Funktion schnell blinkend dargestellt. Die Anzeige der angeforderten Sicherheitsfunktionen erfolgt wie in folgender Tabelle beschrieben.

Sicherheitsfunktion Anzeige

STO S t O

SS1 S S 1

Bedienung und Betrieb

206 Festo — CAMC-G-S3 — 2019-12a

Page 207: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Sicherheitsfunktion Anzeige

SS2 S S 2

SOS S O S

USF0 (mit SSF0: SLS, SSR, SSM) U S F 0

USF1 (mit SSF1: SLS, SSR, SSM) U S F 1

USF2 (mit SSF2: SLS, SSR, SSM) U S F 2

USF3 (mit SSF3: SLS, SSR, SSM) U S F 3

SBC S b C

Tab. 118 Anzeige der Sicherheitsfunktionen

Weitere AnzeigenWeitere Anzeigen im Zusammenhang mit dem Sicherheitsmodul zeigt folgende Tabelle.

Funktion/Zustand Anzeige

Aktive ParametriersitzungDie Zeichenfolge wird zyklisch angezeigt, solangeeine Parametriersitzung besteht.

F S P A r A

Controller identifizieren Die Zeichenfolge HELLO gefolgt von der Serien-nummer1) des Grundgeräts wird zyklisch ange-zeigt, solange die Funktion „Identifizierung“ aktivist (Winkefunktion).

H E L L O … 

1) Die Seriennummer des Grundgeräts wird im FCT-PlugIn auf der Seite „Controller“ sowie im SafetyTool angezeigt. Außerdem finden Siedie Seriennummer auf einem kleinen Aufkleber an der Geräteunterseite (zwischen [X6] und [X2A] ).

Tab. 119 Weitere Anzeigen

6.5 Fehlermeldungen und Fehlerbehandlung

6.5.1 FehlernummernDie Fehlernummern 51 bis 59 sind für das Sicherheitsmodul reserviert. In der folgenden Tabelle ist eine Übersicht zur Zuordnung dargestellt.

Nr. Beschreibung

51-x Motorcontroller: Fehler zur Hardware (Sicherheitsmodul vorhanden, Modultausch).

Bedienung und Betrieb

207Festo — CAMC-G-S3 — 2019-12a

Page 208: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Nr. Beschreibung

52-x Motorcontroller: Fehler zum Sicherheitsmodul (Statemachine, Diskrepanzzeit … ) undFehler des Motorcontroller soweit sie das Sicherheitsmodul betreffen.

53-x

54-x

55-x

56-x

57-x

58-x

59-x

Sicherheitsmodul: (Fehler des Sicherheitsmoduls).

Tab. 120 Fehlermeldungen die vom Motorcontroller und vom Sicherheitsmodul erzeugt werden

6.5.2 FehlerquittierungDie vom Motorcontroller erzeugten Fehler 51-x und 52-x können über den Motorcontroller quittiertwerden è siehe Funktionsbeschreibung zum CMMP-AS-...-M3. Die Fehler 53-x bis 59-x werden vom Sicherheitsmodul erzeugt und können nur über das Sicherheits-modul quittiert werden.Die Quittierung erfolgt über den parametrierten Steuereingang am Sicherheitsmodul oder im Safety-Tool (auf der Startseite „Sicherheitsmodul“ oder im Fenster „Fehleranzeige“ – Menü [Extras] [Diagno-se] [Fehler]. Dabei werden soweit möglich alle Fehler einschließlich der Fehler des Grundgeräts quit-tiert. Nach einem Neustart des Motorcontrollers (Reset-Taster des Grundgeräts oder Aus-/Einschaltender Spannungsversorgung) sind die Fehler ebenfalls „quittiert“, sofern die Ursache nicht mehr vorhan-den ist.

Weitere Informationen zur Fehlerquittierung im Sicherheitsmodul è 3.8.3 Logik für Fehlerquittierung.

6.5.3 DiagnosemeldungenWenn ein Fehler auftritt, zeigt das Sicherheitsmodul dies über die rot leuchtende oder blinkende LEDan. Zusätzlich zeigt der Motorcontroller CMMP-AS-...-M3 eine Diagnosemeldung zyklisch in der 7-Seg-ment- Anzeige an. Eine Fehlermeldung setzt sich aus einem E (für Error), einem Hauptindex und einemSubindex zusammen, z. B.: E 0 1 0. Warnungen haben die gleiche Nummer wie eine Fehlermeldung. Im Unterschied dazu erscheint abereine Warnung durch einen vorangestellten und nachgestellten Mittelbalken, z. B.: -. 1 7 0 -

In Abschnitt è 6.6 Diagnosemeldungen mit Hinweisen zur Störungsbeseitigung sind die für die funk-tionale Sicherheit im Zusammenhang mit dem Sicherheitsmodul relevanten Meldungen aufgelistet.Die vollständige Liste der Fehlermeldungen finden Sie in der Dokumentation Hardware GDCP-CMMP-M3-HW-... des verwendeten Motorcontrollers.

Bedienung und Betrieb

208 Festo — CAMC-G-S3 — 2019-12a

Page 209: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Folgende Tabelle erklärt die Einträge der Tabellen in Abschnittè 6.6 Diagnosemeldungen mit Hinweisen zur Störungsbeseitigung.

Spalte Bedeutung

Nr. Hauptindex und Subindex der Diagnosemeldung.

Code Die Spalte Code enthält den Errorcode (Hex) über CiA 301.

Meldung Meldung die im FCT angezeigt wird.

Ursache Mögliche Ursachen für die Meldung.

Maßnahme Maßnahme durch den Anwender.

Reaktion Die Spalte Reaktion enthält die Fehlerreaktion (Defaulteinstellung, teilweisekonfigurierbar): – PS off (Endstufe abschalten), – MCStop (Schnellhalt mit maximalem Strom), – QStop (Schnellhalt mit parametrierter Rampe), – Warn (Warnung),– Ignore (Keine Meldung, nur Eintrag in Diagnosespeicher),– NoLog (Keine Meldung und kein Eintrag in Diagnosespeicher). Die Reaktion auf Fehler 53-x bis 59-x werden über das SafetyTool konfiguriert: – Anforderung SBC + STO + alle digitalen Ausgänge auf „0“ setzen" [8] – Anforderung SBC + STO [7] – Anforderung STO [6] – Anforderung SBC SS1 [5] – Anforderung SS1 [4] – Anforderung SS2 [3] – Generierung einer Warnung, keine weitere Reaktion [2] – entspricht „Warn“– Keine Reaktion, nur Eintrag in Diagnosespeicher [1] – entspricht „Eintrag“ – Keine Reaktion, kein Eintrag in Diagnosespeicher [0] – entspricht „Ignore“

Tab. 121 Erläuterungen zur Tabelle „Diagnosemeldungen des CMMP-AS-...-M3“

Im Falle einer nicht quittierbaren Fehlermeldung müssen Sie die Ursache gemäß den empfohlenenMaßnahmen zunächst beseitigen. Führen Sie danach einen Reset des Motorcontrollers durch und prü-fen Sie, ob die Fehlerursache und damit die Fehlermeldung beseitigt sind.

6.6 Diagnosemeldungen mit Hinweisen zur Störungsbeseitigung

Fehlergruppe 0 Information

Nr. Code Meldung Reaktion

Ungültiger Fehler Ignore0-0 –

Ursache Information: Ein ungültiger Fehlereintrag (korrumpiert)wurde im Diagnosespeicher mit dieser Fehlernummermarkiert. Der Eintrag der Systemzeit wird auf 0 gesetzt.

Bedienung und Betrieb

209Festo — CAMC-G-S3 — 2019-12a

Page 210: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 0 Information

Nr. Code Meldung Reaktion

0-0 – Maßnahme –

Ungültiger Fehler entdeckt und korrigiert Ignore

Ursache Information: Ein ungültiger Fehlereintrag (korrumpiert)wurde im Diagnosespeicher entdeckt und korrigiert. Inder Zusatz-Information steht die ursprüngliche Fehler-nummer. Der Eintrag der Systemzeit enthält die Adresseder korrumpierten Fehlernummer.

0-1 –

Maßnahme –

Fehler gelöscht Ignore

Ursache Information: Aktive Fehler wurden quittiert.

0-2 –

Maßnahme –

Seriennummer / Gerätetyp (Modultausch) Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-4 –

Maßnahme –

Folgeeintrag Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-7 –

Maßnahme –

Controller eingeschaltet Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-8 –

Maßnahme –

Controller Sicherheits-Parameter geändert Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-9 –

Maßnahme –

Sicherheitsmodul: Parameter geändert Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-10 –

Maßnahme –

Modulwechsel: vorheriges Modul Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-11 –

Maßnahme –

Bedienung und Betrieb

210 Festo — CAMC-G-S3 — 2019-12a

Page 211: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 0 Information

Nr. Code Meldung Reaktion

Modulwechsel: aktuelles Modul Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-12 –

Maßnahme –

Sicherheitsmodul: Fehler quittiert Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-13 –

Maßnahme –

Sicherheitsfunktion angefordert Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-14 –

Maßnahme –

Sicherheitsmodul: Parametriersitzung geöffnet Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-15 –

Maßnahme –

Sicherheitsmodul: Parametriersitzung geschlossen Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-16 –

Maßnahme –

Sicherheitsmodul: Passwort geändert Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-17 –

Maßnahme –

Sicherheitsmodul: Passwort zurückgesetzt Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-18 –

Maßnahme –

Sicherheitsmodul: Parametersatz geladen Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-19 –

Maßnahme –

Sicherheitsmodul: Parametersatz gespeichert Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-20 –

Maßnahme –

Log-Eintrag aus dem Sicherheitsmodul Ignore

Ursache Information: è Eintrag im Diagnosespeicher.

0-21 –

Maßnahme –

Tab. 122

Bedienung und Betrieb

211Festo — CAMC-G-S3 — 2019-12a

Page 212: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 51 Sicherheitsmodul/-funktion

Nr. Code Meldung Reaktion

Kein/unbekanntes Sicherheitsmodul oder Treiberver-sorgung fehlerhaft

PSoff

Ursache Interner Spannungsfehler des Sicherheitsmoduls oderSchaltermoduls.

Maßnahme – Modul vermutlich defekt. Falls möglich mit einemanderen Modul tauschen.

Ursache Kein Sicherheitsmodul erkannt bzw. unbekannter Mo-dultyp.

51-0 8091h

Maßnahme – Für die Firmware und Hardware geeignetes Sicher-heits- oder Schaltermodul einbauen.

– Eine für das Sicherheits- oder Schaltermodul geeig-nete Firmware laden, vgl. Typenbezeichnung aufdem Modul.

Sicherheitsfunktion: Treiberversorgung fehlerhaft PSoff

Ursache Interner Hardware-Fehler (Spannungsfehler) des Sicher-heitsmoduls oder Schaltermoduls.

Maßnahme – Modul vermutlich defekt. Falls möglich mit einemanderen Modul tauschen.

Ursache – Fehler im Treiber-Schaltungsteil im Grundgerät.

51-1 8092h

Maßnahme – Grundgerät vermutlich defekt. Falls möglich mit ei-nem anderen Grundgerät tauschen.

Sicherheitsmodul: Ungleicher Modultyp PSoff

Ursache Typ oder Revision des Moduls passt nicht zur Projektie-rung.

51-2 8093h

Maßnahme – Prüfen, ob korrekter Modultyp und korrekte Revisi-on verwendet wird.

– Beim Modultausch: Modultyp noch nicht projektiert.Aktuell eingebautes Sicherheits- oder Schaltermo-dul als akzeptiert übernehmen.

Sicherheitsmodul: Ungleiche Modulversion PSoff

Ursache Typ oder Revision des Moduls wird nicht unterstützt.

51-3 8094h

Maßnahme – Für die Firmware und Hardware geeignetes Sicher-heits- oder Schaltermodul einbauen.

– Eine für das Modul geeignete Firmware laden, ver-gleiche Typenbezeichnung auf dem Modul.

Bedienung und Betrieb

212 Festo — CAMC-G-S3 — 2019-12a

Page 213: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 51 Sicherheitsmodul/-funktion

Nr. Code Meldung Reaktion

Ursache Der Modultyp ist korrekt, aber die Revision des Modulswird vom Grundgerät nicht unterstützt.

51-3 8094h

Maßnahme – Prüfung der Revision des Moduls; nach Austauschmöglichst Modul gleicher Revision verwenden.Fürdie Firmware und Hardware geeignetes Sicherheits-oder Schaltermodul einbauen.

– Wenn nur ein Modul mit höherer Revision verfügbarist: Eine für das Modul geeignete Firmware imGrundgerät laden, vergleiche Typenbezeichnung aufdem Modul.

Sicherheitsmodul: Fehler in der SSIO-Kommunikation PSoff

Ursache Die interne Kommunikatonsverbindung zwischen Grund-gerät und Sicherheitsmodul ist gestört.

51-4 8095h

Maßnahme – Der Fehler kann auftreten, wenn im Grundgerät einCAMC-G-S3 projektiert wurde, aber ein anderer Mo-dultyp gesteckt ist.

– Eine für das Sicherheits- oder Schaltermodul geeig-nete Firmware laden, vgl. Typenbezeichnung aufdem Modul.

Sicherheitsmodul: Fehler in der Bremsenansteuerung PSoff

Ursache Interner Hardware-Fehler (Steuersignale Bremsansteue-rung) des Sicherheitsmoduls oder Schaltermoduls.

Maßnahme – Modul vermutlich defekt. Falls möglich mit einemanderen Modul tauschen.

Ursache Fehler im Bremsentreiber-Schaltungsteil im Grundgerät.

51-5 8096h

Maßnahme – Grundgerät vermutlich defekt. Falls möglich mit ei-nem anderen Grundgerät tauschen.

Sicherheitsmodul: Ungleiche Modul-Seriennummer PSoff

Ursache Seriennummer des aktuell gesteckten Sicherheitsmo-duls weicht von der gespeicherten ab.

51-6 8097h

Maßnahme Fehler tritt nur nach einem Austausch des CAMC-G-S3auf. – Beim Modultausch: Modultyp noch nicht projektiert.

Aktuell eingebautes CAMC-G-S3 als akzeptiert über-nehmen.

Tab. 123

Bedienung und Betrieb

213Festo — CAMC-G-S3 — 2019-12a

Page 214: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 52 Sicherheitsfunktion

Nr. Code Meldung Reaktion

CAMC-G-S1: Sicherheitsfunktion: Diskrepanzzeit STOüberschritten

PSoff

Ursache – Steuereingänge STO-A und STO-B werden nichtgleichzeitig betätigt.

Maßnahme – Diskrepanzzeit prüfen.

Ursache – Steuereingänge STO-A und STO-B sind nicht gleich-sinnig beschaltet.

Maßnahme – Diskrepanzzeit prüfen.

Ursache OS- und US-Versorgung nicht gleichzeitig geschaltet(Diskrepanzzeit überschritten) – Fehler in der Ansteuerung / externen Beschaltung

des Sicherheitsmoduls. – Fehler im Sicherheitsmodul.

52-1 8099h

Maßnahme – Beschaltung des Sicherheitsmoduls überprüfen wer-den die Eingänge STO-A und STO-B zweikanalig undgleichzeitig abgeschaltet?

– Sicherheitsmodul tauschen, falls Defekt des Modulsvermutet wird.

Sicherheitsfunktion: Ausfall Treiberversorgung bei ak-tiver PWM-Ansteuerung

PSoff

Ursache Diese Fehlermeldung tritt bei ab Werk gelieferten Gerä-ten nicht auf. Sie kann auftreten bei Verwendung einerkundenspezifischen Gerätefirmware.

52-2 809Ah

Maßnahme – Der sichere Zustand wurde bei freigegebener Leis-tungsendstufe angefordert. Einbindung in die si-cherheitsgerichtete Anschaltung prüfen.

52-3 809Bh Sicherheitsmodul: Überlappende Grenzen der Dreh-zahlbegrenzung im Grundgerät

PSoff

52-3 809Bh Ursache Grundgerät meldet Fehler, wenn aktuell angeforderteBewegungsrichtung nicht ausführbar ist, weil das Si-cherheitsmodul den Sollwert in diese Richtung gesperrthat.Fehler kann in Verbindung mit den sicheren Geschwin-digkeitsfunktionen SSFx auftreten, wenn ein unsymme-trisches Geschwindigkeitsfenster verwendet wird, beidem eine Grenze auf Null gesetzt ist. In diesem Fall tritt

Bedienung und Betrieb

214 Festo — CAMC-G-S3 — 2019-12a

Page 215: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 52 Sicherheitsfunktion

Nr. Code Meldung Reaktion

der Fehler auf, wenn das Grundgerät in der BetriebsartPositionieren in die gesperrte Richtung verfährt.

52-3 809Bh

Maßnahme – Applikation prüfen und ggf. ändern.

Tab. 124

Fehlergruppe 53 Verletzung von Sicherheitsbedingungen

Nr. Code Meldung Reaktion

USF0: Sicherheitsbedingung verletzt konfigurierbar

Ursache – Verletzung der überwachten Geschwindigkeitsgrenzender SSF0 im Betrieb / bei angeforderter USF0 / SSF0.

53-0 80A1h

Maßnah-me

Prüfung, wann die Verletzung der Sicherheitsbedingung auf-tritt:a) beim dynamischen Abbremsen auf die sichere Drehzahl b) nachdem der Antrieb die sichere Drehzahl erreicht hat. – Bei a) Kritische Prüfung der Bremsrampe Trace aufzeich-

nen kann der Antrieb der Rampe folgen? – Parameter für die Bremsrampe oder Startzeitpunkt / Ver-

zögerungszeiten für die Überwachung ändern. – Bei b) Prüfung wie weit liegt die aktuelle Geschwindigkeit

von der überwachten Grenzgeschwindigkeit entfernt; ggf.Abstand vergrößern (Parameter im Sicherheitsmodul)oder Geschwindigkeitsvorgabe der Steuerung korrigieren.

USF1: Sicherheitsbedingung verletzt konfigurierbar

Ursache – Verletzung der überwachten Geschwindigkeitsgrenzender SSF1 im Betrieb / bei angeforderter USF1 / SSF1.

53-1 80A2h

Maßnah-me

– siehe USF0, Fehler 53-0.

USF2: Sicherheitsbedingung verletzt konfigurierbar

Ursache – Verletzung der überwachten Geschwindigkeitsgrenzender SSF2 im Betrieb / bei angeforderter USF2 / SSF2.

53-2 80A3h

Maßnah-me

– siehe USF0, Fehler 53-0.

Bedienung und Betrieb

215Festo — CAMC-G-S3 — 2019-12a

Page 216: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 53 Verletzung von Sicherheitsbedingungen

Nr. Code Meldung Reaktion

USF3: Sicherheitsbedingung verletzt konfigurierbar

Ursache – Verletzung der überwachten Geschwindigkeitsgrenzender SSF3 im Betrieb / bei angeforderter USF3 / SSF3.

53-3 80A4h

Maßnah-me

– siehe USF0, Fehler 53-0.

Tab. 125

Fehlergruppe 54 Verletzung von Sicherheitsbedingungen

Nr. Code Meldung Reaktion

SBC: Sicherheitsbedingung verletzt konfigurierbar

Ursache – Bremse soll einfallen, Rückmeldung nicht in der erwartetenZeit erfolgt.

54-0 80AAh

Maßnah-me

– Prüfung, wie die Rückmeldung konfiguriert ist - wurde derrichtige Eingang für die Rückmeldung gewählt?

– Passt die Polarität des Rückmeldesignals? – Prüfung, ob das Rückmeldesignal auch wirklich schaltet. – Passt die parametrierte Verzögerungszeit für die Auswertung

des Rückmeldesignals zur verwendeten Bremse (ggf. Schalt-zeit messen).

SS2: Sicherheitsbedingung verletzt konfigurierbar

Ursache – Drehzahlistwert befindet sich zu lange außerhalb der erlaub-ten Grenzen.

54-2 80ACh

Maßnah-me

Prüfung, wann die Verletzung der Sicherheitsbedingung auftritt: a) beim dynamischen Abbremsen auf die Null. b) nachdem der Antrieb die Drehzahl Null erreicht hat . – Bei a) Kritische Prüfung der Bremsrampe Trace aufzeichnen

kann der Antrieb der Rampe folgen? Parameter für die Brems-rampe oder Startzeitpunkt / Verzögerungszeiten für die Über-wachung ändern.

– Bei a) Wenn Option Schnellhalt Grundgerät auslösen gesetztist: Kritische Prüfung der Schnellhaltrampe des Grundgerätes.

– Bei b) Prüfung Schwingt der Antrieb nach dem Erreichen vonDrehzahl Null noch nach oder Steht der Antrieb stabil ggf. To-leranzzeit der Überwachung erhöhen.

– Bei b) Wenn der Geschwindigkeitsistwert im Stillstand sehrverrauscht ist. Experten-Parameter für die Drehzahlerfassungund Stillstandserkennung prüfen und ggf. anpassen.

Bedienung und Betrieb

216 Festo — CAMC-G-S3 — 2019-12a

Page 217: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 54 Verletzung von Sicherheitsbedingungen

Nr. Code Meldung Reaktion

SOS: Sicherheitsbedingung verletzt konfigurierbar

Ursache – Winkelgeberauswertung meldet "Motor dreht" (Drehzahlist-wert überschreitet Grenze).

– Antrieb hat sich seit dem Erreichen des sicheren Zustands ausseiner Position gedreht.

54-3 80ADh

Maßnah-me

– Positionstoleranz für die SOS-Überwachung prüfen, ggf. ver-größern, wenn zulässig.

– Wenn der Geschwindigkeitsistwert im Stillstand sehr ver-rauscht ist: Experten-Parameter für die Drehzahlerfassungund Stillstandserkennung prüfen und ggf. anpassen.

SS1: Sicherheitsbedingung verletzt konfigurierbar

Ursache – Drehzahlistwert befindet sich zu lange außerhalb der erlaub-ten Grenzen.

54-4 80AEh

Maßnah-me

Prüfung, wann die Verletzung der Sicherheitsbedingung auftritt: a) beim dynamischen Abbremsen auf die Null. b) nachdem der Antrieb die Drehzahl Null erreicht hat. – Bei a) Kritische Prüfung der Bremsrampe Trace aufzeichnen

kann der Antrieb der Rampe folgen? Parameter für die Brems-rampe oder Startzeitpunkt / Verzögerungszeiten für die Über-wachung ändern.

– Bei a) Wenn Option Schnellhalt Grundgerät auslösen gesetztist: Kritische Prüfung der Schnellhaltrampe des Grundgerätes.

– Bei b) Prüfung Schwingt der Antrieb nach dem Erreichen vonDrehzahl Null noch nach oder Steht der Antrieb stabil ggf. To-leranzzeit der Überwachung erhöhen.

– Bei b) Wenn der Geschwindigkeitsistwert im Stillstand sehrverrauscht ist: Experten-Parameter für die Drehzahlerfassungund Stillstandserkennung prüfen und ggf. anpassen.

STO: Sicherheitsbedingung verletzt konfigurierbar

Ursache – Interner Hardware-Fehler (Spannungsfehler) des Sicherheits-moduls.

Maßnah-me

– Modul vermutlich defekt. Falls möglich mit einem anderenModul tauschen.

Ursache – Fehler im Treiber-Schaltungsteil im Grundgerät.

54-5 80AFh

Maßnah-me

– Grundgerät vermutlich defekt. Falls möglich mit einem ande-ren Grundgerät tauschen.

Bedienung und Betrieb

217Festo — CAMC-G-S3 — 2019-12a

Page 218: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 54 Verletzung von Sicherheitsbedingungen

Nr. Code Meldung Reaktion

Ursache – Rückmeldung vom Grundgerät, dass die Endstufe abgeschal-tet wurde, bleibt aus.

54-5 80AFh

Maßnah-me

– Prüfung, ob der Fehler quittiert werden kann und bei erneuterAnforderung STO erneut auftritt - wenn ja: Grundgerät vermut-lich defekt. Falls möglich mit einem anderen Grundgerät tau-schen.

SBC: Bremse > 10 Tage nicht gelüftet konfigurierbar

Ursache – Fehler tritt auf, wenn SBC angefordert wird und die Bremse inden letzten 10 Tagen vom Grundgerät nicht geöffnet wurde.

54-6 80B0h

Maßnah-me

– Wenn die Bremsansteuerung über die Bremsentreiber imGrundgerät [X6] erfolgt: Die Bremse muss mindestens 1x in-nerhalb von 10 Tagen vor der Anforderung SBC bestromt wor-den sein, da die Prüfung der Leistungsschalter nur bei einge-schalteter (bestromter) Bremse erfolgen kann. Die Bremsemuss dafür mindestens 20 s lang bestromt werden.

– Nur wenn die Bremsansteuerung über DOUT4x und ein exter-nes Bremsensteuergerät erfolgt: 10-Tage-Überwachung inden SBC-Parametern deaktivieren, wenn das externe Brem-sensteuergerät dies zulässt.

SOS: SOS > 10 Tage angefordert konfigurierbar

Ursache – Wenn SOS für länger als 10 Tage angefordert wird, wird derFehler ausgelöst.

54-7 80B1h

Maßnah-me

– SOS zwischendurch beenden, Achse zwischendurch einmalverfahren. Der Verfahrweg muss dabei größer sein, als eineSignalperiode des Messsystems.

Tab. 126

Fehlergruppe 55 Istwerterfassung 1

Nr. Code Meldung Reaktion

Kein Drehzahl- / Positionsistwert verfügbaroder Stillstand > 10 Tage

konfigurierbar

Ursache – Folgefehler bei Ausfall eines Positionsgebers. – Sicherheitsfunktion SSF, SS1, SS2 oder SOS angefordert

und Drehzahlistwert ist nicht gültig.

55-0 80C1h

Maßnah-me

– Prüfung der Funktion des / der Positionsgeber (siehe fol-gende Fehler).

Bedienung und Betrieb

218 Festo — CAMC-G-S3 — 2019-12a

Page 219: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 55 Istwerterfassung 1

Nr. Code Meldung Reaktion

SINCOS-Geber [X2B] - Fehler Spursignale konfigurierbar

Ursache – Vektorlänge sin2+cos2 außerhalb des erlaubten Bereichs. – Amplitude eines der beiden Signale außerhalb des er-

laubten Bereichs. – Versatz zwischen Analog- und Digitalsignal > 1 Quadrant.

55-1 80C2h

Maßnah-me

Fehler kann bei SIN/COS und auch Hiperface-Gebern auftre-ten. – Überprüfung des Positionsgebers. – Überprüfung der Anschlussverdrahtung (Leitungsbruch,

Schluss zwischen zwei Signalen oder Signal / Schirm. – Prüfung der Versorgungsspannung für den Positionsge-

ber. – Überprüfung des Motorkabels / Schirmauflage Motor und

antriebsseitig EMV-Störungen können den Fehler auslö-sen.

SINCOS-Geber [X2B] - Stillstand > 10 Tage konfigurierbar

Ursache – Eingangssignale des SinCos-Gebers haben sich 10 Tagelang bei angeforderter Sicherheitsfunktion nicht um eineMindestgröße (mindestens eine Signalperiode) geändert.

55-2 80C3h

Maßnah-me

SS2 oder SOS zwischendurch beenden, Achse zwischendurcheinmal verfahren.

Resolver [X2A] - Signalfehler konfigurierbar

Ursache – Vektorlänge sin2+cos2 außerhalb des erlaubten Bereichs. – Amplitude eines der beiden Signale außerhalb des er-

laubten Bereichs. – Eingangssignal ist statisch (gleiche Werte rechts und links

des Maximums).

55-3 80C4h

Maßnah-me

– Überprüfung des Resolvers. – Überprüfung der Anschlussverdrahtung (Leitungsbruch,

Schluss zwischen zwei Signalen oder Signal / Schirm). – Prüfung auf Ausfall des Erregersignals – Überprüfung des Motor- und Geberkabels / Schirmaufla-

ge motor- und antriebsseitig. EMV-Störungen können denFehler auslösen.

Bedienung und Betrieb

219Festo — CAMC-G-S3 — 2019-12a

Page 220: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 55 Istwerterfassung 1

Nr. Code Meldung Reaktion

EnDat-Geber [X2B] - Sensorfehler konfigurierbar

Ursache – Kommunikationsfehler zwischen Sicherheitsmodul unddem ENDAT-Geber.

– Fehlermeldung des ENDAT-Gebers liegt vor.

55-4 –

Maßnah-me

– Überprüfung des ENDAT-Gebers.– Überprüfung der Anschlussverdrahtung (Leitungsbruch,

Schluss zwischen zwei Signalen oder Signal / Schirm).– Prüfung der Versorgungsspannung für den ENDAT-Geber– Überprüfung des Motorkabels / Schirmauflage Motor und

antriebsseitig – EMV-Störungen können den Fehler auslösen.

EnDat-Geber [X2B] - Falscher Sensortyp konfigurierbar

Ursache – Strichzahl entspricht nicht der Parametrierung.– Seriennr. Entspricht nicht der Parametrierung. – Gebertyp entspricht nicht der Parametrierung.

55-5 –

Maßnah-me

– Parametrierung überprüfen. – Nur zugelassene Geber verwenden.

