System HIMatrix Sicherheitshandbuch - Tuv-fs.com

Industrie-AutomatisierungSystem HIMatrixSicherheitshandbuchHIMA Paul Hildebrandt GmbH + Co KGIndustrie-AutomatisierungHI 800 022 JDA

Wichtige HinweiseAlle in diesem Handbuch genannten HIMA-Produkte sind mit dem HIMA-Warenzeichen geschützt. Dies giltebenfalls, soweit nicht anders vermerkt, auch für andere genannte Hersteller und deren Produkte.Alle technischen Angaben und Hinweise in diesem Handbuch wurden mit größter Sorgfalt erarbeitet undunter Einschaltung wirksamer Kontrollmaßnahmen zusammengestellt. Trotzdem sind Fehler nicht ganz auszuschließen.HIMA sieht sich deshalb veranlasst, darauf hinzuweisen, dass weder eine Garantie noch die juristische Verantwortungoder irgend eine Haftung übernommen werden kann für die Folgen, die auf fehlerhafte Angabenzurückgehen. Für die Mitteilung eventueller Fehler ist HIMA dankbar.Technische Änderungen vorbehalten.Weitere Informationen sind in den Dokumentationen auf CD-ROM undunserer Website unter www.hima.de zu finden.Informationsanfragen sind zu richten an:HIMA Paul Hildebrandt GmbH + Co KGPostfach 126168777 BrühlTel: +49(6202)709 0Fax: +49(6202)709 107e-mail: info@hima.com

HI 800 022HIMatrix SicherheitshandbuchZu diesem HandbuchDieses Handbuch enthält Informationen für den bestimmungsgemäßen Gebrauch der sicherheitsgerichtetenHIMatrix-Automatisierungsgeräte.Die Kenntnis von Vorschriften und das technisch einwandfreie Umsetzen der in diesemHandbuch enthaltenen Sicherheitshinweise durch qualifiziertes Personal sind Voraussetzungfür die gefahrlose Installation, Inbetriebnahme und für die Sicherheit bei Betrieb und Instandhaltungder HIMatrix-Automatisierungsgeräte.Bei nicht qualifizierten Eingriffen in die Geräte, bei Abschalten oder Umgehen (Bypass) vonSicherheitsfunktionen oder bei Nichtbeachtung von Hinweisen dieses Handbuchs (und dadurchverursachten Störungen oder Beeinträchtigungen von Sicherheitsfunktionen) könnenschwere Personen-, Sach- oder Umweltschäden eintreten, für die HIMA keine Haftung übernehmenkann.HIMatrix-Automatisierungsgeräte werden unter Beachtung der einschlägigen Sicherheitsnormenentwickelt, gefertigt und geprüft. Sie dürfen nur für die in den Beschreibungen vorgesehenenEinsatzfälle mit den spezifizierten Umgebungsbedingungen und nur in Verbindungmit zugelassenen Fremdgeräten verwendet werden.Aus Gründen der Übersichtlichkeit enthält dieses Handbuch nicht sämtliche Details allerAusführungen der HIMatrix-Automatisierungsgeräte.LeserkreisDieses Handbuch wendet sich an Anlagenplaner, Projektteure und Programmierer sowiePersonen, die zur Inbetriebnahme und zum Betrieb der Geräte und Systeme berechtigt.Vorausgesetzt werden Kenntnisse auf dem Gebiet der Sicherheitstechnik.Die Wiedergabe des Inhalts dieser Publikation (vollständig oder auszugsweise) ist ohneschriftliche Erlaubnis von HIMA nicht gestattet.Alle Rechte und technische Änderungen vorbehalten.© HIMA Paul Hildebrandt GmbH + Co KGPostfach 1261D - 68777 Brühl bei MannheimTelefon (+49) 06202 709-0Fax (+49) 06202 709-107E-mailinfo@hima.com1 von 57

HI 800 022HIMatrix SicherheitshandbuchInternet http://www.hima.deWeitere SystemdokumentationenFür die Projektierung der HIMatrix-Systeme stehen außerdem noch folgende Dokumentationenzur Verfügung:Name Inhalt Dokument Nr.D = deutschE = englischHIMatrixProjektierungshandbuchHIMatrixSystemhandbuchKompaktsystemeHIMatrixSystemhandbuchModulares System F60Planung und Bau vonHIMatrix-SystemenHardwarebeschreibungen derKompaktsysteme mitTechnischen DatenHardwarebeschreibung desmodularen Systems F60 mitTechnischen DatenPrüfbericht zum Zertifikat * Prüfgrundlagen,Sicherheitsanforderungen,ErgebnisseHIMatrixHandbuch Erste SchritteEinführung inELOP II Factory* Lieferung nur zusammen mit einem HIMatrix-SystemHI 800 100 (D)HI 800 101 (E)HI 800 140 (D)HI 800 141 (E)HI 800 190 (D)HI 800 191 (E)(D)(E)HI 800 005 (D)HI 800 006 (E)Teile-Nr.pdf-Dateipdf-Dateipdf-Datei96 900010496 900010596 900001396 9000014pdf-Datei2 von 57

HI 800 022HIMatrix SicherheitshandbuchTerminologieBegriffAKASAIAIOAOCOMCPUDIDIODOEMVENFBFBSFTZIECLCDefinitionAnforderungsklasseAblaufspracheAnalog Input /Analoger EingangAnalog Input/Output, Analoger Ein-/AusgangAnalog Output, Analoger AusgangKommunikationsmodulZentralbaugruppeDigital input / Digitaler EingangDigital input/output, kombinierter Ein-/AusgangDigital output / Digitaler AusgangElektromagnetische VerträglichkeitEuropäische NormenFeldbusFunktionsbausteinspracheFehlertoleranzzeitInternationale Normen für die ElektrotechnikLine Control (Leitungsüberwachung)MEZMehrfehlereintrittszeitNSPNicht sicherheitsgerichtetes ProtokollOLEObject Linking and EmbeddingOPCOLE for Process ControlPADT (PC) Programming and Debugging Tool (nach IEC 61131-3)PESProgrammierbares Elektronisches SystemPFDProbability of Failure on Demandmittlere Wahrscheinlichkeit, die entworfene Funktion aufAnforderung nicht auszuführenPFHProbability of Failure per HourWahrscheinlichkeit eines gefahrbringenden Ausfalls proStundeRReadR/WRead/WriteSIL Safety Integrity Level (nach IEC 61508)SNTP Simple Network Time Protocol (RFC 1769)TMOTimeoutWWriteWDWatchdogWDZWatchdog-Zeit3 von 57

HI 800 022HIMatrix SicherheitshandbuchInhaltsverzeichnisSeiteZu diesem Handbuch..................................................................................1Terminologie ...............................................................................................31 Einleitung ..............................................................................................71.1 Zertifizierung .....................................................................................71.2 Sicherheit ..........................................................................................81.2.1 Ruhestromprinzip/Arbeitsstromprinzip ........................................81.3 Gefahren- und Gebrauchshinweise ..................................................91.3.1 Gefahrenhinweise .......................................................................91.3.2 Gebrauchshinweise.....................................................................91.4 Sicherheitsauflagen ..........................................................................91.4.1 Hardware-Projektierung ..............................................................91.4.2 Programmierung........................................................................101.4.3 Kommunikation..........................................................................101.4.4 Sonderbetriebsarten..................................................................101.5 Sicherheitszeiten.............................................................................111.6 Wiederholungsprüfung....................................................................121.6.1 Durchführung der Wiederholungsprüfung.................................121.6.2 Häufigkeit der Wiederholungsprüfungen...................................122 Zentrale Funktionen ...........................................................................132.1 Netzgeräte.......................................................................................132.2 Funktionsbeschreibung des Zentralteils .........................................132.3 Selbst-Tests ....................................................................................142.4 Fehlerdiagnose ...............................................................................153 Eingänge .............................................................................................163.1 Übersicht.........................................................................................163.2 Allgemeines ....................................................................................173.3 Sicherheit von Sensoren, Encodern und Transmittern...................173.4 Sicherheitsgerichtete digitale Eingänge..........................................183.4.1 Allgemeines...............................................................................183.4.2 Test-Routinen............................................................................183.4.3 Reaktion im Fehlerfall................................................................183.4.4 Schema der digitalen Eingänge ................................................183.4.5 Surge auf digitalen Eingängen ..................................................183.4.6 Parametrierbare digitale Eingänge............................................193.4.7 Line Control ...............................................................................193.5 Sicherheitsgerichtete analoge Eingänge (F35, F3 AIO 8/4 01und F60)..........................................................................................203.5.1 Allgemeines...............................................................................203.5.2 Testroutinen ..............................................................................213.5.3 Reaktion im Fehlerfall................................................................223.5.4 Schema der analogen Eingänge...............................................223.6 Sicherheitsgerichtete Zähler (F35 und F60) ...................................233.6.1 Allgemeines...............................................................................233.6.2 Reaktion im Fehlerfall................................................................233.6.3 Schema der Zähler....................................................................243.7 Checkliste für sicherheitsgerichtete Eingänge................................254 Ausgänge ............................................................................................264.1 Übersicht.........................................................................................264.2 Allgemeines ....................................................................................284.3 Sicherheitsgerichtete digitale Ausgänge.........................................284.3.1 Testroutinen für digitale Ausgänge ...........................................284 von 57

HI 800 022HIMatrix Sicherheitshandbuch7 Konfiguration der Kommunikation ...................................................507.1 Nicht sicherheitsgerichtete Kommunikation....................................507.2 Sicherheitsgerichtete Kommunikation (Peer-to-Peer) ....................507.2.1 ReceiveTMO .............................................................................507.2.2 Berechnung der maximalen Reaktionszeit................................517.2.3 Berechnung der max. Reaktionszeit mit dezentralenE/A-Modulen..............................................................................528 Einsatz in Brandmelderzentralen......................................................539 Einsatzbedingungen ..........................................................................559.1 Klimatische Bedingungen ...............................................................559.2 Mechanische Bedingungen.............................................................569.3 EMV-Bedingungen..........................................................................569.4 Spannungsversorgung....................................................................576 von 57

HI 800 022HIMatrix Sicherheitshandbuch1 Einleitung1.1 ZertifizierungDie sicherheitsgerichteten HIMA Automatisierungsgeräte (Programmierbare ElektronischeSysteme, PES) des Systems HIMatrix sind nach den im folgenden aufgelisteten Normen fürdie funktionale Sicherheit geprüft und vom TÜV zertifiziert sowie konform zu :TÜV Anlagentechnik GmbHAutomation, Software und InformationstechnologieAm Grauen Stein51105 KölnZertifikat und Prüfbericht Nr. 968/EZ 128.08/05Sicherheitsgerichtete AutomatisierungsgeräteHIMatrix F60, F35, F31, F30, F3 DIO 20/8 01, RIO-NCZertifikat und Prüfbericht Nr. 968/EZ 181.01/05Sicherheitsgerichtete AutomatisierungsgeräteHIMatrix F20Internationale Normen:IEC 61508, Teile 1-7: 2000IEC 61511: 2004EN 954-1: 1996EN 12067-2: 2004, EN 298: 2003, EN 230: 1990NFPA 85: 2001EN 61131-2: 2003EN 61000-6-2: 2001, EN 61000-6-4: 2001F 60 und F35: EN 54-2: 1997, NFPA 72: 2002Nationale Normen:DIN VDE 0116: 1989, EN 50156-1:2004Das Kapitel 9 Einsatzbedingungen enthält eine detaillierte Aufstellung aller durchgeführtenUmwelt- und EMV-Prüfungen.Alle Geräte tragen das- Prüfzeichen.Für die Programmierung der HIMatrix-Geräte wird ein PADT (Programmiergerät, PC) mitdem ProgrammiertoolELOP II Factorynach IEC 61131-3 verwendet. Es unterstützt den Anwender bei der Erstellung sicherheitsgerichteterProgramme mit den Programmiersprachen Funktionsbausteinsprache (FBS) undAblaufsprache (AS) sowie der Bedienung der Automatisierungsgeräte.7 von 57

HI 800 022HIMatrix Sicherheitshandbuch1.2 SicherheitDie Automatisierungsgeräte sind für das Ruhestromprinzip konzipiert: die Peripherie und dieFunktion der Steuerung betrachten den energielosen Zustand als sicheren Zustand.Als sicherer Zustand im Fehlerfall wird damit bei Eingangs- und Ausgangssignalen derspannungs- oder stromlose Zustand eingenommen.Für die HIMatrix-Systeme wurden gemäß IEC 61508 die PFD- und PFH- Berechnungendurchgeführt.IEC 61508-1 legt für SIL 3 einen PFD von 10 -4 ...10 -3 und einem PFH von 10 -8 ...10 -7 proStunde fest.Für die Steuerung (PES) werden 15 % des Grenzwertes aus der Norm für PFD und PFHangenommen. Damit ergeben sich als Grenzwerte für den Anteil der Steuerung PFD = 1,5 ∗10 -4 und PFH = 1,5 ∗ 10 -8 pro Stunde.Das Intervall für die Wiederholungsprüfung für die HIMatrix-Systeme wird auf 10 Jahre festgelegt,bei Relaisbaugruppen beträgt der Zeitraum 3 Jahre (Offline Proof Test, siehe IEC61508-4, Absatz 3.8.5).Die Sicherheitsfunktionen, bestehend aus einem sicherheitsbezogenen Loop (Eingang, Verarbeitungseinheit,Ausgang und Kommunikation zwischen HIMatrix-Systemen), erfüllen in allenKombinationen die oben beschriebenen Anforderungen. Diese Anforderungen werdenauch von den dezentralen E/A-Modulen erfüllt.Weitere Informationen sind auf Anfrage erhältlich.1.2.1 Ruhestromprinzip/ArbeitsstromprinzipDie Automatisierungsgeräte sind für das Ruhestromprinzip konzipiert.Die HIMatrix-Systeme sind für Prozess-Steuerungen, Schutzsysteme, Brenneranlagen undMaschinensteuerungen zertifiziert.Ein System, das nach dem Ruhestromprinzip funktioniert, benötigt keine Energie, um seineSicherheitsfunktion auszuführen ("deenergize to trip").Als sicherer Zustand im Fehlerfall wird damit bei Eingangs- und Ausgangssignalen derspannungs- oder stromlose Zustand eingenommen.Die HIMatrix-Steuerungen können auch in Arbeitsstrom-Anwendungen eingesetzt werden.Ein System, das nach dem Arbeitsstromprinzip funktioniert, benötigt Energie, z.B. elektrischeoder pneumatische Energie, um seine Sicherheitsfunktion auszuführen ("energize to trip").Dafür wurden die HIMatrix F60, F35 und F3 AIO 8/4 01 nach EN54 und NFPA72 für denEinsatz in Brandmeldeanlagen und Feuerlöschsystemen geprüft und zertifiziert. In diesenSystemen ist es gefordert, dass auf Anforderung der aktive Zustand zur Beherrschung derGefahr angenommen wird (siehe auch Kapitel 8).8 von 57

