Inhaltsverzeichnis
Werbung
S5>115F Handbuch
AG>Redundanz
Es gibt hierarchische Verkopplungen, in denen ein Âbergeordnetes AG S5>115F zentrale Freigabe>
funktionen fÂr alle untergeordneten AGs S5>115F erzeugt. Ein Ausfall dieses Âbergeordneten AGs
wÂrde die gesamte Anlage stillsetzen. Dieses Problem l'st man mittels Redundanz des SINEC L1>
Busses und des Âbergeordneten AG S5>115F mit Freigabefunktionen.
Hierzu werden die Freigabesignale der beiden Freigabe>AG auf die SINEC L1>Busse gelegt und in
den Ziel>AGs S5>115F verodert.
9.3
Sicherheit elektronischer Steuerungen
Das AG S5>115F ist so konzipiert, da˚ ein Hardware>Ausfall nicht zu einem gefßhrlichen Zustand
fÂhrt.
Ein sicherheitsrelevantes Stellglied mu˚ grundsßtzlich Âber zwei in Reihe geschaltete Wege still>
gesetzt werden. Wßhrend des Betriebs darf einer der beiden Wege einen Defekt haben. Sein
Defekt mu˚ aber innerhalb der sog. Zweitfehler>Eintrittszeit erkannt werden, damit nicht durch
einen weiteren Defekt die Abschaltfßhigkeit verloren geht.
Besondere Aufmerksamkeit gilt verborgenen Fehlern, die nicht innerhalb der Sicherheitszeit
erkannt werden k'nnen. Sie sind ungefßhrlich, solange sie einzeln vorkommen. Aber sie mÂssen
innerhalb der Zweitfehler>Eintrittszeit aufgedeckt werden, damit eine Fehlerhßufung nicht zu
einem gefßhrlichen Zustand fÂhrt. Alle Reaktionen auf Fehler mÂnden in der sogenannten
sicheren Ruhelage.
9.3.1
Sichere Eingßnge
Sichere Eingßnge sind zweikanalig mit Eingabebaugruppen zu realisieren, die als ∫sicher∫ an>
erkannt sind.
Gibt es fÂr das betreffende Proze˚signal dauersichere Geber, so genÂgt ein Geber, der auf zwei
Eingabebaugruppen verzweigt wird. Andernfalls benutzt man zwei zugelassene Geber, die
jeweils an eine Eingabebaugruppe eines Teil>AG gefÂhrt werden.
eberprÂft werden die zweikanaligen Eingßnge durch Vergleich einmal pro Zyklus bzw. bei
Direktzugriff wßhrend des Zugriffs. Ungleiche Eingßnge werden einer Diskrepanzanalyse
unterzogen. Bei Binßreingßngen mu˚ die Diskrepanz spßtestens nach Ablauf der individuellen
Diskrepanzzeit verschwunden sein. Bei Analogeingßngen mu˚ eine tolerierbare Abweichung
spßtestens nach Ablauf der einheitlichen Diskrepanzzeit unterschritten sein.
Diese Ma˚nahme genÂgt fÂr intermittierende Eingangsgr'˚en. Intermittierende Binßrgr'˚en
wechseln wßhrend der Zweitfehlereintrittszeit mehrmals ihren Zustand ; Analoggr'˚en durch>
laufen den relevanten Bereich wßhrend der Zweitfehlereintrittszeit mehrmals.
Bei nicht intermittierenden Eingangsgr'˚en genÂgt der beschriebene Test nicht .Diese Gr'˚en
mÂssen durch den ergßnzenden Test des AG kÂnstlich gewechselt werden. Hierzu bedarf es einer
Zusatzbeschaltung (Æ Kap.10.9.5).
Bei Binßreingßngen wird das aktive Gebersignal unterbrochen, bei Analogeingßngen werden
zwei projektierbare PrÂfwerte aufgeschaltet. Dann werden kÂnstlich erzeugte Gr'˚en eingelesen
und miteinander verglichen. Dieses Verfahren ergibt Analogeingaben, die an zwei Werten
gesichert sind und fÂr sicherheitsrelevante Grenzwertverarbeitung brauchbar sind.
Die Geber mÂssen immer so konzipiert sein, da˚
f
sich ein 0>Signal bei Drahtbruch und Ausfall der Versorgungsspannung einstellt,
und
f
0 der Zustand fÂr die sichere Ruhelage ist
(Beispiele: NOT>AUS>Schalter braucht Notstellung ∫0∫ und Fahrtschalter ∫EIN∫ braucht aktives
Signal mit ∫1∫>Pegel).
EWA 4NEB 811 6148>01
Zuverlßssigkeit elektronischer Steuerungen
9>5
Werbung
Kapitel
Inhaltsverzeichnis