Inkrementalgeber [X10] - Fehler Spursignale konfigurierbar

Ursache – Fehlerhafte Spursignale vom Inkrementalgeber.

55-6 80C5h

Maßnah-me

– Überprüfung der Anschlussverdrahtung (Leitungsbruch,Schluss zwischen zwei Signalen oder Signal / Schirm).

– Überprüfung des Motorkabels / Schirmauflage Motor undantriebsseitig - EMV-Störungen können den Fehler auslö-sen.

Sonstiger Geber [X2B] - Fehlerhafte Winkelin-formation

konfigurierbar55-7 80C6h

Ursache – Meldung vom Grundgerät "Winkel Fehlerhaft" wird durch-gereicht, wenn der Zustand länger als erlaubt besteht.

– Geber an X2B wird vom Grundgerät ausgewertet, – Geber ist defekt.

55-7 80C6h Maßnah-me

– Überprüfung des Positionsgebers an X2B. – Überprüfung der Anschlussverdrahtung (Leitungsbruch,

Schluss zwischen zwei Signalen oder Signal / Schirm). – Prüfung der Versorgungsspannung für den ENDAT-Geber. – Überprüfung des Motorkabels / Schirmauflage Motor und

antriebsseitig EMV-Störungen können den Fehler auslö-sen.

Bedienung und Betrieb

220 Festo — CAMC-G-S3 — 2019-12a

Page 221: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 55 Istwerterfassung 1

Nr. Code Meldung Reaktion

Unzulässige Beschleunigung detektiert konfigurierbar

Ursache – Fehler im angeschlossenen Positionsgeber. – EMV-Störungen, die auf die Positionsgeber wirken. – Unzulässig hohe Beschleunigungen in den Verfahrprofi-

len. – Zu geringe Beschleunigungsgrenze parametriert.– Winkelsprung nach Referenzfahr in den vom Grundgerät

ans Sicherheitsmodul übertragenen Positionsdaten.

55-8 –

Maßnah-me

– Überprüfung der angeschlossenen Positionsgeber: Tretenweitere Fehlermeldungen im Zusammenhang mit den Ge-bern auf, dann zunächst deren Ursache beseitigen.

– Überprüfung des Motor- und Geberkabels / Schirmaufla-ge motor- und antriebsseitig. EMV-Störungen können denFehler auslösen.

– Überprüfung der Sollwertvorgaben / Verfahrprofile derSteuerung: Enthalten diese unzulässig hohe Beschleuni-gungen, die oberhalb des Grenzwertes für die Beschleuni-gungsüberwachung liegen (P06.07)?

– Kontrolle, ob des Grenzwertes für die Beschleunigungs-überwachung korrekt parametriert ist der Grenzwert(P06.07) sollte mind. 30% ... 50% oberhalb der maximalauftretenden Beschleunigung liegen.

– Bei Winkelsprung in den Positionsdaten vom GrundgerätFehler einmalig quittieren.

Tab. 127

Fehlergruppe 56 Istwerterfassung 2

Nr. Code Meldung Reaktion

Drehzahl- / Winkeldifferenz Geber 1 - 2 konfigurierbar56-8 80D1h

Ursache – Drehzahldifferenz zwischen Encoder 1 und 2 eines μC län-ger als erlaubt außerhalb des erlaubten Bereichs.

– Winkeldifferenz zwischen Encoder 1 und 2 eines μC längerals erlaubt außerhalb des erlaubten Bereichs.

56-8 80D1h Maßnah-me

– Problem kann auftreten, wenn im System zwei Positions-geber verwendet werden, die nicht starr gekoppelt sind.

– Überprüfung auf Elastizitäten oder Lose, Mechanik ver-bessern.

Bedienung und Betrieb

221Festo — CAMC-G-S3 — 2019-12a

Page 222: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 56 Istwerterfassung 2

Nr. Code Meldung Reaktion

– Anpassung der Expertenparameter für den Positionsver-gleich, wenn dies aus Applikationssicht akzeptabel ist.

Fehler Kreuzvergleich Geberauswertung konfigurierbar

Ursache Kreuzvergleich zwischen μC1 und μC2 hat Winkeldifferenzoder Drehzahldifferenz festgestellt oder einen Unterschied inden Erfassungszeitpunkten für die Positionsgeber.

56-9 –

Maßnah-me

– Timing gestört. Wenn der Fehler nach RESET erneut auf-tritt, ist vermutlich das Sicherheitsmodul defekt.

Tab. 128

Fehlergruppe 57 Fehler Ein-/Ausgänge

Nr. Code Meldung Reaktion

Fehler Selbsttest E/A (intern/extern) konfigurierbar57-0 80E1h

Ursache – Fehler auf den Ausgängen DOUT40 … DOUT42 (Detektionüber Testimpulse).

– Interner Fehler der digitalen Eingänge DIN40 ... DIN49(über interne Testsignale).

– Fehler am Bremsausgang an X6 (Signalspiel, Detektionüber Testimpulse).

– Interner Fehler des Bremsausgangs (über interne Testsi-gnale).

– Interner Fehler der digitalen Ausgänge DOUT40 DOUT42(über interne Testsignale).

57-0 80E1h Maßnah-me

– Prüfung der Anschlussverdrahrung für die digitalen Aus-gänge DOUT40 ... DOUT42 (Kurzschluss, Querschlussetc.).

– Prüfung der Anschlussverdrahtung für die Bremse (Kurz-schluss, Querschluss, etc.).

– Bremsanschluss: Der Fehler kann bei längeren Motorka-beln auftreten, wenn:

1. Der Bremsausgang X6 für die Bremse konfiguriert wurde(diesist bei Werkseinstellungen der Fall!) und 2. Ein Motor ohne Haltebremse verwendet wird und dieBremsanschlussleitungen im Motorkabel an X6 aufgelegtsind. In dem Fall: Klemmen Sie die Bremsanschlussleitungenan X6 ab.

Bedienung und Betrieb

222 Festo — CAMC-G-S3 — 2019-12a

Page 223: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 57 Fehler Ein-/Ausgänge

Nr. Code Meldung Reaktion

– Wenn kein Fehler in der Anschlussverdrahtung vorliegt,kann ein interner Fehler im Modul vorliegen (Prüfungdurch Modultausch).

Digitale Eingänge - Fehler Signalpegel konfigurierbar

Ursache Überschreitung / Verletzung der Diskrepanzzeit bei mehrka-naligen Eingängen (DIN40 ... DIN43, Zweihandbediengerät,Betriebsartenwahlschalter).

57-1 80E2h

Maßnah-me

– Prüfung der verwendeten externen aktiven und passivenSensoren -schalten diese zweikanalig und gleichzeitig (in-nerhalb der parametrierten Diskrepanzzeit).

– Zweihandbediengerät: Prüfung, wie das Gerät vom An-wender bedient wird - werden beide Tasten innerhalb derDiskrepanzzeit betätigt? GGf. Einweisung vornehmen.

– Prüfung der eingestellten Diskrepanzzeiten - sind dieseausreichend?

Digitale Eingänge - Fehler Testimpuls konfigurierbar

Ursache – Einer oder mehrere Eingänge (DIN40 ... DIN49) wurden fürdie Auswertung von Testimpulsen der Ausgänge (DOUT40... DOUT42) konfiguriert. Die Testpulse aus DOUTx kommtkommen nicht an DIN4x an.

57-2 –

Maßnah-me

– Überprüfung der Verdrahtung (Schlüsse nach 0 V, 24 V,Querschlüsse).

– Überprüfung der Zuordnung - korrekter Ausgang für Test-impuls ausgewählt / konfiguriert?

Elektroniktemperatur zu hoch konfigurierbar

Ursache – Die Temperaturüberwachung des Sicherheitsmoduls hatangesprochen, die Temperatur von μC 1 oder μC2 lag un-ter -20° oder über +75°C.

57-6 –

Maßnah-me

– Prüfung der Betriebsbedingungen (Umgebungstempera-tur, Schaltschranktemperatur, Einbausituation im Schalt-schrank).

– Wenn der Motorcontroller thermisch hoch belastet ist (ho-he Schaltschranktemperatur, hohe Leistungsaufnahme /Abgabe an den Motor, viele Steckplätze belegt) sollte einMotorcontroller der nächst höheren Leistungsstufe ver-wendet werden.

Tab. 129

Bedienung und Betrieb

223Festo — CAMC-G-S3 — 2019-12a

Page 224: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 58 Fehler bei Kommunikation / Parametrierung

Nr. Code Meldung Reaktion

Plausibilitätsprüfung Parameter konfigurierbar

Ursache Die Plausibilitätsprüfung im Sicherheitsmodul hat Fehler ergeben,z. B. eine unzulässige Winkelgeberkonfiguration; der Fehler wirdausgelöst bei Anforderung eines Validierungscodes durch das Sa-fetyTool und beim Sichern von Parametern im Sicherheitsmodul.

58-0 80E9h

Maßnah-me

– Hinweise des SafetyTools bei Gesamtvalidierung beachten,Parametrierung kritisch überprüfen.

Allgemeiner Fehler Parametrierung konfigurierbar

Ursache Parametriersitzung bereits seit > 8 h aktiv.Das Sicherheitsmodul hat die Parametriersitzung daher abgebro-chen Die Fehlermeldung wird im Diagnosespeicher gespeichert.

58-1 –

Maßnah-me

– Parametriersitzung innerhalb von 8 h beenden, ggf. danachneue Parametriersitzung starten und Fortsetzen.

Puffer interne Kommunikation Fest [8]

Ursache – Kommunikationsverbindung gestört. – Timeout / Datenfehler / falsche Reihenfolge (Paketzähler) in

der Datenübertragung Grundgerät - Sicherheitsmodul.– Zu hoher Datenverkehr, neue Anfragen an Sicherheitsmodul

gesendet, bevor die alten beantwortet wurden.

58-4 80E9h

Maßnah-me

– Prüfung der Kommunikationsschnittstellen, Verkabelung,Schirm, etc.

– Prüfung, ob während einer laufenden Parametrier-Sessionnoch weitere andere Geräte lesend auf den Motorcontrollerund das Sicherheitsmodul zugreifen , so dass die Kommunika-tionsverbindung überlastet werden kann.

– Prüfung, ob die Firmwarestände Sicherheitsmodul, Grundge-rät und der Revisionsstand des FCT-Plugins und des Safety-Tools zusammen passen.

Kommunikation Modul - Grundgerät Fest [8]

Ursache – Paketzählerfehler bei Übertragung μC1 ←è μC2. – Checksummenfehler bei Übertragung μC1 ←è μC2.

58-5 80EAh

Maßnah-me

– Interne Störung im Motorcontroller. – Prüfung, ob die Firmwarestände im Sicherheitsmodul, Grund-

gerät und der Revisionsstand des FCT-PlugIns und des Safety-Tools zusammen passen.

Bedienung und Betrieb

224 Festo — CAMC-G-S3 — 2019-12a

Page 225: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 58 Fehler bei Kommunikation / Parametrierung

Nr. Code Meldung Reaktion

Fehler Kreuzvergleich Prozessoren 1 - 2 Fest [8]

Ursache Timeout Kreuzvergleich (keine Daten) oder Kreuzvergleich fehler-haft (Daten μC1 und μC2 weichen von einander ab). – Fehler Kreuzvergleich digitale IO.– Fehler Kreuzvergleich Analogeingang. – Fehler Kreuzvergleich interne Betriebsspannungsmessung

(5 V, 3,3 V, 24 V) und Referenzspannung (2,5 V). – Fehler Kreuzvergleich Analogwerte Winkelgeber SIN/COS. – Fehler Kreuzvergleich Programmlaufüberwachung. – Fehler Kreuzvergleich Interruptzähler. – Fehler Kreuzvergleich Eingangsabbild. – Fehler Kreuzvergleich Verletzung von Sicherheitsbedingun-

gen. – Fehler Kreuzvergleich Temperaturmessung.

58-6 80EBh

Maßnah-me

Es handelt sich um einen internen Fehler des Moduls, der im Be-trieb nicht auftreten dürfte. – Prüfung der Betriebsbedingungen (Temperatur, Luftfeuchtig-

keit, Betauung). – Prüfung der EMV-Verdrahtung wie vorgeschrieben, Schirm-

konzept, sind externe Störquellen vorhanden? – Sicherheitsmodul könnte defekt sein Fehlerbehebung nach

Modultausch? – Prüfen, ob eine neue Firmware für den Motorcontroller oder

ein neuer Versionsstand des Sicherheitsmoduls beim Herstel-ler verfügbar ist.

Tab. 130

Fehlergruppe 59 Interner Fehler Sicherheitsmodul

Nr. Code Meldung Reaktion

Failsafe-Versorgung/sichere Impulssperre Fest [8]

Ursache – Interner Fehler im Modul im Schaltungsteil Failsafe-Versorgungoder in der Treiberversorgung für Ober- oder Unterschalter.

59-1 80F1h

Maß-nahme

– Modul defekt, tauschen.

Bedienung und Betrieb

225Festo — CAMC-G-S3 — 2019-12a

Page 226: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 59 Interner Fehler Sicherheitsmodul

Nr. Code Meldung Reaktion

Ursache – Referenzspannung 2,5 V außerhalb der Toleranz.– Überspannung Logikversorgung +24 V erkannt.

59-2 80F2h

Maß-nahme

– Modul defekt, tauschen.

Fehler interne Spannungsversorgung Fest [8]

Ursache – Spannung (intern 3,3 V, 5 V, ADU-Referenz) außerhalb des er-laubten Bereichs.

59-3 80F3h

Maß-nahme

– Modul defekt, tauschen.

Fehlermanagement: Zu viele Fehler Fest [8]

Ursache – Es sind zu viele Fehler gleichzeitig aufgetreten.

59-4 80F4h

Maß-nahme

– Klärung: Welchen Zustand hat das verbaute Sicherheitsmodul,enthält es einen gültigen Parametersatz?

– Log-Datei des Grundgerätes über FCT auslesen und analysieren.Fehlerursachen Schritt für Schritt beheben.

– Sicherheitsmodul mit Auslieferzustand einbauen und Inbetrieb-nahme Grundgerät durchführen.

– Wenn das nicht verfügbar ist: Werkseinstellungen im Sicherheits-modul herstellen, anschließend Datenübernahme aus demGrundgerät und Gesamtvalidierung durchführen. Prüfung ob derFehler erneut auftritt.

Fehler Schreiben Diagnosespeicher Fest [8]

Ursache Folgefehler, wenn interne Kommunikation gestört ist. – Grundgerät nicht betriebsbereit, defekt oder Speicherfehler.

59-5 80F5h

Maß-nahme

– Überprüfung des Grundgerätes auf Funktion – Erzeugen eines Fehlers im Grundgerät, z. B. Positionsgeber Ste-

cker abziehen, prüfen, ob das Grundgerät einen Eintrag in dieLog-Datei schreibt.

– Modul oder Grundgerät defekt, austauschen.

59-6 80F6h Fehler bei Speichern Parametersatz Fest [8]

Ursache – Spannungsunterbrechung / Power-Off während des Speichernsvon Parametern.

Maß-nahme

– Spannungsversorgung 24 V während der gesamten Parametrier-session aufrecht erhalten.

– Nachdem Fehler aufgetreten ist, Modul neu parametrieren, Para-metersatz erneut validieren.

Bedienung und Betrieb

226 Festo — CAMC-G-S3 — 2019-12a

Page 227: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlergruppe 59 Interner Fehler Sicherheitsmodul

Nr. Code Meldung Reaktion

FLASH-Checksummenfehler Fest [8]

Ursache – Spannungsunterbrechung / Power-Off während des Speichernsvon Parametern.

– FLASH-Speicher im Sicehrheitsmodul korumpiert (z. B. durch ex-trem starke Störungen).

59-7 80F7h

Maß-nahme

Prüfung, ob Fehler nach RESET wieder kommt, wenn ja – Modul neu parametrieren, Parametersatz erneut validieren, wenn

Fehler bleibt: – Modul defekt, tauschen.

Interne Überwachung Prozessor 1 - 2 Fest [8]

Ursache – Schwerer interner Fehler im Sicherheitsmodul: Fehler bei der Dy-namisierung interner Signale festgestellt

– Gestörter Programmablauf, Stack-Fehler oder OP-Code-Test fehl-geschlagen, Prozessor Exception / Unterbrechung.

59-8 80F8h

Maß-nahme

Prüfung, ob Fehler nach RESET wieder kommt, wenn ja – Modul defekt, tauschen.

Sonstiger unerwarteter Fehler Fest [8]

Ursache Ansprechen der internen Programmablaufüberwachung.

59-9 80F9h

Maß-nahme

– Prüfung der Firmwarestände des Grundgerätes und der Revisiondes Sicherheitsmoduls Update verfügbar?

– Sicherheitsmodul defekt, austauschen.

Tab. 131

7 Wartung, Reparatur, Austausch, Entsorgung

7.1 WartungDas Sicherheitsmodul enthält keine wartungsbedürftigen Teile.

7.2 Reparatur

Eine Reparatur oder Instandsetzung des Sicherheitsmoduls ist nicht zulässig. Falls erforderlich, tau-schen Sie das komplette Sicherheitsmodul.

– Wechseln Sie das Sicherheitsmodul im Falle eines internen Defekts unbedingt aus. – Senden Sie das unveränderte, defekte Sicherheitsmodul einschließlich einer Beschreibung des

Fehlers und des Einsatzfalles zur Analyse zurück an Festo.– Setzen Sie sich mit Ihrem Fachberater in Verbindung, um die Rücksendung zu klären.

Wartung, Reparatur, Austausch, Entsorgung

227Festo — CAMC-G-S3 — 2019-12a

Page 228: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

7.3 Austausch des SicherheitsmodulsFür den Fall, dass ein Sicherheitsmodul ausfällt und ersetzt wird, muss durch organisatorische Maß-nahmen sichergestellt sein, dass kein unsicherer Zustand entsteht. Dies bedingt, – dass das Sicherheitsmodul nicht durch einen anderen Modultyp ohne Sicherheitsfunktionalität

(Schaltermodul) ausgetauscht wird. – dass das Sicherheitsmodul nicht durch einen anderen Modultyp mit geringerem Funktionsumfang

ausgetauscht wird (CAMC-G-S3 gegen CAMC-G-S1). – dass der Revisionsstand des neuen Sicherheitsmoduls mit dem des alten Sicherheitsmoduls über-

einstimmt oder kompatibel ist. – dass die Parametrierung des neuen Sicherheitsmoduls mit der Parametrierung des defekten Si-

cherheitsmoduls übereinstimmt.

Die Typenbezeichnung des Sicherheitsmoduls und der Revisionsstand ist dem Typenschild zu entneh-men è Produktidentifikation.

Beachten Sie erforderliche organisatorische Maßnahmen zur Vermeidung von Fehlern im Zusammen-hang mit dem Modultausch. Z. B. müssen Sie wegen der anderen Seriennummer des Sicherheitsmoduls und des neuen Validie-rungscodes in jedem Fall einen neuen Validierungsbericht erstellen.

7.3.1 Ausbau und EinbauVor einem Modultausch muss die Kompatibilität zwischen Sicherheitsmodul und Grundgerät geprüftwerden, siehe auch è Abschnitt „Versionen“ vorne in diesem Dokument.

Informationen zum Aus- und Einbau des Sicherheitsmoduls finden Sie unter Montage / Demontagedes Sicherheitsmoduls è 4.1 Montage / Demontage.

Tipp: Wenn das zu tauschende Sicherheitsmodul vom SafetyTool aus ansprechbar ist, ist es empfeh-lenswert, vom validierten Istzustand einen sicheren Parametersatz zu speichern (SafetyTool im Online-Modus starten – Parametrierung anzeigen – dann sicheren Parametersatz erzeugen).

7.3.2 Sicherheitsmodul ÜbernehmenNach dem Modultausch müssen Sie das neue Sicherheitsmodul zuerst wieder im FCT PlugIn CMMP-ASübernehmen.

Übernehmen der Seriennummer des getauschten Sicherheitsmodulsè 5.3.4 Übernehmen des Sicherheitsmoduls.

7.3.3 Erneute Inbetriebnahme mit dem SafetyToolNach der Übernahme des getauschten Sicherheitsmoduls müssen Sie die gewünschte Parametrierungauf das Sicherheitsmodul übertragen und anschließend validieren.

Wartung, Reparatur, Austausch, Entsorgung

228 Festo — CAMC-G-S3 — 2019-12a

Page 229: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Grundsätzliche Informationen finden Sie in den Abschnitten: SafetyTool è 5.5 Sichere Parametrierung mit dem SafetyToolParametrierung è 5.4 Grundlagen zur Parametrierung des SicherheitsmodulsFunktionstest und Validierung è 5.8 Funktionstest, Validierung

Hierzu müssen Sie zuerst im Online-Modus das SafetyTool starten. Abhängig davon, welche Daten von dem zu ersetzenden Sicherheitsmodul vorhanden sind, haben Siehierzu folgenden Möglichkeiten:a) Ein sicherer Parametersatz des auszutauschenden Sicherheitsmoduls ist vorhanden:– Öffnen Sie den Parametersatz im SafetyTool und laden Sie diesen auf das Sicherheitsmodul. Hier-

zu muss die Basisinformation des Grundgeräts mit dem im Parametersatz enthaltenen überein-stimmen.

b) Ein gespeichertes SafetyTool-Projekt, das der Parametrierung entspricht, ist vorhanden:– Setzen Sie bei Bedarf das Sicherheitsmodul auf Werkseinstellung, wenn es sich nicht im Ausliefe-

rungszustand befindet.– Öffnen Sie dann das SafetyTool-Projekt.– Die Basisinformation des Grundgeräts muss übereinstimmen. Andernfalls müssen Sie diese ab-

gleichen.– Danach können Sie die einzelnen Parameterseiten validieren und dann auf das Sicherheitsmodul

laden.c) Es sind keine gesicherten Daten des zu ersetzenden Sicherheitsmoduls vorhanden:– Setzen Sie bei Bedarf das Sicherheitsmodul auf Werkseinstellung, wenn es sich nicht im Ausliefe-

rungszustand befindet.– Gehen Sie dann vor wie bei der Erstinbetriebnahme.Unabhängig von der Variante a), b) oder c) müssen Sie erneut einen Validierungsbericht erstellen, mitneuem Validierungscode und neuer Seriennummer des Sicherheitsmoduls.

7.4 Außerbetriebnahme und EntsorgungBeachten Sie die Hinweise zur Demontage des Sicherheitsmoduls è 4.1 Montage / Demontage.

EntsorgungBeachten Sie die örtlichen Vorschriften zur umweltgerechten Entsorgung von Elektronik- Baugruppen.Das Sicherheitsmodul ist RoHS-konform. Die Verpackung ist vorgesehen für eine Verwertung auf stofflicher Basis.

Wartung, Reparatur, Austausch, Entsorgung

229Festo — CAMC-G-S3 — 2019-12a

Page 230: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

8 Technischer Anhang

8.1 Technische Daten

8.1.1 Sicherheitstechnik

Folgenden Tabelle enthält die maximal erreichbare Einstufung. Einschränkungen sind abhängig vonder Sicherheitsfunktion è 2.1.4 Erreichbares Sicherheitsniveau/Sicherheitsfunktion undè 8.2 Sicherheitskennzahlen.

Sicherheitskennzahlen

STO Sicher abgeschaltetes Moment (Safe Torque Off )

SS1 Sicherer Stopp 1 (Safe Stop 1)

SS2 Sicherer Stopp 2 (Safe Stop 2)

SOS Sicherer Betriebshalt (Safe Operating Stop)

SLS Sicher begrenzte Geschwindigkeit (Safely-Limited Speed)

SSR Sicherer Geschwindigkeitsbereich (Safe Speed Range)

SSM Sichere Geschwindigkeitsüberwachung (Safe Speed Moni-tor)

Sicherheitsfunktionennach EN 61800-5-2

SBC Sichere Bremsenansteuerung (Safe Brake Control)

Werte nach EN 61800-5-2

SIL SIL 3 Sicherheits-Integritätslevel (Safety Integrity Level)

PFH [h-1] 9,5 x 10-9 Wahrscheinlichkeit eines gefahrbringenden zufälligen Hard-wareausfalls pro Stunde (Probability of a dangerous ran-dom hardware failure per hour)

DC [%] 97,5 Diagnosedeckungsgrad (Diagnostic Coverage)

HFT 1 Hardware-Fehlertoleranz (Hardware Failure Tolerance)

SFF [%] 99,5 Anteil sicherer Ausfälle (Safe Failure Fraction)

T [Jahre] 20 Proof Test Interval

Werte nach EN 62061

SIL SIL CL 3 SIL-Anspruchsgrenze, für ein Teilsystem (Claim Limit, for asubsystem)

PFHD [h-1] 9,5 x 10-9 Wahrscheinlichkeit eines gefahrbringenden Ausfalls proStunde (Probability of dangerous Failure per Hour)

DC [%] 97,5 Diagnosedeckungsgrad (Diagnostic Coverage)

HFT 1 Hardware-Fehlertoleranz (Hardware Failure Tolerance)

Technischer Anhang

230 Festo — CAMC-G-S3 — 2019-12a

Page 231: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Sicherheitskennzahlen

SFF [%] 99,5 Anteil sicherer Ausfälle (Safe Failure Fraction)

T [Jahre] 20 Proof Test Interval

Werte nach EN 61508

SIL SIL 3 Sicherheits-Integritätslevel (Safety Integrity Level)

PFH [h-1] 9,5 x 10-9 Mittlere Häufigkeit eines gefahrbringenden Ausfalls (Avera-ge Frequency of dangerous Failure)

DC [%] 97,5 Diagnosedeckungsgrad (Diagnostic Coverage)

HFT 1 Hardware-Fehlertoleranz (Hardware Failure Tolerance)

SFF [%] 99,5 Anteil sicherer Ausfälle (Safe Failure Fraction)

T [Jahre] 20 Prüfintervall (Proof Test Interval)

Werte nach EN ISO 13849-1

Kategorie 4 Kategorie

PerformanceLevel

PL e Performance level

PFH 9,5 x 10–9 Durchschnittliche Wahrscheinlichkeit eines gefährlichenAusfalls je Stunde (Average probability of a dangerous failu-re per hour)

DC 97,5 Diagnosedeckungsgrad (Diagnostic Coverage)

MTTFd 8700 Mittlere Zeit bis zum gefahrbringenden Ausfall (Mean timeto dangerous failure)

TM 20 Gebrauchsdauer (Mission time)

Tab. 132 Technische Daten: Sicherheitskennzahlen

Sicherheitsangaben

Baumusterprüfung Die funktionale Sicherheitstechnik des Produkts wurde von einerunabhängigen Prüfstelle zertifiziert, siehe EG-Baumusterprüfbe-scheinigung è www.festo.com/sp

Zertifikat ausstellende Stelle TÜV Rheinland, Certification Body of Machinery, NB 0035

Bescheinigung Nr. 01/205/5165.02/19

Bewährtes Bauteil ja

Tab. 133 Technische Daten: Sicherheitsangaben

Technischer Anhang

231Festo — CAMC-G-S3 — 2019-12a

Page 232: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

8.1.2 Allgemein

Mechanisch

Länge / Breite / Höhe [mm] 112,2 x 99,1 x 28,7

Gewicht [g] 220

Steckplatz Steckplatz Ext3 für Sicherheitsmodule

Werkstoff-Hinweis RoHS-konform

Tab. 134 Technische Daten: Mechanisch

Zulassungen (Sicherheitsmodul CAMC-G-S3 für Motorcontroller CMMP-AS-...-M3)

nach EU-Maschinen-Richtlinie

nach EU-EMV-Richtlinie

CE-Zeichen (siehe Konformitäts-erklärung)è www.festo.com

Das Gerät ist für den Einsatz im Industriebereich vorgesehen. ImWohnbereich müssen evtl. weitere Maßnahmen zur Funkentstö-rung getroffen werden.

Tab. 135 Technische Daten: Zulassungen

8.1.3 Betriebs- und Umweltbedingungen

Transport

Temperaturbereich [°C] –25 … +70

Luftfeuchtigkeit [%] 0 … 95, bei max. 40 °C Umgebungstemperatur

Maximale Transport-dauer

maximal 4 Wochen im gesamten Produktlebenszyklus

Tab. 136 Technische Daten: Transport

Lagerung

Lagertemperatur [°C] –25 … +55

Luftfeuchtigkeit [%] 5 … 95, nicht betauend, bzw. gegen Betauung geschützt

Zulässige Höhe [m] < 3000 (über NN)1)

1) Beachten Sie weitere Begrenzungen wie z. B die zulässige Aufstellhöhe für die Motorcontroller (im Regelfall < 2000 m über NN)

Tab. 137 Technische Daten: Lagerung

Technischer Anhang

232 Festo — CAMC-G-S3 — 2019-12a

Page 233: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Umgebungsbedingungen CMMP-AS-...-M3 mit Sicherheitsmodul CAMC-G-S3 in Ext3

CMMP-AS-... C2-3A-M3 C5-3A-M3 C5-11A-P3-M3

C10-11A-P3-M3

0 … +35 0 … +40 0 … +40 0 … +40Umgebungstemperatur1)

[°C]

+35 … +40 +40 … +50 +40 … +50 +40 … +45

Umgebungstemperaturmit Leistungsreduzie-rung

[°C] Bei zu hoher Ausgangsleistung des Grundgerätes und/oder ho-her Belastung des Steuerteils und der E/As erfolgt eine Übertem-peraturabschaltung.