HI 800 022HIMatrix Sicherheitshandbuch1.3 Gefahren- und GebrauchshinweiseDer Text des Handbuchs enthält besonders gekennzeichnete Gefahren- oder Gebrauchshinweise,die auf Sicherheitsanforderungen aufmerksam machen:1.3.1 GefahrenhinweiseWichtige Hinweise auf Tatsachen oder Handhabung.Nichtbeachtung kann zu Personen- oder Sachschäden führen!Diese Hinweise• kennzeichnen eine Gefahr,• helfen Ihnen, Gefahren zu vermeiden,• lassen Sie Konsequenzen erkennen.1.3.2 GebrauchshinweiseHinweisBesondere Hinweise zum Verständnis und für richtigenGebrauch.Diese Hinweise tragen dazu bei, die Steuerung richtig zu handhaben und das Wissen um siezu erweitern.1.4 SicherheitsauflagenFür den Einsatz der sicherheitsgerichteten PES des Systems HIMatrix gelten folgende Sicherheitsauflagen:1.4.1 Hardware-ProjektierungProduktunabhängige Auflagen• Für sicherheitsgerichteten Betrieb dürfen nur hierfür zugelassene fehlersichereHardware-Baugruppen und Software-Komponenten verwendet werden. Die zugelassenenHardware-Baugruppen und Software-Komponenten sind in der Versionslisteder Baugruppen und der Firmware der HIMatrix-Systeme der Firma HIMA PaulHildebrandt GmbH + Co KG, Zertifikatsnummer 968/EZ 128.08/05 bzw. 968/EZ181.01/05 (F20) aufgeführt. Die jeweils aktuellen Versionsstände sind der gemeinsammit der Prüfstelle geführten Versionsliste zu entnehmen.• Die spezifizierten Einsatzbedingungen (siehe Kapitel 9) bezüglich EMV, mechanischen,chemischen, klimatischen Einflüssen müssen eingehalten werden.• Nicht fehlersichere, jedoch rückwirkungsfreie Hardware-Baugruppen und Software-Komponenten dürfen für die Verarbeitung nicht sicherheitsrelevanter Signale eingesetztwerden, nicht jedoch für die Bearbeitung sicherheitstechnischer Aufgaben.• Bei allen extern an das System angeschlossenen Sicherheitsstromkreisen ist dasRuhestromprinzip einzuhalten.9 von 57

HI 800 022HIMatrix SicherheitshandbuchProduktabhängige Auflagen• An das System dürfen nur Geräte angeschlossen werden, die eine sichere Trennungzum Netz aufweisen.• Die sichere elektrische Trennung der Stromversorgung muss in der 24 V-Versorgungdes Systems erfolgen. Es dürfen nur Netzgeräte in den Ausführungen PELVoder SELV eingesetzt werden.1.4.2 ProgrammierungProduktunabhängige Auflagen• In sicherheitsrelevanten Anwendungen ist auf eine korrekte Parametrierung der sicherheitsrelevantenSystemgrößen zu achten. Mögliche Parametrierungen sind imSicherheitshandbuch beschrieben.• Insbesondere ist die Festlegung von Systemkonfiguration, maximaler Zykluszeit undSicherheitszeit zu beachten.Produktabhängige AuflagenAuflagen für die Verwendung des Programmiersystems• Zur Programmierung muss das Tool ELOP II Factory verwendet werden.• Nach der Applikationserstellung ist durch manuelles doppeltes Kompilieren und Vergleichder CRCs sicherzustellen, dass die Kompilierung korrekt erfolgte.• Die korrekte Umsetzung der Spezifikation der Applikation ist zu validieren und zu verifizieren.Es muss eine vollständige Prüfung der Logik durch Erprobung erfolgen.• Nach jeder Änderung der Applikation ist diese Prozedur zu wiederholen.• Die Fehlerreaktion des Systems bei Fehlern in den fehlersicheren Ein- und Ausgangsbaugruppenmuss gemäß den anlagenspezifischen sicherheitstechnischenGegebenheiten durch das Anwenderprogramm festgelegt werden.1.4.3 Kommunikation• Bei Verwendung der sicherheitsgerichteten Kommunikation zwischen verschiedenenGeräten muss beachtet werden, dass die Gesamtreaktionszeit des Systems nichtdie Fehlertoleranzzeit überschreitet. Die im Kapitel 7.2 aufgeführten Berechnungsgrundlagensind anzuwenden.• Eine Übertragung der sicherheitsrelevanten Daten über öffentliche Netze (z. B. Internet)ist derzeit nicht zulässig.• Falls die Übertragung der Daten über firmen-/fabrikinterne Netze erfolgt, muss durchadministrative oder technische Maßnahmen dafür Sorge getragen werden, dassausreichender Schutz vor Manipulation gegeben ist (z. B. Abschottung des sicherheitsrelevantenTeiles des Netzes von anderen Netzen mit einer Firewall).• Die seriellen Schnittstellen sind in dieser Ausbaustufe ausschließlich für nicht sicherheitsgerichteteZwecke verwendbar.• An alle Kommunikationsschnittstellen dürfen nur Geräte angeschlossen werden, dieeine sichere elektrische Trennung gewährleisten.1.4.4 Sonderbetriebsarten• Für den Einsatz von „Maintenance Override“ ist die jeweils aktuelle Version des Dokuments„Maintenance Override“ des TÜV Rheinland und TÜV Product Service zubeachten (siehe Kapitel 5.5).• Erforderlichenfalls muss der Betreiber in Absprache mit der für die Applikation zuständigenAbnahmestelle administrative Maßnahmen für den Zugangsschutz zu denSystemen festlegen.10 von 57

HI 800 022HIMatrix Sicherheitshandbuch1.5 SicherheitszeitenEinzelfehler, die zu einem gefährlichen Betriebszustand führen können, werden durch dieSelbsttesteinrichtungen erkannt und führen innerhalb der Sicherheitszeit der Steuerung zudefinierten Fehlerreaktionen, welche die fehlerhaften Teile in den sicheren Zustand überführen.Fehlertoleranzzeit (FTZ, siehe DIN VDE 0801, Anhang A1 2.5.3)Die Fehlertoleranzzeit ist eine Eigenschaft des Prozesses und beschreibt die Zeitspanne, inder der Prozess durch fehlerhafte Signale beaufschlagt werden kann, ohne dass ein gefährlicherZustand eintritt. Wenn der Fehler länger als die FTZ ansteht, kann ein gefährlicher Zustandeintreten.Sicherheitszeit (des PES)Die Sicherheitszeit ist die Zeit, in der das PES im RUN-Zustand nach Auftreten eines internenFehlers reagieren muss.Von der Prozessseite her gesehen, ist die Sicherheitszeit die maximale Zeit, in der das Sicherheitssystembei einer Änderung von Eingangssignalen an den Ausgängen reagierenmuss (Reaktionszeit).Mit den Steuerungen sind Zeiten im Bereich 20 ms bis 50.000 ms realisierbar.Mehrfehlereintrittszeit (MEZ)Die Eintrittszeit für Mehrfachfehler ist die Zeitspanne, in der die Wahrscheinlichkeit für dasAuftreten von Mehrfachfehlern, die in Kombination sicherheitskritisch sind, hinreichend geringist.Die Mehrfehlereintrittszeit ist im Betriebssystem mit 24 Stunden definiert.ReaktionszeitDie maximale Reaktionszeit von zyklisch arbeitenden HIMatrix-Steuerungen ist die doppelteZykluszeit dieser Systeme, wenn nicht durch Parametrierung oder die Logik des Anwenderprogrammseine Verzögerung erfolgt.Die Zykluszeit einer Steuerung besteht aus folgenden wesentlichen Teilen:• Lesen der Eingänge• Verarbeiten des Anwenderprogramms• Schreiben der Ausgänge• Prozessdatenkommunikation• Ausführen der TestroutinenZusätzlich sind bei der Worst Case-Betrachtung des gesamten Systems die Schaltzeiten derEin- und Ausgänge zu berücksichtigen.Watchdog-Zeit der CPU (im PES)Die Watchdog-Zeit wird als Zeit im Menü für die Einstellung der Eigenschaften des PES vorgegeben.Sie ist die maximal zulässige Dauer eines RUN-Zyklusses (Zykluszeit). Überschreitetdie Zykluszeit die vorgegebene Watchdog-Zeit, so geht die CPU in FEHLER-STOPP.Die Watchdog-Zeit der CPU muss bei der Einstellung liegen zwischen2 ms und ½ ∗ Sicherheitszeit des PES.Als Maximalwert sind 5.000 ms zulässig.Default-Einstellungen:Steuerungen (F20, F30, F31, F35, F60)dezentrale E/A-Module50 ms,10 ms.11 von 57

HI 800 022HIMatrix Sicherheitshandbuch1.6 WiederholungsprüfungDurch die Wiederholungsprüfungen werden verdeckte gefährliche Fehler erkannt, die sonstggfs. die sichere Funktion der Anlage beeinträchtigen würden.HIMA Sicherheitssysteme müssen in Intervallen von 10 Jahren einer Wiederholungsprüfungunterzogen werden. Durch eine Analyse der realisierten Sicherheitskreise mittels desHIMA-Berechnungswerkzeugs SILence kann das Intervall häufig verlängert werden.Bei Relaisbaugruppen muss die Wiederholungsprüfung für die Relais in für die Anlage festgelegtenIntervallen erfolgen.1.6.1 Durchführung der WiederholungsprüfungDie Durchführung der Wiederholungsprüfung hängt davon ab, wie die Anlage (EUC = equipmentunder control) beschaffen ist und welches Gefährdungspotential sie hat, und welcheder Normen daher für den Betrieb der Anlage zur Anwendung kommen und von der zuständigenPrüfstelle als Grundlage für die Genehmigung benutzt wurden.Nach den Normen IEC 61508 1-7, IEC 61511 1-3, IEC 62061 und VDI/VDE 2180 Blatt 1 bis4 hat bei sicherheitgerichteten Systemen der Betreiber für eine Wiederholungsprüfung zusorgen.1.6.2 Häufigkeit der WiederholungsprüfungenDas HIMA-PES kann einer Wiederholungsprüfung unterzogen werden, indem der gesamteSicherheitskreis überprüft wird.In der Praxis wird für die Eingangs- und Ausgangs-Feldgeräte ein kürzeres Intervall für dieWiederholungsprüfung (z.B. alle 6 oder 12 Monate) gefordert als für das HIMA-PES. Wennder Anwender den kompletten Sicherheitskreis wegen des Feldgeräts prüft, dann ist dasHIMA-PES in diesen Test automatisch eingeschlossen. Es sind dann keine zusätzlichenWiederholungsprüfungen für das HIMA-PES erforderlich.Falls die Wiederholungsprüfung der Feldgeräte das HIMA-PES nicht mit einbezieht, dannmuss es mindestens einmal in 10 Jahren überprüft werden. Dies kann erreicht werden, indemdas HIMA-PES neu gestartet wird.Gibt es für spezielle Baugruppen zusätzliche Anforderungen für die Wiederholungsprüfung,dann muss der Endanwender das Datenblatt der jeweiligen Baugruppe beachten.12 von 57

HI 800 022HIMatrix Sicherheitshandbuch2 Zentrale FunktionenBei den Geräten des Typs F1.., F2.., F3.. handelt es sich um Kompaktsysteme, die nichtmodifiziert werden können.Bei den Steuerungen des Typs F60 handelt es sich um modulare Systeme, bei denen innerhalbeiner Steuerung mit Netzgerät-Baugruppe und Zentralbaugruppe bis zu sechs E/A-Baugruppen eingesetzt werden können.2.1 NetzgeräteEine Netzgerät-Baugruppe gibt es nur bei F60. Bei den Kompaktgeräten ist diese Funktionim System integriert und kann nicht modular betrachtet werden.Die Netzgerät-Baugruppe PS 01 (für F60) bzw. die integrierte Funktion wandelt die Versorgungsspannung24 VDC auf 3,3 VDC und 5 VDC (Verwendung für internen E/A-Bus).2.2 Funktionsbeschreibung des ZentralteilsDie Zentralbaugruppe (Beispiel) besteht aus folgenden Funktionsblöcken:SwitchNonvolatileRAMAbbildung 1: Darstellung der Funktionsblöcke am Beispiel der CPU 01 der F6013 von 57

HI 800 022HIMatrix SicherheitshandbuchEigenschaften der Zentralbaugruppe CPU 01 der F60• Zwei taktsynchrone Mikroprozessoren (μP 1 und μP 2)• Jeder Mikroprozessor hat einen eigenen RAM-Speicher• Testbarer Hardware-Vergleicher für alle externen Zugriffe beider Mikroprozessoren• Im Fehlerfall wird der Watchdog in den sicheren Zustand gesetzt• Flash-EPROMs, der Programmspeicher für Betriebssysteme und Anwenderprogramm,geeignet für min. 100.000 Speicherzyklen• Datenspeicher in NVRAM• Multiplexer zum Anschluss von E/A-Bus, Dual Port RAM (DPR)• Pufferbatterie (Goldcap) für Datum/Uhrzeit• Kommunikationsprozessor für Feldbus- und Ethernet-Anschlüsse• Schnittstelle zum Datenaustausch zwischen Geräten F3.., F60 und dem PADT, basierendauf Ethernet• Optionale Schnittstelle(n) zum Datenaustausch per Feldbus• Signalisierung der Systemzustände durch LEDs• E/A-Bus-Logik zur Verbindung mit den E/A-Baugruppen• Sicherer Watchdog (WD)• Netzgerätüberwachung, testbar (3,3 V = / 5 V = Systemspannungen)2.3 Selbst-TestsNachfolgend sind die wichtigsten Selbsttestroutinen der sicherheitsgerichteten Zentralbaugruppender Steuerungen und der Ankopplung an die E/A-Ebene stichwortartig erläutert:Mikroprozessor-TestGeprüft werden:• Alle verwendeten Befehle und Adressierungsarten,• die Beschreibbarkeit der Flags und die durch sie bedingten Befehle,• die Beschreibbarkeit und das Übersprechen der Register.Test der SpeicherbereicheDas Betriebssystem, das Anwenderprogramm, die Konstanten und Parameter sowie die variablenDaten sind in jeder Zentralbaugruppe in beiden Prozessorbereichen gespeichert undwerden von einem Hardware-Vergleicher geprüft.Feste SpeicherbereicheBetriebssystem, Anwenderprogramm und Parameterbereich sind in je einem Speicher abgelegt.Sie werden durch einen Schreibschutz und einen CRC-Test gesichert.RAM-TestDie änderbaren RAM-Bereiche werden mit einem Schreib- und Lesetest insbesondere aufStuck-at und Übersprechen geprüft.Watchdog-TestDas Watchdog-Signal schaltet sich ab, wenn es nicht in einem festgelegten Zeitfenster vonbeiden CPUs getriggert wird; ebenso, wenn der Test der Hardware-Vergleicher fehlschlägt.Durch einen weiteren Test wird die Abschaltbarkeit des Watchdog-Signals geprüft.Test des E/A-Busses innerhalb der SteuerungDie Verbindung zwischen der CPU und den zugehörigen Eingängen und Ausgängen (E/A-Baugruppen) wird geprüft.Reaktionen auf Fehler in der CPUEin Hardware-Vergleicher innerhalb des Zentralbereichs vergleicht ständig, ob die Daten desMikroprozessorsystems 1 identisch sind mit den Daten des Mikroprozessorsystems 2. Istdas nicht der Fall oder sind die Testroutinen im Zentralbereich negativ, geht die Steuerungautomatisch in FEHLERSTOPP und das Watchdog-Signal wird abgeschaltet. Das bedeutet,14 von 57

HI 800 022HIMatrix Sicherheitshandbuchdass keine Eingangssignale mehr verarbeitet werden und die Ausgänge in den energielosen,abgeschalteten Zustand übergehen.2.4 FehlerdiagnoseAlle Baugruppen der F60 verfügen jeweils über eine eigene LED zur Fehleranzeige bei Störungender Baugruppe oder der externen Beschaltung. Damit ist im Störungsfall eine schnelleFehlerdiagnose über eine fehlerhaft gemeldete Baugruppe möglich.Bei den Kompaktgeräten F1.., F2.., F3.. sind diese Fehleranzeigen zu einer Sammel-Fehlermeldung zusammengefasst.Zusätzlich kann im Anwenderprogramm eine Auswertung von verschiedenen Systemsignalender Eingänge und Ausgänge oder der CPU erfolgen.Eine Fehlersignalisierung findet nur statt, wenn der Fehler die Kommunikation mit der CPUnicht behindert, d.h. eine Auswertung über die CPU noch ermöglicht.Die Fehlercodes aller Ein- und Ausgangssignale und jene für die Systemsignale könnenüber die Logik im Anwenderprogramm ausgewertet werden.Eine umfangreiche diagnostische Aufzeichnung des Systemverhaltens und erkannter Fehlerwerden im Diagnosespeicher der CPU und der COM abgelegt. Die Aufzeichnung kann auchnach einer Systemstörung über das PADT ausgelesen werden.Details über die Auswertung der Diagnosemeldung siehe auch Systemhandbuch Kompaktsystemeoder Systemhandbuch Modulares System F60, Kapitel „Diagnose“.15 von 57