Kühlung Über die Umgebungsluft im Motorcontroller, keine Zwangsbelüf-tung

0 … 90 (nicht kondensierend).Luftfeuchtigkeit [%]

Keine korrodierend wirkende Medien in der Umgebung des Gerä-tes zulässig.

Zulässige Aufstellhöhe über NN

bei Nennleistung [m] 1000

mit Leistungsreduzie-rung

[m] 1000 … 2000

Schutzart IP20 (montiert im CMMP-AS-...-M3).

Schwingung / Schock Anforderungen der EN 61800-5-1 und EN 61800-2 werden er-füllt.

1) Die zulässige maximale Betriebstemperatur hängt von zahlreichen Parametern ab, u. a. von der Anzahl der beschalteten Eingängeund der Belastung der Ausgänge im CAMC-G-S3, der Bestückung weiterer Module in EXT1 und EXT2 im CMMP-AS-M3, der Belastungder Leistungsendstufe im CMMP-AS-M3 sowie der Luft-Strömungsverhältnisse im Schaltschrank. Die angegebenen Werte gelten füreine typische Gerätekonfiguration. Das CAMC-G-S3 verfügt über eine separate Temperaturüberwachung, die das Sicherheitsmodulund das Grundgerät im Falle einer zu hohen Elektroniktemperatur abschaltet (Fehler 57-6).

Tab. 138 Technische Daten: Umgebungsbedingungen

Elektrische Betriebsbedingungen

Steuerspannung des Grundgerätes

24 V Steuerspannung (alle Ein und Ausgänge

Galvanisch getrenntePotentialbereiche

Potentialfreier Meldekontakt C1/C2

< 50 (24 V PELV-Stromversorgung gemäß EN 60204-1)Systemspannung [V]

Das verwendete 24V-Netzteil muss die in der EN 60204-1 defi-nierte Spannungsunterbrechung beherrschen.

Systemspannung 3

Technischer Anhang

233Festo — CAMC-G-S3 — 2019-12a

Page 234: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Elektrische Betriebsbedingungen

2Verschmutzungsgradnach EN 61800-5-1 Dies ist durch geeignete Maßnahmen immer zu gewährleisten,

z. B. durch Einbau in einen Schaltschrank.

Tab. 139 Technische Daten: Elektrische Betriebsbedingungen

EMV-Betriebsbedingungen

Störfestigkeit Anforderungen für „Zweite Umgebung“ gemäß EN 61800-3 (PDSder Kategorie C3) Anforderungen gemäß EN 61326-3-1

Störaussendung Anforderungen für „Erste Umgebung bei eingeschränkter Erhält-lichkeit“ gemäß EN 61800-3 (PDS der Kategorie C2)

Tab. 140 Technische Daten: EMV-Betriebsbedingungen

8.1.4 Digitale Eingänge DIN40A/B bis DIN43A/B und DIN44 bis DIN49 [X40]

Digitale Eingänge DIN40A/B bis DIN43A/B und DIN44 bis DIN491)

Eingang Typ 3 nach IEC 61131-2

Nennspannung [V DC] 24

Zul. Spannungsbereich [V] -3 … 30

Maximale Eingangs-spannung „HI“ UH,max

[V] 30

Minimale Eingangsspannung „HI“ UH,min

typisch [V] 11

maximal [V] 132)

Maximale Eingangs-spannung „LO“ ULmax

[V] 5

Minimale Eingangs-spannung „LO“ UL,min

[V] –3

Maximaler Eingangs-strom „HI“ IH,max

[mA] 15

Minimaler Eingangs-strom „HI“ IH,min

[mA] 2

Maximaler Eingangs-strom „LO“ IL,max

[mA] 15

Minimaler Eingangs-strom „LO“ } „HI“ IT,min

[mA] 1,53)

Technischer Anhang

234 Festo — CAMC-G-S3 — 2019-12a

Page 235: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Digitale Eingänge DIN40A/B bis DIN43A/B und DIN44 bis DIN491)

Schaltverzögerung bisPortpin (Low-High-Übergang)

[ms] < 1

Toleranz gegenüber Te-stimpulsen

[ms] 0 … 10 (parametrierbarè 3.4.2 Zweikanalige sichere Eingänge DIN40 … DIN43 [X40] undè 3.4.3 Einkanalige (bedingt sichere) digitale Eingänge DIN44 …DIN49 [X40])

1) Bezeichnungen der Daten gemäß IEC 61131-22) Unter Berücksichtigung aller Toleranzen in der Serie beträgt die minimal erforderliche Eingangsspannung UH,min = 13 V, abweichend

zur Anforderung der IEC 61131.3) Die Einhaltung von IT,min kann im Rahmen der Eigendiagnose nicht geprüft werden. Bei Verwendung aktiver Zweidrahtsensoren an

DIN40A/B ... DIN43A/B zur Anforderung von Sicherheitsfunktionen sind zyklische Prüfungen erforderlich (alle 24 h).

Tab. 141 Technische Daten: Digitale Eingänge DIN40A/B bis DIN43A/B und DIN44 bis DIN49 [X40]

Fig. 119 Eingang zweikanalig

Fig. 120 Eingang einkanalig

Die digitalen Eingänge DIN40A/B bis DIN43A/B und DIN44 bis DIN49 entsprechen den EMV-Anforde-rungen der EN 61326-3-1.

8.1.5 Digitale Ausgänge DOUT40A/B bis DOUT42A/B [X40]

Digitale Ausgänge DOUT40A/B bis DIN42A/B

Ausgang High-Side-Schalter mit Pull-Down

Spannungsbereich [V DC] 18 … 30

Zulässiger Ausgangs-strom IL,Nenn (Nenn)

[mA] < 50

Spannungsverlust beiIL,Nenn

[V] £1 V

Reststrom bei SchalterAUS1)

[μA] < 100 µA

Pull-down-WiderstandRPulldown

[kΩ] < 50 (ca. 0,6 mA bei 24 V)

Technischer Anhang

235Festo — CAMC-G-S3 — 2019-12a

Page 236: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Digitale Ausgänge DOUT40A/B bis DIN42A/B

Kurzschluss / Über-stromschutz

Kurzschlussfest, Rückspeisefest, Überspannungsfest bis 60 V

Temperaturschutz Abschaltung aller Ausgänge einer Gruppe (DOUT40A bis DOUT42A oder DOUT40B bis DOUT 42B bei Übertemperatur TJ > 150°

Einspeisung Schutz bei induktiven Lasten

Lasten

ohmsche Last [Ω] > 500

induktive Last [mH] < 10

kapazitive Last2) [nF] < 10

Schaltverzögerung abPortpin

[ms] < 1

Testimpulsausgabe [ms] 0,4 … 10 (parametrierbarè 3.9.1 Zweikanalige sichere Ausgänge DOUT40 … DOUT42 [X40])

1) In bestimmten Fehlerfällen (z. B. geräteinterne Unterbrechung des 24 V-Bezugspotentials) kann der Reststrom auch deutlich oberhalb100 μA liegen. Bei Belastung des Ausgangs mit einem IEC 61131 kompatiblen Eingang vom Typ 3 wird der Bereich des Low-Zustandsauch im Fehlerfall nicht verletzt.

2) Erfordert eine Belastung des Ausgangs mit einem Eingang Typ 3 und eine Testimpulslänge ≥ 400μs. Bei anderen Eingangstypen sindggf. längere Testimpulse erforderlich.

Tab. 142 Technische Daten: Digitale Ausgänge DOUT40A/B bis DOUT42A/B [X40]

Fig. 121 Ausgang zweikanalig

Die digitalen Ausgänge DOUT40A/B bis DOUT42A/B entsprechen den EMV-Anforderungen nachEN 61326-3-1.

8.1.6 Meldekontakt C1/C2 [X40]

Meldekontakt C1/C2

Ausführung Relaiskontakt, Schließer

Spannungsbereich [V DC] 18 … 30

Ausgangsstrom IL,Nenn

(Nenn)[mA] < 200

Spannungsverlust beiIL,Nenn

[V] £ 1

Reststrom bei SchalterAUS

[μA] < 10

Technischer Anhang

236 Festo — CAMC-G-S3 — 2019-12a

Page 237: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Meldekontakt C1/C2

Kurzschluss / Über-stromschutz

Nicht kurzschlussfest, Überspannungsfest bis 60 V

Schaltverzögerung [ms] < 20

Lebensdauer Rückmel-dekontakt

[nop] 10 x 106 (bei 24 V und IKontakt = 10 mA, bei höheren Lastströmenvermindert sich die Lebensdauer)

Tab. 143 Technische Daten: Meldekontakt C1/C2 [X40]

8.1.7 24V-Hilfsversorgung [X40]

24V-Hilfsversorgung

Ausführung Über den Motorcontroller weitergeleitete Logikversorgungsspan-nung (eingespeist an [X9], nicht zusätzlich gefiltert oder stabili-siert). Verpolungsgeschützt, überspannungsfest bis 60 V DC

Nennspannung [V] 24

Ausgangsstrom IL,Nenn

(Nenn)[mA] 100

Spannungsverlust beiIL,Nenn

£ 1

Verpolschutz Über Seriendiode 100 V / 1 A

Kurzschluss / Über-stromschutz

Schutz-PTC mit Auslösestrom typ. 300 mA, Überspannungsfestbis 60 V

Tab. 144 Technische Daten: 24V-Hilfsversorgung [X40]

8.1.8 Ausführung der Anschlusskabel [X40]

Verkabelung [X40]

Max. Kabellänge [m] < 30

Max. Kabellänge bei Verdrahtung außerhalb des Schaltschranks geschirmte Lei-tung verwenden. Schirmung bis in den Schaltschrank führen /schaltschrankseitig auflegen

Leiterquerschnitt (flexible Leiter, Aderendhülse mit Isolierkragen)

ein Leiter [mm2] 0,25 … 0,5

zwei Leiter [mm2] 2 x 0,25 (mit Zwillingsaderendhülsen)

Technischer Anhang

237Festo — CAMC-G-S3 — 2019-12a

Page 238: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Verkabelung [X40]

AnzugsdrehmomentGegensteckerMC1,5_12ST3,81BK –M2

[Nm] 0,22 … 0,25

Tab. 145 Technische Daten: Verkabelung [X40]

8.1.9 Digitaler Ausgang für eine Haltebremse am Grundgerät [X6]

Digitaler Ausgang BR+ /BR-

Ausgang High-Side-Schalter für BR+Low-Side-Schalter für BR-

Spannungsbereich [V DC] 18 … 30

Zulässiger Ausgangs-strom IL,Nenn (Nenn)

[mA] < 2000

Spannungsverlust beiIL,Nenn

[V] £ 1 V

Pull-down-WiderstandRPulldown

[kΩ] ca. 2,5 (ca. 10 mA bei 24 V) zwischen BR+ und BR-

Kurzschluss / Über-stromschutz

Kurzschlussfest gegen 24 V, 0 V und PE

Temperaturschutz Abschaltung des Leistungstreibers bei Übertemperatur

Einspeisung Schutz bei induktiven Lasten

Lasten

ohmsche Last [Ω] > 12

induktive Last [mH] < 1000

kapazitive Last [nF] < 10

Schaltverzögerung abPortpin

[ms] < 1

Testimpulsausgabe [ms] 0,4 … 10 (parametrierbarè 3.9.2 Interne Bremsansteuerung des Motorcontrollers [X6])

Tab. 146 Technische Daten: Digitaler Ausgänge für eine Haltebremse [X6]

Der digitale Ausgang des Grundgeräts für eine Haltebremse, BR+, BR-, entspricht den EMV-Anforde-rungen nach EN 61326-3-1.

Technischer Anhang

238 Festo — CAMC-G-S3 — 2019-12a

Page 239: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 122 Haltebremse

HINWEIS!

Im Auslieferungszustand des Sicherheitsmoduls ist die SBC-Funktion in Verbindung mit dem Ausgang[X6] immer konfiguriert, auch wenn Sie die SBC-Funktion nicht nutzen wollen. In folgendem Anwendungsfall kann eine Störeinkopplung in die offenen Bremsleitungen dazu führen,dass das Sicherheitsmodul Fehler 57-0 meldet: • Die Bremssteuerleitungen werden im Motorkabel geführt. • Motorseitig ist keine Haltebremse angeschlossen.In diesem Fall:• Bremssteuerleitungen an [X6] abklemmen• Bremssteuerleitungen an [PE] anschließen.

8.2 Sicherheitskennzahlen

8.2.1 Sicherheitsfunktionen

Zuordnung Sicherheitsfunktion – EinstufungFolgende Tabelle zeigt die Einstufung der Sicherheitsfunktionen nach EN 61800-5-2

Funktion Kat., PL1) SIL2) Hinweis

STO –

SBC

Kat. 4, PL e SIL 3–

SS2

SS1

SLS

SSR

SSM

SOS

Kat. 3, PL d oder Kat. 3, PL e SIL 2oderSIL 3

Die Einstufung ist abhängig von der ver-wendeten Kombination der Positionsgeber,bei Verwendung eines einzelnen Gebers mitSIL-Einstufung ist eine sichere Wellenver-bindung erforderlich; je nach Geberkonfigu-ration wird nur Kat. 3, PL d bzw. SIL 2 er-reicht è 8.2.3 Gebersysteme.Grenzen der Genauigkeit der Positionser-fassung beachtenè 8.3 Systemgenauigkeit undReaktionszeit.

1) Einstufung Kategorie und Performance Level nach EN ISO 13849-12) Einstufung Safety Integrity Level nach EN 62061

Tab. 147 Einstufung der Sicherheitsfunktionen und Hinweise

Technischer Anhang

239Festo — CAMC-G-S3 — 2019-12a

Page 240: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Informationen zu einigen ausgewählten, vorqualifizierten Geberkombinationen sind teilweise separatverfügbar. Bitte wenden Sie sich bei Bedarf an Ihren regionalen Ansprechpartner von Festo.

Für eine „sichere Wellenverbindung“ wird z. B. mit formschlüssigen und/oder entsprechend überdi-mensionierten Anbauelementen ein Fehlerausschluss erreicht. Berücksichtigen Sie dafür den gesamten Antriebsstrang, bis zur Gefährdungsstelle.

Wird die Bewegung der Motorwelle ausschließlich durch einen einzelnen Drehoder Lineargeber über-wacht, der eine zweikanalige Struktur aufweist, muss dieser ein Zertifikat einer benannten Stelle ge-mäß der angestrebten Risikominderung aufweisen.

Bei Verwendung von zwei Gebern wird bezüglich der Bewegungserfassung für die Sicherheitsfunktio-nen die Auflösungsgrenze durch den Geber mit der niedrigeren Auflösungsgrenze festgelegt.

Positionsgeber, die für die Stillstands-Positonsüberwachung eingesetzt werden, z. B. SOS, und die imStillstand statische Ausgangssignale aufweisen, erfordern anwenderseitig eine Dynamisierung, d.h.der Antrieb muss einmal in 10 Tagen bewegt werden.

Die sichere Bremsansteuerung des CAMC-G-S3 ist ausgelegt für SIL 3 / EN 61800-5-2. Bitte prüfenSie, ob die von Ihnen verwendete Feststelleinheit einen dem SIL 3 entsprechenden PL e erreicht. DieFeststelleinheit selbst hat in der Regel eine niedrigere Einstufung, so dass die Sicherheitsfunktion SBCin Verbindung mit der Feststelleinheit nur die niedrigere Einstufung erreicht.

8.2.2 Digitale EingängeEs sind grundsätzlich die einschlägigen Normen für Befehlsgeräte für die Anforderung von Sicherheits-funktionen zu beachten, z. B. EN ISO 13850 für Not-Halt.

Sensortyp Schaltertyp Einstufung Kategorie,PL1)

Einstufung SIL2)

1: Allgemeiner 2-kanali-ger Eingang

2 Öffner oder1 Öffner + 1 Schließer

Kat. 4, PL e SIL 3

2: Not-Halt-Schaltgerät 2 Öffner Kat. 4, PL e SIL 3

Technischer Anhang

240 Festo — CAMC-G-S3 — 2019-12a

Page 241: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Sensortyp Schaltertyp Einstufung Kategorie,PL1)

Einstufung SIL2)

3: Zustimmtaster 2 Öffner oder 1 Öffner + 1 Schließer

Kat. 4, PL e SIL 3

4: Zweihand-Bedienge-rät

2 je 1 Öffner,1 Schließer

Kat. 4, PL e SIL 3

5: Start-Taster 2 Öffner oder1 Öffner + 1 Schließer

Kat. 4, PL e SIL 3

6: Türverriegelung 2 Öffner oder1 Öffner + 1 Schließer

Kat. 4, PL e SIL 3

7: Sicherer Referenz-schalter

2 Öffner oder 1 Öffner + 1 Schließer

Kat. 4, PL e SIL 3

8: Lichtgitter 2 Öffner oder1 Öffner + 1 Schließer

Kat. 4, PL e SIL 3

9: Rückmeldung Brem-se

1 Öffner oder 2 Öffner nur als Feedback für SBC

ohne Zuordnung Test-impuls Kat. 1, PL c

SIL 110: Allgemeiner einka-naliger Eingang

1 Öffner oder1 Schließer

mit Zuordnung Testim-puls Kat. 2, PL d

SIL 2

11: Betriebsartenwahl-schalter

1 aus n Kat. 4, PL e SIL 3

ohne Zuordnung Test-impuls Kat. 1, PL c

SIL 112: Fehler quittieren 1 Schließer

mit Zuordnung Testim-puls Kat. 2, PL d

SIL 2

ohne Zuordnung Test-impuls Kat. 1, PL c

SIL 113: Sicherheitsfunktionbeenden

1 Schließer

mit Zuordnung Testim-puls Kat. 2, PL d

SIL 2

1) nach EN ISO  13849-12) nach EN 61800-5-2

Tab. 148 Sicherheitskennzahlen digitale Eingänge

Technischer Anhang

241Festo — CAMC-G-S3 — 2019-12a

Page 242: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

HINWEIS!

• Die folgenden Angaben zu Maßnahmen und DC beruhen auf den Angaben der NormEN ISO 13849-1.

• Für eine sicherheitstechnische Beurteilung der Sensoren sind die Herstellerangaben heranzuzie-hen.

• Die angeführten DC-Werte sind nur unter Einhaltung der angegebenen Maßnahmen und den er-wähnten zusätzlichen Bedingungen zulässig.

• Fehlerausschlüsse sind nach den einschlägigen Normen möglich, wobei die dafür erforderlichenBedingungen dauerhaft gewährleistet werden müssen.

Maßnahme DC Anmerkung Verwendung

Zyklischer Testimpuls durch dynamische Än-derung der Eingangssignale

90 Nur wirksam, wennZuordnung von Tes-timpulsen aktiv.

Querschlussüberwa-chung für 1-kanaligeSensoren

Kreuzvergleich von Eingangssignalen mit dy-namischem Test, wenn Kurzschlüsse nicht be-merkt werden können (bei Mehrfach-Ein-/Aus-gängen)

90 Ohne Zuordnung vonTestimpulsen. Zykli-sche Änderung derEingangssignale erfor-derlich, z. B. durchden Prozess oder re-gelmäßiger Betäti-gung.

Überwachung 2-kana-liger Sensoren

Kreuzvergleich von Eingangssignalen mit un-mittelbarem und Zwischenergebnissen in derLogik (L) und zeitlich und logische Programm-laufüberwachung und Erkennung statischerAusfälle und Kurzschlüsse (bei Mehrfach-Ein-/Ausgängen).

99 Nur mit Zuordnungvon Testimpulsen

Überwachung 2-kana-liger Sensoren

Plausibilitätsprüfung, z. B. Verwendung derSchließer- und Öffnerkontakte.

99 Nur bei Verwendungantivalenter Signale

Überwachung 2-kana-liger Sensoren

Tab. 149 Maßnahmen digitale Eingänge

8.2.3 GebersystemeEs sind grundsätzlich die einschlägigen Normen für die funktionale Sicherheit bei elektrischen Antrie-ben zu beachten, z. B. EN 61800-5-2. Folgende Tabelle zeigt die zulässigen Geberkombinationen und den maximal erreichbaren Performan-ce Level und Safety Integrity Level.

Technischer Anhang

242 Festo — CAMC-G-S3 — 2019-12a

Page 243: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Erreichbarer Sicherheitsle-vel

P06.00: AuswahlPositionsgeber 1

P06.01: AuswahlPositionsgeber 2

Hinweise

EN 61800-5--2

ISO 13849

Resolver (X2A)= [1] Anderer Geber(X2B) = [4]1)

– SIL 3 Kat. 3 / PL doder Kat. 3 /PL e

Resolver (X2A)= [1] Inkrementalgeber(X10) = [5]

– SIL 3 Kat. 3 / PL e

Resolver (X2A)= [1] Keiner = [6] Erfordert sichere Wellen-verbindung.Resolver muss den SIL 2Anforderungen genügen(MTTFd-Wert, ...)

SIL 2 Kat. 3 / PL d

SINCOS / Hiperface(X2B) = [2]

Inkrementalgeber(X10) = [5]

– SIL 3 Kat. 3 / PL e

SINCOS / Hiperface(X2B) = [2]

Keiner = [6] Erfordert sichere Wellen-verbindung.Erfordert SIL 2 zertifiziertenGeber

SIL 2 Kat. 3 / PL d

SINCOS / Hiperface(X2B) = [2]

Keiner = [6] Erfordert sichere Wellen-verbindung.Erfordert SIL 3 zertifiziertenGeber

SIL 3 Kat. 3 / PL e

EnDat SIL (X2B) =[3]

Inkrementalgeber(X10) = [5]

Nicht Bestandteil der PS1 SIL 3 Kat. 3 / PL e

EnDat SIL (X2B) =[3]

Keiner = [6] Nicht Bestandteil der PS1Erfordert sichere Wellen-verbindung. Erfordert SIL 2zertifizierten Geber

SIL 2 Kat. 3 / PL d

EnDat SIL (X2B) =[3]

Keiner = [6] Nicht Bestandteil der PS1Erfordert sichere Wellen-verbindung. Erfordert SIL 3zertifizierten Geber

SIL 3 Kat. 3 / PL e

Anderer Geber(X2B) = [4]1)

Inkrementalgeber(X10) = [5]

Folgenden Hinweis beach-ten.

SIL 2 Kat. 3 / PL d

Technischer Anhang

243Festo — CAMC-G-S3 — 2019-12a

Page 244: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Erreichbarer Sicherheitsle-vel

P06.00: AuswahlPositionsgeber 1

P06.01: AuswahlPositionsgeber 2

Hinweise

EN 61800-5--2

ISO 13849

Anderer Geber(X2B) = [4]1)

Keiner = [6] Unzulässig, wird vomCAMC-G-S3 und SafetyTool gesperrt

– –

1) Anderer Geber (X2B) = [4]: EnDat-Geber ohne SIL-Zertifizierung, BISS-Geber, Inkrementalgeber mit A/B/N-Signalen, Inkrementalgebermit SINCOS-Signalen, Hiperface-Geber ohne SIL

Tab. 150 Sicherheitskennzahlen Auswertung Gebersysteme

HINWEIS!

Der tatsächlich erreichbare Sicherheitslevel für das System, bestehend aus CAMC-G-S3, Motor, Achseund ggf. zweitem Positionsgeber muss anhand der Sicherheitskennzahlen des CAMC-G-S3è 8.1.1 Sicherheitstechnik, sowie der Sicherheitskennzahlen der übrigen Komponenten errechnetwerden. Wenden Sie sich wegen vorberechneter Applikationsvorschläge an Ihren regionalen Ansprechpartnervon Festo.

Beachten Sie die weiteren Informationen:• Allgemeine Informationen zur Geberauswertung und den unterstützten Positionsgebernè 3.2.5 Übersicht unterstützte Positionsgeber

• Informationen zur Geberkonfiguration è 3.3.2 Konfiguration der Geber• Beispiel zur Geberkonfiguration im SafetyTool è 5.6.4 Überprüfung der Datenübernahme

HINWEIS!

Die Eignung der „Standardgeber“ und der „Digitalen Inkrementalgeber“ für den Einsatz in SicherenSystemen bis SIL3 (EN 61800-5-2, EN 61508) bzw. PL e (EN ISO 13849) ist separat nachzuweisen(z. B. Diversität der Gebersysteme im Hinblick auf CCF, MTTFd, etc. sowie Eignung der Geber für dieBetriebs- und Umgebungsbedingungen, EMV, ...).

HINWEIS!

• Die folgenden Angaben zu Maßnahmen und DC beruhen auf den Angaben der EN 61800-5-2, Ta-belle Anhang D.16.

• Für eine sicherheitstechnische Beurteilung der Positionsgeber sind in jedem Fall zusätzlich dieHerstellerangaben heranzuziehen.

• Die angeführten DC-Werte für die Auswertung der Gebersysteme im Sicherheitsmodul sind nur un-ter Einhaltung der angegebenen Maßnahmen und den erwähnten zusätzlichen Bedingungen zu-lässig.

• Fehlerausschlüsse sind nach den einschlägigen Normen möglich, wobei die dafür erforderlichenBedingungen dauerhaft gewährleistet werden müssen.

Technischer Anhang

244 Festo — CAMC-G-S3 — 2019-12a

Page 245: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

SIN/COS-Geber / Hiperface-Geber

Fehlerannahme Fehleraus-schluss

Fehlererkennung durchdas Sicherheitsmodul

Ergänzende Hinweise/ Be-merkungen

Kurzschluss zwischen zweibeliebigen Leitern der An-schlussleitung

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Gemäßè 8.3 Systemgenauigkeitund Reaktionszeit; DC > 90%2)

Unterbrechung eines belie-bigen Leiters der An-schlussleitung

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Gemäßè 8.3 Systemgenauigkeitund Reaktionszeit; DC > 90%2)

Statisches „0“- oder „1“-Signal an Ein- und Ausgän-gen, einzeln oder an meh-reren Ein-/Ausgängengleichzeitig

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Gemäßè 8.3 Systemgenauigkeitund Reaktionszeit;DC > 90%2)

Unterbrechung oder hoch-ohmiger Zustand an einemeinzelnen oder an mehre-ren Ein-/Ausgängen gleich-zeitig

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Gemäßè 8.3 Systemgenauigkeitund Reaktionszeit; DC > 90%2)

Verringerung oder Erhö-hung der Ausgangsampli-tude

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Gemäßè 8.3 Systemgenauigkeitund Reaktionszeit; DC > 90%2)

Störschwingungen an ei-nem oder an mehrerenAusgängen

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Gemäßè 8.3 Systemgenauigkeitund Reaktionszeit; DC > 90%2)

Bei Oszillation eines Si-gnals maximal Motorbewe-gung im Toleranzfensterder Amplitudenüberwa-chung

Änderung der Phasenver-schiebung zwischen Aus-gangssignalen

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Gemäßè 8.3 Systemgenauigkeitund Reaktionszeit;DC > 90%2)

z. B. durch eine ver-schmutzte Codescheibe

Technischer Anhang

245Festo — CAMC-G-S3 — 2019-12a

Page 246: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererkennung durchdas Sicherheitsmodul

Ergänzende Hinweise/ Be-merkungen

Befestigung löst sich imStillstand: – Sensorgehäuse löst

sich vom Motorgehäu-se

– Sensorwelle löst sichvon Motorwelle

Befestigung löst sich wäh-rend der Bewegung: – Sensorgehäuse löst

sich vom Motorgehäu-se

– Sensorwelle löst sichvon Motorwelle

Maßverkörperung löst sich(z. B. optische Codierschei-be)

Erforderlich!Gemäß Her-stellerdaten-blatt für denGeber

Nicht sicher möglich! Es er-folgt aber eine Überwa-chung der Zeitdauer derSOS-Anforderung: Nach 10 Tagen erfolgt Ab-schaltung und Fehlermel-dung

Fehlerausschluss für dasSystem Motor – Geber an-wenden, oder ein zweitesMesssystem für einen Posi-tionsvergleich verwenden!

Kein Licht von der Sendedi-ode

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Gemäßè 8.3 Systemgenauigkeitund Reaktionszeit;DC > 90%2)

Zusätzliche Anforderungen für Drehgeber mit sin/cos-Ausgangssignalen, analoge Signalerzeu-gung

Statisches Signal an Ein-und Ausgängen, einzelnoder an mehreren Signa-len, Amplitude im Bereichder Spannungsversorgung

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Gemäßè 8.3 Systemgenauigkeitund Reaktionszeit;DC > 90%2)

Änderung der Signalform keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Gemäßè 8.3 Systemgenauigkeitund Reaktionszeit;DC > 90%2)

Vertauschen des sin- undcos- Ausgangssignals

Ja Sicherheitsmodul besitzthinreichend getrennte Si-gnalverarbeitung ohneMultiplexer

Zusätzliche Anforderungen für Drehgeber mit inkrementellen und absoluten Signalen

Technischer Anhang

246 Festo — CAMC-G-S3 — 2019-12a

Page 247: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererkennung durchdas Sicherheitsmodul

Ergänzende Hinweise/ Be-merkungen

Gleichzeitig falsche Positi-onsänderung vom inkre-mentellen und vom absolu-ten Signal

keine Keine, das Sicherheitsmo-dul wertet nur die analogensin/cos Signale aus

Nur bei Hiperface-Schnitt-stelle: Das Grundgerätführt eine zyklische Plausi-bilitätsprüfung mittelsKreuzvergleich derSin/Cos-Signale mit derüber die Datenschnittstellegelesenen Absolut-Positiondurch.

Zusätzliche Anforderungen für Drehgeber mit synthetisch generierten Ausgangssignalen

Beliebige Verfälschung desAusgangssignals

keine Nicht in allen Fällen mög-lich, wenn beide Ausgangs-signale gleichzeitig ver-fälscht werden!

Fehlerausschluss für Geberanwenden, oder ein zwei-tes Messsystem für einenPositionsvergleich verwen-den!

Zusätzliche Anforderungen für Lineargeber

Befestigung des Lesekop-fes gebrochen

Statischer Versatz derMaßverkörperung (z. B. op-tischer Codestreifen)

Beschädigte Maßverkörpe-rung (z. B. optischer Code-streifen)

Erforderlich!Gemäß Her-stellerdaten-blatt für denGeber

Nicht sicher möglich! Es er-folgt aber eine Überwa-chung der Zeitdauer derSOS-Anforderung: Nach 10Tagen erfolgt Abschaltungund Fehlermeldung.

Fehlerausschluss für dasSystem Motor – Geber an-wenden, oder ein zweitesMesssystem für einen Posi-tionsvergleich verwenden!

Weitere Anforderungen an die Auswertung von SIL-Positionsgebern

Überwachung der Versor-gungsspannung des Ge-bers

keine Nicht vorhanden.Dies muss auf Seiten desGebers sichergestellt wer-den.

Das Grundgerät beinhalteteine Regelung der Versor-gungsspannung für denGeber. Im Fehlerfall (Über-spannung, Überstrom)kann die Geberversorgungfunktional abgeschaltetwerden.

Einhaltung der für den Ge-ber spezifizierten Betriebs-und Umgebungsbedingun-gen

keine Nicht vorhanden.Dies muss auf Seiten desGebers sichergestellt wer-den.

Das Grundgerät verfügtüber einen Eingang zurÜberwachung der Motor-temperatur. Im Fehlerfall

Technischer Anhang

247Festo — CAMC-G-S3 — 2019-12a

Page 248: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererkennung durchdas Sicherheitsmodul

Ergänzende Hinweise/ Be-merkungen

kann der Antrieb funktionalabgeschaltet werden.

1) Empfindlichkeit und DC abhängig von den parametrierten Fehlergrenzen; Angabe gilt für Werkseinstellung2) Lageinformation ist bei Fehler „statisch“ => Kommutierlage fix, Motor steht / Spannung eines Kanals statisch => Kommutierlage än-

dert sich um max +/-90° einer Signalperiode des Gebers, Motor bewegt sich nur noch in diesem Bereich

Tab. 151 SIN/COS-Geber, Hiperface-Geber

Einstufung des Sicherheitsmoduls in Verbindung mit SIN/COS-Geber, Hiperface-Geber: Aufdeckung Geberfehler: DC > 90%Einstufung nach EN 61800-5-2 / EN 13849-1: • SIL2 / Kat. 3 / PL d (sichere Positionierung inkl. Stillstand) • SIL3 / Kat. 3 / PL e (sichere Geschwindigkeit und Beschleunigung)

Resolver

Fehlerannahme Fehleraus-schluss

Fehlererkennung durchdas Sicherheitsmodul

Ergänzende Hinweise/ Be-merkungen

Kurzschluss zwischen zweibeliebigen Leitern der An-schlussleitung

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Unterbrechung eines belie-bigen Leiters der An-schlussleitung

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Statisches „0“- oder „1“-Signal an Ein- und Ausgän-gen, einzeln oder an meh-reren Ein-/Ausgängengleichzeitig

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Unterbrechung oder hoch-ohmiger Zustand an einemeinzelnen oder an mehre-ren Ein-/Ausgängen gleich-zeitig

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Verringerung oder Erhö-hung der Ausgangsampli-tude

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Technischer Anhang

248 Festo — CAMC-G-S3 — 2019-12a

Page 249: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererkennung durchdas Sicherheitsmodul

Ergänzende Hinweise/ Be-merkungen

Störschwingungen an ei-nem oder an mehrerenAusgängen

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Änderung der Phasenver-schiebung zwischen Aus-gangssignalen

keine Nicht zutreffend für Resol-ver

Befestigung löst sich imStillstand: – Sensorgehäuse löst

sich vom Motorgehäu-se

– Sensorwelle löst sichvon Motorwelle

Befestigung löst sich wäh-rend der Bewegung:– Sensorgehäuse löst

sich vom Motorgehäu-se

– Sensorwelle löst sichvon Motorwelle

Erforderlich!Gemäß Her-stellerdaten-blatt für denGeber

Nicht sicher möglich! Es er-folgt aber eine Überwa-chung der Zeitdauer derSOS-Anforderung: Nach 10Tagen erfolgt Abschaltungund Fehlermeldung

Fehlerausschluss für dasSystem Motor – Geber an-wenden, oder ein zweitesMesssystem für einen Posi-tionsvergleich verwenden!

Maßverkörperung löst sich(z. B. optische Codierschei-be)

keine Nicht zutreffend für Resol-ver

Kein Licht von der Sendedi-ode

keine Nicht zutreffend für Resol-ver

Zusätzliche Anforderungen für Resolver mit Signalverarbeitung / Referenzgenerator

Übersprechen der Refe-renzfrequenz

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

– zentraler Timer fälltaus

– kein Conversion Startfür A/D-Wandler

– Sample & Hold erfolgtzum falschen Zeitpunkt

keine Ausfall-Überwachung desSYNC-Signals

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Technischer Anhang

249Festo — CAMC-G-S3 — 2019-12a

Page 250: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererkennung durchdas Sicherheitsmodul

Ergänzende Hinweise/ Be-merkungen

A/D-Wandler erzeugtfalsche Werte

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

A/D-Wandler erzeugt keineWerte

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Referenzgenerator liefertkeine Frequenz

keine Ausfall-Überwachung desSYNC-Signals

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Referenzgenerator liefertfalsche Frequenz

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Referenzgenerator liefertkein periodisches Refe-renzsignal

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Verstärkungsfehler bei derSignalverarbeitung (Refe-renz-, sin-, cos-Signal), Os-zillieren

keine Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Magnetische Beeinflus-sung am Einbauort

Ausreichen-de Abschir-mung fürden Ein-bauort

Einzelsignalüberwachungund Vektor-Längenüberwa-chung1)

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Weitere Anforderungen an die Auswertung von SILPositionsgebern

Überwachung der Versor-gungsspannung des Ge-bers

keine Indirekte Überwachung desResolverträgers über dieVektorlängenüberwachung

Fehler wird sicher erkannt(DCAV des Sicherheitsmo-duls)

Einhaltung der für den Ge-ber spezifizierten Betriebs-und Umgebungsbedingun-gen

keine Nicht vorhanden.Dies muss auf Seiten desGebers sichergestellt wer-den

Das Grundgerät verfügtüber einen Eingang zurÜberwachung der Motor-temperatur. Im Fehlerfallkann der Antrieb funktionalabgeschaltet werden.

1) DC = 60% gilt für Werkseinstellung, DC = 90% für eingeschränkte Toleranzen der Vektorlängenüberwachung entsprechend Abschnitt"Systemgenauigkeit und Reaktionszeit"

Tab. 152 Resolver

Technischer Anhang

250 Festo — CAMC-G-S3 — 2019-12a

Page 251: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Einstufung des Sicherheitsmoduls in Verbindung mit mit Resolver: Aufdeckung Geberfehler: DC > 90% Einstufung nach EN 61800-5-2 / EN 13849-1: • SIL2 / Kat. 3 / PL d (sichere Positionierung inkl. Stillstand) • SIL3 / Kat. 3 / PL e (sichere Geschwindigkeit und Beschleunigung)

Kombinierte Gebersysteme:

Geber 1: Resolver [X2A] oder SIN/COS Geber [X2B]

Geber 2: Inkrementalgeber [X10]

Fehlerannahme Fehlerausschluss Fehlererkennungdurch das Sicher-heitsmodul

Ergänzende Hin-weise/ Bemer-kungen

Kurzschluss zwischen zwei beliebigenLeitern der Anschlussleitung

Unterbrechung eines beliebigen Lei-ters der Anschlussleitung

Statisches „0“- oder „1“-Signal an Ein-und Ausgängen, einzeln oder an meh-reren Ein-/Ausgängen gleichzeitig

Unterbrechung oder hochohmiger Zu-stand an einem einzelnen oder anmehreren Ein-/Ausgängen gleichzeitig

Verringerung oder Erhöhung der Aus-gangsamplitude Störschwingungen aneinem oder an mehreren Ausgängen

Änderung der Phasenverschiebungzwischen Ausgangssignalen

keine Einzelsignalüber-wachung und Vek-tor-Längenüber-wachung1)

Kreuzvergleich derPositionsdaten(Geber 1 – Geber2)

DC „hoch“2)

Befestigung löst sich im Stillstand: – Sensorgehäuse löst sich vom Mo-

torgehäuse– Sensorwelle löst sich von Motor-

welle

Befestigung löst sich während der Be-wegung:– Sensorgehäuse löst sich vom Mo-

torgehäuse – Sensorwelle löst sich von Motor-

welle

Nicht erforderlich! Kreuzvergleich derPositionsdaten (Geber 1 – Geber2)

DC „hoch“2)

Technischer Anhang

251Festo — CAMC-G-S3 — 2019-12a

Page 252: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehlerausschluss Fehlererkennungdurch das Sicher-heitsmodul

Ergänzende Hin-weise/ Bemer-kungen

Maßverkörperung löst sich(z. B. optische Codierscheibe)

Nicht erforderlich! Kreuzvergleich derPositionsdaten (Geber 1 – Geber2)

DC „hoch“2)

Kein Licht von der Sendediode keine Einzelsignalüber-wachung und Vek-tor-Längenüber-wachung1)

Kreuzvergleich derPositionsdaten(Geber 1 – Geber2)

DC „hoch“2)

Zusätzliche Anforderungen für Drehgeber mit sin/cosAusgangssignalen, analoge Signalerzeu-gung

Statisches Signal an Ein- und Ausgän-gen, einzeln oder an mehreren Signa-len, Amplitude im Bereich der Span-nungsversorgung

Änderung der Signalform

Vertauschen des sin- und cos- Aus-gangssignals

keine Einzelsignalüber-wachung und Vek-tor-Längenüber-wachung1)

DC „hoch“2)

Zusätzliche Anforderungen für Drehgeber mit RechteckAusgangssignalen (Geber 2)

Störschwingung am Ausgang

Ausgangssignal bricht ab

Nullimpuls fällt aus, ist zu kurz, zu langoder mehrfach

keine Kreuzvergleich derPositionsdaten(Geber 1 – Geber2)

DC „hoch“2)

Zusätzliche Anforderungen für Drehgeber mit synthetisch generierten Ausgangssignalen (Geber 1oder Geber 2)

Beliebige Verfälschung des Ausgangs-signals

keine Kreuzvergleich derPositionsdaten (Geber 1 – Geber2)

DC „hoch“2)

Zusätzliche Anforderungen für Drehgeber mit Positionsermittlung durch Zähler (Geber 2)

Technischer Anhang

252 Festo — CAMC-G-S3 — 2019-12a

Page 253: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehlerausschluss Fehlererkennungdurch das Sicher-heitsmodul

Ergänzende Hin-weise/ Bemer-kungen

Falscher Positionswert aufgrund feh-lerhafter Zählung

keine Kreuzvergleich derPositionsdaten (Geber 1 – Geber2)

DC „hoch“2)

Zusätzliche Anforderungen für Resolver mit Signalverarbeitung / Referenzgenerator

Übersprechen der Referenzfrequenz keine

zentraler Timer fällt aus kein Conversi-on Start für A/D-Wandler Sample &Hold erfolgt zum falschen Zeitpunkt

keine

A/D-Wandler erzeugt falsche Werte keine

A/D-Wandler erzeugt keine Werte keine

Referenzgenerator liefert keine Fre-quenz

keine

Referenzgenerator liefert falsche Fre-quenz

keine

Referenzgenerator liefert kein periodi-sches Referenzsignal

keine

Verstärkungsfehler bei der Signalverar-beitung (Referenz-, sin-, cos-Signal),Oszillieren

keine

Magnetische Beeinflussung am Ein-bauort

Ausreichende Ab-schirmung für denEinbauort

Einzelsignalüber-wachung und Vek-tor-Längenüber-wachung1) Kreuzvergleich derPositionsdaten (Geber 1 – Geber2)

DC „hoch“2)

Weitere Anforderungen an die Auswertung von SIL-Positionsgebern

Überwachung der Versorgungsspan-nung des Gebers

keine Separate Erzeu-gung der Versor-gungsspannungfür: – Resolver [X2A] – SIN/COS-Ge-

ber [X2B]– Inkremental-

geber [X10]

Technischer Anhang

253Festo — CAMC-G-S3 — 2019-12a

Page 254: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehlerausschluss Fehlererkennungdurch das Sicher-heitsmodul

Ergänzende Hin-weise/ Bemer-kungen

Einhaltung der für den Geber spezifi-zierten Betriebs- und Umgebungsbe-dingungen

keine Nicht vorhanden.Dies muss auf Sei-ten des Gebers si-chergestellt wer-den

Das Grundgerätverfügt über einenEingang zur Über-wachung der Mo-tortemperatur. ImFehlerfall kann derAntrieb funktionalabgeschaltet wer-den

1) Empfindlichkeit und DC abhängig von den parametrierten Fehlergrenzen; Angabe gilt für Werkseinstellung.2) Lageinformation ist bei Fehler „statisch“ => Kommutierlage fix, Motor steht / Spannung eines Kanals statisch => Kommutierlage än-

dert sich um max +/-90° einer Signalperiode des Gebers, Motor bewegt sich nur noch in diesem Bereich.

Tab. 153 Kombinierte Gebersysteme: Geber 1: Resolver [X2A] oder SIN/COS Geber [X2B], Geber 2: In-krementalgeber [X10]

Einstufung des Sicherheitsmoduls in Verbindung mit dem Grundgerät in der Geberkombination Geber1: Resolver [X2A] oder SIN/COS Geber [X2B], Geber 2: Inkrementalgeber [X10] (ohne Berücksichtigungder Geber selbst):Aufdeckung Geberfehler: DC > 95% Einstufung nach EN 61800-5-2: SIL3 Einstufung nach EN ISO 13849: Kat. 4 / PL e

Kombinierte Gebersysteme:

Geber 1: Resolver [X2A] oder Inkrementalgeber [X10]

Geber 2: Sonstiger Geber [X2B] (Auswertung über Grundgerät)

Fehlerannahme Fehleraus-schluss

Fehlererken-nung durchdas Sicher-heitsmodul

Ergänzende Hinweise/ Bemer-kungen

Kurzschluss zwischen zwei be-liebigen Leitern der Anschluss-leitung

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1– Geber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät)2)

Technischer Anhang

254 Festo — CAMC-G-S3 — 2019-12a

Page 255: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererken-nung durchdas Sicher-heitsmodul

Ergänzende Hinweise/ Bemer-kungen

Unterbrechung eines beliebigenLeiters der Anschlussleitung

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung 1)

Kreuzvergleichder Positions-daten(Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät) 2)

Statisches „0“- oder „1“-Signalan Ein- und Ausgängen, einzelnoder an mehreren Ein-/Ausgän-gen gleichzeitig

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung 1)

Kreuzvergleichder Positions-daten(Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät) 2)

Unterbrechung oder hochohmi-ger Zustand an einem einzelnenoder an mehreren Ein-/Ausgän-gen gleichzeitig

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung 1)

Kreuzvergleichder Positions-daten(Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät) 2)

Verringerung oder Erhöhung derAusgangsamplitude

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung 1)

Kreuzvergleich

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät) 2)

Technischer Anhang

255Festo — CAMC-G-S3 — 2019-12a

Page 256: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererken-nung durchdas Sicher-heitsmodul

Ergänzende Hinweise/ Bemer-kungen

der Positions-daten(Geber 1 – Ge-ber 2)

Störschwingungen an einemoder an mehreren Ausgängen

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung 1)

Kreuzvergleichder Positions-daten(Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät) 2)

Änderung der Phasenverschie-bung zwischen Ausgangssigna-len

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung 1)

Kreuzvergleichder Positions-daten(Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät) 2)

Befestigung löst sich im Still-stand: – Sensorgehäuse löst sich

vom Motorgehäuse – Sensorwelle löst sich von

Motorwelle

Befestigung löst sich währendder Bewegung: – Sensorgehäuse löst sich

vom Motorgehäuse – Sensorwelle löst sich von

Motorwelle

Nicht erforder-lich!

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät)2)

Technischer Anhang

256 Festo — CAMC-G-S3 — 2019-12a

Page 257: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererken-nung durchdas Sicher-heitsmodul

Ergänzende Hinweise/ Bemer-kungen

Maßverkörperung löst sich (z. B.optische Codierscheibe)

Nicht erforder-lich!

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät)2)

Kein Licht von der Sendediode keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät)2)

Zusätzliche Anforderungen für Drehgeber mit sin/cosAusgangssignalen, analoge Signalerzeu-gung

Statisches Signal an Ein- undAusgängen, einzeln oder anmehreren Signalen, Amplitudeim Bereich der Spannungsver-sorgung

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät)2)

Änderung der Signalform keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät)2)

Technischer Anhang

257Festo — CAMC-G-S3 — 2019-12a

Page 258: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererken-nung durchdas Sicher-heitsmodul

Ergänzende Hinweise/ Bemer-kungen

Vertauschen des sin- und cos-Ausgangssignals

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät)2)

Zusätzliche Anforderungen für Resolver mit Signalverarbeitung / Referenzgenerator (Geber 1)

Übersprechen der Referenzfre-quenz

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul) +1 x „niedrig“ (Grundgerät)2)

– zentraler Timer fällt aus– kein Conversion Start für

A/D-Wandler– Sample & Hold erfolgt zum

falschen Zeitpunkt

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul) +1 x „niedrig“ (Grundgerät)2)

A/D-Wandler erzeugt falscheWerte

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleich

DC1 x „hoch“ (Sicherheitsmodul) +1 x „niedrig“ (Grundgerät)2)

Technischer Anhang

258 Festo — CAMC-G-S3 — 2019-12a

Page 259: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererken-nung durchdas Sicher-heitsmodul

Ergänzende Hinweise/ Bemer-kungen

der Positions-daten (Geber 1 – Ge-ber 2)

A/D-Wandler erzeugt keine Wer-te

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul) +1 x „niedrig“ (Grundgerät)2)

Referenzgenerator liefert keineFrequenz

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul) +1 x „niedrig“ (Grundgerät)2)

Referenzgenerator liefertfalsche Frequenz

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul) +1 x „niedrig“ (Grundgerät)2)

Technischer Anhang

259Festo — CAMC-G-S3 — 2019-12a

Page 260: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererken-nung durchdas Sicher-heitsmodul

Ergänzende Hinweise/ Bemer-kungen

Referenzgenerator liefert keinperiodisches Referenzsignal

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul) +1 x „niedrig“ (Grundgerät)2)

Verstärkungsfehler bei der Si-gnalverarbeitung (Referenz-,sin-, cos-Signal), Oszillieren

keine Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul) +1 x „niedrig“ (Grundgerät)2)

Magnetische Beeinflussung amEinbauort

AusreichendeAbschirmungfür den Ein-bauort

Einzelsignal-überwachungund Vektor-Längenüber-wachung1)

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul) +1 x „niedrig“ (Grundgerät)2)

Zusätzliche Anforderungen für Drehgeber mit RechteckAusgangssignalen (Geber 1)

Störschwingung am Ausgang

Ausgangssignal bricht ab

Nullimpuls fällt aus, ist zu kurz,zu lang oder mehrfach

keine Kreuzvergleichder Positions-daten(Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul) + 1 x „niedrig“ (Grundgerät)2)

Technischer Anhang

260 Festo — CAMC-G-S3 — 2019-12a

Page 261: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererken-nung durchdas Sicher-heitsmodul

Ergänzende Hinweise/ Bemer-kungen

Zusätzliche Anforderungen für Drehgeber mit synthetisch generierten Ausgangssignalen (Geber 1oder Geber 2)

Beliebige Verfälschung des Aus-gangssignals

keine Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät)2)

Zusätzliche Anforderungen für Drehgeber mit Positionsermittlung durch Zähler (Geber 1 oder Ge-ber 2)

Falscher Positionswert aufgrundfehlerhafter Zählung

keine Kreuzvergleichder Positions-daten(Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät)2)

Zusätzliche Anforderungen für Lineargeber (Geber 1 oder Geber 2)

Befestigung des Lesekopfes ge-brochen

Statischer Versatz der Maßver-körperung (z. B. optischer Code-streifen)

Beschädigte Maßverkörperung(z. B. optischer Codestreifen)

Nicht erfoder-lich!

Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul) + 1 x „niedrig“ (Grundgerät)2)

Zusätzliche Anforderungen für Drehgeber mit Rechnerschnittstelle (Geber 2)

Übertragungsfehler:– Wiederholung; – Verlust; – Einfügung;– falsche Abfolge; – Nachrichtenverfälschung; – Verzögerung

keine Kreuzvergleichder Positions-daten (Geber 1 – Ge-ber 2)

DC1 x „hoch“ (Sicherheitsmodul)+ 1 x „niedrig“ (Grundgerät)2)

Weitere Anforderungen an die Auswertung von SIL-Positionsgebern

Technischer Anhang

261Festo — CAMC-G-S3 — 2019-12a

Page 262: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlerannahme Fehleraus-schluss

Fehlererken-nung durchdas Sicher-heitsmodul

Ergänzende Hinweise/ Bemer-kungen

Überwachung der Versorgungs-spannung des Gebers

keine Separate Er-zeugung derVersorgungs-spannung für: – Resolver

[X2A]– SIN/COS-

Geber[X2B]

– Inkremen-talgeber[X10]

Einhaltung der für den Geberspezifizierten Betriebs- und Um-gebungsbedingungen

keine Nicht vorhan-den.Dies muss aufSeiten des Ge-bers sicherge-stellt werden.

Das Grundgerät verfügt übereinen Eingang zur Überwachungder Motortemperatur. Im Fehler-fall kann der Antrieb funktionalabgeschaltet werden.

1) Empfindlichkeit und DC abhängig von den parametrierten Fehlergrenzen; Angabe gilt für Werkseinstellung.2) Begrenzung durch DCAV des Moduls durch DC des Grundgerätes

Tab. 154 Kombinierte Gebersysteme: Geber 1: Resolver [X2A] oder Inkrementalgeber [X10], Geber 2:Sonstiger Geber [X2B] (Auswertung über Grundgerät)

Einstufung des Sicherheitsmoduls in Verbindung mit dem Grundgerät in der Geberkombination Geber1: Resolver [X2A] oder Inkrementalgeber [X10], Geber 2: Sonstiger Geber [X2B] (ohne Berücksichti-gung der Geber selbst):Winkelerfassung des Grundgerätes: • MTTF jedes Kanals: > 100 a, „hoch“• DC des Kanals: = 50% „niedrigSicherheitsmodul: MTTF jedes Kanals: > 100 a, „hoch“Aufdeckung Geberfehler DC: > 95% „hoch“Systemeinstufung (Sicherheitsmodul + Grundgerät):• Einstufung nach EN 61800-5-2: SIL3• Einstufung nach EN ISO 13849: Kat. 3 / PL d

8.2.4 Digitale AusgängeEs sind grundsätzlich die einschlägigen Normen für die Steuerung externer Sicherheitsschaltgeräte zubeachten.

Technischer Anhang

262 Festo — CAMC-G-S3 — 2019-12a

Page 263: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Ausgangstyp Schaltertyp Einstufung Kategorie,PL1)

Einstufung SIL2)

1: Integrierte sichereImpulssperre

2 Öffner Kat. 4, PL e SIL 3

2: Allgemeiner 2-kanali-ger AusgangDOUT40 … DOUT42

2 Öffner oder1 Öffner + 1 Schließer

Kat. 4, PL e SIL 3

2: Allgemeiner 2-kanali-ger Ausgang

2 Öffner oder 1 Öffner + 1 Schließer

Kat. 4, PL e SIL 3

2 Öffner Kat. 3, PL d, bei direktangeschlossenen Fest-stelleinheiten, angefor-dert über SBC.

SIL 2

2 Öffner Kat. 1, PL c, bei indirektangeschlossenen Fest-stelleinheiten (z. B.pneumatisch öffnend),angefordert über SBC.

SIL 1

3: Ansteuerung der Hal-tebremse über [X6] imGrundgerät CMMP-AS

2 Öffner Kat. 3, PL d, bei indirektangeschlossenen Fest-stelleinheiten (z. B.pneumatisch öffnend),angefordert über SBC.

SIL 2

10: PotentialfreierRückmeldekontakt(Diagnose)

1 Schließer Nur als Feedback für übergeordnetes Sicherheits-schaltgerät.

1) nach EN ISO 13849-12) nach EN 61508, EN 61800-5-2, EN 62061

Tab. 155 Sicherheitskennzahlen digitale Ausgänge

HINWEIS!

• Die folgenden Angaben zu Maßnahmen und DC beruhen auf den Angaben der NormEN ISO 13849-1.

• Für eine sicherheitstechnische Beurteilung der Schaltgeräte sind die Herstellerangaben heranzu-ziehen.

• Die angeführten DC-Werte sind nur unter Einhaltung der angegebenen Maßnahmen und den er-wähnten zusätzlichen Bedingungen zulässig.

• Fehlerausschlüsse sind nach den einschlägigen Normen möglich, wobei die dafür erforderlichenBedingungen dauerhaft gewährleistet werden müssen.

Technischer Anhang

263Festo — CAMC-G-S3 — 2019-12a

Page 264: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Maßnahme DC Anmerkung Verwendung

Zyklischer Testimpuls durch dynamische Än-derung der Ausgangssignale.

90 Immer wirksam im Si-cherheitsmodul, dadie Testimpulse fürdie sichere Impulss-perre und fürDOUT40 … 42 nichtabgeschaltet werdenkönnen.

Querschlussüberwa-chung für 2-kanaligeAusgänge

Kreuzvergleich von Ausgangssignalen mit dy-namischem Test, wenn Kurzschlüsse nicht be-merkt werden können (bei MehrfachEin-/Aus-gängen).

90 Ohne Zuordnung vonTestimpulsen. Zykli-sche Änderung derEingangssignale erfor-derlich, z. B. durchden Prozess oder re-gelmäßige Betäti-gung.

Überwachung 2-kana-liger Ausgänge

Kreuzvergleich von Ausgangssignalen mit un-mittelbarem und Zwischenergebnissen in derLogik (L) und zeitlich und logische Programm-laufüberwachung und Erkennung statischerAusfälle und Kurzschlüsse (bei MehrfachEin-/Ausgängen).

99 Immer wirksam im Si-cherheitsmodul, dadie Testimpulse fürdie sichere Impulss-perre und für DOUT40… 42 nicht abgeschal-tet werden können

Überwachung 2-kana-liger Ausgänge

Plausibilitätsprüfung, z. B. Verwendung anti-valent schaltender Ausgänge.

99 Nur für DOUT40 … 42anwendbar, bei Konfi-guration „antivalent“schaltend.

Überwachung 2-kana-liger Ausgänge

Tab. 156 Maßnahmen digitale Ausgänge

8.3 Systemgenauigkeit und ReaktionszeitDie folgenden Abschnitte betrachten die Anforderungen an die Systemgenauigkeit der FunktionalenSicherheitstechnik im Hinblick auf die sicher überwachten Bewegungsfunktionen für die Position unddie Geschwindigkeit.

Die erzielbare Systemgenauigkeit ist in erster Linie abhängig vom Systemaufbau, bestehend aus: Mo-tor – Getriebe – AchseSie kann insbesondere durch den Einsatz eines Getriebes oder durch die Wahl einer Achse mit gerin-gerem Vorschub erhöht werden è 8.3.7 Basis der Betrachtung der Systemgenauigkeit.

Technischer Anhang

264 Festo — CAMC-G-S3 — 2019-12a

Page 265: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Die spezifizierten Genauigkeiten und Reaktionszeiten des Sicherheitsmoduls stellen immer einenKompromiss dar zwischen: – der Auflösung und der Genauigkeit der angeschlossenen Positionssensoren und der zugeordne-

ten Auswerteelektronik im Sicherheitsmodul, – der gewünschten hohen Präzision für die Überwachung der Grenzwerte für Position und Ge-

schwindigkeit,– der Reaktionszeit, bis eine Verletzung einer Bedingung erkannt wird, – der Anlagenverfügbarkeit im Betrieb im industriellen Umfeld (Störungen, EMV, usw.). Die Genauigkeiten und Reaktionszeiten sollen daher so hoch wie aus Sicherheitssicht erforderlich,aber nicht darüber hinaus gewählt werden.