HI 800 022HIMatrix Sicherheitshandbuch3 Eingänge3.1 ÜbersichtSteuerung F20Systemteil Anzahl sicherheitsgerichtetrückwirkungsfreiDigitale Eingänge 8 • • –elektrischgetrenntSteuerung F30Systemteil Anzahl sicherheitsgerichtetrückwirkungsfreiDigitale Eingänge 20 • • –elektrischgetrenntSteuerung F31Systemteil Anzahl sicherheitsgerichtetrückwirkungsfreiDigitale Eingänge 20 • • –elektrischgetrenntSteuerung F35Systemteil Anzahl sicherheitsgerichtetrückwirkungsfreiDigitale Eingänge 24 • • –Zähler 24 Bit 2 • • –Analoge Eingänge 8 • • –elektrischgetrenntDezentrales E/A-Modul F1 DI 16 01Systemteil Anzahl sicherheitsgerichtetrückwirkungsfreiDigitale Eingänge 16 • • –elektrischgetrenntDezentrales E/A-Modul F3 DIO 8/8 01Systemteil Anzahl sicherheitsgerichtetrückwirkungsfreiDigitale Eingänge 8 • • –elektrischgetrenntDezentrales E/A-Modul F3 DIO 16/8 01Systemteil Anzahl sicherheitsgerichtetrückwirkungsfreiDigitale Eingänge 16 • • –elektrischgetrenntDezentrales E/A-Modul F3 AIO 8/4 01Systemteil Anzahl sicherheitsgerichtetrückwirkungsfreiAnaloge Eingänge 8 • • –elektrischgetrennt16 von 57

HI 800 022HIMatrix SicherheitshandbuchDezentrales E/A-Modul F3 DIO 20/8 01 und 20/8 02Systemteil Anzahl sicherheitsgerichtetrückwirkungsfreielektrischgetrenntDigitale Eingänge 20 • • –Modulare Steuerung F60Baugruppe Anzahl sicherheitsgerichtetDigital Eingänge:DIO 24/16 01DI 32 01(mit Line Controlkonfigurierbar)DI 24 01 (110 V)2432••rückwirkungsfrei24 ••Zähler 24 Bit:CIO 2/4 01 2 • • •Analoge Eingänge:AI 8 01 8 • • •Analoge oderdigitale EingängeMI 24 01 24 • • •••elektrischgetrennt•••3.2 AllgemeinesSicherheitsgerichtete Eingänge können sowohl für sicherheitsgerichtete als auch für nicht sicherheitsgerichteteSignale benutzt werden.Außer den Diagnose-LEDs der Baugruppen bieten die Steuerungen für das Anwenderprogrammnoch Statusmeldungen, die ausgewertet werden können. E/A-Fehler, die im Diagnose-Speichergespeichert sind, können mit ELOP II Factory ausgelesen werden.Sicherheitsgerichtete Eingangsbaugruppen werden während des Betriebes automatisch einemhochwertigen, zyklischen Selbsttest unterzogen. Diese Testroutinen sind TÜV-geprüftund überwachen die sichere Funktion der jeweiligen Baugruppe.Bei einem Fehler wird dem Anwenderprogramm ein 0-Signal zur Verfügung gestellt, und,wenn möglich, eine Fehlerinformation erzeugt. Diese Fehlerinformation kann im Anwenderprogrammmit dem Auslesen des Fehlercodes ausgewertet werdenBei einem kleinen Teil der Bauelement-Ausfälle, welche die Sicherheit nicht beeinflussen,wird keine Diagnoseinformation erzeugt.3.3 Sicherheit von Sensoren, Encodern und TransmitternIn einer sicherheitsgerichteten Anwendung müssen sowohl das PES als auch die daran angeschlossenenSensoren den Sicherheitsanforderungen (SIL) entsprechen.An den Eingängen des PES können die sicherheitsgerichteten Sensoren, Encoder undTransmitter mit dem notwendigen SIL angeschlossen werden. Stehen keine Sensoren, Encoderund Transmitter mit dem spezifischen SIL zur Verfügung, können sie auch ohne SILangeschlossen werden. Im Applikationsprogramm muss aber dann eine Verknüpfung undÜberwachung der Signale programmiert werden.Hinweise zum Erreichen des notwendigen SIL können zum Beispiel aus IEC 61511-1, Paragraph11.4 entnommen werden.17 von 57

HI 800 022HIMatrix Sicherheitshandbuch3.4 Sicherheitsgerichtete digitale EingängeDie aufgeführten Punkte gelten sowohl für die digitalen Eingangskanäle der Baugruppen derF60 als auch für die digitalen Eingangskanäle aller Kompaktsysteme, sofern keine spezifischenBenennungen erfolgen.3.4.1 AllgemeinesDie digitalen Eingänge werden einmal in jedem Zyklus gelesen und intern gespeichert; siewerden zyklisch auf sichere Funktion getestet.Eingangssignale, die kürzer als die Zeit zwischen zwei Abtastungen (also kürzer als für eineZykluszeit) anstehen, werden unter Umständen nicht erfasst.3.4.2 Test-RoutinenDie Online-Testroutinen prüfen, ob die Eingangskanäle in der Lage sind, unabhängig vonden anstehenden Eingangssignalen beide Signalpegel (L- und H-Signal) durchzuschalten.Dieser Funktionstest wird bei jedem Lesen der Eingangssignale durchgeführt.3.4.3 Reaktion im FehlerfallWenn die Testroutinen für digitale Eingänge einen Fehler feststellen, wird für den fehlerhaftenKanal entsprechend dem Ruhestromprinzip ein 0-Signal im Anwenderprogramm verarbeitetund die LED „FAULT“ (bei F60 die LED „ERR“ auf der Baugruppe) wird aktiviert.Im Anwenderprogramm muss zusätzlich zum Signalwert des Kanals der entsprechende Fehlercodeberücksichtigt werden. Mit der Verwendung des Fehlercodes hat der Anwender zusätzlicheMöglichkeiten, Fehlerreaktionen im Anwenderprogramm zu konfigurieren und dieexterne Beschaltung zu diagnostizieren.3.4.4 Schema der digitalen EingängeTestI1I24ERRRUN24 channels24 KanäleTTE/A-Bus I/O Abbildung 2: Darstellung der Funktionen am Beispiel der Baugruppe DIO 24/16 013.4.5 Surge auf digitalen EingängenBei digitalen Eingängen kann – bedingt durch die kurze Zykluszeit der HIMatrix-Systeme –ein Surge-Impuls nach EN 61000-4-5 als kurzzeitiges H-Signal eingelesen werden.HinweisUm derartige Fehlfunktionen zu vermeiden, muss für die Applikationen eine der folgendenMaßnahmen ergriffen werden:18 von 57

HI 800 022HIMatrix Sicherheitshandbuch• Installation abgeschirmter Eingangsleitungen zur Verhinderung der Auswirkungenvon Surges im System,• Störaustastung im Anwenderprogramm: ein Signal muss mindestens zwei Zyklenanstehen, bevor es ausgewertet wird.Achtung: Dadurch verlängert sich die Reaktionszeit des Systems!Auf obige Maßnahmen kann verzichtet werden, wenn durchdie Auslegung der Anlage Surges im System ausgeschlossenwerden können.Zur Auslegung gehören insbesondere Schutzmaßnahmenbetreffend Überspannung, Blitzschlag, Erdung und Anlagenverdrahtungauf Basis der Herstellerangaben und derrelevanten Normen.3.4.6 Parametrierbare digitale EingängeDie digitalen Eingänge der Steuerung F35 und der Baugruppe MI 24 01 arbeiten nach demPrinzip analoger Eingänge, die aber durch Parametrierung von Schaltschwellen auf digitaleWerte gesetzt werden.Für parametrierbare digitale Eingänge gelten die für analoge Eingänge genannten Testroutinenund Sicherheitsfunktionen wie in Kapitel 3.5.2 angeführt.3.4.7 Line ControlLine Control ist eine Leitungsschluss- und Leitungsbruchüberwachung zum Beispiel vonNOTAUS-Geräten nach Kat. 4 gemäß EN 954-1, die bei HIMatrix-Systemen mit digitalenEingängen (nicht mit parametrierbaren digitalen Eingängen) konfiguriert werden kann.Dazu werden die digitalen Ausgänge DO des Systems mit den digitalen Eingängen DI desgleichen Systems wie folgt verbunden (Beispiel):DO 1 2NOTAUS 1NOTAUS 2DI 1 2DI 3 4NOTAUS-Schalternach Norm, z. B.EN 60947-5-1,EN 60947-5-5Abbildung 3: Line ControlDie digitalen Ausgänge DO 1, DO 2 werden getaktet (T1, T2) und so die Leitungen zu dendigitalen Eingängen überwacht. Die Signale für die Taktausgaben müssen bei DO[01].Wertbeginnen und direkt nacheinander liegen (siehe Systemsignale in den Datenblättern):T1konfigurierbar 5...2000 μsT2konfigurierbar 5...2000 μsAbbildung 4: Taktsignale19 von 57

HI 800 022HIMatrix SicherheitshandbuchDie Leuchtdiode „FAULT“ auf der Frontplatte der Steuerung oder der Baugruppe blinkt dieEingänge werden auf 0-Signal gesetzt und ein (auswertbarer) Fehlercode wird erzeugt,wenn folgende Fehler auftreten:• Querschluss zwischen zwei parallelen Leitungen,• Vertauschung von zwei Leitungen (z. B. DO 2 nach DI 3),• Erdschluss einer der Leitungen (nur bei geerdetem Bezugspol),• Leitungsbruch oder Öffnen der Kontakte, d. h. auch beim Betätigen einer der obengezeigten NOTAUS-Schalter blinkt die LED, und der Fehlercode wird erzeugt.3.5 Sicherheitsgerichtete analoge Eingänge(F35, F3 AIO 8/4 01 und F60)3.5.1 AllgemeinesBei den analogen Eingangskanälen werden die Eingangssignale in einen INTEGER-Wertumgewandelt. Dieser Wert steht dann dem Anwenderprogramm zur Verfügung.Die sicherheitstechnische Genauigkeit ist die garantierte Genauigkeit des analogen Eingangsohne Fehlerreaktion der Baugruppe. Dieser Wert ist bei der Parametrierung von Sicherheitsfunktionenzu berücksichtigen.Als Eingangswerte stehen folgende Möglichkeiten zur Verfügung:Steuerung F35EingangskanäleMessverfahrenStrom,SpannungSicherheits-WertebereichFS1000 1) FS2000 1)in dertechnischeAnwendungGenauigkeit8 unipolar 0...+10 V 0...1000 0...2000 2 %0...500 2) 0...1000 2)8 unipolar 0...20 mA0...1000 3) 0...2000 3) 2 %1)einstellbar über Typauswahl im ELOP II Factory Hardware Management2) mit externem Shunt-Adapter 250 Ω, HIMA-Nr.: 98 22200593) mit externem Shunt-Adapter 500 Ω, HIMA-Nr.: 98 2220067Dezentrales E/A-Modul F3 AIO 8/4 01Strom,SpannungWertebereichin derAnwendungEingangskanäleMessverfahrenSicherheitstechnischeGenauigkeit8 unipolar 0...+10 V 0...2000 2%8 unipolar 0/4...20 mA0...1000 2)3)0…20002%2) mit externem Shunt-Adapter 250 Ω, HIMA-Nr.: 98 22200593) mit externem Shunt-Adapter 500 Ω, HIMA-Nr.: 98 222006720 von 57

HI 800 022HIMatrix SicherheitshandbuchSteuerung F60EingangskanäleAI 8 01MessverfahrenStrom,SpannungSicherheits-WertebereichFS1000 1) FS2000 1)in derAnwendungtechnischeGenauigkeit8 unipolar -10 V...+10 V -1000...1000 -2000...2000 1 %8 unipolar 0...20 mA 0...1000 3) 0...2000 3) 1 %8 unipolar 0...20 mA 0...500 2) 0...1000 2) 4 %4 bipolar -10 V...+10 V -1000...1000 -2000...2000 1 %MI 24 0124 unipolar 0...20 mA 0...2000 4) 1 %1) bei der Gerätetypauswahl anzugeben (F60)2)mit externem Messshunt 250 Ohm, HIMA-Nr.: 00 07102513)mit externem Messshunt 500 Ohm, HIMA-Nr.: 00 0603501 (Genauigkeit 0,05%, P 1W)4)interne MessshuntsDie Baugruppe AI 8 01 der F60 kann im Anwenderprogramm auf acht unipolare oder vier bipolareFunktionen konfiguriert werden. Das Mischen der Funktionen auf einer Baugruppe istjedoch nicht zulässig.Die analogen Eingänge der Steuerung F35, des dezentralen E/A-Moduls F3 AIO 8/4 01 undder Baugruppe AI 8 01 arbeiten mit Spannungsmessung. Mit den analogen Eingängen derF35 und der F3 AIO 8/4 01 können digitale Ausgänge des eigenen Systems (F35) oder andererHIMatrix-Steuerungen auf Leitungsbruch überwacht werden. Nähere Einzelheiten enthaltendie Datenblätter der entsprechenden HIMatrix-Steuerungen.Bei Leitungsbruch (es erfolgt keine Leitungsüberwachung durch das System) werden an denhochohmigen Eingängen beliebige Eingangssignale verarbeitet. Der aus dieser schwebendenEingangsspannung resultierende Wert ist nicht sicher; bei Spannungseingängen müssendie Kanäle mit einem Widerstand von 10 kΩ abgeschlossen werden. Der Innenwiderstandder Quelle ist dabei zu beachten.Für eine Strommessung wird dem Eingang der Shunt parallelgeschaltet; der Widerstand von10 kΩ ist dann nicht erforderlich.Die Eingänge der Baugruppe MI 24 01 sind aufgrund der internen Messshunts Stromeingängeund können nicht als Spannungseingänge genutzt werden.Bei unbenutzten Eingangskanälen muss der Messeingang mit dem Bezugspotenzial verbundenwerden. Negative Einflüsse auf andere Kanäle im Falle eines Leitungsbruches(schwebende Spannungswerte) werden damit vermieden.Für den unbenutzten Eingang muss im ELOP II Hardware Management das entsprechendeSignal AI[0x].Verwendet auf den Default-Wert „FALSE“ bzw. „0“ gesetzt werden. Damit wirdder Kanal innerhalb des Anwenderprogramms ausgeblendet, d.h. es sind keine Signalmeldungenmehr verfügbar.3.5.2 TestroutinenDie Analogwerte werden parallel über zwei Multiplexer und zwei Analog/Digital-Wandler mit12-Bit Auflösung verarbeitet und die Ergebnisse werden miteinander verglichen. Zusätzlichwerden über vorhandene Digital/Analog-Wandler Testwerte aufgeschaltet, wieder in Digitalwerterückgewandelt und mit dem Vorgabewert verglichen.Bei erkanntem Fehler wird der Eingang für die weitere Bearbeitung im Anwenderprogrammauf den Wert „0“ und der Fehlerstatus gesetzt.21 von 57

HI 800 022HIMatrix Sicherheitshandbuch3.5.3 Reaktion im FehlerfallWenn Kanalfehler in den analogen Eingängen auftreten, wird der Fehlercode des fehlerhaftenKanals auf einen Wert > 0 gesetzt. Falls es sich um Fehler für die ganze Baugruppehandelt, wird der Fehlercode für die Baugruppe auf einen Wert > 0 gesetzt. In beiden Fällenwird die LED „FAULT“ (bei F60 die LED „ERR“ auf der Baugruppe) aktiviert.Der Fehlercode muss zusätzlich zum Analogwert ausgewertet werden und bei einemWert > 0 muss eine sicherheitsgerichtete Reaktion projektiert sein.3.5.4 Schema der analogen EingängeI1I88 Kanäle12-Bit AuflösungE/A-BusAbbildung 5: Darstellung der Funktionen am Beispiel der Eingangsbaugruppe AI 8 0122 von 57