HINWEIS!

Die Werkseinstellungen des Sicherheitsmoduls für die Geberauswertung, die Geschwindigkeitserfas-sung und für die Positionsüberwachung sind für die allermeisten Applikationen passend. Sie sind an-gepasst an die Auflösung der Positionsgeber und an die Auswertelektronik im Sicherheitsmodul. Sie sollten nur in begründeten Problemfällen geändert werden, weil sie Einfluss auf die Reaktionszeitdes Sicherheitsmoduls bei der Erkennung gefährlicher Bewegungen oder für die Fehlererkennung ha-ben. Sie sind sog. „Expertenparameter“. Prüfen Sie alternativ, ob die Mechanik geändert werden kann (z. B. Achse mit reduziertem Vorschub).Stellen Sie über die Datenübernahme (è 3.3 Datenübernahme aus dem Motorcontroller) sicher, dassdas Sicherheitsmodul über die korrekten Parameter für die Vorschubkonstante und die Getriebefakto-ren verfügt, bevor Sie Sicherheitsfunktionen parametrieren.

8.3.1 Genauigkeit der Überwachung der Position (SOS) aus ApplikationssichtBei Anforderung der Sicherheitsfunktion SOS wird die aktuelle Position erfasst und in x_sample ge-speichert.Die Überwachung erfolgt in einem Positionsfenster von:(x_sample – x_max) ≤ x_ist ≤ (x_sample + x_max) Applikationsspezifische Anforderungen an x_max (für SOS)è 8.3.7 Basis der Betrachtung der Systemgenauigkeit. Die Einstellung von x_max erfolgt über P0B.01è 3.5.5 SOS – Sicherer Betriebshalt (Safe Operating Stop).

Parameter Name min. typisch max. Hinweis

x_max Positionstoleranzenbei SOS

– 1 mm 1,8 mm Positionsgrenzenè 8.3.7 Basis derBetrachtung derSystemgenauigkeitAbschnitt

phi_max Winkeltoleranzenan der Motorwellebei SOS

TypischeWerte SOS

4,0° 7,2° Beispielrechnungauf Basis Vorschub90 mm/U

Tab. 157 Typische Werte SOS

Das Sicherheitsmodul wird dafür wie folgt parametriert:

Technischer Anhang

265Festo — CAMC-G-S3 — 2019-12a

Page 266: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 123 Beispiel Festlegung der relevanten Parameter für Safe Operation Stop (SOS)

Basis für die Umrechnung dieser Beispiel-Daten von translatorischen auf rotatorische Größen: – Motor ohne Getriebe, – Achse EGC-80 mit einem Vorschub von 90 mm/U.

8.3.2 Genauigkeit der Überwachung der Geschwindigkeit (SLS, SSR) aus ApplikationssichtBei Anforderung der Sicherheitsfunktionen mit Geschwindigkeitsüberwachung, z. B. SLS, SSR, wirddie aktuelle Geschwindigkeit v_ist laufend erfasst und auf die Einhaltung bestimmter Grenzwerteüberwacht. Die Grenzwerte können sich dynamisch ändern, z. B. beim Anfordern von SLS, wenn zunächst auf diesicher begrenzte Geschwindigkeit abgebremst wird. Die Überwachung erfolgt in einem Geschwindigkeitsfenster von: v_min ≤ v_ist ≤ v_max Applikationsspezifische Anforderungen an v_max (für SLS)è 8.3.7 Basis der Betrachtung der Systemgenauigkeit. Die akzeptable Filterzeitkonstante t_filter_v in der Geschwindigkeitserfassung ergibt sich aus der Güteder analogen Signalverarbeitung auf dem Sicherheitsmodul (bei Positionsgebern mit analogen Signa-len, wie Resolver oder Hiperface-Geber) und aus der Positionsauflösung (Anzahl der Winkelschrittepro Motorumdrehung).Darüber hinaus gibt es bei dynamischen Änderungen einen „Einschwingvorgang“, bis die Geschwin-digkeit auf den neuen Sollwert einschwingt. Die Dauer ist von der Bandbreite des Drehzahlregelkrei-ses abhängig. Um eine hohe Anlagenverfügbarkeit zu gewährleisten, sollen kurze Einschwingvorgängeim Bereich der Bandbreite des Drehzahlregelkreises nicht zum Ansprechen der Überwachungseinrich-tung führen.Dafür ist eine Toleranzzeit t_tol_v vorgesehen. Für die Dauer von t_tol_v darf sich v_ist außerhalb desGeschwindigkeitsfensters bewegen, bevor die Verletzung der Sicherheitsbedingung ausgelöst wird.

Technischer Anhang

266 Festo — CAMC-G-S3 — 2019-12a

Page 267: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Parameter Name Min. typisch max. Hinweis

v_max Geschwindigkeits-begrenzung bei SLS

4 mm/s 250 mm/s ³ 10 m/s Geschwindigkeits-grenzenè 8.3.7 Basis derBetrachtung derSystemgenauigkeit

n_max Minimale Geschwin-digkeitsbegrenzungan der Motorwellebei SLS

2,1 1/min 167 1/min – Beispielrechnungauf Basis Vorschub90 mm/U

t_filter_v FilterzeitkonstanteGeschwindigkeits-erfassung

2 ms 8 ms ³ 100 ms Positionsgrenzenè 8.3.7 Basis derBetrachtung derSystemgenauigkeitAbschnitt

t_tol_v Toleranzzeit fürv_ist außerhalb deszulässigen Ge-schwindigkeitsbe-reich

0 ms 10 ms ³ 100 ms Typische Bandbrei-te der Geschwindig-keitsregelung f_gr= 100 Hz

Tab. 158 Typische Werte SLS

Die Auflösung des Geschwindigkeitssignals wird maßgeblich von der Güte der verwendeten Geber undvon der parametrierten Filterzeit des Geschwindigkeitsfilters bestimmt. Die Überwachung aufn_typ_min soll mit den klassischen Drehgebern, wie Resolver oder SIN/COS-Geber möglich sein, wennder Geschwindigkeitsfilter im Bereich von 20 ms parametriert wird (die Achse bewegt sich in 20 msbei 4 mm/s ja gerade einmal um 0,08 mm).

8.3.3 Festlegung der relevanten Parameter für Safe Speed Function (mit SLS, SSR)Das Sicherheitsmodul wird für die inè 8.3.2 Genauigkeit der Überwachung der Geschwindigkeit (SLS, SSR) aus Applikationssicht ermittel-ten Anforderungen wie folgt parametriert:

Technischer Anhang

267Festo — CAMC-G-S3 — 2019-12a

Page 268: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 124 Beispiel Festlegung der relevanten Parameter für Safe Speed Function (SLS, SSR)

Fig. 125 Beispiel Festlegung der Experten-Parameter für Safe Speed Function (SLS, SSR)

8.3.4 Anforderungen bei Geberfehlern aus ApplikationssichtDie Auswertung der Positionssensoren auf dem Sicherheitsmodul basiert auf einem der beiden folgen-den Grundprinzipien: a) Es stehen zwei redundante Positionsinformationen zur Verfügung, die auch redundant und separatvon zwei Mikrocontrollern ausgewertet werden, also auch zwei unabhängige Geschwindigkeitssignale.Beispiel: Motor mit EnDat-Geber + zweiter inkrementeller Positionssensor an der Achse. b) Es steht nur eine Positionsinformation „sicher“ zur Verfügung, die Information wird über die glei-chen Leitungen und über teilweise identische Schaltungsteile (z. B. Differenzverstärker für die Ein-

Technischer Anhang

268 Festo — CAMC-G-S3 — 2019-12a

Page 269: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

gangssignale) übertragen und auf dem Sicherheitsmodul redundant von zwei Mikrocontrollern ausge-wertet. Beispiel: Resolver (SIL2) oder SIN/COS-Geber mit SIL 2/SIL 3. – Fall a) Die Erkennung von Geberfehlern und Positionsabweichungen zwischen den Positionsge-

bern 1 und 2 ist „zeitunkritisch“, da die Überwachung über den jeweils anderen Geber immer ge-währleistet ist, auch wenn einer der Geber ausfällt.

– Fall b) Die Erkennung von Positionsabweichungen zwischen Mikrocontroller1 und Mikrocontrol-ler2 ist „zeitunkritisch“, da die Überwachung über den jeweils anderen Mikrocontroller immer ge-währleistet ist.Die Erkennung von Fehlern im Übertragungskanal (z. B. Kabel) und in den gemeinsam genutztenSchaltungsteilen für die Geberauswertung muss im Rahmen einer zu spezifizierenden Fehlerreak-tionszeit möglichst schnell erfolgen.Die Erkennung der Geberfehler beruht zu einem wesentlichen Teil auf einer Überwachung analo-ger Signale, Die Grenzen der Signalüberwachung haben Einfluss auf die resultierende Genauigkeitder Überwachung und auf den Diagnosedeckungsgrad è 8.2.3 Gebersysteme.

Die Überwachung der Positionsdifferenz muss nicht genauer sein, als in anderen Fehlerfällen.Der „Worst Case“ für eine unkontrollierte Bewegung der Achse ist ein Durchlegieren zweier Leistungs-halbleiter in der Endstufe des CMMP-AS-M3. Dieser Fehler führt im schlimmsten Fall zu einem Anru-cken der Achse um bis zu 180 ° elektrisch (== 45 ° an der Welle bei einem 8-poligen Motor).Anmerkung: Selbstverständlich muss das System so ausgelegt werden, dass dieser Fehler nicht zu ei-ner unzulässigen Positionsdifferenz führt – z. B. durch die Wahl eines geeignet geringen Vorschubsoder Getriebes.

HINWEIS!

Es besteht die Gefahr des Anruckens des Antriebs bei Mehrfachfehlern im CMMP-AS-...- M3. Falls während des Zustands STO die Endstufe des Motorcontrollers ausfällt (gleichzeitiger Kurzschlussvon 2 Leistungshalbleitern in unterschiedlichen Phasen), kann es zu einer begrenzten Rast-Bewegungdes Rotors kommen. Der Drehwinkel / Weg entspricht einer Polteilung. Beispiele:• Rotative Achse, Synchronmaschine, 8-polig è Bewegung < 45° an der Motorwelle.• Linearmotor, Polteilung 20 mm è  Bewegung < 20 mm am bewegten Teil.

Ermittlung Winkeldifferenz (dynamisch)

Erfassung von Signalfehlern im „gemeinsamen“ Übertra-gungsweg (Resolver, SIN/COS-Geber)

£ 2 ms

Positionsversatz beim „Durchlegieren“ zweier Leistungs-halbleiter (Worst Case)

ca. 60° an der Welle

Positionsversatz aufgrund zeitlich versetztem Abtastender Position von Mikrocontroller1 und Mikrocontroller2

ca. 1 ° an der Welle

Dynamischer Positionsversatz beim Beschleunigen typ. 30 ° an der Welle

Dauer des Ausgleichvorgangs typ. £ 10 ms

Technischer Anhang

269Festo — CAMC-G-S3 — 2019-12a

Page 270: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Ermittlung Winkeldifferenz (dynamisch)

Resultierende Gesamt-Positionsdifferenz ca. 0,167 U

Tab. 159 Betrachtung der möglichen Positionsdifferenz zwischen Mikrocontroller 1 und 2

Die Überwachung der Geschwindigkeitsdifferenz orientiert sich an den Auflösungen in der Geberaus-wertung und an dem möglichen Zeitversatz in der Erfassung zwischen Mikrocontroller 1 und Mikrocon-troller 2 bei maximaler Beschleunigung. Die zulässige Filterzeitkonstante ergibt sich gemäßè 8.3.7 Basis der Betrachtung der Systemgenauigkeit(è Tab. 164 Positionsgrenzen SOS, Filterzeiten).

Ermittlung Gesamtdrehzahldifferenz (dynamisch)

Auflösung Geberauswertung (roh)(wichtig für die Stillstandserkennung, P06.09)

ca. 20 1/min

Drehzahlversatz beim Beschleunigen ca. 120 1/min

Zeitversatz 1 Basistakt => £ 200 μs

Maximalbeschleunigung 0 → 5000 RPM innerhalb 1 ms

Drehzahlversatz beim Beschleunigen 200 μs x 6000 1/min / 10 ms

Resultierende Gesamtdrehzahldifferenz ca. 150 1/min

Filterzeitkonstante für Geschwindigkeitssignale typ. 8 ms

Tab. 160 Betrachtung der möglichen dynamischen Drehlzahldifferenz zwischen Mikrocontroller 1 und2

Die Toleranzzeit für die Geberüberwachung kann aufgrund der hohen Zuverlässigkeit (PFH) der Schal-tung nach oben ohne weiteres auf 100 ms gesetzt werden. Die Geberkonfiguration des Sicherheitsmoduls wird daraus abgeleitet wie folgt parametriert:

Fig. 126 Parametereinstellung für die Drehzahlerfassung

Technischer Anhang

270 Festo — CAMC-G-S3 — 2019-12a

Page 271: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 127 Parametereinstellung für den Vergleich Geber 1 – 2

8.3.5 Vektor-Längenüberwachung analoger Gebersignale (Resolver, SIN/COS-Geber)Das Sicherheitsmodul überwacht die analogen Gebersignale eines SIN/COS-Gebers oder Resolvers: – Die Spursignale ex (entspricht COS-Signal eines SINCOS-Gebers / Resolvers) und ey (entspricht

SIN-Signal eines SIN/COS-Gebers / Resolvers) werden gemessen. – Jedes Einzelsignal wird überwacht (Einhaltung des zulässigen Signalbereiches). Kurzschlüsse ein-

zelner Signale gegen GND / VCC und unzulässig hohe Signalpegel werden erkannt. – Zusätzlich wird die Vektorlänge berechnet:

– Die aktuell gemessene Vektorlänge e wird auf die Einhaltung parametrierbarer Grenzwerte ge-prüft: emin <e < emax (Parameter P06.0F, P06.10, P06.1A, P06.1B)

– Wenn eine Einzelsignal (ex, ey) oder der Vektor (e) außerhalb des zulässigen Bereiches liegt, wirdein Geberfehler ausgelöst und die Fehlerreaktion wird eingeleitet (Fehler der Gruppe 55-x).

Die Vektor-Längenüberwachung wird verwendet für die Erkennung verschiedener Fehler des Gebersund für die Erkennung von Fehlern in der analogen Signalerfassung è 8.2.3 Gebersysteme: – Ausfall eines Signals durch Kurzschluss, Unterbrechung, ... – Amplituden und Phasenfehler – Stuck-At-Fehler – Drift und Oszillation Der Maximale Fehlerwinkel bis zum Ansprechen der Vektor-Längenüberwachung ergibt sich auf Basisder Nenn-Vektorlänge erated unter Einbeziehung der Grenzwerte wie folgt:

Diagnose-Abdeckung der Vektor-Längenüberwachung:Der Diagnosedeckungsgrad kann aus dem Verhältnis der Spannungsflächen im x-y-Koordinatenraumunter der Annahme einer homogenen Verteilung der Spannungsfehler wie folgt berechnet werden:

Technischer Anhang

271Festo — CAMC-G-S3 — 2019-12a

Page 272: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Wert SIN/COS-Geber Resolver

Spannungsbereich der Gebersi-gnale ex, ey

0,5 V £ ex , ey £ 4,5 V –6,7 V £ ex , ey £ 6,7 V

Gesamtfläche des Spannungs-raumes Ftotal

Ftotal= (4,50 V – 0,50 V)2 Ftotal = (6,7 V – (-6,7 V))2

Anteil des „erlaubten“Spannungsbereiches Fvalid

Fvalid = π(emax2 – emin

2)

Fvalid = π(0,70 V2 – 0,21 V2)1)

Fvalid = π(0,60 V2 – 0,40 V2) 2)

Fvalid = π (2,20 V2 – 6,40 V2)1)

Fvalid = π (5,20 V2 – 6,40 V2) 2)

Diagnosedeckung DCvl

DCvl =1 – Fvalid/ Ftotal

DCvl =91 % 1)

DCvl =95 % 2)

DCvl = 37 %DCvl =76 % 2)

1) Werkseinstellung2) Einstellung mit reduzierter Toleranz

Tab. 161 Berechnung Diagnosedeckungsgrad

Die Diagnoseabdeckung der Vektorlängenüberwachung DCVL geht über die FMEA der möglichen Ge-berfehler in die Gesamt-Diagnosedeckung DCAV für das Gebersystem ein. DCAV liegt dabei meist deut-lich höher als DCVL.Die Parameter für die Vektor-Längenüberwachung sind im Auslieferzustand „relativ grob“ parame-triert, um den Betrieb mit vielen verschiedenen Gebern zu ermöglichen und eine maximale Verfügbar-keit im Falle externer Störeinwirkungen zu erzielen:

Fig. 128 Parametereinstellung für die analoge Signalüberwachung und Fehlererkennung

Die nachfolgende Tabelle fasst die weiteren Daten der Geber in den Festo Motorbaureihen zusammen.Angegeben sind die Nennwerte der Vektoren, die Periodenzahlen der Geber, die Werte für emin, emax

Technischer Anhang

272 Festo — CAMC-G-S3 — 2019-12a

Page 273: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

(siehe oben), die resultierenden maximalen Winkelfehler, bis die Fehlererkennung anspricht, DCVL so-wie der resultierende Gesamt-Diagnosedeckungsgrad DCAV für den Motor mit Gebersystem.

Positionsfeh-ler bei Vor-schub [mm/U]

Motor-baureihe

Geber 1 p0 emin erated emax Δemech

100 20

DCVL DCAV

EMMS-ASmit Resol-ver

Resolver 1 2,20 V 5,80 V 6,40 V 138° 38mm

7 mm 36 % 91 %

EMME-AS Hiperface-Geber

(SIN/COS-Geber)

16 0,21 V 0,50 V 0,70 V 8,6° 2,4mm

0,5mm

91% 93%

Servomo-tor mit Hi-perfaceGeber SKS36 / SKM36

Hiperface-Geber(SIN/COS-Geber)

128 0,21 V 0,50 V 0,70 V 1,1° 0,3mm

0,06mm

91% 93%

Tab. 162 Positionsfehler bis zum Ansprechen der Vektorlängenüberwachung sowie zugehöriger DC(Werkseinstellung)

Wenn die Diagnosedeckungsgrade zu klein sind, ist eine Einschränkung durch Änderung von emin undemax bis auf folgende Grenzwerte möglich (ggf. zulasten der Systemverfügbarkeit im gestörten indus-triellen Umfeld):

Positionsfeh-ler bei Vor-schub [mm/U]

Motor-baureihe

Geber 1 p0 emin erated emax Δemech

100 20

DCVL DCAV

EMMS-ASmit Resol-ver

Resolver 1 5,20 V 5,80 V 6,40 V 62° 17mm

3,4mm

75% 91%

EMME-AS Hiperface-Geber

(SIN/COS-Geber)

16 0,40 V 0,50 V 0,60 V 5,3° 1,5mm

0,3mm

95% 96%

Technischer Anhang

273Festo — CAMC-G-S3 — 2019-12a

Page 274: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Positionsfeh-ler bei Vor-schub [mm/U]

Motor-baureihe

Geber 1 p0 emin erated emax Δemech

100 20

DCVL DCAV

Servomo-tor mit Hi-perfaceGeber SKS36 / SKM36

Hiperface-Geber(SIN/COS-Geber)

128 0,40 V 0,50 V 0,60 V 0,7° 0,2mm

0,04mm

95% 96%

Tab. 163 Positionsfehler bis zum Ansprechen der Vektorlängenüberwachung sowie zugehöriger DC(Eingeschränkte Toleranzen)

Der Diagnosedeckungsgrad der Vektorlängenüberwachung DCVL geht in den Gesamt-Diagnosede-ckungsgrad für den Betrieb des CAMC-G-S3 mit dem entsprechenden Gebersystem ein. Viele Fehlerwerden aber auch bei "relativ grob" eingestellter Vektorlängenüberwachung sicher erkannt oder siewerden auch durch andere Mechanismen zur Fehlererkennung erkannt. Daher liegt der gesamt DCAV

höher als DCVL. Beispiel: Resolver mit Werkseinstellung für die Überwachung → DCVL = 37 %, aber im System wirdDCAV = 91 % erreicht.

HINWEIS!

Bitte prüfen Sie Ihre Applikation kritisch:• Welche Anforderungen werden an die Genauigkeit der Positions- bzw. Stillstandüberwachung ge-

stellt?Berücksichtigen Sie die in diesem Kapitel aufgeführten Einschränkungen bei ihrer Systemauswahl.

8.3.6 Auswirkung eines Winkelfehlers innerhalb der Fehlergrenzen der Vektor-Längenüberwa-chung auf das Geschwindigkeitssignal

Angenommen sei folgender Fall: Es liegt ein Fehler eines Gebersignals ex oder ey vor, dies kann z.B. einAmplitudenfehler sein. Der Fehler sei aber klein genug, so dass die Vektorlängenüberwachung nochnicht anspricht. Wenn sich die Achse mit konstanter Geschwindigkeit bewegt / die Welle mit konstanter Drehzahldreht, führt der Fehler zu „Schwankungen“ der aktuell gemessenen Momentan-Geschwindigkeit. Dieüber eine Geberperiode gemittelte Geschwindigkeit entspricht aber der tatsächlichen Bewegungsge-schwindigkeit.

Technischer Anhang

274 Festo — CAMC-G-S3 — 2019-12a

Page 275: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 129 Fehlerkurven auf dem Geschwindigkeitssignal (CH1) bei einer Verringerung der Signalamplitu-de von ex um 10%. Es ergibt sich eine Drehzahlwelligkeit von ebenfalls 10%. Die Messung erfolgte beiFremdantrieb der Welle mit konstanter Drehzahl.

Üblicherweise wird der Positionsgeber 1 auch im Grundgerät ausgewertet und für die Drehzahlrege-lung herangezogen. Das Grundgerät regelt jetzt auf die Schwankungen der Momentan-Geschwindig-keit. Zumindest bei niedrigen Frequenzen unterhalb der Grenzfrequenz des Drehzahlregelkreises wirddie vermeintliche Schwankung ausgeregelt, die Achse verfährt nicht mehr mit konstanter Geschwin-digkeit, sondern die tatsächliche Drehzahl schwankt, das Winkel- und das Geschwindigkeitssignal se-hen jetzt aber „gut“ ausDie Möglichkeit zur Detektion der Geschwindigkeitsfehler in Sicherheitsfunktionen, wie SLS oder SSRist daher von mehreren Faktoren abhängig: a) Wenn zusätzlich ein zweites Messsystems am Abtrieb verwendet wird, wird die Schwankung sichererkannt. Über das zweite Messsystem wird die Drehzahlschwankung korrekt erfasst, das Sicherheitsmodul er-kennt eine Überschreitung der Momentandrehzahl und geht in den sicheren Zustand. b) Es wird nur ein Gebersystem mit einer hohen Anzahl Perioden pro Umdrehung verwendet:Bereits bei niedrigen Geschwindigkeiten ergibt sich eine relativ hohe Frequenz, die nicht mehr ausge-regelt wird, die Drehzahlschwankung wird vom Sicherheitsmodul erkannt und es geht in den sicherenZustand.c) Es wird nur ein Gebersystem mit einer niedrigen Anzahl Perioden pro Umdrehung verwendet:Bei niedrigen Geschwindigkeiten ergibt sich eine niedrige Frequenz der Drehzahlschwankung, dieweitgehend ausgeregelt wird.c1) Das Sicherheitsmodul wird eine Überschreitung der mittleren Geschwindigkeit über eine Geberpe-riode sicher detektieren können.c2) Um sicherzustellen, dass die Momentandrehzahl ebenfalls überwacht wird, muss die Überwa-chungsgrenze reduziert werden. Beispiel zu c2): Überwachung der Resolver-Vektorlänge mit +/- 20% => Die zu überwachende Drehzahlmuss um den erwarteten Betrag der Drehzahlschwankung abgesenkt werden, also ebenfalls um 20%=> Bei einer geforderten Überwachung auf v = 200 mm /s wird die Überwachung auf v = 160 mm/seingestellt.

Technischer Anhang

275Festo — CAMC-G-S3 — 2019-12a

Page 276: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

HINWEIS!

Bitte prüfen Sie Ihre Applikation kritisch:• welche Anforderungen werden an die Geschwindigkeitsüberwachung gestellt?• ist eine Überwachung der mittleren Geschwindigkeit über eine Motorumdrehung ausreichend?Berücksichtigen Sie die in diesem Kapitel aufgeführten Einschränkungen bei ihrer Systemauswahl.

8.3.7 Basis der Betrachtung der Systemgenauigkeit

Positionsgrenzen SOS

Positionsüberwachung

Beispiel für die maximale Toleranz, erforderlicherWert muss bei der Risikobeurteilung festgelegtwerden

1,8 mm ist die oberste Grenze für SOS, d. h. dieAchse darf max. 1,8 mm in die Gefährdungsrich-tung fahren.

Geschwindigkeitsüberwachung

Übliche max. Filterzeiten 64 ms

Typischer Defaultwert Sofortige Erkennung mit 8 ms Überwachungstakt

Zusammenfassung

Typische zulässige Positionstoleranz +/ 1 mm

Typische Filterzeit 8 ms Filter, 2 ms Abtastzeit

Tab. 164 Positionsgrenzen SOS, Filterzeiten

Geschwindigkeitsgrenzen SLS

DIN EN 12417:200907 Werkzeugmaschinen – Sicherheit Bearbeitungszentren

Begrenzte Geschwindigkeit in Sonderbetriebsart

– geöffnete, trennende Schutzeinrichtungen 5 m/min = 83,3 mm/s

Begrenzte Geschwindigkeit bei Werkzeugwechsel, Wartungs oder Einstellarbeiten

– nur Stoßgefährdung 15 m/min = 250 mm/s

– Quetschgefährdung 2 m/min = 33,3 mm/s

DIN EN 23125:201010 Werkzeugmaschinen – Sicherheit Drehmaschinen

Begrenzte Geschwindigkeit im manuellen Betrieb

– bei kleinen Drehmaschinen 6 m/min = 100 mm/s

– bei großen Drehmaschinen 10 m/min = 166,7 mm/s

– Schließgeschwindigkeit Backenfutter 4 mm/s

– Achsbewegung 2 m/min = 33,3 mm/s

– Vorschubbewegung Pinole 1,2 m/min = 20 mm/s

Technischer Anhang

276 Festo — CAMC-G-S3 — 2019-12a

Page 277: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Geschwindigkeitsgrenzen SLS

EN 102181:201201 Industrieroboter – Sicherheitsanforderungen – Teil 1: Roboter

Begrenzte Geschwindigkeit 250 mm/s

Zusammenfassung

Wertebereich „Begrenzte Geschwindigkeit“

– Minimal 4 mm/s

– Maximal 250 mm/s

– Typische Filterzeit 8 ms Filter, 2 ms Abtastzeit.

Tab. 165 Geschwindigkeitsgrenzen SLS

Typische Daten einiger Linearachsen von Festo

Zahnriemenachsen EGC-TB-KF, mit Kugelumlaufführung

Baugröße 50 70 80 120 185

Teilung [mm] 2 3 3 5 8

Dehnung (max. Kraft) [%] 0,094 0,08 0,24 0,13 0,29

Wirkdurchmesser [mm] 18,46 24,83 28,65 39,79 73,85

Vorschubkonstante [mm/U] 58 78 90 125 232

Spindelachsen EGCBSKF, mit Kugelumlaufführung

Baugröße 70 80 120 185

Durchmesser [mm] 12 15 25 40

Steigung [mm/U] 10 10 20 10 25 40

Zahnriemenachsen DGEZR (hohe Geschwindigkeit, je nach Typ bis 10 m/s)

Baugröße 8 12 18 25 40 63

Teilung [mm] 2 2 2 3 5 8

Dehnung (max. Kraft) [%] 0,04 0,1 0,2 0,11 0,1 0,15

Wirkdurchmesser [mm] 10,18 12,09 16,55 20,05 31,83 56,02

Vorschubkonstante [mm/U] 32 28 52 63 100 176

Zahnriemenachsen ELGA-TB-G

Baugröße 70 80 120

Teilung [mm] 3 5 5

Dehnung (max. Kraft) [%] 0,31 0,19 0,23

Wirkdurchmesser [mm] 28,65 39,79 52,52

Vorschubkonstante [mm/U] 90 125 165

Technischer Anhang

277Festo — CAMC-G-S3 — 2019-12a

Page 278: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Typische Daten einiger Linearachsen von Festo

Linearantriebe, z. B. ELGLLAS, luftgelagert mit Linearmotor

Typische Polteilungen im Bereich 20 mm … 80 mm == 40 mm  … 160 mm Vorschub

Zusammenfassung

Wertebereich „Vor-schub“

Z : 20 mm/U …. 300 mm/U

Tab. 166 Typische Linearachsen von Festo – zu betrachtende Vorschubkonstanten

Positionsfaktor �Getriebeübersetzung * Inkremente�Umdrehung

Vorschubkonstante

Fig. 130

8.4 Statusmeldungen, Diagnose über Feldbus

8.4.1 Ausgabe von Statusmeldungen über die digitalen Ausgänge des GrundgerätesDer Motorcontroller kann wichtige Statusmeldungen des Sicherheitsmoduls auf den digitalen Ausgän-gen DOUT0 bis DOUT3 über die E/A Schnittstelle [X1] ausgeben. Die Konfiguration der digitalen Ausgänge erfolgt über das Festo Configuration Tool. Zur Ausgabe stehen die folgenden Sammelmeldungen (vergleicheè 3.10.2 Zustandsanzeige am Sicherheitsmodul) zur Verfügung:

VOUT Signal Name Funktion

40 VOUT_PS_EN Endstufenfreigabezulässig

Zustandsbit gibt an, ob der Motorcontrollerdie Endstufe einschalten kann.

41 VOUT_WARN Warnung Es ist mindestens ein Fehler der Priorität"Warnung" aufgetreten.

42 VOUT_SCV Sicherheitsbedin-gung verletzt

Mindestens eine Sicherheitsbedingungwurde verletzt.

43 VOUT_ERROR Fehler Das Sicherheitsmodul hat einen internenFehler festgestellt.

44 VOUT_SSR Sicherer Zustand er-reicht

Globales Bit "Safety State reached", alleangeforderten Sicherheitsfunktionen mel-den sicheren Zustand.

45 VOUT_SFR Sicherheitsfunktionangefordert

Globales Bit “Safety Function requested”,mindestens eine Sicherheitsfunktion wirdangefordert. Bleibt aktiv, bis alle Anforde-rungen zurückgesetzt sind.

Technischer Anhang

278 Festo — CAMC-G-S3 — 2019-12a

Page 279: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

VOUT Signal Name Funktion

46 VOUT_SERVICE Service-Zustand Zustand „Service“, keine Parameter vor-handen, Parameter ungültig oder Parame-triersitzung läuft.

47 VOUT_READY Betriebsbereit Zustand „Betriebsbereit“, keine Sicher-heitsfunktion angefordert.

Tab. 167 Statussignale des Sicherheitsmoduls zur Ausgabe über DOUTx des Grundgerätes

Die Statusmeldungen des CAMC-G-S3 sind kompatibel zu denen des CAMC-G-S1 (Sicherheitsmodulmit Sicherheitsfunktion „Safe Torque Off“). In Anwendungen mit einer gemischten Verwendung der Sicherheitsmodule wird so eine einheitlicheRückmeldung an die Steuerung erreicht.

8.4.2 Statusmeldungen über Feldbus – Protokoll CiA 402Der Motorcontroller verfügt über alle wesentlichen Informationen des Sicherheitsmoduls (Status, Mo-di, Fehler, IO). Für die Übertragung auf Bussystemen sind vor allem die folgenden Informationen rele-vant, um in einer Funktionalen Steuerung ein detailliertes Systemabbild zu schaffen: – Sammelstatusmeldungen über den Zustand des Sicherheitsmoduls (Normalbetrieb, Sicherheits-

funktion angefordert, Fehler, usw. (vergleiche è 3.10.2 Zustandsanzeige am Sicherheitsmodul). – Zustand der einzelnen Sicherheitsfunktionen (welche sind angefordert, welche sind erreicht). – Zustand der digitalen Ein und Ausgänge. Nachfolgend sind die entsprechenden CiA 402 Objekte aufgelistet, die Informationen über das Sicher-heitsmodul enthalten und die der CMMP-AS-...- M3 unterstützt.

Objekt 2000h: manufacturer_statuswordsUm weitere Reglerzustände abbilden zu können, die nicht im – häufig zyklisch abgefragten – status-word vorhanden sein müssen, wurde die Objektgruppe manufacturer_statuswords eingeführt, die fürdas Sicherheitsmodul erweitert wurde.

Index 2000h

Name manufacturer_statuswords

Object Code RECORD

No. of Elements 2

Tab. 168

Sub-Index 00h

Description manufacturer_statuswords

Data Type UINT8

Access ro

Technischer Anhang

279Festo — CAMC-G-S3 — 2019-12a

Page 280: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

PDO Mapping no

Units –

Value Range –

Default Value 1

Tab. 169

Sub-Index 01h

Description manufacturer_statusword_1

Data Type UINT32

Access ro

PDO Mapping yes

Units –

Value Range –

Default Value –

Tab. 170

manufacturer_statusword_1

Bit Signal Beschreibung

Bit 0 IS_REFERENCED Antrieb ist referenziert

Bit 1 COMMUTATION_ VALID Kommutierung gültig

Bit 2 READY_FOR_ENABLE Das Bit wird gesetzt, wenn alle Bedingungen vorliegen, umden Regler freizugeben und nur noch die Reglerfreigabeselber fehlt. Folgende Bedingungen müssen vorliegen: – Der Antrieb ist fehlerfrei.– Der Zwischenkreis ist geladen. – Die Winkelgeberauswertung ist bereit. Es sind keine

Prozesse (z. B. serielle Übertragung) aktiv, die eineFreigabe verhindern.

– Es ist kein blockierender Prozess aktiv (z. B. die auto-matische MotorparameterIdentifikation).

– STO ist nicht aktiv oder eine Sicherheitsfunktion ist ak-tiv, die die Freigabe zulässt.

Bit 3 IPO_IN_TARGET Positioniergenerator hat Profil abgeschlossen.

Bit4 … 7

CAM Reserviert und verwendet für die Kurvenscheibe.

Bit 8 SAFE_STANDSTILL „Sicherer Halt“ „H“ auf der 7-Segment-Anzeige.Verwendung durch Sicherheitsmodul CAMC-G-S1.

Technischer Anhang

280 Festo — CAMC-G-S3 — 2019-12a

Page 281: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

manufacturer_statusword_1

Bit Signal Beschreibung

Bit 9 …11

– Reserviert für Erweiterungen.

Bit 12 VOUT_PS_EN Zeigt an dass der Antrieb eingeschaltet werden kann (keineBegrenzungen durch Sicherheitsmodul).

Bit 13 VOUT_WARN Entspricht VOUT_WARN (VOUT41) des Sicherheitsmoduls.Es liegt mindestens ein Fehler vor, dessen Fehlerreaktionauf „Warnung“ parametriert ist.

Bit 14 VOUT_SCV Entspricht VOUT_SCV (VOUT 42) des Sicherheitsmoduls.Mindestens eine Sicherheitsbedingung wurde verletzt.

Bit 15 VOUT_ERROR Entspricht VOUT_ERROR (VOUT 43) des Sicherheitsmoduls.Es wurde ein interner Fehler festgestellt.

Bit 16 VOUT_SAVE_STAT Entspricht VOUT_SSR (VOUT 44) des Sicherheitsmoduls.Das Bit wird gesetzt, wenn im Sicherheitsmodul eine Si-cherheitsfunktion angefordert wurde und der sichere Zu-stand erreicht ist.

Bit 17 VOUT_SFR Entspricht VOUT_SFR (VOUT 45) des Sicherheitsmoduls.Das Bit wird gesetzt, wenn im Sicherheitsmodul mindes-tens eine Sicherheitsfunktion angefordert wird. Das Bitbleibt aktiv, bis alle Anforderungen zurückgesetzt sind.

Bit 18 VOUT_SERVICE Keine Parameter vorhanden, Parameter ungültig oder Para-metriersitzung läuft (vom CAMC-G-S1 nicht unterstützt). Zu-stand wird eingenommen, wenn das Sicherheitsmodul ge-gen einen anderen Typ getauscht wurde.

Bit 19 VOUT_READY Normalzustand: VOUT_READY= NOT(VOUT_SFR)

Bit 20 …31

– Reserviert.

Tab. 171 Bitbelegung manufacturer_statusword_1

Objekt 2600h: FSM_VOUTDiese Objekte bilden den Zustand des VOUT (0..64) ab.

Index 2600h

Name FSM_vout

Object Code RECORD

No. of Elements 2

Tab. 172

Technischer Anhang

281Festo — CAMC-G-S3 — 2019-12a

Page 282: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Sub-Index 01h

Description FSM_vout_0_31

Data Type UINT32

Access ro

PDO Mapping yes

Units –

Value Range –

Default Value –

Tab. 173

Bits 0..31 = VOUT0..31 des Sicherheitsmodul

Sub-Index 02h

Description FSM_vout_32_63

Data Type UINT32

Access ro

PDO Mapping yes

Units –

Value Range –

Default Value –

Tab. 174

Bits 0..31 = VOUT32..63 des Sicherheitsmodul

Objekt 2602h: FSM_IOLesen der Pegel an den Eingängen des Sicherheitsmodul

Index 2602h

Name FSM_io

Object Code RECORD

No. of Elements 1

Tab. 175

Sub-Index 01h

Description FSM_dig_io

Data Type UINT32

Access ro

PDO Mapping yes

Technischer Anhang

282 Festo — CAMC-G-S3 — 2019-12a

Page 283: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Units –

Value Range –

Default Value –

Tab. 176

FSM_dig_io

Bit Signal Beschreibung

Bit 0 LOUT48 Logischer Zustand DIN40 A/B

Bit 1 LOUT49 Logischer Zustand DIN41 A/B

Bit 2 LOUT50 Logischer Zustand DIN42 A/B

Bit 3 LOUT51 Logischer Zustand DIN43 A/B

Bit 4 LOUT52 Logischer Zustand DIN44

Bit 5 LOUT53 Logischer Zustand DIN45; Betriebsartenwahlschalter (1 aus3)

Bit 6 LOUT54 Logischer Zustand DIN46; Betriebsartenwahlschalter (1 aus3)

Bit 7 LOUT55 Logischer Zustand DIN47; Betriebsartenwahlschalter (1 aus3)

Bit 8 LOUT56 Fehlerquittierung über DIN48

Bit 9 LOUT57 Beenden Sicherheitsfunktion über DIN49

Bit 10 LOUT58 Logischer Zustand Zweihandbediengerät (Paar aus 2 xDIN4x)

Bit 11 LOUT59 Rückmeldung Haltebremse

Bit12 … 15

LOUT60… 63 Nicht belegt

Bit 16 LOUT64 Zustand des Ausgangs DOUT40

Bit 17 LOUT65 Zustand des Ausgangs DOUT41

Bit 18 LOUT66 Zustand des Ausgangs DOUT42

Bit 19 LOUT67 Zustand des Melderelais

Bit 20 LOUT68 Bremsansteuerung

Bit 21 LOUT69 Zustand des SS1Steuersignals

Bit 22 …31

LOUT70 ... Nicht belegt

Tab. 177 Bitbelegung FSM_dig_io

Technischer Anhang

283Festo — CAMC-G-S3 — 2019-12a

Page 284: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

8.4.3 Statusmeldungen über Feldbus – Protokoll FHPPDer Motorcontroller verfügt über alle wesentlichen Information des Sicherheitsmoduls (Status, Modi,Fehler, IO). Für die Übertragung auf Bussystemen sind vor allem die folgenden Informationen relevant,um in einer Funktionalen Steuerung ein detailliertes Systemabbild zu schaffen: – Sammelstatusmeldungen über den Zustand des Sicherheitsmoduls (Normalbetrieb, Sicherheits-

funktion angefordert, Fehler, ... (vergleiche è 3.10.2 Zustandsanzeige am Sicherheitsmodul).– Zustand der einzelnen Sicherheitsfunktionen (welche sind angefordert, welche sind erreicht). – Zustand der digitalen Ein und Ausgänge. Nachfolgend sind die entsprechenden Objekte für das Kommunikationsprotokoll FHPP (Festo Handha-ben und Positionieren) aufgelistet, die Informationen über das Sicherheitsmodul enthalten.

FSM_STATE über FHPP

PNU 280 Safety State (Safety Status)

Subindex 01 Klasse: Var Datentyp: uint32 ab FW4.0.1501.2.1

Zugriff: ro

Statuswort der Sicherheitsfunktion.

Bit Name Wert Bedeutung

0 … 7 – 0x0000 00FF Reserviert.

Freigabe der Endstufe möglich.

CAMC-G-S3: VOUT_PS_EN = NOT (VOUT_SFR).

8 VOUT_PS_EN 0x0000 0100

CAMC-G-S1: Keiner der Eingänge STO-A oderSTO-B wurde geschaltet.

Warnung. Es liegt mindestens ein Fehler vor,dessen Fehlerreaktion auf „Warnung“ parame-triert ist.

CAMC-G-S3: VOUT_WARN (VOUT41).

9 VOUT_WARN 0x0000 0200

CAMC-G-S1: Reserviert.

Mindestens eine Sicherheitsbedingung wurdeverletzt.

CAMC-G-S3: VOUT_SCV (VOUT 42).

10 VOUT_SCV 0x0000 0400

CAMC-G-S1: Reserviert.

Interner Fehler (Sammelfehlermeldung) des Si-cherheitsmoduls.

CAMC-G-S3: VOUT_ERROR ( VOUT 43).

11 VOUT_ERROR 0x0000 0800

CAMC-G-S1: Diskrepanzzeit verletzt.

12 VOUT_SSR 0x0000 1000 Sicherheitsstatus erreicht (Sammelmeldung).

Technischer Anhang

284 Festo — CAMC-G-S3 — 2019-12a

Page 285: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

PNU 280 Safety State (Safety Status)

Subindex 01 Klasse: Var Datentyp: uint32 ab FW4.0.1501.2.1

Zugriff: ro

CAMC-G-S3: VOUT_SSR (VOUT 44) Das Bit wirdgesetzt, wenn im Sicherheitsmodul bei allen an-geforderten Sicherheitsfunktionen der sichereZustand erreicht ist.

12 VOUT_SSR 0x0000 1000

CAMC-G-S1: STO aktiv.

Sicherheitsfunktion angefordert.

CAMC-G-S3: VOUT_SFR (VOUT 45):Das Bit wird gesetzt, wenn im Sicherheitsmodulmindestens eine Sicherheitsfunktion angefor-dert wird. Das Bit bleibt aktiv, bis alle Anforde-rungen zurückgesetzt sind.

13 VOUT_SFR 0x0000 2000

CAMC-G-S1: Mindestens einer der EingängeSTO-A oder STO-B wurde geschaltet.

Servicemeldung.

CAMC-G-S3: Zustand wird eingenommen,… …nach einem Modultausch,…im Auslieferzustand, …bei einer Parametriersitzung.

14 VOUT_SERVICE 0x0000 4000

CAMC-G-S1: Reserviert.

Ready. Normalzustand, keine Sicherheitsfunkti-on angefordert.

CAMC-G-S3: VOUT_READY= NOT(VOUT_SFR).

15 VOUT_READY 0x0000 8000

CAMC-G-S1: kein STO angefordert.

16… 31 – 0xFFFF 0000 Reserviert.

Tab. 178

PNU 281 FSM Status word (FSM Statuswort)

Subindex 01 … 02 Klasse: Array Datentyp: uint32 ab FW 4.0.1501.2.1

CAMC-G-S3: Inhalt des Statusworts VOUT (0 … 63).

Subindex 01 Lower Bytes (Untere Bytes)

Bits 0 … 31 = VOUT_0 … 31 des Sicherheitsmoduls CAMC-G-S3.

Technischer Anhang

285Festo — CAMC-G-S3 — 2019-12a

Page 286: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

PNU 281 FSM Status word (FSM Statuswort)

Subindex 02 Upper Bytes (Obere Bytes)

Bits 0 … 31 = VOUT_32 … 63 des Sicherheitsmoduls CAMC-G-S3.

Tab. 179 PNU 281

PNU 282 FSM IO (FSM IO)

Subindex 01 Klasse: Var Datentyp: uint32 ab FW4.0.1501.2.1

Zugriff: ro

CAMC-G-S3: Pegel an den Eingängen des Sicherheitsmoduls.

Bit Signal Bedeutung

0 LOUT48 Logischer Zustand DIN40A/B

1 LOUT49 Logischer Zustand DIN41A/B

2 LOUT50 Logischer Zustand DIN42A/B

3 LOUT51 Logischer Zustand DIN43A/B

4 LOUT52 Logischer Zustand DIN44

5 LOUT53 Logischer Zustand DIN45; Betriebsartenwahlschalter (1 aus 3)

6 LOUT54 Logischer Zustand DIN46; Betriebsartenwahlschalter (1 aus 3)

7 LOUT55 Logischer Zustand DIN47; Betriebsartenwahlschalter (1 aus 3)

8 LOUT56 Logischer Zustand Fehlerquittierung über DIN48

9 LOUT57 Logischer Zustand Beenden Sicherheitsfunktion über DIN49

10 LOUT58 Logischer Zustand Zweihandbediengerät (Paar aus 2 x DIN4x)

11 LOUT59 Rückmeldung Haltebremse

12 . 15 LOUT60 … 63 Nicht belegt

16 LOUT64 Logischer Zustand des Ausgangs DOUT40

17 LOUT65 Logischer Zustand des Ausgangs DOUT41

18 LOUT66 Logischer Zustand des Ausgangs DOUT42

19 LOUT67 Logischer Zustand des Melderelais

20 LOUT68 Logischer Zustand der Bremsansteuerung

21 LOUT69 Logischer Zustand des SS1-Steuersignals

22 … 31 LOUT70 … 79 Nicht belegt.

Tab. 180 PNU 282

Technischer Anhang

286 Festo — CAMC-G-S3 — 2019-12a

Page 287: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

8.5 Messdaten aufzeichnen – „Trace“

8.5.1 ÜbersichtZur Diagnose können Sie mit der Trace-Funktion (Oszilloskopfunktion) des FCT-PlugIn CMMP-AS zu-sätzlich zu den normalen Daten des Motorcontrollers auch Messdaten des Sicherheitsmoduls auf-zeichnen.

Die aufgenommenen Messdaten dienen der Fehlersuche. Sie sind nicht sicherheitsrelevant.

Die Parametrierung der Messdaten und Aufzeichnung erfolgt über FCT (è 8.5.2 Konfigurieren). Sie können bis zu vier numerische oder digitale Daten parallel aufzeichnen. Verfügbar sind für das Si-cherheitsmodul folgende Daten:

Daten Beschreibung

Numerische Daten

Obere Grenze Drehzahlsollwert1) Aktuelle obere Begrenzung der Geschwindigkeit im Grundgerät,vom Sicherheitsmodul vorgegebene Grenze.

Untere GrenzeDrehzahlsollwert1)

Aktuelle untere Begrenzung der Geschwindigkeit im Grundgerät,vom Sicherheitsmodul vorgegebene Grenze.

CAMC-G-S3: Drehzahl - Istwert Drehzahl-Istwert aus dem Sicherheitsmodul.

CAMC-G-S3: Position - Istwert Positions-Istwert aus dem Sicherheitsmodul.

CAMC-G-S3: Aktuell überwachteGeschw.-Obergrenze

Aktuelle vom Sicherheitsmodul überwachte obere Begrenzung derGeschwindigkeit.

CAMC-G-S3: Aktuell überwachteGeschw.-Untergrenze

Aktuelle vom Sicherheitsmodul überwachte untere Begrenzungder Geschwindigkeit.

Frei wählbares KO … Mit dieser Auswahl können beliebige Parameter aufgezeichnetwerden è 8.5.2 Konfigurieren.

Digitale Daten

CAMC-G-S3: … Statusbits des Sicherheitsmoduls

CAMC-G-S3: DIN40A Physikalischer Zustand des Eingangs DIN40A… Physikalische Zustände der weiteren Eingänge … 

CAMC-G-S3: DOUT40A Physikalischer Zustand des Ausgangs DOUT40A… Physikalische Zustände der weiteren Ausgänge …

CAMC-G-S3: C1/C2 Physikalischer Zustand des Relaiskontakts C1/C2

1) Daten vom Grundgerät

Tab. 181 Messdaten für das Sicherheitsmodul

Technischer Anhang

287Festo — CAMC-G-S3 — 2019-12a

Page 288: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

8.5.2 KonfigurierenDie aufgezeichneten Daten werden wie üblich im FCT-PlugIn CMMP-AS auf der Seite „Messdaten konfi-gurieren“ festgelegt.Für das Sicherheitsmodul sind die in è Tab. 181 Messdaten für das Sicherheitsmodul enthaltenen zu-sätzlichen numerischen und digitalen Daten verfügbar.

Fig. 131 Messdaten konfigurieren

Mit Ausnahme von „Frei wählbares KO ...“ können Sie die Einträge direkt einstellen. Für die frei wählbaren KOs (Kommunikationsobjekte) wird ein spezieller Dialog geöffnet:

Fig. 132 Frei wählbares Kommunikationsobjekt

1. Aktivieren Sie zuerst für die Messdaten des Sicherheitsmoduls das Register „CAMC-G-S3: Sicher-heitsmodul“.

Technischer Anhang

288 Festo — CAMC-G-S3 — 2019-12a

Page 289: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

2. Geben Sie unter „Frei wählbares KO“ die Nummer als hexadezimalen Wert ein. Die Nummer ent-spricht der Parameter-Nummer ohne „P“ und den Punkt, im Beispiel „639“ für P06.39 – Istwertder sicheren Geschwindigkeit. Die Parameter-Nummer wird unten angezeigt.Nützliche Parameter finden Sie z. B in è 9.2 Liste zusätzlicher Parameter,è Tab. 190 Fehlermanagement.

3. Unter „Filter“ können Sie eine Maske festlegen, z. B. für Bit-Arrays oder andere digitale Daten. 4. Wählen Sie unter „Maßeinheit“ den richtigen Eintrag für die Messgröße aus, damit diese später

im Diagramm richtig angezeigt wird. Zum Ändern der Einstellungen wählen Sie einfach erneut den Eintrag „Frei wählbares KO ...“.

8.5.3 Trace startenNormalerweise werden die Einstellungen der Seite „Messdaten konfigurieren“ automatisch beim Star-ten des Trace an den Motorcontroller übertragen. Dies ist nicht möglich, wenn ein SicherheitsmodulCAMC-G-S3 installiert ist, da die vom Sicherheitsmodul ermittelten Messdaten erst nach einem Neu-start wirksam werden. Deshalb wird vom FCT-PlugIn folgender Dialog angezeigt, sobald einer oder mehrere der in"è Tab. 181 Messdaten für das Sicherheitsmodul" enthaltenen Daten ausgewählt wird (mit Ausnah-me der als Daten vom Grundgerät gekennzeichneten).

Fig. 133 Daten sicheren und erneut starten

Dies ist jeweils einmalig nach dem Öffnen des PlugIns CMMP-AS im FCT notwendig oder nach jeder Än-derung der Messdaten. Nach dem Neustart des Motorcontrollers können Sie das Trace wie gewohnt starten.

8.5.4 BeispielEs soll eine Verletzung der Sicherheitsbedingung bei SS1 aufgezeichnet werden. Als Trigger wirdDOUT42 durch VOUT_SCV „Safety Condition Violated“ angefordert.

Technischer Anhang

289Festo — CAMC-G-S3 — 2019-12a

Page 290: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 134 Beispiel Messdaten konfigurieren

Wie im Bild erkennbar, werden folgende Daten eingestellt: – Trace Kanal 1 – Numerische Daten – CAMC-G-S3: Aktuell überwachte Geschwindigkeit Obergrenze – Trace Kanal 2 – Numerische Daten – CAMC-G-S3: KO: 0x639, Filter 0xFFFFFFFF

(P06.39 – Istwert der sicheren Geschwindigkeit)– Trace Kanal 3 – Numerische Daten – CAMC-G-S3: Aktuell überwachte Geschwindigkeit Untergren-

ze – Trace Kanal 4 – Digitale Daten – CAMC-G-S3: DOUT42B

Damit ergibt sich z. B. folgendes Diagramm:

Technischer Anhang

290 Festo — CAMC-G-S3 — 2019-12a

Page 291: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fig. 135 Beispiel Diagramm

9 Referenzliste für Steuersignale und Parameter

9.1 Liste aller Logiksignale

9.1.1 Logische Eingänge LINDie logischen Eingänge sind zu einem Bitvektor mit einer Länge von 128 Bit zusammengefasst. Es las-sen sich folgende Bereiche im Bitvektor unterscheiden:

LIN Name Funktion

0 –

 …  …

63 –

Reserviert für den späteren Ausbau der Funktionalität des Si-cherheitsmoduls, immer Null.

Referenzliste für Steuersignale und Parameter

291Festo — CAMC-G-S3 — 2019-12a

Page 292: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

LIN Name Funktion

64 LIN_USF0_SSR… …

95 LIN_READY

Zurückgeführte virtuelle Ausgangssignale VOUT (Statusmeldun-gen der Sicherheitsfunktionen, Sammelmeldungen). Diese können somit logisch mit Eingangssignalen verknüpftwerden.

96 LIN_D40… …

127 LIN_STATIC_ONE

Logischer Zustand der digitalen Eingänge DIN40…DIN49 sowieder Ausgangssignale der Logikfunktionen und einige Hilfszu-stände.

Tab. 182 Zusammensetzung des Bitvektors der Logischen Eingänge

Der aktuelle Zustand des Bit-Vektors LIN kann über die Kommunikationsobjekte gelesen werden: • Bit 00 ... Bit 31: P04.20• Bit 32 ... Bit 63: P04.21 • Bit 64 ... Bit 95: P04.22 • Bit 66 ... Bit 127:P04.23

Abbildung der physikalischen Eingänge auf die logischen EingängeDie Physikalischen Eingänge werden wie folgt auf die logischen Eingänge abgebildet (angegeben istder stationäre Zustand nach Filterung, Testimpulsauswertung usw.):

LIN Name Funktion

96 LIN_D40 Bit LIN_D40 gesetzt, wenn DIN40 A/B = 0 V (Ruhestromprinzip)1)

97 LIN_D41 Bit LIN_D41 gesetzt, wenn DIN41 A/B = 0 V (Ruhestromprinzip)1)

98 LIN_D42 Bit LIN_D42 gesetzt, wenn DIN42 A/B = 0 V (Ruhestromprinzip)1)

99 LIN_D43 Bit LIN_D43 gesetzt, wenn DIN43 A/B = 0 V (Ruhestromprinzip)1)

100 LIN_D44 Bit LIN_D44 gesetzt, wenn DIN44 = 24 V

101 LIN_D45 Bit LIN_D45 gesetzt, wenn DIN47 = 0 V und DIN46 = 0 V und DIN45 = 24 V

102 LIN_D46 Bit LIN_D46 gesetzt, wenn DIN47 = 0 V und DIN46 = 24 V und DIN45 = 0 V

103 LIN_D47 Bit LIN_D47 gesetzt, wenn DIN47 = 24 V und DIN46 = 0 V und DIN45 = 0 V

104 LIN_D48 Bit LIN_D48 gesetzt, wenn DIN48 = 24 V ist

105 LIN_D49 Bit LIN_D49 gesetzt, wenn DIN49 = 24 V ist

1) Gilt für Konfiguration als äquivalenter Eingang. Konfiguration als antivalenter Eingang entsprechend: LIN_DIN4x gesetzt, wenn D4xA =0 V und D4xB = 24 V.

Tab. 183 Logische Eingänge, Pegelzuordnung zu den physikalischen Eingängen

Referenzliste für Steuersignale und Parameter

292 Festo — CAMC-G-S3 — 2019-12a

Page 293: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Beachten Sie, dass LIN_D40 ... LIN_D43 eine spezielle Zuordnung zu den Spannungspegeln haben.Damit können die logischen Eingänge den Sicherheitsfunktionen (z. B. STO anfordern) ohne Invertie-rung zugeführt werden, so dass das Ruhestromprinzip (Eingang 0 V = STO angefordert) erreicht wird.

Logische Eingänge nach der Vorverarbeitung sowie HilfsfunktionenAbbild der physischen Eingänge nach der Vorverarbeitung (Zeiterwartung, 1 aus n etc..)

LIN Name Funktion

96 LIN_D40 Logischer Zustand DIN40 A/B

97 LIN_D41 Logischer Zustand DIN41 A/B

98 LIN_D42 Logischer Zustand DIN42 A/B

99 LIN_D43 Logischer Zustand DIN43 A/B

100 LIN_D44 Logischer Zustand DIN44

101 LIN_D45 Logischer Zustand DIN45; Betriebsartenwahlschalter (1 aus 3)Logischer Zustand DIN45 47 (1 aus 3) DIN45

102 LIN_D46 Logischer Zustand DIN45 47 (1 aus 3) DIN46

103 LIN_D47 Logischer Zustand DIN45 47 (1 aus 3) DIN47

104 LIN_D48 Logischer Zustand DIN48

105 LIN_D49 Logischer Zustand DIN49

106 LIN_2HAND_CTRL Logischer Zustand Zweihandbediengerät (Pärchen aus 2 x DIN4x)

107 LIN_BRAKE_X6_FB Rückmeldung Haltebremse

117 LIN_PWSTG_ON Grundgerät Endstufe aktiv

121 LIN_D45_SAFE Logischer Zustand DIN45 nach Auswertung Betriebsartenwahlschalter

122 LIN_D46_SAFE DIN46 nach Betriebsartenwahlschalter-Auswertung

123 LIN_D47_SAFE DIN47 nach Betriebsartenwahlschalter-Auswertung

124 LIN_D49_RISING_E-DGE

Logischer „1“ Impuls mit ca. 2 ms – 10 ms Länge nach jeder steigen-den Flanke des Signals LIN_D49. Vorgesehen für flankensensitives Be-enden Sicherheitsfunktion.