HI 800 022HIMatrix Sicherheitshandbuch3.6 Sicherheitsgerichtete Zähler (F35 und F60)Die aufgeführten Punkte gelten sowohl für die Zähler-Baugruppe der F60 als auch für dieZähler der F35, sofern keine spezifische Benennung erfolgt.3.6.1 AllgemeinesDie Zählerbaugruppe kann je nach Parametrierung im Anwenderprogramm als schnellerVorwärts-/Rückwärtszähler mit 24-Bit Auflösung oder als Decoder im Gray-Code betriebenwerden.Bei der Verwendung als schneller Vorwärts-/Rückwärtszähler sind als Signale der Impulseingangund der Zählrichtungseingang in der Anwendung notwendig. Ein Reset erfolgt nurim Anwenderprogramm.Die Encoderauflösung 4- oder 8-Bit gilt für die Zähler-Baugruppe der F60; bei der F35 hatder Encoder 3- oder 6-Bit Auflösung. Ein Reset ist möglich.Die Verknüpfung von zwei unabhängigen 4-Bit-Eingängen zu einem 8-Bit-Eingang (Beispielfür F60) erfolgt ausschließlich per Anwenderprogramm. Eine Schaltmöglichkeit für diesenZweck ist nicht vorgesehen.Die Encoder-Funktion überwacht die Änderung der Bitmuster an den Eingangskanälen. DieBitmuster an den Eingängen werden direkt an das Anwenderprogramm übergeben. Die Darstellungim PADT erfolgt in Form einer dem Bitmuster entsprechenden Dezimalzahl (Zähler[0x].Wert).Je nach Applikation kann diese Zahl, die dem Gray-Code-Bitmuster entspricht, z.B. in denzugehörigen Dezimalwert gewandelt werden.3.6.2 Reaktion im FehlerfallWird im Zählerteil der Baugruppe ein Fehler festgestellt, wird ein Statusbit für die Auswertungim Anwenderprogramm gesetzt. Zusätzlich kann dort auch der entsprechende Fehlercodeberücksichtigt werden. Die LED „FAULT“ (bei F60 die LED „ERR“ auf der Baugruppe)wird aktiviert.Mit der Verwendung des Fehlercodes hat der Anwender zusätzliche Möglichkeiten, Fehlerreaktionenim Anwenderprogramm zu konfigurieren.23 von 57

HI 800 022HIMatrix Sicherheitshandbuch3.6.3 Schema der ZählerE/A-BusZähler,Kanal 1Zähler,Kanal 2Interne Logik4 KanäleAbbildung 6: Darstellung der Funktionen am Beispiel der Zählerbaugruppe CIO 2/4 0124 von 57

HI 800 022HIMatrix Sicherheitshandbuch3.7 Checkliste für sicherheitsgerichtete EingängeDie folgende Checkliste ist eine Empfehlung zur Projektierung, Programmierung und Inbetriebnahmevon sicherheitsgerichteten Eingängen. Sie kann vom Anwender als Planungsunterlageeingesetzt werden, dient aber gleichzeitig auch als Nachweis für eine sorgfältigdurchgeführte Planung.Für jeden einzelnen der in einem System eingesetzten sicherheitsgerichteten Eingangskanälekann im Rahmen der Projektierung bzw. Inbetriebnahme eine eigene Checkliste zurKontrolle der zu berücksichtigenden Anforderungen ausgefüllt werden. Nur dann kann sichergestelltwerden, dass die Anforderungen vollständig und übersichtlich erfasst werden.Damit kann auch eine Dokumentation über die Verbindung externe Verdrahtung zum Anwenderprogrammerfolgen.Sicherheitshandbuch für HIMatrixCheckliste für Projektierung, Programmierung und Start-upFirmaOrtLoopSicherheitsgerichtete Eingänge für HIMatrix Kompaktsystem F.. HIMatrix Modulares System F60Lfd. Nr. Anforderung Ja Nein Bemerkung1 Ist dieser Eingang sicherheitsgerichtet? 2 Erfolgt eine Verarbeitung des Fehlercodesim Anwenderprogramm? [WERT=0] und [FEHLERCODE≠0]3 Sind für die benutzten Eingänge diejeweiligen Freigaben xI[xx].Verwendet parametriert?4 Ist dieser Eingang digital? Falls nein, weiter mit 7.5 HIMatrix F35 / MI 24 01: Ist die Hystereseder digitalen Eingänge korrekt parametriert?6 Wird für diesen Eingang LineControl verwendet? 7 Ist dieser Eingang analog? Falls nein, weiter mit 12.8 Wurde dieser Eingang gemäß denAngaben im Datenblatt konfiguriert? 9 Spannungseingang abgeschlossenoder kann der Fehler Leitungsbruch ausgeschlossen werden?10 Passen die Bereiche der Sensorenzu der Kanalkonfiguration? 11 Sind die nicht benutzten analogenEingänge kurzgeschlossen? 12 Ist dieser Eingang ein Zählereingang? 13 Funktion: Impulszähler? 14 Funktion: Decoder (Gray-Code)? 15 Ist für diesen Eingang ein sicherheitsgerichteterEncoder/Sensorvorgesehen? 25 von 57

HI 800 022HIMatrix Sicherheitshandbuch4 Ausgänge4.1 ÜbersichtSteuerung F20Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntDigitale Ausgänge 8 • –Taktausgänge 4 – –Steuerung F30Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntDigitale Ausgänge(konfigurierbar fürLine Control)8 • –Steuerung F31Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntDigitale Ausgänge(konfigurierbar fürLine Control)8 • –Steuerung F35Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntDigital Ausgänge 8 • –Dezentrales E/A-Modul F1 DI 16 01Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntTaktausgänge 4 – –Dezentrales Ausgangsmodul F2 DO 4 01Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntDigitale Ausgänge 4 • –Dezentrales Ausgangsmodul F2 DO 8 01Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntRelaisausgänge 8 • •26 von 57

HI 800 022HIMatrix SicherheitshandbuchDezentrales Ausgangsmodul F2 DO 16 01Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntDigitale Ausgänge 16 • –Dezentrales Ausgangsmodul F2 DO 16 02Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntRelaisausgänge 16 • •Dezentrales E/A-Modul F3 DIO 8/8 01Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntDigitale Ausgänge 8 1-polig2 2-polig• –Dezentrales E/A-Modul F3 DIO 16/8 01Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntDigitale Ausgänge 16 1-polig8 2-polig• –Dezentrales E/A-Modul F3 AIO 8/4 01Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntAnaloge Ausgänge 4 – * –* jedoch mit gemeinsamer sicherheitsgerichteter AbschaltungDezentrales E/A-Modul F3 DIO 20/8 01 und F3 DIO 20/8 02Systemteil Anzahl sicherheitsgerichtet elektrischgetrenntDigitale Ausgänge(konfigurierbar fürLine Control)8 • –Modulare Steuerung F60Baugruppe Anzahl sicherheitsgerichtet elektrischgetrenntDigitale Ausgänge:CIO 2/4 01DIO 24/16 01(konfigurierbar fürLine Control)DO 8 01(mit Relaiskontakten)Analoge Ausgänge:AO 8 01416••8 • •8 • •••27 von 57

HI 800 022HIMatrix Sicherheitshandbuch4.2 AllgemeinesDie sicherheitsgerichteten Ausgangsbaugruppen werden einmal in jedem Zyklus beschrieben,die Ausgangssignale zurückgelesen und mit den vorgegebenen Ausgangsdaten verglichen.Bei den Ausgängen ist der Wert „0“ oder der geöffnete Relaiskontakt der sichere Zustand.In den sicherheitsgerichteten Ausgangskanälen sind drei testbare Schalter in Serie integriert.Somit ist der sicherheitstechnisch erforderliche, unabhängige zweite Abschaltweg auf derAusgangsbaugruppe integriert. Diese integrierte Sicherheitsabschaltung schaltet im Fehlerfallalle Kanäle der defekten Ausgangsbaugruppe sicher ab (energieloser Zustand).Außerdem ist auch das Watchdog-Signal der CPU die zweite Möglichkeit der Sicherheitsabschaltung:Ein Wegfall des Watchdog-Signales bewirkt das sofortige Einnehmen des sicherenZustandes.Diese Funktion ist nur wirksam für alle digitalen Ausgänge und Relaisausgänge der Steuerungen.Mit der Verwendung des jeweiligen Fehlercodes hat der Anwender zusätzliche Möglichkeiten,Fehlerreaktionen im Anwenderprogramm zu konfigurieren.4.3 Sicherheitsgerichtete digitale AusgängeDie aufgeführten Punkte gelten sowohl für die digitalen Ausgangskanäle der Baugruppen derF60 als auch für die digitalen Ausgangskanäle der Kompaktgeräte. Ausgenommen sind inbeiden Fällen die Relaisbaugruppen, außer diese werden spezifisch benannt.4.3.1 Testroutinen für digitale AusgängeDie Baugruppen werden automatisch während des Betriebes getestet. Die wesentlichenTestfunktionen sind:• Rücklesen des Ausgangssignals des Schaltverstärkers. Die Schaltschwelle für einrückgelesenes 0-Signal ist 2 V. Die eingesetzten Dioden verhindern ein Rückspeisenvon Signalen,• Prüfen der integrierten zweifachen Sicherheitsabschaltung,• Ein Abschalttest der Ausgänge erfolgt innerhalb der MEZ für jeweils max. 200 µs.Der Mindestabstand zwischen zwei Tests beträgt ≥ 20 Sekunden.Die Betriebsspannung des gesamten Systems wird überwacht, alle Ausgänge werden beieiner Unterspannung < 13 V abgesteuert.4.3.2 Reaktion im FehlerfallWird ein fehlerhaftes Signal festgestellt, wird der betroffene Ausgang der Baugruppe überdie Sicherheitsschalter in den sicheren energielosen Zustand gesetzt. Bei einem Baugruppenfehlerwerden alle Ausgänge der Baugruppe abgeschaltet. Beide Fehler werden zusätzlichmit der LED „FAULT“ (bei F60 die LED „ERR“ auf der Baugruppe) angezeigt.28 von 57

HI 800 022HIMatrix Sicherheitshandbuch4.3.3 Verhalten bei externem Kurzschluss oder ÜberlastBei einem Schluss des Ausgangs nach L- oder Überlast bleibt die Testbarkeit der Baugruppeerhalten. Eine Abschaltung über die Sicherheitsabschaltung ist nicht notwendig.Die Gesamtstromaufnahme der Baugruppe wird überwacht. Bei Überschreiten der Schwellewerden alle Kanäle der Ausgangsbaugruppe in den sicheren „0“-Zustand gesetzt.Die Ausgänge werden in diesem Zustand zyklisch im Abstand weniger Sekunden geprüft, obdie Überlast noch vorhanden ist. Bei Normalzustand werden die Ausgänge wieder zugeschaltet.4.3.4 Schema der digitalen AusgängeE/A-Bus16 KanäleAbbildung 7: Darstellung der Funktionen am Beispiel der Baugruppe DIO 24/16 014.3.5 Line ControlZusammen mit sicherheitsgerichteten digitalen Eingängen des gleichen Systems (nicht aberbei parametrierbaren digitalen Eingängen) können sicherheitsgerichtete digitale Ausgängegetaktet werden, um eine Leitungsschluss- und Leitungsbruchüberwachung zu ermöglichen,z. B. bei NOTAUS-Geräten nach Kat. 4 gemäß EN 954-1 (siehe Kapitel 3.4.7 Line Control).Taktausgänge dürfen nicht als sicherheitsgerichtete Ausgängeverwendet werden, z.B. zur Ansteuerung von sicherheitsgerichtetenAktoren!Relaisausgänge können nicht als Taktausgänge verwendet werden.29 von 57

HI 800 022HIMatrix Sicherheitshandbuch4.4 Sicherheitsgerichtete 2-polige digitale AusgängeDie im folgenden aufgelisteten Punkte beziehen sich auf 2-polige digitale Ausgänge derKompaktsysteme.4.4.1 Testroutinen für 2-polige digitale AusgängeDie Baugruppen werden automatisch während des Betriebes getestet. Die wesentlichenTestfunktionen sind:• Rücklesen des Ausgangssignals des Schaltverstärkers. Die Schaltschwelle für einrückgelesenes 0-Signal ist 2 V. Die eingesetzten Dioden verhindern ein Rückspeisenvon Signalen.• Prüfen der integrierten (zweifachen) Sicherheitsabschaltung• Ein Abschalttest der Ausgänge erfolgt innerhalb der MEZ für jeweils max. 200 µs.Der Mindestabstand zwischen zwei Tests beträgt ≥ 20 Sekunden.• Leitungsdiagnose bei 2-poligem AnschlussF3 DIO 16/8 01:– Kurzschluss gegen L+, L-– Kurzschluss zwischen 2-poligen Anschlüssen– Leitungsbruch in einer der beiden 2-poligen AnschlüsseF3 DIO 8/8 01:– Kurzschluss gegen L+, L-• Test des L- Testschalters bei 2-poligem Anschluss mit Leitungsdiagnose(F3 DIO 16/8 01)• Überwachung des AusgangsstromesDie Betriebsspannung des gesamten Systems wird überwacht, alle Ausgänge werden beieiner Unterspannung < 13 V abgesteuert.4.4.2 1-poliger/2-poliger Anschluss (F3 DIO 8/8 01, F3 DIO 16/8 01)Die digitalen Ausgänge können wie folgt konfiguriert werden:• Digitaler Ausgang mit 2-poligem Anschluss mit Leitungsdiagnose• Digitaler Ausgang mit 2-poligem Anschluss ohne Leitungsdiagnose• Digitaler Ausgang mit 1-poligem L+ schaltenden DO+• Digitaler Ausgang mit 1-poligem L- schaltenden DO-4.4.2.1 2-poliger AnschlussBei Anwendungen nach EN 954-1 Kat. 4 muss das Statussignalder Leitungsdiagnose dazu benutzt werden, um dieAusgänge (DO+, DO-) im Fehlerfall abzuschalten.HinweisWenn die obigen Anforderungen nicht erfüllt werden können, istfolgender Fall zu beachten:Bei einem Leitungsschluss von DO- nach L- kann ein Relais anziehenoder ein sonstiger Aktor in einen anderen Schaltzustandversetzt werden.Grund: Während der für die Leitungsdiagnose laufenden Überwachungszeitliegt ein 24 V Spannungspegel (DO+ Ausgang) amVerbraucher (Relais, schaltender Aktor) an, so dass dieser genügendelektrische Energie aufnehmen könnte, um in einen anderenZustand zu schalten.30 von 57

HI 800 022HIMatrix SicherheitshandbuchBei 2-poliger Parametrierung darf kein DI Eingang mit einemDO Ausgang verbunden sein. Dies würde die Diagnose desLeitungsbruches verhindern.Der Anschluss induktiver Lasten muss mit einer Freilaufdiodeam Verbraucher erfolgen.4.4.3 Reaktion im FehlerfallDO- AusgängeWird ein fehlerhaftes Signal festgestellt, wird der betroffene Ausgang der Baugruppe überdie Sicherheitsschalter in den sicheren energielosen Zustand gesetzt. Bei einem Baugruppenfehlerwerden alle Ausgänge der Baugruppe abgeschaltet. Beide Fehler werden zusätzlichmit der LED „FAULT“ angezeigt.DO+ AusgängeWird ein fehlerhaftes Signal festgestellt, wird der betroffene Ausgang der Baugruppe überdie Sicherheitsschalter in den sicheren energielosen Zustand gesetzt. Bei einem Baugruppenfehlerwerden alle Ausgänge der Baugruppe abgeschaltet. Beide Fehler werden zusätzlichmit der LED „FAULT“ angezeigt.4.4.4 Verhalten bei externem Kurzschluss oder ÜberlastBei einem Schluss des Ausgangs nach L-, L+ oder Überlast bleibt die Testbarkeit der Baugruppeerhalten. Eine Abschaltung über die Sicherheitsabschaltung ist nicht notwendig.Die Gesamtstromaufnahme der Baugruppe wird überwacht. Bei Überschreiten der Schwellewerden alle Kanäle der Ausgangsbaugruppe in den sicheren „0“-Zustand gesetzt.Die Ausgänge werden in diesem Zustand zyklisch im Abstand weniger Sekunden geprüft, obdie Überlast noch vorhanden ist. Bei Normalzustand werden die Ausgänge wieder zugeschaltet.4.4.5 Blockschaltbild der digitalen 2-poligen AusgängeS+Ausgang 2-poligL+StrombegrenzungLogik&&*DO1+Anschluss anE/A busWDDOn+L-StrombegrenzungLogik&&*DO1-WDS-DOn-*Schalter nur bei F3 DIO 8/8 01Abbildung 8: Darstellung der Funktionen am Beispiel der Baugruppe F3 DIO 8/8, F3 DIO 16/8 0131 von 57

HI 800 022HIMatrix Sicherheitshandbuch4.5 Relaisausgänge4.5.1 Testroutinen für RelaisausgängeDie Baugruppe wird automatisch während des Betriebs getestet. Die wesentlichen Testfunktionensind:• Rücklesen der Ausgangssignale der Schaltverstärker vor den Relais,• Prüfen des Schaltens der Relais mit zwangsgeführten Kontakten,• Prüfen der integrierten zweifachen Sicherheitsabschaltung.Die Betriebsspannung des gesamten Systems wird überwacht, alle Ausgänge werden beieiner Unterspannung < 13 V abgesteuert.Bei der Baugruppe DO 8 01 und den dezentralen E/A-Modulen F2 DO 8 01 undF2 DO 16 02 sind die Ausgänge mit drei Sicherheitsrelais ausgestattet: zwei Relais mitzwangsgeführten Kontakten und ein Standardrelais. Damit können die Ausgänge für Sicherheitsabschaltungenverwendet werden.4.5.2 Reaktion im FehlerfallWird ein fehlerhaftes Signal festgestellt, wird der betroffene Ausgang der Baugruppe überdie Sicherheitsschalter in den sicheren energielosen Zustand gesetzt. Bei einem Baugruppenfehlerwerden alle Ausgänge der Baugruppe abgeschaltet. Beide Fehler werden zusätzlichmit der LED „FAULT“ angezeigt.4.5.3 Schema der RelaisausgängeE/A-Bus I/O WDL+T T T8 Kanaele88 channels KanäleTest&&ERR18RUN3.15 AT 3.15 ATO1 ...... O8Abbildung 9: Darstellung der Funktionen am Beispiel der Baugruppe DO 8 0132 von 57

HI 800 022HIMatrix Sicherheitshandbuch4.6 Sicherheitsgerichtete analoge Ausgänge (F60)4.6.1 AllgemeinesDie intelligente Baugruppe AO 8 01 hat ein eigenes sicherheitsgerichtetes 1oo2 A/D-Mikroprozessorsystem mit sicherer Kommunikation. Die analogen Ausgänge werden einmalje Zyklus beschrieben und die Werte intern gespeichert. Die Funktion wird durch die Baugruppeselbst getestet.Die sicherheitsgerichteten analogen Ausgangsbaugruppen können per DIP-Schalter auf derBaugruppe für Spannungs- oder Stromausgang eingestellt werden. Dabei ist sicherzustellen,dass deren Einstellungen mit der Verwendung im System und der Parametrierung im Anwenderprogrammübereinstimmen. Nichtbeachten führt zu fehlerhaftem Verhalten der Baugruppe.Vor dem Einsetzen der Baugruppe in das System:DIP-Schaltereinstellungen der Baugruppe und ihre Parametrierungim Anwenderprogramm überprüfen!Je nach Auswahl des Gerätetyps (...FS1000, ...FS2000) über die Ressource der F60, mussman in der Logik unterschiedliche Werte für die Signale AO[0x].Wert berücksichtigen, umgleiche Ausgangswerte zu erhalten (siehe Datenblatt AO 8 01, Kapitel „Signale und Fehlercodesder Ausgänge“, Analoge Ausgänge AO 8 01).Jeweils zwei analoge Ausgänge sind galvanisch miteinander verbunden. (Ausgang 1 und 2,Ausgang 3 und 4, Ausgang 5 und 6, Ausgang 7 und 8).Die analogen Ausgangskreise enthalten Strom- oder Spannungsüberwachung, RückleseundTestkanäle auch für parallele Ausgangskreise, sowie zwei zusätzliche Sicherheitsschalterzur sicheren Abschaltung der Ausgangsstromkreise im Fehlerfall. Dadurch wird der sichereZustand (Stromausgang: 0 mA, Spannungsausgang: 0 V) erreicht.4.6.2 TestroutinenDie Baugruppe wird automatisch während des Betriebes getestet. Die wesentlichen Testfunktionensind:• doppeltes Rücklesen des Ausgangssignals,• Test auf Übersprechen zwischen den Ausgängen,• Prüfen der integrierten Sicherheitsabschaltung.4.6.3 Reaktion im FehlerfallEinmal je Zyklus werden die Ausgangssignale rückgelesen und mit den intern gespeichertenAusgangssignalen der intelligenten Baugruppe verglichen. Wird eine Diskrepanz festgestellt,wird der fehlerhafte Ausgangskanal über die beiden Sicherheitsschalter abgeschaltet undder Baugruppenfehler über die LED „ERR“ auf der Baugruppe gemeldet.Mit der Verwendung des Fehlercode-Signals hat der Anwender zusätzliche Möglichkeiten,Fehlerreaktionen im Anwenderprogramm zu konfigurieren.Für die Worst Case-Reaktionszeit der analogen Ausgänge ist zur zweifachen Watchdog-Zeit(2 ∗ WDZ CPU ) noch die zweifache Watchdog-Zeit der AO-CPU (2 ∗ WDZ AO-µC ) zu addieren.Die Worst Case-Reaktionszeit ist im Datenblatt angegeben.33 von 57

HI 800 022HIMatrix Sicherheitshandbuch4.6.4 Schema der analogen AusgängeE/A-Bus8 AusgangskanäleAbbildung 10: Darstellung der Funktionen am Beispiel der Baugruppe AO 8 014.7 Analoge Ausgänge mit sicherheitsgerichteter Abschaltung(F3 AIO 8/4 01)4.7.1 AllgemeinesDie analogen Ausgänge werden einmal je Zyklus beschrieben und die Werte intern gespeichert.Die Ausgänge sind nicht sicherheitsgerichtet, sie können aber gemeinsam sicher abgeschaltetwerden.Zum Erreichen von SIL 3 müssen die Ausgangswerte über sicherheitsgerichtete analogeEingänge zurückgelesen und im Anwenderprogramm ausgewertet werden. Dort müssenauch Reaktionen auf fehlerhafte Ausgangswerte festgelegt werden.4.7.2 TestroutinenDie beiden Sicherheitsschalter für das Abschalten aller vier Ausgänge des Moduls werdenautomatisch während des Betriebs getestet.4.7.3 Reaktion im FehlerfallBei einem internen Fehler des Moduls werden alle vier Ausgangskanäle gleichzeitig über diebeiden Sicherheitsschalter abgeschaltet und der Modulfehler über die LED „FAULT“ auf derFrontplatte gemeldet.Mit der Verwendung des Fehlercode-Signals hat der Anwender zusätzliche Möglichkeiten,Fehlerreaktionen im Anwenderprogramm zu konfigurieren.34 von 57

HI 800 022HIMatrix Sicherheitshandbuch4.8 Checkliste für sicherheitsgerichtete AusgängeDie folgende Checkliste ist eine Empfehlung zur Projektierung, Programmierung und Inbetriebnahmevon sicherheitsgerichteten Ausgängen. Sie kann vom Anwender als Planungsunterlageeingesetzt werden, dient aber gleichzeitig auch als Nachweis für eine sorgfältigdurchgeführte Planung.Für jeden einzelnen der in einem System eingesetzten sicherheitsgerichteten Ausgangskanälekann im Rahmen der Projektierung bzw. Inbetriebnahme eine eigene Checkliste zurKontrolle der zu berücksichtigenden Anforderungen ausgefüllt werden. Nur dann kann sichergestelltwerden, dass die Anforderungen vollständig und übersichtlich erfasst werden.Damit kann auch eine Dokumentation über die Verbindung externe Verdrahtung zu Anwenderprogrammerfolgen.Sicherheitshandbuch für HIMatrixCheckliste für Projektierung, Programmierung und Start-upFirmaOrtLoopSicherheitsgerichtete Ausgänge für HIMatrix Kompaktsystem F.. HIMatrix Modulares System F60Lfd. Nr. Anforderung Ja Nein Bemerkung1 Ist dieser Ausgang sicherheitsgerichtet? 2 Erfolgt eine Verarbeitung des Fehlercodesim Anwenderprogramm? 3 Sind für die benutzten Ausgänge diejeweiligen Freigaben (AO[0x].Verwendet) parametriert?4 Ist dieser Ausgang digital? Falls nein, weiter mit 105 Entspricht die Kanal-Last dem maximalzulässigen Wert? 6 Entspricht die Baugruppenlast demmaximal zulässigen Wert? 7 Sind an den Aktoren Schutzbeschaltungen(Freilaufschaltungen) vorgesehen?8 Ist die Verschaltung des Aktors gemäßDatenblatt durchgeführt? (zweipoliger Anschluss)9 Wird dieser Ausgang – ausschließlich– für Line Control benutzt? 10 Ist dieser Ausgang analog? 11 Anwendung Spannungsausgang:DIP-Schalterstellungen entsprechendder Parametrierung im Anwenderprogramm? 12 Anwendung Stromausgang:DIP-Schalterstellungen entsprechendder Parametrierung im Anwenderprogramm? 13 Sind nicht benutzte analoge Stromausgängekurzgeschlossen? 14 Ist für diesen Ausgang ein sicherheitsgerichteterAktor vorgesehen? 35 von 57

HI 800 022HIMatrix Sicherheitshandbuch5 Software für HIMatrix SystemeDie Software für die sicherheitsgerichteten Automatisierungsgeräte der HIMatrix Systemegliedert sich in die folgenden Blöcke:• Betriebssystem,• Anwenderprogramm,• Programmiertool ELOP II Factory nach IEC 61131-3.Das Betriebssystem wird in dem Zentralteil (CPU) der Steuerung geladen und ist in der jeweilsgültigen, vom TÜV zertifizierten Form für sicherheitsgerichtete Anwendungen einzusetzen.Das Anwenderprogramm wird mit der Programmiersoftware ELOP II Factory erstellt undenthält die anlagenspezifischen Funktionen, die das Automatisierungsgerät ausführen soll.Die Parametrierung und Bedienung für Betriebssystemfunktionen erfolgt ebenfalls über dieSystemsoftware ELOP II Factory.Das Anwenderprogramm wird mit dem Codegenerator in den Maschinencode übersetzt.Dieser Maschinencode wird über eine Ethernet-Schnittstelle in die Flash-EPROMs des Automatisierungsgerätesübertragen.5.1 Sicherheitstechnische Aspekte für das BetriebssystemJedes zugelassene Betriebssystem ist durch seine Bezeichnung gekennzeichnet. Zur besserenUnterscheidung wird die Revision und die CRC-Signatur angegeben. Die jeweils gültigen,vom TÜV für sicherheitsgerichtete Automatisierungsgeräte zugelassenen Versionendes Betriebssystems und die dazugehörigen Signaturen (CRCs) unterliegen der Revisionskontrolleund werden auf einer Liste dokumentiert, die gemeinsam mit dem TÜV erstellt wird.Ein Auslesen der laufenden Betriebssystemversion ist nur mit dem Programmiertool ELOP IIFactory möglich. Eine Kontrolle durch den Anwender ist erforderlich (vgl. 5.7 Checkliste fürErstellung eines Anwenderprogramms).5.2 Arbeitsweise und Funktionen des BetriebssystemsDas Betriebssystem arbeitet das Anwenderprogramm zyklisch ab. Dabei werden in starkvereinfachter Form folgende Funktionen ausgeführt:• Lesen der Eingangsdaten,• Verarbeiten der Logikfunktionen, die gemäß IEC 61131-3 programmiert wordensind,• Schreiben der Ausgangsdaten.Hinzu kommen folgende wesentlichen Funktionen:• Umfangreiche Selbsttests,• Tests der E/A-Baugruppen während des Betriebs,• Datenübertragung,• Diagnose.36 von 57

HI 800 022HIMatrix Sicherheitshandbuch5.3 Sicherheitstechnische Aspekte für die Programmierung5.3.1 Sicherheitskonzept von ELOP II FactoryDas Sicherheitskonzept von ELOP II Factory gewährleistet,• dass das Programmiersystem (PADT) korrekt arbeitet:• Programmiersystemfehler können entdeckt werden,• dass der Anwender das PADT korrekt einsetzt:• Bedienfehler des Anwenders können entdeckt werden.Bei der ersten Inbetriebnahme einer sicherheitsgerichteten Steuerung oder nach einer Änderungdes Anwenderprogramms ist die Sicherheit des gesamten Systems durch einen vollständigenFunktionstest zu prüfen. Dabei müssen zur Gewährleistung der Sicherheit die dreifolgenden Schritte durchgeführt werden:1. zweifaches Kompilieren des Anwenderprogramms mit anschließendem Vergleichder Codeversionen (CRC) durch den Anwender,2. Überprüfung der korrekten Umsetzung der Applikation anhand der Daten und Signalflüsse,3. vollständige Funktionsprüfung der Logik durch Erprobung (siehe 5.3.2).5.3.2 Überprüfung der Konfiguration und des AnwenderprogrammsUm das erstellte Anwenderprogramm auf Einhaltung der spezifischen Sicherheitsfunktion zuüberprüfen, muss der Anwender geeignete Testfälle erzeugen, welche die Spezifikation abdecken.In der Regel ist der unabhängige Test jedes Loops (bestehend aus Eingang, der aus Anwendungssichtwichtigen Verknüpfungen, und Ausgang) ausreichend. ELOP II Factory unddie in diesem Sicherheitshandbuch definierten Maßnahmen machen es hinreichend unwahrscheinlich,dass ein semantisch und syntaktisch korrekter Code erzeugt wird, der noch unerkanntesystematische Fehler aus dem Prozess der Code-Erzeugung enthält.Auch für die numerische Auswertung von Formeln sind geeignete Testfälle zu generieren.Sinnvoll sind Äquivalenzklassentests, das sind Tests innerhalb definierter Wertebereiche, anden Grenzen oder in unzulässigen Wertebereichen. Die Testfälle müssen so gewählt werden,dass die Korrektheit der Berechnung nachgewiesen wird. Die notwendige Anzahl derTestfälle hängt von der verwendeten Formel ab und muss kritische Wertepaare umfassen.Es kann aber nicht auf eine aktive Simulation mit Quellen verzichtet werden, da nur so einekorrekte Verdrahtung der Sensoren und Aktoren des Systems (auch über Kommunikationmit dezentralen E/A-Modulen angeschlossene) nachgewiesen werden kann. Außerdem kannauch nur so die Systemkonfiguration überprüft werden.Diese Vorgehensweise betrifft die Ersterstellung eines Anwenderprogramms ebenso wiedessen Änderungen.37 von 57

HI 800 022HIMatrix Sicherheitshandbuch5.3.3 Erstellung eines Projekt-ArchivsBei der Erstellung eines Projekt-Archivs sollte man die folgenden Schritte in der angegebenenReihenfolge ausführen:1. Ausdrucken des Anwenderprogramms zum Vergleich der Logik mit den Vorgaben,2. Übersetzen des Anwenderprogramms zum Erzeugen des Konfigurations-CRC derCPU,3. Notieren der Version des Konfigurations-CRC der CPU durch Nachprüfen derCRCs. Dazu wird im Hardware-Management die Steuerung ausgewählt, und imKontextmenü „Konfigurationsinformation“ werden die Versionen angezeigt. ZumBestimmen einer Version gehören:• rootcpu.config zeigt die sicherheitsgerichtete Konfiguration der CPU an, denKonfigurations-CRC der CPU,• rootcom.config zeigt die nicht sicherheitsgerichtete Konfiguration der COM,• root.config zeigt die Gesamtkonfiguration einschließlich der dezentralenE/A-Module (CPU + COM) an.4. Archiv des Projekts auf Speichermedium erstellen und mit Namen der Anwenderprogramme,Konfigurations-CRCs der CPUs und Datum versehen (diese Empfehlungersetzt nicht die internen Dokumentationserfordernisse des Anwenders).5.3.4 Möglichkeit zur Programm- und Konfigurations-IdentifizierungDie Anwenderprogramme werden eindeutig an den Konfigurations-CRCs der root.configidentifiziert. Das dazu gehörige Archiv ist so eindeutig bestimmbar. Die Bezeichnung einesArchivs soll die Konfigurations-CRCs der root.config enthalten.Um sicherzustellen, dass das verwendete Archiv unverändert ist, kompiliert man die Ressourcenach der Wiederherstellung und vergleicht dann den Konfigurations-CRC derroot.config mit den CRCs der geladenen Konfigurationen, die mit ELOP II Factory angezeigtwerden können.Zur Kontrolle öffnet man im Control Panel der Ressource das Menü Ressource Konsistenzprüfen.5.4 Parameter des AutomatisierungsgerätsDie nachfolgend angeführten Parameter werden in ELOP II Factory für die zulässigen Aktionenim sicherheitsgerichteten Betrieb des Automatisierungsgeräts festgelegt und als sicherheitsgerichteteParameter bezeichnet.Die während des sicherheitsgerichteten Betriebs möglichen Festlegungen sind nicht starr aneine bestimmte Anforderungsklasse gebunden, sondern müssen für jeden Einsatz des Automatisierungsgerätsmit der zuständigen Prüfstelle abgestimmt werden.Sicherheitsgerichtete ParameterSicherheitszeit in msSichere EinstellungprozessabhängigWatchdog-Zeit in msmax. 50 % der SicherheitszeitStart/Neustart *Rücksetzen / Aus (nur in RUN)Force-FreigabeRücksetzen / AusForcen (Einzelschalter) *Rücksetzen / AusHauptfreigabeschalterRücksetzen / Aus (nur in RUN)(Ändern der Sicherheitsparameter) *Testmodus *Rücksetzen / Aus* nicht veränderbar bei dezentralen E/A-Modulen (außer F3 DIO 20/8 01)Tabelle 1: Parameter des Automatisierungsgeräts38 von 57

HI 800 022HIMatrix Sicherheitshandbuch5.5 ForcenForcen ist nur nach Rücksprache mit der für dieAnlagenabnahme zuständigen Prüfstelle zulässig.Während des Forcens muss der Verantwortliche die sicherheitstechnische ausreichendeÜberwachung des Prozesses durch andere technische und organisatorische Maßnahmensicherstellen.Folgende Möglichkeiten sind beim Forcen verfügbar:• Forcen kann per Konfiguration verboten werden. Das PES nimmt dann keine Force-Werte mehr an, die anwenderspezifisch definiert werden. In diesem Fall könnenneue Force-Werte erst wieder nach der Freigabe des Forcens gesetzt werden.• Über den Force-Editor des Programmiertools ELOP II Factory können alle Signaleangezeigt werden.• Im Force-Editor kann überprüft werden, welche Signale aktuell geforct werden.• Alle geforcten Signale können durch den STOPP-Befehl im Force-Editor des ProgrammiertoolsELOP II Factory wieder deaktiviert werden. Die individuellen Force-Werte und Schalter bleiben dabei aber in ihrem Zustand; das bedeutet, dass siewieder aktiv werden, wenn der START-Befehl erneut aktiviert wird.Weitere Details zum Forcen können den HIMatrix-Handbüchern entnommen werden.Hinweis Force-Schalter und Force-Parameter werden unter Punkt 6.2.3.6in diesem Handbuch erläutert.Grundlegende Informationen zum Forcen werden im Dokument des TÜV „MaintenanceOverride“ gegeben.Das Dokument wird auf folgenden Homepages des TÜV bereitgestellt:http://tuvasi.comhttp://www.tuv-fs.com(TÜV Rheinland)(TÜV Süddeutschland)5.6 Schutz vor ManipulationenDer Anwender muss zusammen mit der zuständigen Prüfstelle definieren, welche Maßnahmenzum Schutz vor Manipulation angewendet werden.Im PES und im Programmiersystem ELOP II Factory sind Schutzmechanismen integriert,die versehentliche oder nicht genehmigte Veränderungen am Sicherheitssystem verhindern:• Eine Änderung des Anwenderprogramms oder der Konfiguration führt zu einemneuen CRC. Diese Änderungen können nur mit einem Download an das PES übertragenwerden (das PES ist dabei im STOPP).• Die Bedienmöglichkeiten sind abhängig vom Einloggen des Anwenders in das PES.• Das Programmiertool ELOP II Factory benötigt für die Verbindung zum PES beimEinloggen des Anwenders ein Passwort.• Die Verbindung zwischen PADT und PES ist während des RUN-Betriebs nicht notwendig.Die Anforderungen der Sicherheits- und Anwendungsnormen bezüglich des Schutzes vorManipulationen sind zu beachten. Die Autorisierung von Mitarbeitern und die notwendigenSchutzmaßnahmen unterliegen der Verantwortung des Betreibers.39 von 57

HI 800 022HIMatrix SicherheitshandbuchDas Passwort muss gegen unbefugte Zugriffe geschütztwerden!Die Default-Einstellungen für Login und Passwort müssenbeide geändert werden.Der Zugang zu Daten des PES ist nur möglich, wenn das verwendete PADT über das ProgrammiertoolELOP II Factory und das Anwenderprojekt in der aktuell laufenden Version(Archiv-Pflege!) verfügt.Die Verbindung zwischen PADT und PES ist nur für den Download des Anwenderprogrammsoder für das Auslesen von Variablen/Signalen notwendig. Während des normalenBetriebs ist das PADT nicht notwendig; eine Trennung von PADT und PES in der normalenBetriebsphase schützt vor unzulässigen Eingriffen.40 von 57

HI 800 022HIMatrix Sicherheitshandbuch5.7 Checkliste zur Erstellung eines AnwenderprogrammsDie folgende Checkliste ist eine Empfehlung für den Anwender zur Einhaltung sicherheitstechnischerAspekte bei der Programmierung, vor und nach dem Laden des neuen oder geändertenProgramms.Sicherheitshandbuch für HIMatrixCheckliste für Erstellung eines AnwenderprogrammsFirmaOrtLoopDatei/ArchivÜberprüfungen Ja Nein BemerkungBei der Programmerstellung / Vor einer ÄnderungWerden Konfiguration des PES und Anwenderprogrammauf Basis einer Sicherheitsbetrachtung erstellt? Werden zur Erstellung des AnwenderprogrammsRichtlinien zur Programmierung verwendet? Sind funktional unabhängige Teile des Programms inFunktionen und Funktionsbausteine gekapselt? Werden nur sichere Signale für alle Sicherheitsfunktionenverwendet? Erreicht jede sicherheitsgerichtete Signalquelle korrekt(auch über Kommunikation) das Anwenderprogramm? Wird jede sicherheitsgerichtete Signalsenke korrekt(auch über Kommunikation) geschrieben? Nach einer Änderung – vor dem LadenIst durch eine von der Programmerstellung unabhängigePerson eine Überprüfung des Anwenderprogrammshinsichtlich der verbindlichen Systemspezifikation durchgeführt worden?Ist das Ergebnis der Überprüfung dokumentiert undfreigegeben worden (Datum/Unterschrift)? Sind alle Force-Marker vor dem Sicherheitsbetrieb entferntworden? Ist das Anwenderprogramm zweifach kompiliert wordenmit anschließendem Vergleich der beiden erzeugten Konfigurations-CRCs?Ist vor dem Laden des Programms in das PES ein Archivdes vollständigen Projekts erstellt worden? Nach einer Änderung – nach dem LadenWurde eine ausreichende Anzahl Tests für alle sicherheitsrelevantenlogischen Verknüpfungen (einschließlichE/A) und für alle mathematischen Operationen durchgeführt?Sind alle Force-Informationen vor dem Sicherheitsbetriebzurückgesetzt worden? Entsprechen die Enable-Schalter den Einstellungen fürmaximalen / definierten Schutz? Sind CPU-Betriebssystem und CRC offiziell zugelassene,vom TÜV genehmigte Versionen? 41 von 57

HI 800 022HIMatrix Sicherheitshandbuch6 Sicherheitstechnische Aspekte für dasAnwenderprogramm6.1 Allgemeiner AblaufAllgemeiner Ablauf der Programmierung der HIMatrix Automatisierungsgeräte für sicherheitstechnischeAnwendungen:• Spezifikation der Steuerungsfunktion,• Schreiben des Anwenderprogramms,• Kompilieren des Anwenderprogramms mit dem C-Code-Generator,• Zweimaliges Übersetzen des Anwenderprogramms, beide Ergebnisse (CRC) sindzu vergleichen,• Das Programm ist fehlerfrei erzeugt und lauffähig,• Verifikation und Validation.Anschließend kann das Programm vom Anwender getestet werden und das PES den sicherenBetrieb aufnehmen.6.2 Rahmen für den sicherheitsgerichteten Einsatz(Vorgaben und Regeln, Erläuterungen zu den Sicherheitsauflagen Kapitel 1.4)Das Anwenderprogramm ist mit der Programmiersoftware ELOP II Factory einzugeben. Diefreigegebenen Betriebssysteme für Personalcomputer sind Windows 2000 ® und WindowsXP ® .Das Programmiersystem ELOP II Factory enthält im Wesentlichen:• Eingabe (Funktionsbaustein-Editor), Überwachung und Dokumentation• Variablen mit symbolischen Namen und Datentyp (BOOL, UINT usw.)• Zuordnung der Steuerungen des Systems HIMatrix• Codegenerator (Übersetzen des Anwenderprogramms in den Maschinencode)• Hardware-Konfiguration• Konfiguration der Kommunikation6.2.1 Basis der ProgrammierungDie Steuerungsaufgabe soll in Form einer Spezifikation oder eines Pflichtenheftes vorliegen.Diese Dokumentation ist die Basis der Überprüfung der korrekten Umsetzung in das Programm.Die Art der Darstellung der Spezifikation richtet sich nach der Aufgabenstellung.Dies kann sein:Kombinatorische Logik• Ursache/Wirkungs-Schema (cause/effect diagram)• Logik der Verknüpfung mit Funktionen und Funktionsbausteinen• Funktionsblöcke mit spezifizierten EigenschaftenSequentielle Steuerungen (Ablauf-Steuerungen)• Verbale Beschreibung der Schritte mit Fortschaltbedingungen und der zu steuerndenAktoren• Ablaufpläne42 von 57

HI 800 022HIMatrix Sicherheitshandbuch• Matrix- oder Tabellenform der Fortschaltbedingungen und der zu steuernden Aktoren• Definition der Randbedingungen, z. B. Betriebsarten, NOTAUS usw.Das E/A-Konzept der Anlage muss die Analyse der Feldkreise, d. h. die Art der Sensorenund Aktoren enthalten:Sensoren (digital oder analog)• Signal im Normalbetrieb (Ruhestromprinzip bei digitalen Sensoren, life-zero bei analogenSensoren)• Signal im Fehlerfall• Festlegung von sicherheitstechnisch erforderlichen Redundanzen (1oo2, 2oo3)(vgl. Kapitel 3.3)• Diskrepanzüberwachung und ReaktionAktoren• Stellung und Ansteuerung im Normalbetrieb• Sichere Reaktion/Stellung bei Abschaltung oder EnergieausfallZiele bei der Programmierung des Anwenderprogramms• leicht zu verstehen• leicht nachzuvollziehen• leicht zu ändern• leicht zu testen6.2.2 Signal- und VariablendeklarationEine Variable ist ein Platzhalter für einen Wert innerhalb der Programmlogik. Über den Variablennamenwird der Speicherplatz mit dem gespeicherten Wert symbolisch adressiert.Diese symbolischen Namen können aus 256 Zeichen bestehen. Eine Variable wird in derVariablendeklaration des Programms oder eines Funktionsbausteins erstellt.Ein Signal dient als Zuweisung zwischen unterschiedlichen Bereichen der gesamten Steuerung.Das Signal wird im Signaleditor angelegt und entspricht der globalen Ebene einerVAR_EXTERNAL des Programms, sofern die Beziehung hergestellt wurde.Die Verwendung von symbolischen Namen an Stelle der physikalischen Adresse hat für denAnwender zwei wesentliche Vorteile:• Im Anwenderprogramm können die Anlagenbezeichnungen von Eingängen undAusgängen verwendet werden,• Änderungen der Zuordnung der Signale zu den Eingangs- und Ausgangskanälenhaben keinen Einfluss auf das Anwenderprogramm.6.2.2.1 Zuordnung zur E/A-EbeneSoll der Wert einer Variable einem E/A-Kanal zugewiesen werden, so muss ein gleichnamigesSignal im Signaleditor des Hardware Managements erstellt werden. Anschließend wirdper Drag&Drop das Signal in die Variablendeklaration des Programms und in die Kanallisteder E/A-Baugruppe gezogen.Die erforderlichen Testroutinen für sicherheitsgerichtete E/A-Baugruppen oder E/A-Kanälewerden vom Betriebssystem automatisch ausgeführt.43 von 57

HI 800 022HIMatrix Sicherheitshandbuch6.2.2.2 Arten von VariablenJe nach Programmorganisationseinheit (POE) – Programm, Funktionsbaustein oder Funktion– können verschiedene Arten von Variablen definiert werden. Die nachstehende Tabellezeigt eine Übersicht:Variablenart Programm Funktionsbaustein Funktion VerwendungVAR•(CONST)•(CONST)•(CONST)Lokale VariableVAR_INPUT • • EingangsvariableVAR_OUTPUT • • AusgangsvariableVAR_EXTERNAL •(CONST, RETAIN *)VAR_GLOBAL•(CONST)•(CONST, RETAIN *)Extern an / vonanderer POE oderhöhere(r) globale(r)EbeneGlobal an / vonanderer POECONSTRETAINKonstante, die vom Anwenderprogramm nicht beschrieben werden kann (z. B. Schaltpunkt)bei Warmstart gepufferter Wert, bei Kaltstart Initialwert (* nur falls Signal)Tabelle 2: Arten von VariablenDas wesentliche Merkmal ist die Kapselung von Funktionen in selbst erstellten Funktionsbausteinenund Funktionen aus Standardfunktionen. Dadurch kann ein Programm in Modulen(Funktionen, Funktionsbausteine) klar strukturiert werden. Jedes Modul kann für sicheinzeln betrachtet werden, und durch das Zusammenschalten der Module zu einem größerenModul oder zu einem Programm ergibt sich eine fertige, komplexe Funktion.6.2.3 Funktionen des AnwenderprogrammsDie Programmierung unterliegt keiner Einschränkung durch die Hardware. Die Funktionendes Anwenderprogramms sind frei programmierbar.Bei der Programmierung muss bei physikalischen Ein- und Ausgängen das Ruhestromprinzipberücksichtigt werden. Innerhalb der Logik werden ausschließlich Elemente nach IEC61131-3 mit ihren jeweiligen Funktionsbedingungen verwendet.• Die physikalischen Ein- und Ausgänge arbeiten generell im Ruhestromprinzip, d.h.ihr sicherer Zustand ist „0“.• Das Anwenderprogramm enthält sinnvolle logische und/oder arithmetische Funktionenohne Rücksicht auf das Ruhestromprinzip der physikalischen Ein- und Ausgänge.• Die Logik soll übersichtlich konzipiert sein und verständlich dokumentiert für leichteFehlersuche. Das schließt die Verwendung von Funktionsdiagrammen ein.• Es sind beliebige Negierungen zulässig.• Fehlersignale von Ein-/Ausgängen oder aus Logik-Bausteinen müssen vom Programmiererausgewertet werden.6.2.3.1 Systemparameter der CPU(nicht dezentrale E/A-Module außer F3 DIO 20/8 01)Die nachfolgend aufgelisteten Parameter legen das Verhalten der Steuerung während desBetriebs fest und werden in den Eigenschaften der Ressource eingestellt.Hier werden die zulässigen Aktionen mit dem Programmiergerät (PADT) für den sicherheitsgerichtetenBetrieb der Steuerung festgelegt und die sicherheitsgerichteten Parameter vorgegeben.44 von 57

HI 800 022HIMatrix SicherheitshandbuchSchalter Funktion Default-WertEinstellung fürsicheren BetriebHauptfreigabe Nachfolgende Schalter/Parameter könnenON OFF*im Betrieb (= RUN) mit dem PADTgeändert werdenAutostart Automatisches Starten nach Power ON OFF ON / OFF**der CPUStart/Neustart Kaltstart, Warmstart oder Heißstart durch ON OFF*erlaubt PADT im Zustand RUN oder STOPPLaden erlaubt Ladefreigabe für ein Anwenderprogramm ON ONTestmoduserlaubtVariablen Ändernim OLTerlaubtForcen erlaubtStoppen beiForce-TimeoutTestmodus für das Anwenderprogrammerlaubt oder verboten.Beim Testmodus wird die Programmabarbeitungeingefroren bzw. angehalten.Die Ausgänge bleiben angesteuertund die Programmabarbeitung kann inEinzel-zyklusschritten ausgeführt werden.Werte von Variablen lassen sich in Online-Test(OLT)-Feldern der Logik anzeigenund verändernEingabe oder Aktivierung von Werten fürSignale des PES werden erlaubt, unabhängigvom aktuellen Wert des ProzessoderLogiksignalsStopp der CPU nach Überschreiten derForce-ZeitTabelle 3: Systemparameter der CPUOFFOFFOFFONOFFOFF***Durch PrüfstellefestgelegtDurch Prüfstellefestgelegt* Im RUN-Betrieb ist nur der Wechsel auf den Wert OFF möglich.** Einstellung ON oder OFF ist anwendungsbedingt*** Im RUN-Betrieb ist nur der Wechsel nach ON möglichFür das Forcen können weitere Schalter und Parameter vorgegeben werden (siehe auchAbschnitt 6.2.3.6 Forcen von Eingängen und Ausgängen)6.2.3.2 Abschließen des PES(nicht dezentrale E/A-Module außer F3 DIO 20/8 01)„Abschließen“ des PES bedeutet das Verriegeln von Funktionen und Eingriffsmöglichkeitendes Anwenders während des Betriebs. Eine Manipulation des Anwenderprogramms wirddamit verhindert. Der Umfang der Verriegelungen ist in Abhängigkeit zur Sicherheitsanforderungan den Einsatz des PES zu sehen, kann aber auch in Absprache mit der für dieAnlagenabnahme zuständigen Prüfstelle erfolgen.Für das Abschließen des PES ist folgende Vorgehensweise einzuhalten:1. Folgende Werte sind bei der Steuerung und vor dem Kompilieren einzustellen (sieheauch Kapitel „Code-Erzeugung“):Hauptfreigabe auf TRUEForcen erlaubt auf FALSE (je nach Anwendung)Testmodus erlaubt auf FALSEStart/Neustart erlaubt auf TRUELaden erlaubt auf TRUEAutostart auf TRUE / FALSEStoppen bei Force-Timeout auf TRUE (je nach Anwendung)45 von 57

HI 800 022HIMatrix Sicherheitshandbuch2. Nach dem Laden und Starten sind in der Steuerung online folgende Schalter in dieserReihenfolge zu ändern:Start/Neustart erlaubt auf FALSELaden erlaubt auf FALSEHauptfreigabe auf FALSENur nach Absprache mit der Prüfstelle könnenfolgende Schalter auf andere Werte gesetzt werden:Forcen erlaubt auf TRUEStoppen bei Force-Timeout auf TRUE / FALSEStart/Neustart erlaubt auf TRUEAutostart auf TRUEDer Schalter „Testmodus“ darf für einen sicherenBetrieb niemals auf TRUE gesetzt werden.6.2.3.3 Aufschließen des PES„Aufschließen“ des PES bedeutet Entfernen der aktiven Verriegelung, zum Beispiel zurDurchführung von Maßnahmen an der Steuerung.Voraussetzung zum Aufschließen (Hauptfreigabe auf ON) ist der STOPP-Zustand der Steuerung.Ein Aktivieren der Hauptfreigabe einer laufenden Steuerung (im RUN-Zustand) istnicht möglich; dagegen kann die Hauptfreigabe im RUN-Zustand deaktiviert werden.Um einen erneuten Start nach einer Initialisierung der CPU (nach Spannungsausfall) durchzuführen,ist für das Aufschließen des PES wie folgt vorzugehen:1. Hauptfreigabe auf TRUE2. Start/Neustart auf TRUE3. Starten des Anwenderprogramms4. Dann PES wieder „Abschließen“(vgl. Abschnitt 6.2.3.2 Abschließen des PES)6.2.3.4 Code-ErzeugungNach der vollständigen Eingabe des Anwenderprogramms und der E/A-Belegung der Steuerungwird der Code erzeugt. Dabei wird der Konfigurations-CRC der root.config gebildet. Esmuss zweimal kompiliert werden und der Konfigurations-CRC bei beiden Durchläufen gleichsein.Dieser ist eine Signatur über die gesamte Konfiguration der CPU und dezentralen E/A-Module + COM und wird als Hex-Code im 32-Bit-Format ausgegeben. Alle konfigurierbarenoder veränderbaren Elemente wie Logik, Variablen, Schaltereinstellungen fließen darin ein.6.2.3.5 Laden und Starten des AnwenderprogrammsDer Ladevorgang eines PES des HIMatrix Systems kann nur erfolgen, wenn es zuvor inSTOPP gesetzt worden ist.Ein Online-Ladevorgang ist zur Zeit nicht möglich.46 von 57

HI 800 022HIMatrix SicherheitshandbuchEs kann nur ein Anwenderprogramm in das jeweilige PES geladen werden. Das vollständigeLaden eines Anwenderprogramms wird überwacht. Danach kann das Anwenderprogrammgestartet werden, d.h. die zyklische Abarbeitung der Routine beginnt.6.2.3.6 Forcen von Signalen(nicht bei dezentralen E/A-Modulen außer F3 DIO 20/8 01)Forcen bedeutet das Aufschalten von Werten auf die Signale unabhängig vom aktuellenWert eines Signals, vom angeschlossenen Prozess bzw. vom Ergebnis der logischen Verknüpfung.Ein Signal kann z.B. einem Eingang, Ausgang zugeordnet sein oder für Kommunikationverwendet werden.Die folgende Tabelle zeigt Force-Schalter und Parameter:Schalter Funktion Default-WertEinstellung fürsicheren BetriebForcen erlaubtFreigabe der Force-Funktion OFF OFF/ON*Stoppen bei Stopp der CPU nach Überschreiten ON ON*Force-Timeoutder Force-ZeitParameter Funktion Default- AnzeigeWertForcen aktiviertForcen aktiv OFF OFF ONVerbleibendeForce-ZeitZeitliche Begrenzung des Force-Wertes, Zeit (in Sekunden)Tabelle 4: Force-Schalter und Parameter0 0 VerbleibendeForce-Zeitoder -1**Siehe auch Warnhinweise unten:Die Schalter „Forcen erlaubt“ und „Stoppen bei Force-Timeout“ können bei „abgeschlossenem PES“ imBetrieb nicht verändert werden, d.h. diese Einstellungen müssen vor dem Abschließen des PES festgelegtwerden.Nur nach Absprache mit der Prüfstelle für dieAnlagenabnahme kann der Schalter „Forcen erlaubt“ gesetztwerden.Für Forcen ohne Zeitbegrenzung muss der Wert -1 eingegeben werden.Forcen ohne Zeitbegrenzung ist nur nach Rücksprache mitder für die Anlagenabnahme zuständigen Prüfstelle zulässig.Über den Schalter Forcen erlaubt kann das Forcen zentral über die CPU erlaubt oder verbotenwerden.CPU-Schalter Forcen erlaubt• Nicht gesetzt:Forcen ist nicht möglich (Default-Einstellung).Eingetragene Force-Werte bleiben zwar erhalten, werden aber unwirksam.47 von 57

HI 800 022HIMatrix Sicherheitshandbuch• Gesetzt:Forcen ist erlaubt.Die eingetragenen Force-Werte werden nur wirksam, wenn auch der jeweilige Force-Schalter für die Datenquelle gesetzt wird.Nach Ablauf der Force-Zeit oder durch aktives Stoppen des Forcens wird das Forcen beendetund wieder der Prozesswert aktiviert.Sofern in den Eigenschaften der Ressource „Stoppen bei Force-Timeout“ (siehe auch Anzeigeim Infofeld) aktiviert wurde, geht die Steuerung nach Ablauf der Force-Zeit in STOPPund die Prozesswerte werden wieder übernommen.Sollte „Stoppen bei Force-Timeout“ nicht gesetzt sein, so wird nach Ablauf der Force-Zeit dieSteuerung nicht gestoppt. Forcen wird deaktiviert und die zuvor geforcten Werte (R-Force-Werte) durch ihren Prozesswert ersetzt.Dies kann eventuell ungewollte Auswirkungen auf die Gesamtanlage haben.Mit der Schaltfläche Stoppen im Force-Editor wird das Forcen manuell gestoppt. In diesemFall bleibt die Steuerung im Zustand RUN, da der Timeout nicht erreicht wurde und die Reaktion"Stoppen bei Force-Timeout" nicht eingestellt war.Forcen ist nur nach Rücksprache mit der für dieAnlagenabnahme zuständigen Prüfstelle zulässig.Während des Forcens muss der Verantwortliche die sicherheitstechnisch ausreichendeÜberwachung des Prozesses durch andere technische und organisatorische Maßnahmensicherstellen.Forcen kann zeitlich begrenzt werden. Wird die Force-Zeit überschritten, kann festgelegtwerden, ob die CPU in STOPP geht oder der Force-Wert nicht mehr gültig ist und der normaleBetrieb wieder aufgenommen wird. Diese Überschreitung der Forcezeit hat dann in jedemFall Auswirkungen auf das Anwenderprogramm und damit auf den Prozess.Der Force-Wert wird in der CPU gespeichert. Wird die CPU von RUN nach STOPP gesetzt,wird Forcen deaktiviert, um zu verhindern, dass die Steuerung versehentlich mit aktivenForce-Signalen gestartet wird.Forcen mit Hilfe von Force-MarkernForce-Marker sind eine weitere Möglichkeit, Signale zu forcen, z.B. zur Fehlersuche. Force-Marker sind Funktionsblöcke, die im Anwenderprogramm benutzt werden können, um einzelneSignale zu forcen. Zu Einzelheiten wird auf die Online-Hilfe von ELOP II Factory verwiesen.Force-Marker werden nicht durch die Stellungen der Force-Schalter beeinflusst!Beseitigen Sie deshalb vor der Aufnahme des sicherheitsgerichtetenBetriebs alle Force-Marker aus dem Anwenderprogramm!48 von 57

HI 800 022HIMatrix Sicherheitshandbuch6.2.3.7 Online-TestMit der Funktion Online-Test können in der Logik Online-Test-Felder (OLT-Felder) zur Anzeigeund zum Setzen von Variablen während des Betriebes der Steuerung verwendet werden.CPU-Schalter Variablen Ändern im OLT erlaubt• Nicht gesetzt:Ändern von Variablen ist nicht möglich.Wenn der Schalter Variablen Ändern im OLT erlaubt ausgeschaltet ist, können Werte fürVariablen in OLT-Feldern nur angezeigt, aber nicht verändert werden.• Gesetzt:Ändern von Variablen ist möglich.Ist der Schalter Variablen Ändern im OLT erlaubt eingeschaltet, können während desProgrammlaufes Werte für Variablen manuell in die entsprechenden OLT-Felder eingegebenund damit gesetzt werden. Der gesetzte Wert hat allerdings nur solange Gültigkeit,bis durch eine Funktionalität in der Logik dieser Wert wieder überschrieben wird.Weitere Informationen zur Verwendung von OLT-Feldern finden Sie unter dem Stichwort„OLT-Feld“ in der Hilfe des ELOP II Factory Projektmanagements.6.2.4 Programm-Dokumentation für sicherheitsgerichtete AnwendungenDas Programmiersystem ELOP II Factory ermöglicht den automatischen Ausdruck der Dokumentationeines Projektes. Die wichtigsten Dokumentationsarten sind:• Schnittstellendeklaration• Signalliste• Logik• Beschreibung der Datentypen• Konfigurationen für System, Baugruppen und Systemparameter• Konfiguration des Netzwerks• Signal-Querverweisliste• Code-Generator-InformationenDie Dokumentation ist Bestandteil der Funktionsabnahme einer genehmigungspflichtigenAnlage durch eine Prüfstelle (z. B. TÜV). Die Funktionsabnahme bezieht sich nur auf dieAnwenderfunktion, nicht aber auf die sicherheitsgerichteten Baugruppen und Automatisierungsgerätedes Systems HIMatrix, die bereits baumustergeprüft sind.6.2.5 Abnahme durch GenehmigungsbehördenEs wird empfohlen, bei der Projektierung einer abnahmepflichtigen Anlage so früh wie möglichdie Genehmigungsbehörden einzuschalten.49 von 57

HI 800 022HIMatrix Sicherheitshandbuch7 Konfiguration der Kommunikation7.1 Nicht sicherheitsgerichtete KommunikationNeben den physikalischen Eingangs- und Ausgangssignalen können Signale auch über eineDatenverbindung mit einem anderen System ausgetauscht werden. Hierzu werden die Variablenmit dem Programmiersystem ELOP II Factory im Bereich Protokolle deklariert.Dieser Datenaustausch kann sowohl lesend als auch schreibend sein.Alle Daten, die aus nicht sicheren Quellen importiert sind,dürfen nicht für die Sicherheitsfunktionen des Anwenderprogrammsverwendet werden.Für die nicht sicherheitsgerichtete Kommunikation stehen je nach Ausführung des GerätsModbus, TCP-SR, SNTP, OPC, Profibus-DP und Interbus zur Verfügung.7.2 Sicherheitsgerichtete Kommunikation (Peer-to-Peer)Die Überwachung der sicherheitsgerichteten Kommunikation ist im Peer-to-Peer-Editor zuparametrieren.Dazu muss die Überwachungszeit „ReceiveTMO“ angegeben werden. Erfolgt innerhalb derdefinierten Zeit kein neues Schreiben von importierten Signalen, werden diese im PES aufihre (vom Anwender definierten) Initialwerte gesetzt.»ReceiveTMO« ist ein sicherheitsgerichteter Parameter!Der Wert eines Signals muss länger als „ReceiveTMO“ anstehen oder über Loop-Backüberwacht werden, falls jeder Wert übertragen werden soll.7.2.1 ReceiveTMOReceiveTMO ist die Überwachungszeit auf PES 1 ,PES 2 empfangen werden muss.innerhalb der eine korrekte Antwort vonHinweis ReceiveTMO gilt ebenso in umgekehrter Richtung von PES 2nach PES 1.Da die ReceiveTMO (sicherheitsrelevant) Bestandteil der Worst Case Reaction Time T R(maximale Reaktionszeit, siehe Kapitel 7.2.2) ist, muss die ReceiveTMO berechnet und manuellim Peer-to-Peer Editor eingetragen werden.Trifft innerhalb der ReceiveTMO keine korrekte Antwort des Kommunikationspartners ein,wird die sicherheitsgerichtete Kommunikation geschlossen und alle über den Kommunikationskanalimportierten Signale werden auf ihre vom Anwender konfigurierten Initialwertezurückgesetzt.In einem Netzwerk, in dem es zu Paketverlusten kommen kann, muss folgende Bedingungerfüllt sein:50 von 57

HI 800 022HIMatrix SicherheitshandbuchReceiveTMO ≥ 2 * Response Time (minimum)(gültig für das Profil „Fast & Noisy”)Ist diese Bedingung erfüllt, kann der Verlust wenigstens eines Datenpaketes abgefangenwerden, ohne dass die Peer-to-Peer-Verbindung unterbrochen wird.Ist diese Bedingung nicht erfüllt, kann die Verfügbarkeit einer Peer-to-Peer-Verbindung nurin einem kollisions- und störungsfreien Netzwerk garantiert werden. Dies bedeutet jedochkein Sicherheitsproblem für die CPU!HinweisDer maximal zulässige Wert für ReceiveTMO hängt vom Anwendungsprozessab und wird im Peer-to-Peer Editor zusammen mitder maximal zu erwartenden Response Time und dem Profil eingestellt.Beispiel für Werte der Parameter für Peer-to-Peer-Verbindung:Abbildung 11: Peer-to-Peer Verbindungsparameter7.2.2 Berechnung der maximalen ReaktionszeitDie maximale Reaktionszeit T R („Worst Case“) vom Wechsel eines Gebers des PES 1 (In)bis zur Reaktion des Ausgangs (Out) des PES 2 kann wie folgt berechnet werden:In PES 1 Sicherheitsgerichtetes Protokoll PES 2OutT RWorst CaseT R = t 1 + t 2 + t 3 + t 4t 1 2 ∗ Watchdog-Zeit des PES 1t 2t 30 ms, falls „Production Rate“ = 0 (der Normalfall),sonst „ReceiveTMO“ + Watchdog-Zeit des PES 1ReceiveTMOt 4 2 ∗ Watchdog-Zeit des PES 2Die Zeit T R kann im Peer-to-Peer-Editor in der Spalte „Worst Case“ abgelesen werden.Die maximale Reaktionszeit ist abhängig vom Prozess und mit der abnehmenden Prüfstelleabzustimmen.51 von 57

HI 800 022HIMatrix Sicherheitshandbuch7.2.3 Berechnung der max. Reaktionszeit mit dezentralen E/A-ModulenDie maximale Reaktionszeit T R vom Wechsel eines Gebers (In) des ersten dezentralen E/A-Moduls (z. B. F3 DIO 20/8 01) bis zur Reaktion des Ausgangs des zweiten dezentralen E/A-Moduls (Out) kann wie folgt berechnet werden:InE/A-Modul1PESE/A-Modul2OutT R = t 1 + t 2 + t 3 + t 4 +(Eingabeweg)T R+ t 5 + t 6 + t 7 (Ausgabeweg)Worst Caset 1 2 ∗ Watchdog-Zeit des dezentralen E/A-Moduls 1t 20 ms, falls „Production Rate“ = 0 (der Normalfall),sonst „ReceiveTMO 1 “ + Watchdog-Zeit des dezentralen E/A-Moduls 1t 3 ReceiveTMO 1t 42 ∗ Watchdog-Zeit des PESt 5 ReceiveTMO 2t 60 ms, falls „Production Rate“ = 0 (der Normalfall),sonst „ReceiveTMO 2 “ + Watchdog-Zeit des PESt 7 2 ∗ Watchdog-Zeit des dezentralen E/A-Moduls 2Anmerkung: Die beiden dezentralen E/A-Module 1 und 2 können auch identisch sein. DieZeiten gelten auch dann, wenn statt eines dezentralen E/A-Moduls ein PES eingesetzt wird.BegriffeReceiveTMO Überwachungszeit im PES 1, in der eine gültige Antwort vom PES 2empfangen werden muss. Nach Ablauf der Zeit wird die sicherheitsgerichteteKommunikation geschlossen.ReceiveTMO 1dezentrales E/A-Modul 1 → PESReceiveTMO 2 PES → dezentrales E/A-Modul 2Production RateWatchdog-ZeitWorst CaseMindestabstand zwischen zwei DatensendungenMaximal zulässige Dauer des RUN-Zyklus eines PESMaximale Reaktionszeit für die Übertragung der Änderung des Signalseines physikalischen Einganges (In) eines PES 1 bis zur Änderung desphysikalischen Ausgangs (Out) eines PES 2.Die Datenübertragung erfolgt mit einem sicherheitsgerichteten Protokoll.Der Betreiber hat dafür zu sorgen, dass das für die Peer-to-Peer-Kommunikation verwendete Ethernet ausreichend vorManipulationen (z. B. durch Hacker) geschützt wird.Art und Umfang der Maßnahmen sind mit der abnehmendenPrüfstelle abzustimmen.52 von 57

HI 800 022HIMatrix Sicherheitshandbuch8 Einsatz in BrandmelderzentralenAlle HIMatrix-Systeme mit analogen Eingängen können für Brandmelderzentralen nach DINEN 54-2 und NFPA 72 eingesetzt werden.Hierzu ist es erforderlich, dass das Anwenderprogramm die Funktionalitäten für Brandmelderzentralennach den genannten Normen erfüllt.Die in DIN EN 54-2 geforderte maximale Zykluszeit für Brandmelderzentralen von 10 Sekundenkann mit den Systemen leicht erfüllt werden, da die Zykluszeiten dieser Systeme imBereich von Millisekunden liegen, ebenso die gegebenenfalls geforderte Sicherheitszeit von1 Sekunde (Fehlerreaktionszeit).Nach EN 54-2 muss die Brandmeldezentrale den Störungsmeldezustand innerhalb von 100Sekunden nach Empfang der Störungsmeldung im HIMatrix-System einnehmen.Der Anschluss der Brandmelder erfolgt im Arbeitsstromprinzip mit Leitungsüberwachung aufSchluss und Bruch. Hierzu können bei der F35 die digitalen und analogen Eingänge, bei derF3 AIO 8/4 01 die analogen Eingänge und bei der F60 die analoge EingangsbaugruppeAI 8 01 verwendet werden.R LSensorversorgungR EOLMnMn-1M3M 2M 1AnalogerEingangMeldeschleifeR ShuntBezugspol(L-, I-)Abbildung 12: Verschaltung von BrandmeldernMR EOLR LR ShuntBrandmelderAbschlusswiderstand am letzten Sensor der SchleifeBegrenzung des maximal zulässigen Stroms der SchleifeMesswiderstandFür die Applikation sind die Widerstände R EOL , R L und R Shunt abhängig von den eingesetztenSensoren und der Anzahl der Sensoren pro Meldeschleife zu berechnen. Die dafür notwendigenDaten sind dem jeweiligen Datenblatt des Sensorherstellers zu entnehmen.Die Alarmausgänge zur Ansteuerung von Lampen, Sirenen, Hupen usw. werden im Arbeitstromprinzipbetrieben. Diese Ausgänge müssen auf Leitungsbruch und Leitungsschlussüberwacht werden; das kann durch Rückführung der Ausgangssignale direkt vom Aktor aufEingänge erfolgen.Der Strom im Aktorkreis kann über einen analogen Eingang mit einem geeigneten Shuntüberwacht werden. Eine Reihenschaltung von Z-Diode und Vorwiderstand schützt den Eingangvor Überspannungen im Fall des Leitungsschlusses.53 von 57

HI 800 022HIMatrix SicherheitshandbuchFür eine eindeutige Leitungsbrucherkennung (bei abgesteuerten Ausgängen DO) ist zusätzlichzu den analogen Eingängen eine Transmitterspeisung notwendig (siehe Skizze unten):HIMatrixAISx / Tx26,4 VHIMatrixDOR VorwiderstandFeldanschluss-KlemmeAktorFeldanschluss-KlemmeR DiodeR ShuntHIMatrix AImax. 10 V12 VL- L-Bereich der Leitungsbruch-/LeitungsschlussüberwachungSchutzschaltung bei LeitungsschlussAbbildung 13: Beispiel für Leitungsbruch- und Leitungsschlussüberwachung von digitalenAusgängen (Aktorkreis)Ein Parametrierungsbeispiel für die Leitungsschlussüberwachung mit zusätzlicher Leitungsbruchüberwachungvon Aktoren mittels analogen Eingängen findet sich im Kapitel „Line Monitoring“bei der HIMatrix F35.Die Ansteuerung von Visualisierungssystemen, Leuchtmeldetableaus, LED-Anzeigen, alphanumerischenDisplays, akustischen Alarmen usw. kann mit einem darauf angepasstenAnwenderprogramm realisiert werden.Die Weiterleitung von Störungsmeldungen über Eingangs- und Ausgangsmodule oder zuÜbertragungseinrichtungen für Störungsmeldungen muss im Ruhestromprinzip erfolgen.Die Übertragung von Brandmeldungen von einem HIMatrix-System zu einem anderen kannmit dem vorhandenen Kommunikationsstandard Ethernet (OPC) realisiert werden. Der Ausfallder Kommunikation muss gemeldet werden.HIMatrix-Systeme, die als Brandmelderzentrale eingesetzt werden, müssen eine redundanteStromversorgung haben. Auch müssen Vorkehrungen gegen einen Ausfall der Energieversorgunggetroffen werden, z.B. eine batteriebetriebene Hupe. Die Umschaltung zwischenNetzversorgung und der Ersatzstromversorgung muss einen unterbrechungsfreien Betriebgewährleisten. Spannungseinbrüche bis zu einer Dauer von 10 ms sind zulässig.Bei Störungen des Systems werden die im Anwenderprogramm definierten Systemsignalevom Betriebssystem beschrieben. Somit ist eine Fehlersignalisierung auf die vom Systemerkannten Fehler programmierbar. Sicherheitsgerichtete Eingänge und Ausgänge werden imFehlerfall abgeschaltet, d.h. Verarbeitung von 0-Signal in allen Kanälen der fehlerhaften Eingängeund Abschaltung aller Kanäle der fehlerhaften Ausgänge.Ix54 von 57

HI 800 022HIMatrix Sicherheitshandbuch9 EinsatzbedingungenDie Geräte wurden für die Einhaltung der Anforderungen der folgenden Normen für EMV,Klima- und Umweltanforderungen entwickelt:IEC/EN 61131-2 Speicherprogrammierbare Steuerungen, Teil 2Betriebsmittelanforderungen und PrüfungenIEC/EN 61000-6-2 EMVFachgrundnorm, Teil 6-2Störfestigkeit, IndustriebereichIEC/EN 61000-6-4 Elektromagnetische Verträglichkeit (EMV)Fachgrundnorm Störaussendung, IndustriebereichFür den Einsatz der sicherheitsgerichteten Steuerungssysteme HIMatrix sind die nachfolgendenallgemeinen Bedingungen einzuhalten:Schutzklasse Schutzklasse II nach IEC/EN 61131-2Verschmutzung Verschmutzungsgrad IIAufstellhöhe < 2000 mGehäuse Standard: IP 20Falls es die zutreffenden Applikationsnormen (z. B.EN 60204, EN 954-1) fordern, muss das Gerät in einGehäuse der geforderten Schutzart (z.B. IP 54) eingebautwerden.9.1 Klimatische BedingungenDie wichtigsten Prüfungen und Grenzwerte für klimatische Bedingungen sind in nachstehenderTabelle aufgelistet:IEC/EN 61131-2 KlimaprüfungenAbschnitt 6.3.4Umgebungstemperatur: 0...+60 °C(Prüfgrenzen: -10...+70 °C)Lagertemperatur: -40...+85 °C(mit Batterie nur -30 °C)6.3.4.2 Trockene Wärme und Kälte; Beständigkeitsprüfungen:+70 °C / -25 °C, 96 h,Stromversorgung nicht angeschlossen6.3.4.3 Temperaturwechsel; Beständigkeits- und Unempfindlichkeitsprüfung:-25 °C / +70 °C und 0 °C / +55 °C,Stromversorgung nicht angeschlossen6.3.4.4 Zyklen mit feuchter Wärme; Beständigkeitsprüfungen:+25 °C / +55 °C, 95 % relative Feuchte,Stromversorgung nicht angeschlossen55 von 57

HI 800 022HIMatrix Sicherheitshandbuch9.2 Mechanische BedingungenDie wichtigsten Prüfungen und Grenzwerte für mechanische Bedingungen sind in nachstehenderTabelle aufgelistet:IEC/EN 61131-2 Mechanische PrüfungenAbschnitt 6.3.5Schwingungsprüfung, in Betrieb:5...9 Hz / 3,5 mm9...150 Hz / 1 g6.3.5.1 Unempfindlichkeitsprüfung gegen Schwingungen:10...150 Hz, 1 g, Prüfling in Betrieb, 10 Zyklen proAchse6.3.5.2 Unempfindlichkeitsprüfung gegen Schocken:15 g, 11 ms, Prüfling in Betrieb, 2 Zyklen pro Achse9.3 EMV-BedingungenDie wichtigsten Prüfungen und Grenzwerte für EMV-Bedingungen sind in nachstehendenTabellen aufgelistet:IEC/EN 61131-2Abschnitt 6.3.6.26.3.6.2.1IEC/EN 61000-4-26.3.6.2.2IEC/EN 61000-4-36.3.6.2.3IEC/EN 61000-4-46.3.6.2.4IEC/EN 61000-4-12Prüfungen der StörfestigkeitESD-Prüfung: 4 kV Kontakt-, 8 kV LuftentladungRFI-Prüfung (10 V/m): 26 MHz...1 GHz, 80 % AMBurst-Prüfung: 2 kV Versorgungs-, 1 kV SignalleitungenPrüfung mit gedämpften Schwingungen: 1 kVIEC/EN 61000-6-2IEC/EN 61000-4-6IEC/EN 61000-4-3IEC/EN 61000-4-5Prüfungen der StörfestigkeitHochfrequenz, asymmetrisch:10 V, 150 kHz...80 MHz, AM900 MHz-ImpulseStoßspannung: 1 kV, 0,5 kVIEC/EN 61000-6-4EN 50011Klasse APrüfungen der StöraussendungStöraussendung:gestrahlt, leitungsgebunden56 von 57

HI 800 022HIMatrix Sicherheitshandbuch9.4 SpannungsversorgungDie wichtigsten Prüfungen und Grenzwerte für die Spannungsversorgung der Geräte sind innachstehender Tabelle aufgelistet:IEC/EN 61131-2Abschnitt 6.3.7Nachprüfung der Eigenschaften der GleichstromversorgungDas Netzgerät muss alternativ folgende Normenerfüllen:IEC/EN 61131-2 oderSELV (Safety Extra Low Voltage) oderPELV (Protective Extra Low Voltage)Die Absicherung der HIMatrix-Geräte muss gemäß denAngaben dieses Handbuchs erfolgen6.3.7.1.1 Prüfung des Spannungsbereiches:24 VDC, -20 %...+25 % (19,2 V...30,0 V)6.3.7.2.1 Prüfung auf Unempfindlichkeit gegen Kurzzeitunterbrechungder externen Stromversorgung:DC, PS 2: 10 ms6.3.7.4.1 Polaritätsumkehr der Versorgungsspannung:Hinweis im entsprechenden Kapitel des Systemhandbuchsoder im Datenblatt der Netzgerät-Baugruppe6.3.7.5.1 Pufferdauer, Beständigkeitsprüfung:Prüfung B, 1000 h, Lithium-Batterie als Pufferbatterie57 von 57

HIMA...die sichere Entscheidung.HIMA Paul Hildebrandt GmbH + Co KGIndustrie-AutomatisierungPostfach 1261 • 68777 BrühlTelefon: (06202) 709-0 • Telefax: (06202) 709-107(0644) E-mail: info@hima.com • Internet: www.hima.de96 9918046 © by HIMA Paul Hildebrandt GmbH + Co KG