125 LIN_AFTER_RST_P-ULSE

Logischer „1“ Impuls mit ca. 2 ms – 10 ms Länge nach jedem RESET.Vorgesehen zum erstmaligen automatischen Setzen einer Sicherheits-funktions-Anforderung nach Power ON oder nach einem System-RESET.

126 LIN_STATIC_ZERO Immer „0“

127 LIN_STATIC_ONE Immer „1“

Tab. 184 Logische Eingänge nach der Vorverarbeitung

Referenzliste für Steuersignale und Parameter

293Festo — CAMC-G-S3 — 2019-12a

Page 294: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Als logische Eingänge zurückgeführte virtuelle Ausgänge

LIN Name Funktion

64 LIN_USF0_SSR Sicherer Zustand USF0 erreicht

65 LIN_USF1_SSR Sicherer Zustand USF1 erreicht

66 LIN_USF2_SSR Sicherer Zustand USF2 erreicht

67 LIN_USF3_SSR Sicherer Zustand USF3 erreicht

75 LIN_SBC_SSR Sicherer Zustand SBC erreicht

76 LIN_SS2_SSR Sicherer Zustand SS2 erreicht

77 LIN_SOS_SSR Sicherer Zustand SOS erreicht

78 LIN_SS1_SSR Sicherer Zustand SS1 erreicht

79 LIN_STO_SSR Sicherer Zustand STO erreicht

80 LIN_ALF0_OUT "Additional Logic Function" für Feedback oder eigene Logik

81 LIN_ALF1_OUT "Additional Logic Function" für Feedback oder eigene Logik

82 LIN_ALF2_OUT "Additional Logic Function" für Feedback oder eigene Logik

83 LIN_ALF3_OUT "Additional Logic Function" für Feedback oder eigene Logik

84 LIN_ALF4_OUT "Additional Logic Function" für Feedback oder eigene Logik

85 LIN_ALF5_OUT "Additional Logic Function" für Feedback oder eigene Logik

86 LIN_ALF6_OUT "Additional Logic Function" für Feedback oder eigene Logik

87 LIN_ALF7_OUT "Additional Logic Function" für Feedback oder eigene Logik

88 LIN_PS_EN Zustandsbit gibt an, ob der Motorcontroller die Endstufe einschaltenkann.

89 LIN_WARN Es ist mindestens ein Fehler der Priorität "Warnung" aufgetreten.

90 LIN_SCV Mindestens eine der Sicherheitsbedingungen wurde verletzt.

91 LIN_ERROR Das Sicherheitsmodul hat einen internen Fehler festgestellt.

92 LIN_SSR Globales Bit "Safe State Reached", im Sicherheitsmodul wird mindes-tens eine Sicherheitsfunktion angefordert. Das Bit bleibt aktiv, bis alleAnforderungen zurückgesetzt sind.

93 LIN_SFR Globales Bit “Safety Function requested”, mindestens eine Sicherheits-funktion ist angefordert, aber noch nicht erreicht.

94 LIN_SERVICE Zustand Service, keine Parameter vorhanden, Parameter ungültig oderParametriersitzung läuft.

95 LIN_READY Zustand Betriebsbereit, keine Sicherheitsfunktion angefordert

Tab. 185 Logische Eingänge, zurückgeführte virtuelle Ausgänge

Referenzliste für Steuersignale und Parameter

294 Festo — CAMC-G-S3 — 2019-12a

Page 295: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

9.1.2 Virtuelle Eingänge VINDie virtuellen Eingänge sind die Eingänge der Sicherheitsfunktionen und der zusätzlichen Logikfunk-tionen (ALF = additional logic function). Es gelten folgende Abkürzungen: – "RSF" = Request Safety Function (Sicherheitsfunktion anfordern)– "CSF" = Clear Safety Function, Beenden Sicherheitsfunktion nach verletzter SicherheitsbedingungDie virtuellen Eingänge sind zu einem Bitvektor mit einer Länge von 64 Bit zusammengefasst.

Der aktuelle Zustand des Bit-Vektors VIN kann über die Kommunikationsobjekte gelesen werden: • Bit 00 ... Bit 31: P04.24 • Bit 32 ... Bit 63: P04.25

Abbild der virtuellen Eingänge

VIN Name Funktion

0 VIN_USF0_RSF Sicherheitsfunktion USF0 anfordern

1 VIN_USF1_RSF Sicherheitsfunktion USF1 anfordern

2 VIN_USF2_RSF Sicherheitsfunktion USF2 anfordern

3 VIN_USF3_RSF Sicherheitsfunktion USF3 anfordern

4 –

 …  …

10 –

Reserviert, immer Null

11 VIN_SBC_RSF Sicherheitsfunktion SBC anfordern

12 VIN_SS2_RSF Sicherheitsfunktion SS2 anfordern

13 VIN_SOS_RSF Sicherheitsfunktion SOS anfordern

14 VIN_SS1_RSF Sicherheitsfunktion SS1 anfordern

15 VIN_STO_RSF Sicherheitsfunktion STO anfordern

16 VN_USF0_CSF Anforderung USF0 beenden

17 VIN_USF1_CSF Anforderung USF1 beenden

18 VIN_USF2_CSF Anforderung USF2 beenden

19 VIN_USF3_CSF Anforderung USF3 beenden

27 VIN_SBC_CSF Anforderung SBC beenden

28 VIN_SS2_CSF Anforderung SS2 beenden

29 VIN_SOS_CSF Anforderung SOS beenden

30 VIN_SS1_CSF Anforderung SS1 beenden

31 VIN_STO_CSF Anforderung STO beenden

Referenzliste für Steuersignale und Parameter

295Festo — CAMC-G-S3 — 2019-12a

Page 296: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

VIN Name Funktion

32 VIN_ALF0_IN Eingang zusätzliche Logikfunktion ALF0

33 VIN_ALF1_IN Eingang zusätzliche Logikfunktion ALF1

34 VIN_ALF2_IN Eingang zusätzliche Logikfunktion ALF2

35 VIN_ALF3_IN Eingang zusätzliche Logikfunktion ALF3

36 VIN_ALF4_IN Eingang zusätzliche Logikfunktion ALF4

37 VIN_ALF5_IN Eingang zusätzliche Logikfunktion ALF5

38 VIN_ALF6_IN Eingang zusätzliche Logikfunktion ALF6

39 VIN_ALF7_IN Eingang zusätzliche Logikfunktion ALF7

40 –

…  … 

47 –

Reserviert für Erweiterungen der ALF, immer Null

48 –

… …

59 –

Reserviert für den späteren Ausbau der Funktionalität des Sicherheits-moduls, immer Null

60 VIN_ERR_QUIT Fehler quittieren

61 – Reserviert, immer Null

62 – Reserviert, immer Null

63 VIN_BRK_ACK Rückmeldung Haltebremse

Tab. 186 Virtuelle Eingänge

9.1.3 Virtuelle Ausgänge VOUTDie virtuellen Ausgänge sind die Ausgänge der Sicherheitsfunktionen und der zusätzlichen Logikfunk-tionen. Sie sind definiert in Begriffen wie „SS1_Sicherer_Zustand_erreicht“. Es gelten folgende Abkür-zungen: SSR = Safety Function Requested (Sicherheitsfunktion angefordert) SSR = Safe State Reached (Sicherer Zustand erreicht) Die virtuellen Ausgänge sind zu einem Bitvektor mit einer Länge von 64 Bit zusammengefasst. Ausge-wählte virtuelle Ausgangsignale werden als logische Eingänge in die Verarbeitung zurück gespeist,vergleiche è Als logische Eingänge zurückgeführte virtuelle Ausgänge.

Der aktuelle Zustand des Bit-Vektors VIN kann über die Kommunikationsobjekte gelesen werden: • Bit 00 ... Bit 31: P05.10 • Bit 32 ... Bit 63: P05.11

Referenzliste für Steuersignale und Parameter

296 Festo — CAMC-G-S3 — 2019-12a

Page 297: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

VOU-T

Name Funktion

0 VOUT_USF0_SFR Sicherheitsfunktion USF0 angefordert

1 VOUT_USF1_SFR Sicherheitsfunktion USF1 angefordert

2 VOUT_USF2_SFR Sicherheitsfunktion USF2 angefordert

3 VOUT_USF3_SFR Sicherheitsfunktion USF3 angefordert

4 –

… …

10 –

Reserviert, immer Null

11 VOUT_SBC_SFR Sicherheitsfunktion SBC angefordert

12 VOUT_SS2_SFR Sicherheitsfunktion SS2 angefordert

13 VOUT_SOS_SFR Sicherheitsfunktion SOS angefordert

14 VOUT_SS1_SFR Sicherheitsfunktion SS1 angefordert

15 VOUT_STO_SFR Sicherheitsfunktion STO angefordert

16 VOUT_USF0_SSR sicherer Zustand USF0 erreicht

17 VOUT_USF1_SSR sicherer Zustand USF1 erreicht

18 VOUT_USF2_SSR sicherer Zustand USF2 erreicht

19 VOUT_USF3_SSR sicherer Zustand USF3 erreicht

20 –

… …

26 –

Reserviert, immer Null

27 VOUT_SBC_SSR sicherer Zustand SBC erreicht

28 VOUT_SS2_SSR sicherer Zustand SS2 erreicht

29 VOUT_SOS_SSR sicherer Zustand SOS erreicht

30 VOUT_SS1_SSR sicherer Zustand SS1 erreicht

31 VOUT_STO_SSR sicherer Zustand STO erreicht

32 VOUT_ALF0_OUT Ausgang zusätzliche Logikfunktion ALF0

33 VOUT_ALF1_OUT Ausgang zusätzliche Logikfunktion ALF1

34 VOUT_ALF2_OUT Ausgang zusätzliche Logikfunktion ALF2

35 VOUT_ALF3_OUT Ausgang zusätzliche Logikfunktion ALF3

36 VOUT_ALF4_OUT Ausgang zusätzliche Logikfunktion ALF4

37 VOUT_ALF5_OUT Ausgang zusätzliche Logikfunktion ALF5

38 VOUT_ALF6_OUT Ausgang zusätzliche Logikfunktion ALF6

Referenzliste für Steuersignale und Parameter

297Festo — CAMC-G-S3 — 2019-12a

Page 298: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

VOU-T

Name Funktion

39 VOUT_ALF7_OUT Ausgang zusätzliche Logikfunktion ALF7

40 VOUT_PS_EN Zustandsbit gibt an, ob der Motorcontroller die Endstufe einschaltenkann

41 VOUT_WARN Es ist mindestens ein Fehler der Priorität "Warnung" aufgetreten

42 VOUT_SCV Mindestens eine Sicherheitsbedingung wurde verletzt

43 VOUT_ERROR Das Sicherheitsmodul hat einen internen Fehler festgestellt

44 VOUT_SSR Globales Bit "Safety State reached", alle angeforderten Sicherheits-funktionen melden sicheren Zustand

45 VOUT_SFR Globales Bit “Safety Function requested”, im Sicherheitsmodul wirdmindestens eine Sicherheitsfunktion angefordert. Das Bit bleibt aktiv,bis alle Anforderungen zurückgesetzt sind.

46 VOUT_SERVICE Zustand „Service“, keine Parameter vorhanden, Parameter ungültigoder Parametriersitzung läuft

47 VOUT_READY Zustand „Betriebsbereit“, keine Sicherheitsfunktion angefordert

48 –

… …

62 –

Reserviert, immer Null

63 VOUT_SBC_BRK_O-N

Haltebremse festsetzen

Tab. 187 Virtuelle Ausgangssignale

9.1.4 Logische Ausgänge LOUTDer Zustand der logischen Ausgänge wird ähnlich wie bei den logischen Eingängen durch 1 Bit darge-stellt. Dies gilt auch für zweikanalige Ausgänge. Äquivalenz / Antivalenz und Testsignale werden bei der Umsetzung der logischen Ausgänge in physi-sche Ausgänge bearbeitet. Die logischen Ausgänge sind zu einem Bitvektor mit einer Länge von 96 Bit zusammengefasst.

Der aktuelle Zustand des Bit-Vektors LOUT kann über die Kommunikationsobjekte gelesen werden: • Bit 00 ... Bit 31: P05.12 • Bit 32 ... Bit 63: P05.13 • Bit 64 ... Bit 95: P05.14

Referenzliste für Steuersignale und Parameter

298 Festo — CAMC-G-S3 — 2019-12a

Page 299: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Abbild der logischen Ausgänge

LOUT Name Funktion

0 –

… …

63 –

Logische Ausgänge für Diagnose über Feldbusseè 8.4 Statusmeldungen, Diagnose über Feldbus

64 LOUT_D40 Zustand des Ausgangs DOUT40

65 LOUT_D41 Zustand des Ausgangs DOUT41

66 LOUT_D42 Zustand des Ausgangs DOUT42

67 LOUT_RELAIS Zustand des Melderelais C1/C2

68 LOUT_BRAKE_CTRL Bremsansteuerung

69 LOUT_SS1_RQ SS1Steuersignal (fest verdrahtet)

70 –

… …

95 –

Reserviert, immer Null

Tab. 188 Logische Ausgänge, Abbild der physischen Ausgänge

Die physikalischen Ausgängen sind die logischen Ausgängen LOUT64 ... LOUT69 zugeordnet.

9.1.5 Statusworte für den Datenaustausch / Diagnose über FeldbusseZwischen dem Sicherheitsmodul und dem Grundgerät findet ein zyklischer Datenaustausch statt.Wichtige Daten des Sicherheitsmoduls werden so ins Grundgerät übertragen und stehen für den Da-tenaustausch mit einer funktionalen Steuerung und für Diagnosefunktionen zur Verfügung. Die Daten der Kommunikationsobjekte im Sicherheitsmodul werden in entsprechende Kommunikati-onsobjekte im Grundgerät „gespiegelt“.Diese Daten werden verwendet für: – Statusmeldungen über Feldbusse und digitale Ausgänge, – Aufzeichnung von Daten über die Trace-Funktion des Grundgerätes.Folgende Tabelle listet die entsprechenden Diagnose-Kommunikationsobjekte auf. Die Daten des Si-cherheitsmoduls können im Grundgerät somit über die Kommunikationsobjekte 0794h bis 0797h aus-gelesen werden.

KOGrund-gerät

Name KO im Grundgerät KO Si-cher-heits-modul

Über-trage-nerWert1)

An das Grundgerät übertragene Be-deutung/Wert

0782 ioh_fsm_mov_vout_ 0_31 P05.10 --- Istwert der virtuellen AusgängeVOUT00…VOUT31

0783 ioh_fsm_mov_vout_ 32_63 P05.11 --- Istwert der virtuellen AusgängeVOUT32…VOUT63

Referenzliste für Steuersignale und Parameter

299Festo — CAMC-G-S3 — 2019-12a

Page 300: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

KOGrund-gerät

Name KO im Grundgerät KO Si-cher-heits-modul

Über-trage-nerWert1)

An das Grundgerät übertragene Be-deutung/Wert

079B ioh_fsm_limit_speed _upper Aktuelle obere Begrenzung der Ge-schwindigkeit im Grundgerät

079C ioh_fsm_limit_speed _lower Aktuelle untere Begrenzung der Ge-schwindigkeit im Grundgerät

0790 ioh_fsm_diag_ch0 --- P06.39 Auswahl des KOs, das auf Diagnoseka-nal 0 übertragen wird

0791 ioh_fsm_diag_ch1 --- P04.23 Auswahl des KOs, das auf Diagnoseka-nal 1 übertragen wird

0792 ioh_fsm_diag_ch2 --- P05.10 Auswahl des KOs, das auf Diagnoseka-nal 2 übertragen wird

0793 ioh_fsm_diag_ch3 --- P05.11 Auswahl des KOs, das auf Diagnoseka-nal 3 übertragen wird

0794 ioh_fsm_dat_ch0 P1D.00 P06.39 Sichere Ist-Geschwindigkeit des Si-cherheitsmoduls

0795 ioh_fsm_dat_ch1 P1D.01 P04.23 Status der Logischen EingängeLIN96…LIN127

0796 ioh_fsm_dat_ch2 P1D.02 P05.10 Status der virtuellen AusgängeVOUT0…VOUT31

0797 ioh_fsm_dat_ch3 P1D.03 P05.11 Status der virtuellen AusgängeVOUT32…VOUT63

1) Default-Einstellung

Tab. 189 Liste der Diagnoseinformationen für das Grundgerät

Die Diagnoseausgaben können bei Bedarf geändert werden. Verwenden Sie dafür die Trace-Funktiondes FCT-PlugIns CMMP-AS è 8.5 Messdaten aufzeichnen – „Trace“ Dabei werden folgende Einstellun-gen gemacht: 1. In die Grundgeräte KOs Nr. 0790h bis 0793h werden die KOs des Sicherheitsmoduls eingetragen,die aufgezeichnet werden sollen. 2. Die Einstellung werden im Grundgerät gespeichert und eine Neustart durchgeführt. Dann werdendie Einstellungen an das Sicherheitsmodul übertragen.

Beispiel: KO 0790h → Wert: 0639h Übertragung der sicheren Geschwindigkeit KO 0791h → Wert: 0423h Status der LIN96…LIN127 (LIN_D40…LIN_D49, usw.) KO 0792h → Wert: 1D09h Obere Überwachungsgrenze der Geschwindigkeit KO 0793h → Wert: 1D0Ah Untere Überwachungsgrenze der Geschwindigkeit

Referenzliste für Steuersignale und Parameter

300 Festo — CAMC-G-S3 — 2019-12a

Page 301: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

RESET / Neustart: KO 0794h ← Wert: 0639h Übertragung der sicheren Geschwindigkeit KO 0795h ← Wert: 0423h Status der LIN96…LIN127 (LIN_D40…LIN_D49 usw.) KO 0796h ← Wert: 1D09h Obere Überwachungsgrenze der GeschwindigkeitKO 0797h ← Wert: 1D0Ah Untere Überwachungsgrenze der GeschwindigkeitIn den Grundgeräte KOs 0794h bis 0797h werden die entsprechenden Daten dargestellt (Zeitauflö-sung ca. 2 ms)

9.2 Liste zusätzlicher ParameterDas SafetyTool bietet über den Menüpunkt Extras/Parameterübersicht für Experten die Möglichkeit,alle Parameter des Sicherheitsmoduls anzusehen oder zu verändern. Über Filter kann man wählen,welche Parameter angezeigt werden. So lassen sich z. B. schnell alle die Parameter auffinden, derenEinstellung sich zwischen SafetyTool und Sicherheitsmodul unterscheidet.

Die meisten Parameter werden im Rahmen der entsprechenden Funktion beschrieben:• Basisinformationen è 3.3.1 Basisinformationen• Geber-Konfiguration è 3.3.5 Liste aller Parameter zur Geber-Konfiguration• Zweikanalige digitale Eingänge è 3.4.2 Zweikanalige sichere Eingänge DIN40 … DIN43 [X40]• Einkanalige digitale Eingänge è 3.4.2 Zweikanalige sichere Eingänge DIN40 … DIN43 [X40]• STO: Sicher abgeschaltetes Momentè 3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off )

• SS1: Sicherer Stopp 1 è 3.5.3 SS1 – Sicherer Stopp 1 (Safe Stop 1)• SS2: Sicherer Stopp 2 è 3.5.4 SS2 – Sicherer Stopp 2 (Safe Stop 2)• SOS: Sicherer Betriebshalt è 3.5.5 SOS – Sicherer Betriebshalt (Safe Operating Stop)• SSF: Sichere Geschwindigkeit è 3.5.7 Sichere Geschwindigkeitsfunktionen SSF• SBC: Sichere Bremsensteuerung è 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control)• Logikfunktionen Betriebsartenwahlschalter è 3.6.1 Betriebsartenwahlschalter• Logikfunktionen Zweihandbediengerät è 3.6.2 Zweihandbediengerät• Logikfunktionen Additional Logic-Functionsè 3.6.3 Additional Logic Functions – ALF• Digitale Ausgänge è 3.9 Digitale Ausgänge

Die folgenden Tabellen enthalten eine Zusammenstellung aller Parameter, die nicht im Rahmen derbisherigen Beschreibungen erklärt wurden.

Fehlermanagement

Nr. Name Beschreibung

P20.00 [53-0] USF0: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 53-0

P20.01 [53-1] USF1: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 53-1

P20.02 [53-2] USF2: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 53-2

P20.03 [53-3] USF3: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 53-3

P20.0A [54-0] SBC: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 54-0

Referenzliste für Steuersignale und Parameter

301Festo — CAMC-G-S3 — 2019-12a

Page 302: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlermanagement

Nr. Name Beschreibung

P20.0C [54-2] SS2: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 54-2

P20.0D [54-3] SOS: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 54-3

P20.0E [54-4] SS1: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 54-4

P20.0F [54-5] STO: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 54-5

P20.10 [54-6] SBC: Bremse > 10 Tage nicht gelüftet Fehlerreaktion des Fehlers 54-6

P20.11 [54-7] SOS: SOS > 10 Tage angefordert Fehlerreaktion des Fehlers 54-7

P20.14 [55-0] Kein Drehzahl- / Positionsistwert ver-fügbar oder Stillstand > 10 Tage

Fehlerreaktion des Fehlers 55-0

P20.15 [55-1] SINCOS-Geber [X2B] - Fehler Spursi-gnale

Fehlerreaktion des Fehlers 55-1

P20.16 [55-2] SINCOS-Geber [X2B] - Stillstand > 10Tage

Fehlerreaktion des Fehlers 55-2

P20.17 [55-3] Resolver [X2A] - Signalfehler Fehlerreaktion des Fehlers 55-3

P20.18 [55-4] EnDat-Geber [X2B] - Sensorfehler Fehlerreaktion des Fehlers 55-4

P20.19 [55-5] EnDat-Geber [X2B] - Falscher Sensor-typ

Fehlerreaktion des Fehlers 55-5

P20.1A [55-6] Inkrementalgeber [X10] - Fehler Spur-signale

Fehlerreaktion des Fehlers 55-6

P20.1B [55-7] Sonstiger Geber [X2B] - FehlerhafteWinkelinformation

Fehlerreaktion des Fehlers 55-7

P20.26 [56-8] Drehzahl- / Winkeldifferenz Geber 1 -2

Fehlerreaktion des Fehlers 56-8. Der Fehlerwird ausgelöst, wenn einer der beiden Mi-krocontroller eine unzulässige Positions-oder Geschwindigkeitsdifferenz zwischenGeber 1 und Geber 2 feststellt

P20.27 [56-9] Fehler Kreuzvergleich Geberauswer-tung

Fehlerreaktion des Fehlers 56-9. Der Fehlerwird ausgelöst, wenn beim Kreuzvergleichder sicheren Positionswerte zwischen Mi-krocontroller1 und 2 eine unzulässige Posi-tionsdifferenz feststellt wird

P20.28 [57-0] Fehler Selbsttest E/A (intern/ extern) Fehlerreaktion des Fehlers 57-0

P20.29 [57-1] Digitale Eingänge - Fehler Signalpe-gel

Fehlerreaktion des Fehlers 57-1

P20.2A [57-2] Digitale Eingänge - Fehler Testimpuls Fehlerreaktion des Fehlers 57-2

Referenzliste für Steuersignale und Parameter

302 Festo — CAMC-G-S3 — 2019-12a

Page 303: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Fehlermanagement

Nr. Name Beschreibung

P20.2E [57-6] Elektroniktemperatur zu hoch Fehlerreaktion des Fehlers 57-6

P20.32 [58-0] Plausibilitätsprüfung Parameter Fehlerreaktion des Fehlers 58-0

P20.33 [58-1] Allgemeiner Fehler Parametrierung Fehlerreaktion des Fehlers 58-1

P20.36 [58-4] Puffer interne Kommunikation Fehlerreaktion des Fehlers 58-4

P20.37 [58-5] Kommunikation Modul - Grundgerät Fehlerreaktion des Fehlers 58-5

P20.38 [58-6] Fehler Kreuzvergleich Prozessoren 1 -2

Fehlerreaktion des Fehlers 58-6. Der Fehlerwird ausgelöst, wenn im Kreuzvergleichzwischen Mikrocontroller1 und 2 eine unzu-lässige Abweichung auftritt, z. B. unter-schiedliche Stati der Ein- und Ausgänge,oder unterschiedliche sichere Geschwindig-keitswerte. Im Sonderfall abweichender Po-sitionswerte wird Fehler 56-9 ausgelöst!

P20.3D [59-1] Failsafe-Versorgung/sichere Impulss-perre

Fehlerreaktion des Fehlers 59-1

P20.3E [59-2] Fehler externe Spannungsversorgung Fehlerreaktion des Fehlers 59-2

P20.3F [59-3] Fehler interne Spannungsversorgung Fehlerreaktion des Fehlers 59-3

P20.40 [59-4] Fehlermanagement: Zu viele Fehler Fehlerreaktion des Fehlers 59-4

P20.41 [59-5] Fehler Schreiben Diagnosespeicher Fehlerreaktion des Fehlers 59-5

P20.42 [59-6] Fehler bei Speichern Parametersatz Fehlerreaktion des Fehlers 59-6

P20.43 [59-7] FLASH-Checksummenfehler Fehlerreaktion des Fehlers 59-7

P20.44 [59-8] Interne Überwachung Prozessor 1 - 2 Fehlerreaktion des Fehlers 59-8

P20.45 [59-9] Sonstiger unerwarteter Fehler Fehlerreaktion des Fehlers 59-9

Tab. 190 Fehlermanagement

Diagnoseparameter

Nr. Name Beschreibung

P00.00 Parametersatzversion Parametersatzversion

P20.46 Fehlerstatus Gruppe 53 und 54: Hauptfehlernummer 53 und 54 im Fehler-feld

P20.47 Fehlerstatus Gruppe 55 und 56: Hauptfehlernummer 55 und 56 im Fehler-feld

Referenzliste für Steuersignale und Parameter

303Festo — CAMC-G-S3 — 2019-12a

Page 304: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Diagnoseparameter

Nr. Name Beschreibung

P20.48 Fehlerstatus Gruppe 57 und 58: Hauptfehlernummer 57 und 58 im Fehler-feld

P20.49 Fehlerstatus Gruppe 59: Hauptfehlernummer 59 im Fehlerfeld

Expertenparameter

P02.2F Status der digitalen Eingänge Zustand der digitalen Eingänge

P02.38 Status der digitalen Ausgänge Zustand der digitalen Ausgänge

P02.39 Status der digitalen Ausgänge B Zustand der digitalen Ausgänge

P02.3A Status der digitalen Eingänge B Zustand der digitalen Eingänge

P05.10 Status VOUT0VOUT31 Istwerte der VOUT0..VOUT31

P05.11 Status VOUT32VOUT63 Istwerte der VOUT32..VOUT63

P05.12 Status LOUT0LOUT31 Istwerte der LOUT0..LOUT31

P05.13 Status LOUT32LOUT63 Istwerte der LOUT32..LOUT63

P05.14 Status LOUT64LOUT95 Istwerte der LOUT64..LOUT95

P06.39 Istwert der sicheren Geschwindigkeit Drehzahlistwert

P06.3A Sichere Position Positionsistwert auf 32 Bit verkürzt

P06.3B Sichere Beschleunigung Beschleunigung aus Winkelgeber

P06.3C Winkel aus Geber 1 Winkel aus Geber 1 (ohne Getriebe)

P06.3D Winkel aus Geber 2 Winkel aus Geber 2 (ohne Getriebe)

P06.56 Position aus Geber 1 Berechnete Position von Geber 1 (beinhal-tet Getriebeumrechnung)

P06.57 Position aus Geber 2 Berechnete Position von Geber 2 (beinhal-tet Getriebeumrechnung)

P1D.00 KO für Diagnosekanal 0 KO zur Ausgabe als Diagnosekanal 0

P06.58 Geschwindigkeit aus Geber 1 Berechnete Geschwindigkeit von Geber 1(beinhaltet Getriebeumrechnung)

P1D.01 KO für Diagnosekanal 1 KO zur Ausgabe als Diagnosekanal 1

P06.59 Geschwindigkeit aus Geber 2 Berechnete Geschwindigkeit von Geber 2(Beinhaltet Getriebeumrechnung)

P1D.02 KO für Diagnosekanal 2 KO zur Ausgabe als Diagnosekanal 2

P1D.03 KO für Diagnosekanal 3 KO zur Ausgabe als Diagnosekanal 3

P0E.50 Aktuelle obere Geschwindigkeitsbegren-zung

Aktuelle obere Geschwindigkeitsbegren-zung im Sicherheitsmodul

Referenzliste für Steuersignale und Parameter

304 Festo — CAMC-G-S3 — 2019-12a

Page 305: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Diagnoseparameter

Nr. Name Beschreibung

P0E.51 Aktuelle untere Geschwindigkeitsbegren-zung

Aktuelle untere Geschwindigkeitsbegren-zung im Sicherheitsmodul

Tab. 191 Diagnoseparameter

Mapping

Nr. Name Beschreibung

P04.00 Produktterm Mapping und Zuordnung für Produktterm 0

P04.01 Produktterm Mapping und Zuordnung für Produktterm 1

P04.02 Produktterm Mapping und Zuordnung für Produktterm 2

P04.03 Produktterm Mapping und Zuordnung für Produktterm 3

P04.04 Produktterm Mapping und Zuordnung für Produktterm 4

P04.05 Produktterm Mapping und Zuordnung für Produktterm 5

P04.06 Produktterm Mapping und Zuordnung für Produktterm 6

P04.07 Produktterm Mapping und Zuordnung für Produktterm 7

P04.08 Produktterm Mapping und Zuordnung für Produktterm 8

P04.09 Produktterm Mapping und Zuordnung für Produktterm 9

P04.0A Produktterm Mapping und Zuordnung für Produktterm10

P04.0B Produktterm Mapping und Zuordnung für Produktterm11

P04.0C Produktterm Mapping und Zuordnung für Produktterm12

P04.0D Produktterm Mapping und Zuordnung für Produktterm13

P04.0E Produktterm Mapping und Zuordnung für Produktterm14

P04.0F Produktterm Mapping und Zuordnung für Produktterm15

P04.10 Produktterm Mapping und Zuordnung für Produktterm16

P04.11 Produktterm Mapping und Zuordnung für Produktterm17

Referenzliste für Steuersignale und Parameter

305Festo — CAMC-G-S3 — 2019-12a

Page 306: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Mapping

Nr. Name Beschreibung

P04.12 Produktterm Mapping und Zuordnung für Produktterm18

P04.13 Produktterm Mapping und Zuordnung für Produktterm19

P04.14 Produktterm Mapping und Zuordnung für Produktterm20

P04.15 Produktterm Mapping und Zuordnung für Produktterm21

P04.16 Produktterm Mapping und Zuordnung für Produktterm22

P04.17 Produktterm Mapping und Zuordnung für Produktterm23

P04.18 Produktterm Mapping und Zuordnung für Produktterm24

P04.19 Produktterm Mapping und Zuordnung für Produktterm25

P04.1A Produktterm Mapping und Zuordnung für Produktterm26

P04.1B Produktterm Mapping und Zuordnung für Produktterm27

P04.1C Produktterm Mapping und Zuordnung für Produktterm28

P04.1D Produktterm Mapping und Zuordnung für Produktterm29

P04.1E Produktterm Mapping und Zuordnung für Produktterm30

P04.1F Produktterm Mapping und Zuordnung für Produktterm31

P05.00 Funktionsauswahl DOUT40 Ausgangsmapping für LOUT64 (DOUT40)

P05.01 Funktionsauswahl DOUT41 Ausgangsmapping für LOUT65 (DOUT41)

P05.02 Funktionsauswahl DOUT42 Ausgangsmapping für LOUT66 (DOUT42)

P05.03 Funktionsauswahl RückmeldekontaktC1/C2

Ausgangsmapping für LOUT67 (Meldere-lais)

Expertenparameter

Referenzliste für Steuersignale und Parameter

306 Festo — CAMC-G-S3 — 2019-12a

Page 307: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Mapping

Nr. Name Beschreibung

P04.20 Status LIN0..LIN31 Istwerte der LIN0..LIN31

P04.21 Status LIN32..LIN63 Istwerte der LIN32..LIN63

P04.22 Status LIN64..LIN95 Istwerte der LIN64..LIN95

P04.23 Status LIN96..LIN127 Istwerte der LIN96..LIN127

P04.24 Status VIN0..VIN31 Istwerte der VIN0..VIN31

P04.25 Status VIN32..VIN63 Istwerte der VIN32..VIN63

P05.04 Funktionsauswahl Bremsausgang Grundge-rät

Ausgangsmapping für LOUT68 (Haltebrem-se des Grundgeräts)

Tab. 192 Mapping

Interne/versteckte Parameter

Nr. Name Beschreibung

P06.14 Resolver Phasenversatz Phasenversatz zwischen PWM-Toggle undAbtastzeitpunkt

P06.20 Singleturnauflösung in Bits Anzahl Bits pro Winkelwert

P06.21 Anzahl messbarer Umdrehungen (Multi-turn)

Anzahl messbarer Umdrehungen (Multi-turn)

P06.22 Seriennummer des EnDat Gebers (Teil 1) Seriennummer des EnDat Gebers (Teil 1)

P06.23 Seriennummer des EnDat Gebers (Teil 2) Seriennummer des EnDat Gebers (Teil 2)

P06.24 Seriennummer des EnDat Gebers (Teil 3) Seriennummer des EnDat Gebers (Teil 3)

P06.25 Ident-Nummer des EnDat Gebers (Teil 1) Ident-Nummer des EnDat Gebers (Teil 1)

P06.26 Ident-Nummer des EnDat Gebers (Teil 2) Ident-Nummer des EnDat Gebers (Teil 2)

P06.27 Ident-Nummer des EnDat Gebers (Teil 3) Ident-Nummer des EnDat Gebers (Teil 3)

P06.38 Toleranzzeit für fehlerhaft übertragene Win-keldaten

Maximale Zeit, die der Grundgeräte-Winkelfehlerhaft übertragen werden kann.

P09.00 Filter für Sammelmeldung SFR bzw. SSR Maske, um Statusmeldungen einzelner Si-cherheitsfunktionen von der Berechnungder Sammelmeldung auszuschließen

P09.01 Zeit zwischen zwei Sync Impulsen (Basi-stakt)

Zeit zwischen zwei Sync Impulsen (Basi-stakt)

P12.01 Einschaltverzögerung Verzögerungszeit bei Einschaltverzögerung

P12.02 Ausschaltverzögerung Verzögerungszeit bei Ausschaltverzöge-rung

Referenzliste für Steuersignale und Parameter

307Festo — CAMC-G-S3 — 2019-12a

Page 308: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Interne/versteckte Parameter

Nr. Name Beschreibung

P12.04 Einschaltverzögerung Verzögerungszeit bei Einschaltverzögerung

P12.05 Ausschaltverzögerung Verzögerungszeit bei Ausschaltverzöge-rung

P12.07 Einschaltverzögerung Verzögerungszeit bei Einschaltverzögerung

P12.08 Ausschaltverzögerung Verzögerungszeit bei Ausschaltverzöge-rung

P12.0A Einschaltverzögerung Verzögerungszeit bei Einschaltverzögerung

P12.0B Ausschaltverzögerung Verzögerungszeit bei Ausschaltverzöge-rung

P12.0D Einschaltverzögerung Verzögerungszeit bei Einschaltverzögerung

P12.0E Ausschaltverzögerung Verzögerungszeit bei Ausschaltverzöge-rung

P12.10 Einschaltverzögerung Verzögerungszeit bei Einschaltverzögerung

P12.11 Ausschaltverzögerung Verzögerungszeit bei Ausschaltverzöge-rung

P12.13 Einschaltverzögerung Verzögerungszeit bei Einschaltverzögerung

P12.14 Ausschaltverzögerung Verzögerungszeit bei Ausschaltverzöge-rung

P12.16 Einschaltverzögerung Verzögerungszeit bei Einschaltverzögerung

P12.17 Ausschaltverzögerung Verzögerungszeit bei Ausschaltverzöge-rung

P1C.00 Software-Revision (Hauptrevision) Software-Revision (Hauptrevision)

P1C.01 Software-Revision (Applikationsnummer) Software-Revision (Applikationsnummer)

P1C.02 Software-Revision (KM / Subrevision) Software-Revision (KM / Subrevision)

P20.06 [53-6] SDI0: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 53-6

P20.07 [53-7] SDI1: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 53-7

P20.08 [53-8] SLI0: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 53-8

P20.09 [53-9] SLI1: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 53-9

P20.0B [54-1] SBT: Sicherheitsbedingung verletzt Fehlerreaktion des Fehlers 54-1

P20.2B [57-3] Fehler Analogeingang (Wertebereich) Fehlerreaktion des Fehlers 57-3

P20.2C [57-4] Fehler in der Strommessung Fehlerreaktion des Fehlers 57-4

P20.2D [57-5] Fehler Motorspannungsmessung Fehlerreaktion des Fehlers 57-5

Referenzliste für Steuersignale und Parameter

308 Festo — CAMC-G-S3 — 2019-12a

Page 309: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Interne/versteckte Parameter

Nr. Name Beschreibung

P20.4A Anforderung Sicherheitsfunktionen Proto-kollieren

Wenn gesetzt: Anforderung Sicherheits-funktion protokollieren

PFF.00 Betriebsstatus: Aktueller Status der Parametriersitzung

PFF.01 Kennzeichnung "Auslieferungszustand" 1= JA

Kennzeichnung "Auslieferungszustand"

PFF.02 Kennzeichnung "Gesamtvalidierung" 1= JA Kennzeichnung "Gesamtvalidierung"

Expertenparameter

PFF.03 Validierungscode: Validierungscode der Parametersitzung

Tab. 193 Interne/versteckte Parameter

9.3 Liste wichtiger Kommunikationsobjekte im GrundgerätReferenzliste der Kommunikationsobjekte im Motorcontroller, über die Informationen zum Sicher-heitsmodul zur Verfügung stehen.

KO Nr. Name Typ Einheit Beschreibung

0750 ioh_fsm_ctrl RW UINT32 Steuerwort für das Sicherheitsmo-dul

0751 ioh_fsm_stat RO UINT32 Statuswort für das Sicherheitsmodul

0752 ioh_fsm_sto_discrep_time

RW UINT32 Diskrepanzzeit, innerhalb der kurz-zeitig unterschiedliche Pegel an denSTO-Eingängen des CAMC-G-S1 an-liegen dürfen, ohne dass ein Fehlerausgelöst wird

0753 ioh_fsm_config RW UINT32 Konfigurationswort für das Sicher-heitsmodul

0760 srvc_fsm_act_art _hi RO UINT32 Aktuelle herstellerspezifische Arti-kelnummer des Sicherheitsmoduls:ASCII-Codierung der oberen 4 Stel-len z.B. 0x39313030 = '9100'

0761 srvc_fsm_act_art _mid RO UINT32 Aktuelle herstellerspezifische Arti-kelnummer des Sicherheitsmoduls:Mittleres Longword

0762 srvc_fsm_act_art _lo RO UINT32 Aktuelle herstellerspezifische Arti-kelnummer des Sicherheitsmoduls:Unteres Longword

Referenzliste für Steuersignale und Parameter

309Festo — CAMC-G-S3 — 2019-12a

Page 310: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

KO Nr. Name Typ Einheit Beschreibung

0763 srvc_fsm_act_typ RO UINT32 Aktueller Typ des gesteckten Sicher-heitsmodul:

0764 srvc_fsm_act_ser _hi RO UINT32 Herstellerspezifische Seriennummerdes gesteckten Sicherheitsmoduls:ASCII-Codierung der oberen 4 Stel-len z. B. 0x30303134 = '0014'

0765 srvc_fsm_act_ser _mid RO UINT32 Herstellerspezifische Seriennummerdes gesteckten Sicherheitsmoduls:Mittleres Longword

0766 srvc_fsm_act_ser _lo RO UINT32 Herstellerspezifische Seriennummerdes gesteckten Sicherheitsmoduls:Unteres Longword

0767 srvc_fsm_act_rev _idx RO UINT32 Revision der Hardware des gesteck-ten Sicherheitsmoduls

0768 srvc_fsm_act_soft_ref_idx

RO UINT32 Revision der Software des gesteck-ten Sicherheitsmoduls

0769 ioh_fsm_proj_art _hi RW UINT32 Herstellerspezifische Artikelnummerdes über das Parametrierprogrammprojektierten Sicherheitsmoduls:ASCII-Codierung der oberen 4 Stel-len z.B. 0x39313030 = '9100

076A ioh_fsm_proj_art _mid RW UINT32 Projektierte herstellerspezifische Ar-tikelnummer des Sicherheitsmo-duls: Mittleres Longword

076B ioh_fsm_proj_art _lo RW UINT32 Projektierte herstellerspezifische Ar-tikelnummer des Sicherheitsmo-duls: Unteres Longword

076C ioh_fsm_proj_typ RW UINT32 Projektierter Typ des gesteckten Si-cherheitsmoduls.

076D ioh_fsm_proj_ser _hi RW UINT32 Herstellerspezifische Seriennummerprojektierten des Sicherheitsmodul:ASCII-Codierung der oberen 4 Stel-len z.B. 0x30303134 = '0014

076E ioh_fsm_proj_ser _mid RW UINT32 Herstellerspezifische Seriennummerdes projektierten Sicherheitsmo-duls: Mittleres Longword

Referenzliste für Steuersignale und Parameter

310 Festo — CAMC-G-S3 — 2019-12a

Page 311: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

KO Nr. Name Typ Einheit Beschreibung

076F ioh_fsm_proj_ser _lo RW UINT32 Herstellerspezifische Seriennummerdes projektierten Sicherheitsmo-duls: Unteres Longword

0770 ioh_fsm_proj_rev _idx RW UINT32 Revision der Hardware des projek-tierten Sicherheitsmoduls

0771 ioh_fsm_proj_soft_rev_idx

RW UINT32 Revision der Software des projek-tierten Sicherheitsmoduls

0772 srvc_fsm_dip_val _std RO UINT32 Liefert den nach Reset gelesenenWert der DIP- Schalter auf dem Si-cherheitsmodul/Schaltermodul

0773 ioh_fsm_num_entry_act

RO UINT32 Liefert die Anzahl Einträge im Error-log speicher des Grundgeräts

0774 ioh_fsm_num_entry_max

RO UINT32 Liefert die maximale Anzahl dermöglichen Einträge im Errorlog spei-cher des Grundgeräts

0780 ioh_7segment_fsm_ctrl RW UINT32 Kontrolwort zur Steuerung der7-Segment-Anzeige aus dem Sicher-heitsmodul heraus.

0781 ioh_7segment_fsm_da-ta

RW UINT32 Steuerung der 7-Segment-Anzeigeaus dem Sicherheitsmodul heraus

0782 ioh_fsm_mov_vout_0_31

RW UINT32 Interner Status des Sicherheitsmo-duls (64 Bit des Systembus) Low-Word (Tab. B.6, VOUT 0 ... 31)

0783 ioh_fsm_mov_vout_32_63

RW UINT32 Interner Status des Sicherheitsmo-duls (64 Bit des Systembus) High-Word (Tab. B.6, VOUT 32 ... 64)

0784 ioh_fsm_mov_mscfct_rx

RW UINT32 Empfangenes Zeichen von FCT. Inputvon USB, Ethernet. Leseindex nach-führen, FIFO-SYSTEM

0785 ioh_fsm_mov_mscfct_tx

RW UINT32 Zu sendendes Zeichen an FCT. Out-put zu USB, Ethernet FIFO-SYSTEM

0786 ioh_fsm_mscfct_ rx_cnt RO UINT32 Anzahl Zeichen von FCT im PufferUSB, Ethernet FIFO- SYSTEM

0787 ioh_fsm_mscfct_ tx_cnt RO UINT32 Anzahl Zeichen vom Sicherheitsmo-dul für FCT im Puffer USB, EthernetFIFO-SYSTEM

Referenzliste für Steuersignale und Parameter

311Festo — CAMC-G-S3 — 2019-12a

Page 312: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

KO Nr. Name Typ Einheit Beschreibung

0788 ioh_fsm_din_dou t RO UINT32 Lesen der Digitalen Eingänge vomSicherheitsmodul

0789 ioh_fsm_mov_sta t_arb RW UINT32 Setzen/Lesen der SicherheitsmodulStatemachine

078B srvc_fsm_act_gesamt_-rev_idx

RO UINT16 --

078C ioh_fsm_proj_gesamt_-rev_idx

RW UINT16 --

0790 ioh_fsm_diag_ch 0 RW UINT32 Sicherheitsmodul-Diagnosekanal 1:Auswahl des KO-s im Sicherheitsmo-dul

0791 ioh_fsm_diag_ch 1 RW UINT32 Sicherheitsmodul-Diagnosekanal 2:Auswahl des KO-s im Sicherheitsmo-dul

0792 ioh_fsm_diag_ch 2 RW UINT32 Sicherheitsmodul-Diagnosekanal 3:Auswahl des KO-s im Sicherheitsmo-dul

0793 ioh_fsm_diag_ch 3 RW UINT32 Sicherheitsmodul-Diagnosekanal 4:Auswahl des KO-s im Sicherheitsmo-dul

0794 ioh_fsm_dat_ch0 RO UINT32 Sicherheitsmodul-Diagnosekanal 1:Datum, dynamisch aktualisiert vomSicherheitsmodul

0795 ioh_fsm_dat_ch1 RO UINT32 Sicherheitsmodul-Diagnosekanal 2:Datum, dynamisch aktualisiert vomSicherheitsmodul

0796 ioh_fsm_dat_ch2 RO UINT32 Sicherheitsmodul-Diagnosekanal 3:Datum, dynamisch aktualisiert vomSicherheitsmodul

0797 ioh_fsm_dat_ch3 RO UINT32 Sicherheitsmodul-Diagnosekanal 4:Datum, dynamisch aktualisiert vomSicherheitsmodul

0798 ioh_fsm_log_entr y_0 RW UINT32 Eintragen eines Log-Eintrages in denDiagnosespeicher des Sicherheits-moduls. Das Schreiben erfolgt erstmit dem dritten Eintrag

Referenzliste für Steuersignale und Parameter

312 Festo — CAMC-G-S3 — 2019-12a

Page 313: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

KO Nr. Name Typ Einheit Beschreibung

0799 ioh_fsm_log_entr y_1 RW UINT32 Eintragen eines Log-Eintrages in denDiagnosespeicher des Sicherheits-moduls. Das Schreiben erfolgt erstmit dem dritten Eintrag

079A ioh_fsm_log_entr y_2 RW UINT32 Eintragen eines Log-Eintrages in denDiagnosespeicher des Sicherheits-moduls. Das Schreiben erfolgt erstmit dem dritten Eintrag

079B ioh_fsm_limit_speed_upper

RW INT32 Begrenzen des DrehzahlsollwertesObere Grenze Begrenzung > 0

079C ioh_fsm_limit_speed_lower

RW INT32 Begrenzen des DrehzahlsollwertesUntere Grenze Begrenzung nur < 0erlaubt

079D ioh_fsm_limit_torque_-upper

RW INT32 Begrenzen des MomentensollwertesObere Grenze Nur > 0 erlaubt

079E ioh_fsm_limit_torque_-lower

RW INT32 Begrenzen des MomentensollwertesUntere Grenze Nur < 0 erlaubt

079F ioh_fsm_deccelramp RW INT32 STOP-Rampe des Sicherheitsmodul

Tab. 194 Liste wichtiger Kommunikationsobjekte im Grundgerät

10 Glossar

10.1 Sicherheitstechnische Begriffe und Abkürzungen

Begriff/Abkürzung Beschreibung

ALF „Additional Logic Function“, Erweiterte Logikfunktion. Keine Sicherheits-funktion. Ermöglicht die Logische Verschaltung interner Ein- und Ausgän-ge.

CCF Common Cause Failure, Fehler gemeinsamer Ursache nachEN ISO 13849-1.

DC avg Average Diagnostic Coverage, Diagnosedeckungsgrad nach IEC 61508 undEN 61800-5-2.

FCT Festo Configuration Tool, Software zur Konfiguration und Inbetriebnahme.

HFT Hardware Fault Tolerance, Hardware-Fehlertoleranz nach IEC 61508.

Kat. Kategorie nach EN ISO 13849-1, Stufen 1 … 4.

Glossar

313Festo — CAMC-G-S3 — 2019-12a

Page 314: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff/Abkürzung Beschreibung

MTTFd Mean Time To Failure (dangerous): Zeit in Jahren bis der erste gefährlichenAusfall mit 100 % Wahrscheinlichkeit aufgetreten ist, nachEN ISO 13849-1.

Not-Aus Nach EN 60204-1: Elektrische Sicherheit im Notfall durch Ausschalten derelektrischen Energie in der ganzen Installation oder einem Teil davon. Not-Aus ist einzusetzen, falls das Risiko eines elektrischen Schlags oder ein an-deres Risiko elektrischen Ursprungs besteht.

Not-Halt Nach EN 60204-1: Funktionale Sicherheit im Notfall durch Stillsetzen einerMaschine oder bewegter Teile. Not-Halt ist dazu bestimmt eine Bewegunganzuhalten, die zu einer Gefährdung führen kann.

OSSD „Output Signal Switching Device“: Ausgangssignale mit 24 V Pegel-Tak-tung für Fehleraufdeckung.

PFH Probability of Dangerous Failures per Hour, Gesamte Wahrscheinlichkeiteines gefährlichen Ausfalls pro Stunde nach IEC 61508.

PL Performance Level nach EN ISO 13849-1: Stufen a … e.

SBC Safe Brake Control, Sichere Bremsenansteuerung nach EN 61800-5-2.

SFF Safe Failure Fraction [%], Verhältnis der Ausfallraten sicherer und gefährli-cher (aber erkennbarer) Ausfälle zu der Summe aller Ausfälle nachIEC 61508.

Sicherheitsschaltgerät Gerät für die Ausführung von Sicherheitsfunktionen oder Herbeiführen ei-nes sicheren Zustands der Maschine durch Abschalten der Energiezufüh-rung zu gefährlichen Maschinenfunktionen. Die gewünschte Sicherheits-funktion wird nur in Kombination mit weiteren Maßnahmen zur Risikomin-derung erreicht.

SIL Sicherheits-Integritätslevel, diskrete Stufen zur Festlegung der Anforderun-gen zur Sicherheitsintegrität von Sicherheitsfunktionen nach IEC 61508,EN 62061 und EN ISO 13849.

SILCL Maximaler SIL, der von einem Teilsystem beansprucht werden kann.

SLS Safely-Limited Speed, Sicher begrenzte Geschwindigkeit nachEN 61800-5-2.

SOS Safe Operating Stop, Sicherer Betriebshalt nach EN 61800-5-2.

SS1 Safe Stop 1, Sicherer Stop 1 nach EN 61800-5-2.

SS2 Safe Stop 2, Sicherer Stop 2 nach EN 61800-5-2.

SSF „Safe Speed Funktion“, zusammengefasste Sicherheitsfunktionen bezüg-lich Geschwindigkeitsüberwachung und -steuerung.

Glossar

314 Festo — CAMC-G-S3 — 2019-12a

Page 315: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff/Abkürzung Beschreibung

SSM Safe Speed Monitor, Sichere Geschwindigkeitsüberwachung nachEN 61800-5-2.

SSR Safe Speed Range, Sicherer Geschwindigkeitsbereich nach EN 61800-5-2.

STO Safe Torque Off, Sicher abgeschaltetes Moment nach EN 61800-5-2.

T Gebrauchsdauer nach EN ISO 13849-1.

USF „Universal Safety Function“, zusammengefasste Sicherheitsfunktionen.

Tab. 195 Begriffe und Abkürzungen

10.2 Begriffe zum SafetyTool und zur sicheren Parametrierung

Begriff Bedeutung /Funktion

Anzeigeeinheit Einheit, in der die jeweiligen Parameter angezeigt werden. Die ge-wünschten Anzeigeeinheiten für Positionswerte, Geschwindigkeitswer-te und Beschleunigungswerte werden beim Start des SafetyTools vomaufrufenden Programm vorgegeben.

Anzeigewert Der in die gewünschte Anzeigeeinheit umgerechnete Wert eines Para-meters.

Grundgerät Motorcontroller als Träger des Sicherheitsmoduls, hier ein CMMP-AS-...-M3.

Istwert Der aktuelle Wert eines Parameters im Sicherheitsmodul umgerechnetin die Anzeigeeinheit

Kommunikationsobjekt Einzelnes Datenelement, das vom SafetyTool gelesen, geschrieben undvalidiert werden kann.

Offline-Parametrierung Betrieb des SafetyTools ohne Verbindung zum Gerät (am Schreibtisch)

Online-Parametrierung Betrieb des SafetyTools mit Verbindung zum Sicherheitsmodul (überdas Grundgerät).

Produktterm Für die Konfiguration der Schaltbedingungen des Sicherheitsmodulwerden Verknüpfung zwischen den logischen Eingängen und den virtu-ellen Ausgängen sowie zwischen den virtuellen Ausgängen und den lo-gischen Ausgängen in Form von sogenannten Produkttermen konfigu-riert. Ein Produktterm ist eine UND-Verknüpfung mit oder ohne Inver-tierung mit maximal 7 Eingängen. Maximal 4 Produktterme können alsODER-Verknüpfung kombiniert werden. Die Produktterme (UND-Ver-knüpfung) und ODER-Verknüpfungen werden allgemein als Gatter be-zeichnet.

Projekt Siehe SafetyTool-Projekt.

Glossar

315Festo — CAMC-G-S3 — 2019-12a

Page 316: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff Bedeutung /Funktion

Prüfsumme Maßnahme zur Gewährleistung von Datenintegrität bei der Datenüber-mittlung oder -speicherung von Daten. Dabei werden aus den DatenPrüfsummen erzeugt, die nach normalem Ermessen die Gleichheit derDaten garantieren.

Quantisierung Einige Parameter werden vom Sicherheitsmodul Quantisiert (geras-tert), z. B. wenn der Wert ein Vielfaches einer Zykluszeit betragenmuss. Beim Lesen aus dem Sicherheitsmodul kann in solchen Fällenein anderer als der geschriebene Wert zurückgemeldet werden. Durchdie festgelegten Quantisierungs-Bereiche enstehen aber keine relavan-ten Abweichungen.

Quantisierungs- Bereich Zulässige Abweichung zwischen dem geschriebenen Wert und dem ge-lesenen Wert eines Parameters. Werte innerhalb der Quantisierungs-grenze können als identisch betrachtet werden. Die Quantisierungs-grenze wird beim schreibenden Parameterzugriff aus dem Sicherheits-modul gelesen.

SafetyTool-Projekt Das SafetyTool ermöglicht dem Anwender, die lokal vorhandene Para-metrierung als „SafetyTool-Projekt“ abzuspeichern. Diese Datei bein-haltet die Parameter als Anzeigewerte (im Gegensatz zum sicheren Pa-rametersatz, in welchem Gerätewerte gespeichert werden). Das Safety-Tool-Projekt kann in einer Online-Sitzung auf das Sicherheitsmodulübertragen werden. Die Validierung der übertragenen Parameter mussvom Benutzer einzeln erfolgen.

SCV Safety Condition Violated, Sicherheitsbedingung verletzt.

SFR Safety Function Requested, Sicherheitsfunktion angefordert.

Sicherer Grundzustand Bei fehlender oder ungültiger bzw. nicht gesamtvalidierter Parametrie-rung geht das Sicherheitsmodul in den sicheren Grundzustand: Endstu-fe abgeschaltet Feststelleinheit oder Haltebremse geschlossen Ausgän-ge DOUT4x am Sicherheitsmodul abgeschaltet

Sicherer Parametersatz Die Summe aller Parameter des Sicherheitsmoduls bildet einen Para-metersatz. Beinhaltet dieser Parametersatz einen gültigen Validie-rungscode, so handelt es sich um einen „sicheren Parametersatz“. Dersichere Parametersatz einer Anwendung befindet sich damit immer ineinem ablaufbereiten Sicherheitsmodul. Zusätzlich kann er – inklusivedes vom Sicherheitsmodul erzeugten Validierungscodes – mit dem Sa-fetyTool ausgelesen und auf einem Speichermedium abgelegt werden.Er wird dort mit einer Prüfsumme gegen Veränderungen geschützt.

Sicherheitsmodul CAMC-G-S3 als Einsteckmodul im Grundgerät, das für die Sicherheit derAntriebsanwendung zuständig ist. Die Parametrierung dieses Sicher-heitsmoduls erfolgt mit dem SafetyTool.

Glossar

316 Festo — CAMC-G-S3 — 2019-12a

Page 317: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

Begriff Bedeutung /Funktion

Sollwert Der vom Benutzer vorgegebene Anzeigewert eines Parameters.

SSR Safe State Reached, sicherer Zustand erreicht.

Validierungscode Inhalt eines speziellen Kommunikationsobjekts, das vom Sicherheits-modul erzeugt wird, wenn alle Parameter validiert sind.

Tab. 196 Begriffe zum SafetyTool und zur sicheren Parametrierung

Glossar

317Festo — CAMC-G-S3 — 2019-12a

Page 318: Festo A5 1spaltig...3.5.1 STO – Sicher abgeschaltetes Moment (Safe Torque Off ).....67 Inhaltsverzeichnis 3.5.2 SBC – Sichere Bremsansteuerung (Safe Brake Control).....70 3.5.3

© 2020 alle Rechte sind der Festo SE & Co. KG vorbehalten

Copyright:Festo SE & Co. KG

73734 EsslingenRuiter Straße 82

Deutschland

+49 711 347-0

www.festo.comInternet:

Phone: