sistemas de controladores guardlogix 5570...sistemas de controladores guardlogix 5570 códigos de...

Sistemas de Controladores GuardLogix 5570Códigos de catálogo 1756-L71S, 1756-L72S, 1756-L73S, 1756-L73SXT, 1756-L7SP, 1756-L7SPXT, 1756-L72EROMS, Aplicações do Studio 5000 Logix Designer

Manual de referência de segurança

Tradução das instruções originais

Informações importantes para o usuário

Leia esse documento e os documentos listados na seção de recursos adicionais sobre instalação, configuração e operação desse equipamento antes de instalar, configurar, operar ou fazer a manutenção desse produto. Os usuários devem familiarizar-se com as instruções de instalação e fiação, bem como com os requisitos de todos os códigos, leis e normas aplicáveis.

As atividades que incluam a instalação, os ajustes, a colocação em funcionamento, o uso, a montagem, a desmontagem e a manutenção devem ser realizadas por uma equipe devidamente treinada de acordo com o código de prática aplicável.

Se esse equipamento for usado de maneira diferente da especificada pelo fabricante, a proteção fornecida pelo equipamento pode ser prejudicada.

Em nenhuma circunstância, a Rockwell Automation, Inc. será responsável por danos indiretos ou consequentes que resultam do uso ou da aplicação desse equipamento.

Os exemplos e diagramas deste manual são incluídos apenas com finalidades ilustrativas. Devido às muitos variáveis e especificações associadas a qualquer instalação particular, a Rockwell Automation, Inc. não pode assumir responsabilidade pelo uso real baseado nos exemplos e diagramas.

Nenhuma responsabilidade de patente é assumida pela Rockwell Automation, Inc. com respeito ao uso das informações, circuitos, equipamento ou software descrito neste manual.

A reprodução do conteúdo deste manual, inteira ou parcial, sem a permissão por escrito da Rockwell Automation, Inc. é proibida.

Em todo este manual, quando necessário, usamos observações para enfatizar considerações de segurança.

As etiquetas também pode estar sobre ou dentro do equipamento para alertar para cuidados específicos.

Allen-Bradley, Armor, ArmorBlock, ArmorGuard, CompactBlock, CompactLogix, ControlFLASH, ControlLogix, ControlLogix-XT, FLEX, Guard I/O, GuardLogix, GuardLogix-XT, Kinetix, Logix5000, POINT Guard I/O, Rockwell Automation, Rockwell Software, RSLogix, SLC, SmartGuard, Studio 5000, Studio 5000 Automation Engineering & Design Environment são marcas pertencentes à Rockwell Automation, Inc.

ControlNet, DeviceNet e EtherNet/IP são marcas comerciais da ODVA. As marcas comerciais que não pertencem à Rockwell Automation são de propriedade de suas respectivas empresas.

ADVERTÊNCIA: Identifica informações sobre práticas ou circunstâncias que podem causar uma explosão em um ambiente classificado, que pode levar a ferimentos pessoais ou morte, dano de propriedade ou perda econômica.

ATENÇÃO: Identifica informações sobre práticas ou circunstâncias que podem levar a ferimentos pessoais ou morte, dano de propriedade ou perda financeira. Etiquetas ajudam a identificar e evitar um risco, bem como reconhecer as consequências.

IMPORTANTE Identifica informações críticas para a aplicação bem-sucedida e entendimento do produto.

PERIGO DE CHOQUE: As etiquetas podem estar sobre ou dentro do equipamento, por exemplo, um inversor ou um motor, para alertar as pessoas que pode haver tensão perigosa.

PERIGO DE QUEIMADURA: As etiquetas podem estar sobre ou dentro do equipamento, por exemplo, um inversor ou um motor, para alertar as pessoas que as superfícies podem alcançar temperaturas perigosas.

RISCO DE ARCO ELÉTRICO: As etiquetas podem estar sobre ou dentro do equipamento, por exemplo, um centro de controle de motores, para alertar as pessoas sobre um potencial arco elétrico. Um arco elétrico causará ferimentos graves ou morte. Use o equipamento de proteção individual (EPI) adequado. Siga TODAS as especificações regulamentadoras para práticas de trabalho seguro e para o equipamento de proteção individual (EPI).

Resumo de Alterações

Esse manual contém informações novas e atualizadas.

Informações novas e atualizadas

Essa tabela contém as alterações feitas nessa revisão.

Tópico Página

As referências do módulo de E/S de segurança foram alteradas para o dispositivo de E/S de segurança mais genérico, como adequado

Em todo o manual

O código de catálogo Armor™ GuardLogix® foi adicionado, 1756-L72EROMS, na capa

Capa

As informações sobre os servo-drives Kinetix® 5500 foram adicionadas à lista dos componentes certificados SIL-3

16

O módulo 1756-EN2TRXT foi acrescentado à lista dos módulos de interface de comunicação

23

Uma nota para informar que o projeto não verifica se há combinações de endereço de nó e SNN duplicado existe foi adicionada

35

Uma referência ao Kinetix 5500 Servo Drive User Manual foi adicionada para informações sobre o uso dos comandos diretos de movimento em aplicações de segurança

72

Dados de segurança atualizados (IEC 61508. Edição 2, 2010) foram adicionados aos módulos Guard I/O™

Apêndice E

Dados de segurança para os módulos 1734-IB8S, série B e 1734-OB8S, série B foram adicionados

Apêndice E

Dados PFH atualizados para os módulos 1734-IE4S Apêndice E

Publicação Rockwell Automation 1756-RM099B-PT-P – Novembro 2014 3

Resumo de Alterações

Observações:

4 Publicação Rockwell Automation 1756-RM099B-PT-P – Novembro 2014

Sumário

PrefácioAmbiente Studio 5000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Terminologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Recursos adicionais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Capítulo 1Conceito de nível de integridade de segurança (SIL)

Certificação SIL 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Testes de prova. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Arquitetura GuardLogix para aplicações SIL 3 . . . . . . . . . . . . . . . . . . . . . . 15Componentes do sistema GuardLogix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Certificações GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Especificações de PFD e de PFH do GuardLogix . . . . . . . . . . . . . . . . . . . . 18Distribuição e peso em conformidade com o nível de integridade de segurança (SIL). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Tempo de reação do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Tempo de reação da tarefa de segurança . . . . . . . . . . . . . . . . . . . . . . . . 20Período da tarefa de segurança e watchdog da tarefa de segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Informações de contato se ocorrer uma falha do equipamento . . . . . . . . 20

Capítulo 2Sistema do controlador GuardLogix Hardware do controlador GuardLogix 5570 . . . . . . . . . . . . . . . . . . . . . . . . 21

Controlador primário. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Parceiro de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Rack. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Fontes de alimentação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Protocolo CIP Safety . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Dispositivos de E/S de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Pontes de comunicação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Características gerais de programação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Capítulo 3E/S CIP Safety para o sistema de controle GuardLogix

Características gerais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Funções de segurança típicas dos dispositivos de E/S CIP Safety . . . . . . 27

Diagnósticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Dados de status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Indicadores de status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Função atraso na energização ou atraso na desenergização . . . . . . . . 28

Tempo de reação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Considerações de segurança para os dispositivos E/S CIP Safety . . . . . . 29

Propriedade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Assinatura da configuração da E/S de segurança . . . . . . . . . . . . . . . . . 29Substituição de segurança de E/S. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29


Sumário

Capítulo 4CIP Safety e número da rede de segurança

Sistema de controle de CIP Safety roteável. . . . . . . . . . . . . . . . . . . . . . . . . . 33Referência de nó exclusivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Número da rede de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Considerações para atribuição do número da rede de segurança (SNN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Número de rede de segurança (SNN) para tags de segurança consumidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Número de segurança da rede (SNN) para dispositivos padrão. . . . 36Número da rede de segurança (SNN) para dispositivo de segurança com um proprietário de configuração diferente . . . . . . . . 36Número da rede de segurança (SNN) ao copiar um projeto de segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Capítulo 5Características de tags de segurança, da tarefa de segurança e dos programas de segurança

Diferenças entre padrão e segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Aplicações de segurança SIL 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Controle de segurança SIL 2 na tarefa de segurança . . . . . . . . . . . . . . 38Controle de segurança SIL 2 em tarefas-padrão. . . . . . . . . . . . . . . . . . 41

Segurança SIL 3 – a tarefa de segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Limitações da tarefa de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Detalhes de execução da tarefa de segurança . . . . . . . . . . . . . . . . . . . . . 42

Uso de interfaces homem-máquina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Precauções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Acessando sistemas relacionados à segurança . . . . . . . . . . . . . . . . . . . . 44

Programas de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Rotinas de segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Tags de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Tags padrão em rotinas de segurança (mapeamento de tags) . . . . . . 47

Capítulo 6Desenvolvimento da aplicação de segurança

Suposições do conceito de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Noções básicas do desenvolvimento e do teste de aplicativos. . . . . . . . . . 50Comissionamento do ciclo de vida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Especificação da função de controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Criação do projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Teste o programa aplicativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Geração da assinatura da tarefa de segurança . . . . . . . . . . . . . . . . . . . . 53Teste de verificação do projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Confirmação do projeto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Validação da segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Travamento do controlador GuardLogix . . . . . . . . . . . . . . . . . . . . . . . 56

Download do programa aplicativo de segurança . . . . . . . . . . . . . . . . . . . . . 57Upload do programa de segurança da aplicação. . . . . . . . . . . . . . . . . . . . . . 57Edição on-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Armazenamento e carregamento de um projeto de memória não volátil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Force de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Inibição de um dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58


Sumário

Editando sua aplicação de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Realização de edições off-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Realização de edições on-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Teste de impacto de modificação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Capítulo 7Monitoração de status e manuseio de falhas

Monitoração do status do sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Dados CONNECTION_STATUS . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Diagnósticos de entrada e saída . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Status da conexão do dispositivo de E/S . . . . . . . . . . . . . . . . . . . . . . . . 64Sistema desenergizar para desarmar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Instruções GSV e SSV. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Falhas do sistema GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Falhas não recuperáveis do controlador . . . . . . . . . . . . . . . . . . . . . . . . . 66Falhas de segurança irrecuperáveis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Falhas recuperáveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Apêndice AInstruções de segurança

Apêndice BInstruções add-on de segurança Criar e usar uma instrução add-on de segurança . . . . . . . . . . . . . . . . . . . . . 73

Criar um projeto de teste de instrução add-on . . . . . . . . . . . . . . . . . . . 75Criar uma instrução add-on de segurança . . . . . . . . . . . . . . . . . . . . . . . 75Gerar assinatura de instrução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Download e gerar a assinatura de instrução de segurança . . . . . . . . . 76Teste de qualificação de instrução Add-On SIL 3 . . . . . . . . . . . . . . . . 76Confirmar o projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Instruções Add-On de segurança validada. . . . . . . . . . . . . . . . . . . . . . . 77Criar uma entrada de histórico de assinatura . . . . . . . . . . . . . . . . . . . . 77Exportar e importar a instrução Add-on de segurança . . . . . . . . . . . . 77Verificar assinaturas de instrução add-on de segurança . . . . . . . . . . . 77Testar o programa aplicativo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Teste de verificação do projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Projeto validado de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Recursos adicionais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78


Sumário

Apêndice CTempos de reação Tempo de reação do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Tempo de reação do sistema Logix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Cadeia entrada-lógica-saída simples . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Cadeia de lógica usando tags de segurança produzidos/consumidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Fatores que afetam o tempo de reação do Logix . . . . . . . . . . . . . . . . . . . . . 82Acessando configurações do tempo de atraso do módulo de entrada Guard I/O. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Acesso ao limite de tempo de reação de conexão de segurança de entrada e saída . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Configurando o período da tarefa de segurança e watchdog. . . . . . . 84Acessando dados de tags produzidos/consumidos . . . . . . . . . . . . . . . 85

Apêndice DListas de verificação para as aplicações de segurança do GuardLogix

Lista de verificação para o sistema do controlador GuardLogix . . . . . . . 88Lista de verificação para entradas de segurança . . . . . . . . . . . . . . . . . . . . . . 89Lista de verificação para saídas de segurança. . . . . . . . . . . . . . . . . . . . . . . . . 90Lista de verificação para desenvolver um programa aplicativo de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Apêndice EDados de segurança de sistemas GuardLogix

Valores PFD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Valores PFH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

Apêndice FSoftware RSLogix 5000, Versão 14 e posterior, Instruções da aplicação de segurança

Sistema desenergizar para desarmar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Uso de dados de status de conexão para iniciar uma falha programaticamente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Apêndice GUsando módulos 1794 FLEX I/O e entradas e saídas de 1756 SIL 2 com controladores 1756 GuardLogix para cumprir com EN 50156

Entradas de canal duplo SIL 2 (lado padrão de controladores GuardLogix) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Saídas SIL 2 usando módulos de saída SIL 3 Guard I/O. . . . . . . . . . . . . 103Saídas SIL 2 usando módulos de saída 1756 ou 1794 SIL 2 . . . . . . . . . . 103Funções de segurança na tarefa de segurança do 1756 GuardLogix . . . 104

Glossário

Índice


Prefácio

Este manual destina-se a descrever o sistema de controladores GuardLogix 5570, que é homologado e certificado para uso em aplicações de segurança até e incluindo SIL CL 3 de acordo com IEC 61508 e IEC 62061, aplicações de segurança até e incluindo nível de desempenho PLe (Categoria 4) de acordo com ISO 13849-1.

Use este manual se for responsável pelo desenvolvimento, operação ou manutenção de um sistema de segurança com base em controlador GuardLogix 5570 que usa aplicação Studio 5000® Logix Designer, versão 21.000 ou posterior. Você deve ler e entender os conceitos e especificações de segurança apresentados neste manual antes de operar um sistema de segurança baseado em controlador GuardLogix 5570.

Para especificações de segurança relacionadas a controladores GuardLogix 5570 em projetos RSLogix™ 5000, consulte o Manual de referência de segurança dos controladores GuardLogix, publicação 1756-RM093.

Ambiente Studio 5000 O Studio 5000 Automation Engineering and Design Environment™ combina elementos de engenharia e projeto em um ambiente comum. O primeiro elemento no ambiente Studio 5000 é a aplicação Logix Designer. A aplicação Logix Designer é a mudança de marca do software RSLogix™ 5000 e continua a ser o produto para programar controladores Logix5000™ para soluções discretas, de processos, de batelada, de movimento, de segurança e com base em inversores.

O ambiente Studio 5000 é a base para o futuro das ferramentas de projetos de engenharia e recursos da Rockwell Automation®. É o local para engenheiros de projeto desenvolverem todos os elementos do seu sistema de controle.

Tópico Página

Ambiente Studio 5000 9

Terminologia 10

Recursos adicionais 10


http://literature.rockwellautomation.com/idc/groups/literature/documents/rm/1756-rm093_-en-p.pdf

Prefácio

Terminologia A tabela a seguir define os termos usados neste manual.

Recursos adicionais Esses documentos contêm mais informações sobre os produtos relacionados da Rockwell Automation.

Tabela 1 – Termos e definições

Abreviação Termo por extenso Definição

1oo2 One Out of Two Identifica arquitetura do controlador eletrônico programável.

CIP Common Industrial Protocol Um protocolo de comunicação industrial usado por sistemas de automação com base em Logix5000™ em redes de comunicação Ethernet/IP™, ControlNet™ e DeviceNet™.

CIP Safety Protocolo industrial comum – Segurança certificada

Versão classificada de CIP SIL 3.

DC Cobertura de diagnóstico A relação entre a taxa de falha detectada e a taxa de falha total.

EN Norma europeia. A norma oficial europeia.

GSV Obter valor do sistema Uma instrução de lógica ladder que recupera informações de status do controlador especificado e as coloca em um tag de destino.

PC Personal Computer Computador usado para fazer a interface e controlar um sistema baseado em Logix através do ambiente Studio 5000.

PFD Probabilidade de falha sob solicitação A probabilidade média que um sistema tem de falhar ao executar sua função quando solicitado.

PFH Probabilidade de falha por hora A probabilidade de um sistema ter uma falha perigosa por hora.

PL Nível de desempenho Classificação de segurança ISO 13849-1.

SNN Número da rede de segurança Um número exclusivo que identifica uma seção de uma rede de segurança.

SSV Configurar valor do sistema Uma instrução de lógica ladder que define dados do sistema do controlador.

-- Padrão Um objeto, tarefa, tag, programa ou componente em seu projeto que não está relacionado à segurança (ou seja, o controlador-padrão refere-se genericamente a um controlador ControlLogix® ou CompactLogix™).

Recurso Descrição

GuardLogix 5570 Controllers User Manual, publicação 1756-UM022 Fornece informações sobre como instalar, configurar, programar e usar os controladores GuardLogix 5570 nos projetos do Studio 5000 Logix Designer

GuardLogix Safety Application Instruction Set Reference Manual, publicação 1756-RM095

Fornece informações sobre o conjunto de instruções de aplicação de segurança do GuardLogix

Guard I/O DeviceNet Safety Modules User Manual, publicação 1791DS-UM001

Fornece informações sobre como usar os módulos Guard I/O DeviceNet Safety

Guard I/O EtherNet/IP Safety Modules User Manual, publicação 1791ES-UM001

Fornece informações sobre como usar os módulos de segurança Guard I/O EtherNet/IP

POINT Guard I/O Safety Modules User Manual, publicação 1734-UM013 Fornece informações sobre como instalar e usar os módulos POINT Guard I/O™

Kinetix 5500 Servo Drives User Manual, publicação 2198-UM001 Fornece informações sobre como instalar e usar os servo-drives Kinetix 5500

Manual de referência de segurança usando ControlLogix em aplicações SIL 2, publicação 1756-RM001

Descreve as especificações para uso de controladores ControlLogix e tarefas-padrão GuardLogix, em aplicações de controle de segurança SIL 2

Logix5000 General Instruction Set Reference Manual, publicação 1756-RM003

Fornece informações sobre o conjunto de instruções do Logix5000

Logix Common Procedures Programming Manual, publicação 1756-PM001

Fornece informações sobre a programação de controladores Logix5000, incluindo como gerenciar os arquivos dos projetos, organizar os tags, programar e testar rotinas e manusear falhas

Logix5000 Controllers Add-On Instructions Programming Manual, publicação 1756-PM010

Fornece informações sobre a criar e usar instruções add-on padrão e de segurança em aplicações Logix

ControlLogix System User Manual, publicação 1756-UM001 Fornece informações sobre como usar os controladores ControlLogix em aplicações não seguras

DeviceNet Modules in Logix5000 Control Systems User Manual, publicação DNET-UM004

Fornece informações sobre como usar o módulo 1756-DNB em um sistema de controle Logix5000

EtherNet/IP Modules in Logix5000 Control Systems User Manual, publicação ENET-UM001

Fornece informações sobre como usar o módulo 1756-ENBT em um sistema de controle Logix5000


http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1756-um022_-en-p.pdf


http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1791ds-um001_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1791es-um001_-en-p.pdf





http://literature.rockwellautomation.com/idc/groups/literature/documents/pm/1756-pm001_-en-e.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/pm/1756-pm010_-en-p.pdf


http://literature.rockwellautomation.com/idc/groups/literature/documents/um/dnet-um004_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/enet-um001_-en-p.pdf

Prefácio

É possível consultar ou fazer o download de publicações emhttp://www.rockwellautomation.com/literature/. Para solicitar cópias impressas da documentação técnica, entre em contato com seu distribuidor Allen-Bradley® ou representante de vendas Rockwell Automation local.

ControlNet Modules in Logix5000 Control Systems User Manual, publicação CNET-UM001

Fornece informações sobre como usar o módulo 1756-CNB em sistemas de controle Logix5000

Logix5000 Controllers Execution Time and Memory Use Reference Manual, publicação 1756-RM087

Fornece informações sobre estimativa do tempo de execução e uso de memória pelas instruções

Logix Import Export Reference Manual, publicação 1756-RM084 Fornece informações sobre como usar o utilitário de importação/exportação do Logix Designer

Orientações sobre fiação e aterramento de automação industrial, publicação 1770-4.1

Fornece orientações gerais para a instalação do sistema industrial Rockwell Automation

Website de certificações do produto, http://www.ab.com Fornece declarações de conformidade, certificados e outros detalhes de certificação

Recurso Descrição


http://literature.rockwellautomation.com/idc/groups/literature/documents/um/cnet-um001_-en-p.pdf



http://www.literature.rockwellautomation.com/idc/groups/literature/documents/in/1770-in041_-en-p.pdf

http://ab.com

http://www.rockwellautomation.com/literature/

Prefácio

Observações:


Capítulo 1

Conceito de nível de integridade de segurança (SIL)

Certificação SIL 3 Os sistemas controladores GuardLogix 5570 são do tipo aprovado e certificado para uso em aplicações de segurança até e incluindo o SIL CL3 conforme IEC 61508 e IEC 62061, aplicações de segurança até e incluindo Nível de Desempenho PLe (Categoria 4) segundo ISO 13849-1. Os requisitos de SIL são baseados em padrões vigentes no momento da certificação.

E ainda, as tarefas-padrão dos controladores GuardLogix podem ser usadas tanto para aplicações-padrão quanto para aplicações de segurança SIL 2, conforme descrito em Manual de referência usando ControlLogix em SIL 2, publicação1756-RM001. Em qualquer dos casos, não use SIL 2 ou tarefas-padrão e variáveis para construir malhas de segurança de um nível maior. A tarefa de segurança é a única tarefa certificada para aplicações SIL 3.

Use a aplicação Studio 5000 Logix Designer para criar programas para os controladores GuardLogix 5570.

Tópico Página

Certificação SIL 3 13

Testes de prova 14

Arquitetura GuardLogix para aplicações SIL 3 15

Componentes do sistema GuardLogix 16

Certificações GuardLogix 18

Especificações de PFD e de PFH do GuardLogix 18

Distribuição e peso em conformidade com o nível de integridade de segurança (SIL) 19

Tempo de reação do sistema 19

Período da tarefa de segurança e watchdog da tarefa de segurança 20

Informações de contato se ocorrer uma falha do equipamento 20

IMPORTANTE Quando o controlador GuardLogix estiver em modo de execução ou de programa, e o programa de aplicação não tiver sido validado, você é responsável por manter as condições de segurança.



Capítulo 1 Conceito de nível de integridade de segurança (SIL)

O TÜV Rheinland aprovou os sistemas do controlador GuardLogix 5570 para uso em aplicações relacionadas à segurança até o SIL CL 3, nas quais o estado desenergizado é considerado como o estado seguro. Todos os exemplos relacionados à E/S incluídos neste manual são baseados em atingir a desenergização como o estado seguro para sistemas ESD (Machine Safety e Emergency Shutdown, segurança da máquina e encerramento de emergência) típicos.

Ao aplicar a Segurança Funcional, restrinja o acesso ao pessoal autorizado, qualificado, treinado e experiente. A função de trava de segurança, com as senhas, é fornecida na aplicação Logix Designer.

Para informações sobre como usar a função de trava de segurança, consulte o GuardLogix 5570 Controllers User Manual, publicação 1756-UM022.

Testes de prova O IEC 61508 exige que você execute vários testes de prova do equipamento usado no sistema. Os testes de prova são executados em horas definidas pelo usuário. Por exemplo, os intervalos dos testes de prova podem ocorrer uma vez por ano, uma vez a cada quinze anos ou qualquer outro intervalo apropriado.

Os controladores GuardLogix 5570 têm um intervalo de teste de prova de até 20 anos. Outros componentes do sistema como dispositivos de segurança E/S, sensores e atuadores podem ter um intervalo de teste de prova menor. Inclua o controlador no teste de verificação funcional dos outros componentes no sistema de segurança.

IMPORTANTE Como usuário do sistema, você é responsável pelo seguinte:• Configuração, classificação de SIL e validação de sensores ou atuadores

conectados ao sistema GuardLogix• Gestão do projeto e testes funcionais• Controle de acesso ao sistema de segurança, incluindo o manuseio de

senhas• Programação da aplicação e das configurações do dispositivo de

acordo com as informações deste manual de referência de segurança e do Manual do usuário dos controladores GuardLogix 5570, publicação 1756-UM022

IMPORTANTE Suas aplicações específicas determinam o intervalo do teste de prova. No entanto, esse intervalo está relacionado principalmente aos dispositivos de E/S de segurança e à instrumentação de campo.




Conceito de nível de integridade de segurança (SIL) Capítulo 1

Arquitetura GuardLogix para aplicações SIL 3

A ilustração a seguir mostra uma função SIL típica, incluindo o seguinte:• a função de segurança geral• a parte do GuardLogix da função de segurança geral• como outros dispositivos (por exemplo, IHM) estão conectados, mesmo

operando fora da função

Figura 1 – Função SIL típica

DeviceNet

1756

-DNB

Para rede Ethernet em toda a fábrica

Sistema GuardLogix SIL 3

Software de programação IHMAcesso somente leitura aos tags de segurança

Função de segurança geral

1756

-L7x

S

1756

-L7S

P

1756

-EN2

T

Switch

Atuador

Rede DeviceNet Safety

Sensor

Módulo de E/S CIP Safety


Módulo de E/S CIP Safety em rede Ethernet

CIP Safety

Atuador

Sensor

Atuador

Sensor

Sistema GuardLogix SIL 3 compacto

Módulo de E/S CIP Safety em rede Ethernet

Controlador GuardLogix compacto com módulo 1768-ENBT



Componentes do sistema GuardLogix

As tabelas nesta seção relacionam os componentes GuardLogix certificados por SIL 3 e os componentes não certificados por SIL 3 que podem ser usados com os sistemas GuardLogix SIL 3.

Para obter a lista mais recente das versões de firmware e das séries certificadas do GuardLogix e dos dispositivos certificados de E/S CIP Safety, consulte http://www.rockwellautomation.com/products/certification/safety/. As versões de firmware estão disponíveis emhttp://support.rockwellautomation.com/ControlFLASH™/.

Tabela 2 – Componentes GuardLogix certificados para SIL 3

Tipo de dispositivo Cód. cat. Descrição

Documentação relacionada(3)

Instruções de instalação Manual do usuário

Controlador primário 1756 GuardLogix (ControlLogix5570S)

1756-L71S Controlador com 2 MB padrão, 1 MB de memória de segurança

N/A(4)• Com ambiente Studio 5000, versão 21

ou posterior: 1756-UM022• Com o software RSLogix 5000, versão 20

ou anterior: 1756-UM020

1756-L72S Controlador com padrão de 4 MB, 2 MB de memória de segurança

1756-L73S Controlador com padrão de 8 MB, 4 MB de memória de segurança

1756-L73SXT Controlador (XT) com padrão de 8 MB, 4 MB de memória de segurança

1756 GuardLogix parceiro de segurança(ControlLogix557SP)

1756-L7SP Parceiro de Segurança

1756-L7SPXT Parceiro de segurança (XT)

1756 GuardLogix controlador primário (ControlLogix5560S)(1)


N/A(4) 1756-UM020


1756-L62S Controlador com 8 MB padrão, 3,75 MB de memória de segurança

1756 GuardLogix parceiro de segurança(ControlLogix55SP)(1)

1756-LSP Parceiro de Segurança

Controlador GuardLogix Compacto 1768(CompactLogix4xS)(2)

1768-L43S Controlador com suporte para dois módulos 1768 N/A(4) 1768-UM002

1768-L45S Controlador com suporte para quatro módulos 1768

Módulos de E/S CIP Safety em redes DeviceNet Para obter uma lista mais atualizada das séries e versões de firmware

certificadas, consulte o certificado de segurança em http://www.rockwellautomation.com/products/certification/safety/

1791DS-IN0011791DS-IN0021732DS-IN001

1791DS-UM001

Módulos de E/S CIP Safety em redes EtherNet/IP

1791ES-IN001 1791ES-UM001

Módulos POINT Guard I/O N/A(4) 1734-UM013

Servo-drives Kinetix 5500(códigos de catálogos que terminam em -ERS2)

Para obter uma lista mais atualizada das séries e versões de firmware certificadas, consulte o certificado de segurança em http://www.rockwellautomation.com/products/certification/safety/

2198-IN001 2198-UM001

(1) Certificado para o uso com o software RSLogix 5000, versão 14 e versão 16 e posterior.(2) Certificado para uso com o software RSLogix 5000, versão 18 e posterior.(3) Estas publicações estão disponíveis na Rockwell Automation em http://www.rockwellautomation.com/literature.(4) Consulte o manual do usuário para instruções de instalação.


http://literature.rockwellautomation.com





http://www.rockwellautomation.com/products/certification/safety/

http://literature.rockwellautomation.com/idc/groups/literature/documents/in/1791ds-in001_-en-p.pdf



http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1791ds-um001_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/in/1791es-in001_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1791es-um001_-en-p.pdf



http://literature.rockwellautomation.com/idc/groups/literature/documents/in/2198-in001_-en-p.pdf



http://support.rockwellautomation.com/ControlFlash/


Você pode preencher os slots de um rack de sistema SIL 3 que não são usados pelo sistema GuardLogix SIL 3 com outros módulos ControlLogix (1756) certificados para baixa tensão e diretrizes EMC.

Para encontrar certificados para a “Família de produtos programáveis Control–ControlLogix”, consulte http://www.rockwellautomation.com/products/certification/ce/.

Tabela 3 – Componentes adequados para utilização com os sistemas de segurança do controlador GuardLogix 1756

Tipo de dispositivo Cód. cat. Descrição

Documentação relacionada(3)

Série(1) Revisão(1)Instruções de

instalaçãoManual do

usuário

Rack

1756-A41756-A71756-A101756-A131756-A17

Rack de 4 slotsRack de 7 slotsRack de 10 slotsRack de 13 slotsRack de 17 slots

B N/A

1756-IN005 N/A

1756-A4LXT1756-A5XT1756-A7XT1756-A7LXT

Rack XT de 4 slotsRack XT de 5 slots Rack XT de 7 slotsRack XT de 7 slots

B N/A

Fonte de Alimentação

1756-PA72 Fonte de alimentação, CA C

N/A 1756-IN005 N/A

1756-PB72 Fonte de alimentação, CC C

1756-PA75 Fonte de alimentação, CA B

1756-PB75 Fonte de alimentação, CC B

1756-PAXT Fonte de alimentação XT, CA B

1756-PBXT Fonte de alimentação XT, CC B

Módulos de comunicação

1756-ENBT1756-EN2T1756-EN2F1756-EN2TR1756-EN3TR

Ponte EtherNet/IP AAACB

3.0062.0052.005

10.00710.007

ENET-IN002 ENET-UM001

1756-EN2TXT1756-EN2TRXT

Ponte XT EtherNet/IP (cobre) CC

5.00710.006

1734-AENT Adaptador Ethernet POINT I/O A 3.001 1734-IN590 1734-UM011

1756-DNB Ponte DeviceNet A 6.002 DNET-IN001 DNET-UM004

1756-CN2 Ponte ControlNet A 12.001

CNET-IN005 CNET-UM0011756-CN2R Ponte ControlNet, mídia redundante A 12.001

1756-CN2RXT Ponte XT ControlNet, mídia redundante B 20.020

Software de programação

9324-xxxxSoftware RSLogix 5000 para controladores GuardLogix 5560

N/A

14(2)

N/A Consulte a ajuda on-line.Software RSLogix 5000 para controladores GuardLogix 5570 (XT) 20

9324-xxxx Ambiente Studio 5000 para controladores GuardLogix 5570 (XT) 21

Cartões de memória

1784-CF64 Cartão CompactFlash de 128 MB para controladores GuardLogix 5560

N/A N/A N/A N/A1784-SD1 Cartão Secure Digital (SD) de 1 GB para controladores GuardLogix 5570

1784-SD2 Cartão Secure Digital (SD) de 2 GB para controladores GuardLogix 5570

(1) Esta versão ou posterior.(2) Software RSLogix 5000, versão 15, não suporta controladores de segurança GuardLogix.(3) Essas publicações estão disponíveis na Rockwell Automation em http://www.rockwellautomation.com/literature.

IMPORTANTE Os componentes do sistema ControlLogix-XT™ são classificados para condições ambientais extremas apenas quando usados adequadamente com outros componentes de sistema Logix-XT. O uso de componentes ControlLogix-XT com componentes de sistema tradicional ControlLogix ou GuardLogix anula classificações de ambiente extremo.


http://literature.rockwellautomation.com



http://literature.rockwellautomation.com/idc/groups/literature/documents/in/enet-in002_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/enet-um001_-en-p.pdf



http://literature.rockwellautomation.com/idc/groups/literature/documents/in/dnet-in001_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/dnet-um004_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/in/cnet-in005_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/cnet-um001_-en-p.pdf

http://www.rockwellautomation.com/products/certification/ce/index.html


Certificações GuardLogix Os dados técnicos dos controladores ControlLogix, publicação 1756-TD001, lista as especificações de produtos e certificações de agência para as quais os produtos estão aprovados. Se um produto tiver conseguido uma certificação da agência, ele é marcado como tal na rotulação do produto. Consulte a Certificação do Produto no link http://www.rockwellautomation.com/products/certification/ para obter as Declarações de Conformidade, os Certificados e outros detalhes de certificação.

Especificações de PFD e de PFH do GuardLogix

Os sistemas de segurança podem ser classificados como sistemas que funcionam no modo de poucas solicitações ou no modo contínuo/de muitas solicitações. O IEC 61508 quantifica essa classificação determinando que a frequência das demandas pelo funcionamento do sistema de segurança não é maior do que uma vez por ano no modo de poucas solicitações ou é maior do que uma vez por ano no modo contínuo/de muitas solicitações.

O valor do Safety Integrity Level (SIL) de um sistema de segurança de poucas solicitações está diretamente relacionado às faixas de ordem de grandeza da probabilidade média de falha relacionada à execução satisfatória da função de segurança sob solicitação ou, simplesmente, à probabilidade de falha sob solicitação (PFD). O valor de SIL para um sistema de segurança de modo contínuo/de muitas solicitações está diretamente relacionado à probabilidade da ocorrência de uma falha perigosa por hora (PFH).

Os valores de PFD e PFH estão associados a cada um dos três principais elementos que constituem o sistema relacionado à segurança (os sensores, o elemento de lógica e atuadores). Dentro do elemento de lógica, você também encontra elementos de entrada, do processador e de saída.

Para valores PFD e PFH e intervalos de teste de prova para os módulos Guard I/O, consulte Apêndice E, Dados de segurança de sistemas GuardLogix.

Figura 2 – Exemplo de PFH

DeviceNet EtherNetLogix5562S Logix55LSP

Sensor

Sensor

Sensor

1791DS-IB12

Controlador GuardLogix

1791DS-IB8XOB8

1791DS-IB4XOX4Atuador

Atuador

MALHA 1

MALHA 2


http://literature.rockwellautomation.com/idc/groups/literature/documents/td/1756-td001_-en-e.pdf

http://www.rockwellautomation.com/products/certification/


Para determinar o PFH do elemento lógico de cada malha de segurança no exemplo de sistema simples mostrado no Exemplo de PFH, some os valores de PFH de cada componente na malha. A tabela Equações de PFH por malha de segurança fornece um exemplo simplificado de cálculos de valor de PFH para cada malha de segurança mostrada na ilustração de exemplo de PFH.

Ao calcular os valores de PFH, você deve considerar os requisitos específicos da sua aplicação, incluindo os intervalos de teste.

Distribuição e peso em conformidade com o nível de integridade de segurança (SIL)

O controlador GuardLogix e o sistema de E/S podem ser considerados, de forma conservadora, responsáveis por 10% da carga de confiabilidade. Um sistema SIL 3 pode precisar incorporar várias entradas para sensores críticos e dispositivos de entrada, além de saídas duplas conectadas em série a atuadores duplos dependentes de avaliações de SIL para o sistema relacionado à segurança.

Figura 3 – Carga de Confiabilidade

Tempo de reação do sistema O tempo de reação do sistema é a quantidade de tempo desde um evento relacionado à segurança como uma entrada no sistema até as saídas correspondentes ao estado seguro serem definidas pelo sistema. As falhas dentro do sistema também podem afetar o tempo de reação do sistema. O tempo de reação do sistema é a soma dos seguintes tempos de reação:

Cada um dos tempos de reação é dependente de forma variável do tipo de dispositivo de E/S e das instruções usadas no programa.

Tabela 4 – Equações de PFH por malha de segurança

Para esta malha Some os valores PFH destes componentes

PFH total da malha 1 = 1791DS-IB12 + controlador GuardLogix + 1791DS-IB4XOX4

PFH total da malha 2 = 1791DS-IB8XOB8 + controlador GuardLogix + 1791DS-IB4XOX4

AtuadorControlador Módulo de saída

+V

Sensor

Sensor

40% do PFD

10% do PFD

50% do PFD

Módulo de

entrada

Atuador

+ + + +Tempo de reação do

sensor

Tempo de reação da entrada

Tempo de rea-ção da tarefa de segurança

Tempo de reação da

saída

Tempo de reação do atuador



Tempo de reação da tarefa de segurança

O tempo de reação da tarefa de segurança é o pior caso de atraso de qualquer alteração na entrada apresentada ao controlador até que a saída processada seja definida pelo produtor da saída. É inferior ou igual à soma do Período da Tarefa de Segurança e do Watchdog da Tarefa de Segurança.

Período da tarefa de segurança e watchdog da tarefa de segurança

O período da tarefa de segurança é o intervalo no qual a tarefa de segurança é executada.

O tempo do watchdog da tarefa de segurança é o tempo máximo permitido para o processamento da tarefa de segurança. Se o tempo de processamento da tarefa de segurança ultrapassar o tempo do watchdog da tarefa de segurança, uma falha de segurança não recuperável ocorrerá no controlador e as saídas serão transicionadas para o estado seguro (desligado) automaticamente.

Você define o watchdog da tarefa de segurança que deve ser menor ou igual ao período da tarefa de segurança.

O tempo do watchdog da tarefa de segurança é definido na janela de propriedades da tarefa da aplicação Logix Designer. Esse valor pode ser modificado on-line independentemente do modo do controlador, mas não pode ser alterado quando o controlador estiver travado por segurança ou uma vez que uma assinatura de segurança for criada.

Informações de contato se ocorrer uma falha do equipamento

Se ocorrer uma falha em qualquer dispositivo certificado por SIL 3, entre em contato com o distribuidor local da Allen-Bradley para iniciar as seguintes ações:

• Você pode devolver o dispositivo para a Rockwell Automation para que a falha seja apropriadamente armazenada no código de catálogo afetado e registrada.

• Pode-se solicitar uma análise da falha (se necessário) para tentar determinar a causa da falha.


Capítulo 2

Sistema do controlador GuardLogix

Para obter uma lista resumida dos componentes adequados para o uso no Nível de Integridade de Segurança (SIL) 3, consulte a tabela na página 16. Para obter informações detalhadas e atualizadas consulte o endereço http://www.rockwellautomation.com/products/certification/safety/.

Quando instalar um controlador GuardLogix 5570, siga as informações no Manual do usuário dos controladores GuardLogix 5570, publicação 1756-UM022.

Hardware do controlador GuardLogix 5570

O controlador GuardLogix consiste em um controlador primário (ControlLogix 557xS) e um parceiro de segurança (ControlLogix 557SP). Estes dois módulos trabalham em uma arquitetura 1oo2 para criar um controlador capaz de SIL 3. Eles serão descritos nas próximas seções.

Tanto o Controlador Primário quanto o Parceiro de Segurança executam testes de diagnóstico funcional de energização e de tempo de execução de todos os componentes de segurança no controlador.

Para detalhes sobre a operação dos indicadores de status, consulte o Manual do usuário dos controladores GuardLogix 5570, publicação 1756-UM022.

Para uma lista de códigos de catálogo de controladores de segurança GuardLogix, consulte Tabela 2 na página 16. Para uma lista de componentes-padrão ControlLogix adequados para aplicações de segurança, consulte Tabela 3 na página 17.

Tópico Página

Hardware do controlador GuardLogix 5570 21

Protocolo CIP Safety 22

Dispositivos de E/S de segurança 23

Pontes de comunicação 23

Características gerais de programação 25

IMPORTANTE Os indicadores de Status não são indicadores confiáveis para funções de segurança. Use-os apenas para diagnóstico geral durante o comissionamento ou localização de falhas. Não tente usar os indicadores de status para determinar o status de operação.


http://www.rockwellautomation.com/products/certification/safety/index.html



Capítulo 2 Sistema do controlador GuardLogix

Controlador primário

O controlador principal é o processador que executa as funções de controle padrão e de segurança e que se comunica com o parceiro de segurança para executar funções de segurança no sistema de controle GuardLogix. O controlador principal consiste em um processador central, uma interface de E/S e uma memória.

Parceiro de segurança

Para satisfazer as especificações de SIL 3, um parceiro de segurança deve ser instalado no slot imediatamente à direita do controlador primário. O Parceiro de Segurança é um coprocessador que fornece redundância para funções de segurança no sistema.

O controlador primário configura o parceiro de segurança. É necessário apenas um download do programa de usuário para o controlador primário. O modo de funcionamento do parceiro de segurança é controlado pelo controlador primário.

Rack

O rack fornece as conexões físicas entre os módulos e o sistema 1756 GuardLogix. Qualquer falha, apesar de pouco provável, seria detectada como uma falha por um ou mais componentes ativos do sistema. Por isso, o rack não é relevante para a discussão da segurança.

Os controladores GuardLogix-XT™ devem usar um rack ControlLogix-XT para adquirir uma classificação de ambiente extremo.

Fontes de alimentação

Nenhuma outra configuração ou fiação é necessária para a operação do SIL 3 das fontes de alimentação ControlLogix. Qualquer falha seria detectada como uma falha por um ou mais componentes ativos do sistema GuardLogix. Por isso, a fonte de alimentação não é relevante para a discussão da segurança.

Os controladores GuardLogix-XT devem usar uma fonte de alimentação ControlLogix-XT para adquirir uma classificação de ambiente extremo.

Protocolo CIP Safety A comunicação relacionada à segurança entre controladores GuardLogix ocorre por meio de tags de segurança produzidos e consumidos. Esses tags de segurança usam o protocolo CIP Safety, que é designado para preservar a integridade dos dados durante a comunicação.

Para obter mais informações sobre tags de segurança, consulte Capítulo 5, Características de tags de segurança, da tarefa de segurança e dos programas de segurança.


Sistema do controlador GuardLogix Capítulo 2

Dispositivos de E/S de segurança

Para obter mais importações sobre os dispositivos E/S CIP Safety para utilização com os controladores GuardLogix, consulte Capítulo 3.

Pontes de comunicação A Tabela 5 lista os módulos de interface de comunicação disponíveis para facilitar a comunicação em redes EtherNet/IP, DeviceNet e ControlNet pelo protocolo CIP Safety.

Rede EtherNet/IP

A comunicação de segurança peer-to-peer entre os controladores GuardLogix é possível pela rede EtherNet/IP através do uso de pontes EtherNet/IP. Uma ponte EtherNet/IP permite que o controlador GuardLogix controle e troque dados de segurança com os dispositivos E/S CIP Safety em uma rede EtherNet/IP.

Figura 4 – Comunicação peer to peer por meio das pontes EtherNet/IP e da rede EtherNet/IP

Tabela 5 – Módulos de interface de comunicação por sistema

Sistema GuardLogix Módulos de comunicação

1756 • Ponte 1756-ENBT, 1756-EN2T(R), 1756-EN2F ou 1756-EN3TR EtherNet/IP• Adaptador 1734-AENT POINT I/O Ethernet• Ponte 1756-DNB DeviceNet• Ponte 1756-CN2 ControlNet• Ponte 1756-CN2R ControlNet redundante

1756 -XT • Ponte 1756-EN2TXT, 1756-EN2TRXT EtherNet/IP – XT (cobre)• Ponte 1756-CN2RXT XT ControlNet redundante

1768 • 1768-ENBT• Adaptador 1734-AENT POINT I/O Ethernet• 1768-CNB• 1768-CNBR

IMPORTANTE Devido ao projeto do sistema de controle CIP Safety, os dispositivos de ponte de CIP Safety, como as pontes listadas na tabela, não precisam ser certificados para SIL 3.

1756

-PB7

5

1756

-L73

S

1756

-EN

2T

1756

-L7S

P

1756

-L72

S

1756

-L7S

P

1756

-DN

B

1756

-EN

2T

Controlador A

Controlador B

Switch EtherNet


Módulo de E/S CIP SafetyRede DeviceNet

Rede EtherNet/IP

RedeEtherNet/IP





Rede DeviceNet Safety

As pontes DeviceNet permitem que o controlador GuardLogix controle e troque os dados de segurança com os módulos de E/S CIP Safety em uma rede DeviceNet.

Figura 5 – Comunicação através de uma ponte DeviceNet

Rede ControlNet

As pontes ControlNet permitem que o controlador GuardLogix produza e consuma tags de segurança nas redes ControlNet para outros controladores GuardLogix ou redes remotas CIP Safety I/O.

Figura 6 – Comunicação através de uma ponte ControlNet

DICA A comunicação de segurança peer-to-peer entre dois controladores GuardLogix no mesmo rack também é possível por meio do backplane.

1756

-L72

S

1756

-L7S

P

1756

-L72

S

1756

-L7S

P

Backplane

1756

-L72

S

1756

-L7S

P

1756

-DN

B



Rede DeviceNet

1756

-OB1

6

1756

-IB16

1756

-CN

2

1756

-DN

B

1756

-PB7

5

1756

-L73

S

1768

-CN

2

1756

-L7S

P

Módulo de E/S CIP Safety Rede DeviceNet

Rede ControlNet


Controlador A Controlador B


Sistema do controlador GuardLogix Capítulo 2

Características gerais de programação

Programe os controladores GuardLogix 5570 usando a aplicação Studio 5000 Logix Designer.

Use a aplicação Logix Designer para definir a localização, propriedade e configuração dos dispositivos de E/S e controladores assim como para criar, testar e depurar a lógica do programa. Apenas a lógica ladder de relé tem suporte na tarefa de segurança GuardLogix.

Consulte Apêndice A para informações sobre o conjunto de instruções de lógica disponíveis para os projetos de segurança.

O pessoal autorizado pode alterar um programa de segurança, mas apenas usando um dos processos descritos em Editando sua aplicação de segurança na página 59.



Observações:


Capítulo 3

E/S CIP Safety para o sistema de controle GuardLogix

Características gerais Antes de operar um sistema de segurança GuardLogix 5570 que contém dispositivos de E/S CIP Safety, você deve ler, compreender e seguir as informações de instalação, de operação e de segurança fornecidas nas publicações listadas nas tabelas Componentes GuardLogix certificados para SIL 3 da página 16.

Os dispositivos de E/S CIP Safety podem ser conectados a dispositivos de entrada e de saída de segurança, como sensores e atuadores, que permitam que esses dispositivos sejam monitorados e controlados pelo controlador GuardLogix. Para dados de segurança, a comunicação E/S é feita por meio de conexões de segurança usando o protocolo CIP Safety; a lógica de segurança é processada no controlador GuardLogix.

Funções de segurança típicas dos dispositivos de E/S CIP Safety

A seguir, o estado seguro pelos dispositivos de E/S CIP Safety:• Saídas de segurança: OFF • Dados de entrada de segurança para o controlador: OFF

Use os dispositivos de E/S CIP Safety para aplicações que estiverem no estado seguro quando a saída de segurança for desenergizada.

Tópico Página

Características gerais 27

Funções de segurança típicas dos dispositivos de E/S CIP Safety 27

Tempo de reação 28

Considerações de segurança para os dispositivos E/S CIP Safety 29

Rede CIP Safety

Status da segurança

Saída de segurança, desenergizada

Dados de entrada de segurança


Capítulo 3 E/S CIP Safety para o sistema de controle GuardLogix

Diagnósticos

Os dispositivos de E/S CIP Safety executam autodiagnósticos quando a alimentação é ligada e periodicamente durante a operação. Caso um diagnóstico de falha seja detectado, os dados de entrada de segurança (para o controlador) e as saídas de segurança serão definidas para o estado seguro (OFF).

Dados de status

Além de dados de entrada e de saída de segurança, os dispositivos de E/S CIP Safety apresentam dados de status para monitorar as condições do dispositivos e dos circuitos de E/S. Consulte sua documentação de produto do dispositivo das capacidades específicas do produto.

Indicadores de status

Os dispositivos de E/S CIP Safety possuem indicadores de status. Para obter detalhes sobre a operação dos indicadores de status, consulte a documentação do produto do dispositivo específico.

Função atraso na energização ou atraso na desenergização

Alguns dispositivos de E/S CIP Safety podem suportar funções de atraso na energização e de atraso na desenergização para sinais de entrada. Dependendo da sua aplicação, você pode precisar incluir o atraso na desenergização, atraso na desenergização ou ambos quando calcular o tempo de reação do sistema.

Consulte o Apêndice C para obter informações sobre o tempo de reação do sistema.

Tempo de reação O tempo de reação da entrada é o período desde quando o sinal muda em um terminal de entrada até quando os dados de segurança são enviados para o controlador GuardLogix.

O tempo de reação da saída é o período desde que os dados de segurança são recebidos do controlador GuardLogix até o terminal de saída mudar de estado.

Para obter informações sobre como determinar os tempos de reação de entrada e de saída, consulte a documentação do produto do seu dispositivo de E/S CIP Safety específico.

Consulte o Apêndice C para obter informações sobre como calcular tempo de reação do sistema.


E/S CIP Safety para o sistema de controle GuardLogix Capítulo 3

Considerações de segurança para os dispositivos E/S CIP Safety

Você deve comissionar todos os dispositivos com um nó ou endereço IPe taxa de comunicação, se necessário, antes de sua instalação na rede de segurança.

Propriedade

Cada dispositivo de E/S CIP Safety em um sistema GuardLogix é de propriedade de um controlador GuardLogix. Os múltiplos controladores GuardLogix e os dispositivos de E/S CIP Safety podem ser usados sem restrições em racks ou em redes, conforme necessário. Quando um controlador é proprietário de um dispositivo de E/S, ele armazena os dados de configuração do dispositivo, conforme definido pelo usuário. Essa configuração controla a forma como os dispositivos funciona no sistema.

Do ponto de vista de controle, os dispositivos de saída de segurança podem ser controlados por um único controlador. Cada dispositivo de entrada de segurança também pertence a um único controlador; entretanto, os dados de entrada de segurança podem ser compartilhados (consumidos) por vários controladores GuardLogix.

Assinatura da configuração da E/S de segurança

A assinatura de configuração define a configuração do dispositivo. Ela pode ser lida e monitorada. A assinatura de configuração é usada para identificar exclusivamente a configuração de um dispositivo. Ao usar um controlador GuardLogix, você não precisará monitorar esta assinatura. O controlador GuardLogix monitora a assinatura automaticamente.

Substituição de segurança de E/S

A substituição dos dispositivos de segurança exige que o dispositivo de substituição seja configurado adequadamente e que a operação do dispositivo de substituição seja verificada pelo usuário.

ATENÇÃO: Durante a substituição do teste funcional de um dispositivo, a segurança do sistema não deve depender de nenhuma parte do dispositivo afetado.



Duas opções para a substituição do dispositivo de E/S estão disponíveis na guia Safety da caixa de diálogo Controller Properties na aplicação Logix Designer:

• Configurar somente quando não houver nenhuma assinatura de segurança• Configurar sempre

Figura 7 – Opções de substituição de segurança de E/S

Configurar somente quando não houver nenhuma assinatura de segurança

Esta configuração instrui o controlador GuardLogix a configurar um dispositivo de segurança somente quando a tarefa de segurança não tiver uma assinatura de tarefa de segurança e o módulo de substituição estiver em uma condição padrão, ou seja, o número da rede de segurança não existe na substituição do dispositivo de segurança.

Se a tarefa de segurança tem uma assinatura de tarefa de segurança, o controlador GuardLogix configura apenas o dispositivo de E/S CIP Safety de substituição se o seguinte for verdade:

• O dispositivo já tem o número de rede de segurança correto.• A codificação eletrônica do dispositivo está correta.• O nó ou endereço IP está correto.


E/S CIP Safety para o sistema de controle GuardLogix Capítulo 3

Configurar sempre

O controlador GuardLogix sempre tenta configurar um dispositivo de E/S CIP Safety de substituição se ele estiver em uma condição padrão, ou seja, em que o número da rede de segurança não existe no dispositivo de segurança de substituição e o número do nó e a codificação do dispositivo de E/S corresponda à configuração do controlador.

ATENÇÃO: Habilite o recurso Configurar sempre apenas se todo o sistema de controle CIP Safety roteável for responsável por manter o comportamento do SIL 3 durante a substituição e o teste funcional de um dispositivo.Se outras partes do sistema de controle CIP Safety estiverem sendo responsáveis por manter o SIL 3, verifique se o recurso Configurar sempre do controlador foi desabilitado.É sua responsabilidade implementar um processo para garantir que a funcionalidade de segurança apropriada seja mantida durante a substituição do dispositivo.

ATENÇÃO: Não coloque dispositivos na condição fora da caixa em nenhuma rede CIP Safety quando a função Configure Always estiver habilitada, exceto durante o procedimento de substituição do dispositivo no GuardLogix5570 Controllers User Manual, publicação 1756-UM022.




Observações:


Capítulo 4

CIP Safety e número da rede de segurança

Sistema de controle de CIP Safety roteável

Para entender os requisitos de segurança de um sistema de controle CIP Safety, incluindo o SNN (número da rede de segurança), você deve primeiro compreender como as comunicações são roteáveis nos sistemas de controle CIP. O sistema de controle CIP Safety representa um conjunto de dispositivos CIP Safety interconectados. O sistema roteável representa a extensão potencial do roteamento incorreto de pacotes de um originador para um alvo dentro do sistema de controle CIP Safety. O sistema é isolado de forma que não haja outras conexões no sistema. Por exemplo, como o sistema na Figura 8 não pode ser interconectado a outro sistema CIP Safety através de um backbone de Ethernet maior em toda a fábrica, ele ilustra a extensão de um sistema CIP Safety roteável.

Figura 8 – Exemplo de sistema CIP Safety

Tópico Página

Sistema de controle de CIP Safety roteável 33

Considerações para atribuição do número da rede de segurança (SNN) 35

1756

-L71

S

1756

-L7S

P

1756

-DNB

1756

-EN2

T

1768

-PB3

1768

-L43

S

1769

-ECR

Switch SwitchRoteador/Firewall(1)

E/S CIP Safety

SmartGuard™

1756

-IB16

1756

-DNB

1756

-EN2

T

(1) O roteador ou o firewall é configurado para limitar o tráfego.

1756

-OB1

6

1768

-ENB

T

1768

-ENB

T

E/S CIP Safety

E/S CIP Safety

E/S CIP Safety

E/S CIP Safety

E/S CIP Safety

E/S CIP Safety

E/S CIP Safety


Capítulo 4 CIP Safety e número da rede de segurança

Referência de nó exclusivo

O protocolo CIP Safety é um protocolo de segurança de nó final a nó final. O protocolo CIP Safety permite o roteamento de mensagens de Segurança CIP pelos dispositivos CIP Safety através de pontes, chaves e roteadores não certificados.

Para impedir que erros em pontes, chaves ou roteadores não certificados se tornem perigosos, cada nó final em um sistema de controle CIP Safety roteável deve ter uma referência de nó exclusiva. A referência de nó exclusiva é uma combinação de um SNN e do Endereço de Nó.

Número da rede de segurança

O número da rede de segurança (SNN) é automaticamente atribuído pelo software ou manualmente pelo usuário. Cada rede CIP Safety que contém os nós de E/S de seguração dev ter pelo menos um SNN exclusivo. Cada rack que contenha um ou mais dispositivos de segurança deve ter pelo menos um SNN exclusivo. Os números da rede de segurança que são atribuídos a cada rede de segurança ou sub-rede da rede devem ser exclusivos.

Figura 9 – Exemplo CIP Safety com mais de um SNN

Cada dispositivo CIP Safety deve ser configurado com um SNN. Qualquer dispositivo que origina uma conexão de segurança a outro dispositivo de segurança deve ser configurado com o SNN do dispositivo alvo. Se o sistema CIP Safety estiver no processo de inicialização antes do teste de segurança funcional do sistema, o dispositivo originário poderá ser usado para definir a referência de nó exclusivo no dispositivo.

O SNN usado pelo sistema é um número hexadecimal de seis bytes. O SNN pode ser definido e exibido em um destes dois formatos: baseado em tempo ou manual.

DICA Múltiplos SNNs podem ser atribuídos a uma sub-rede CIP Safety ou a um rack que contenha vários dispositivos de segurança. Porém, para simplificar, recomendamos que cada sub-rede CIP Safety tenha um, e apenas um, SNN exclusivo. Essa recomendação também se aplicar a cada rack.

Roteador/Firewall

SNN_1 SNN_3 SNN_5

SNN_2 SNN_4 SNN_6

SNN_7

1756

-L71

S

1756

-L7S

P

1756

-DNB

1756

-EN2

T

1768

-PB3

1768

-L43

S

1769

-ECR

Switch Switch

E/S CIP Safety

SmartGuard

1756

-IB16

1756

-DNB

1756

-EN2

T

1756

-OB1

6

1768

-ENB

T

1768

-ENB

T

E/S CIP Safety

E/S CIP Safety

E/S CIP Safety

E/S CIP Safety

E/S CIP Safety

E/S CIP Safety

E/S CIP Safety


CIP Safety e número da rede de segurança Capítulo 4

Quando o formato baseado em tempo for selecionado, o SNN representará uma data e hora localizadas. Quando o formato manual for selecionado, o SNN representará um tipo de rede e um valor decimal de 1 a 9999.

Figura 10 – Formatos de SNN

A atribuição de um SNN baseado em tempo é automática quando você criar um novo projeto do controlador de segurança GuardLogix e a adicionar novos dispositivos de E/S CIP Safety.

A manipulação de um SNN é obrigatória nas seguintes situações:• Se tags de segurança consumidos forem usados• Se o projeto consumir dados de entrada de segurança de um dispositivo

cuja configuração é de propriedade de outro dispositivo de segurança• Se um projeto de segurança for copiado para uma instalação de hardware

diferente dentro do mesmo sistema CIP Safety roteável.

Considerações para atribuição do número da rede de segurança (SNN)

A atribuição do SNN é dependente de fatores que incluem a configuração do controlador ou do dispositivo de E/S CIP Safety.

Número de rede de segurança (SNN) para tags de segurança consumidos

Quando um controlador de segurança que contém tags de segurança produzidos é adicionado à árvore de Configuração de E/S, o SNN do controlador de produção deve ser inserido. O SNN pode ser copiado do projeto do controlador de produção e colado no novo controlador que estiver sendo adicionado à árvore de Configuração de E/S.

Consulte o GuardLogix 5570 Controllers User Manual, publicação 1756-UM022, para informações sobre como copiar e colar um SNN.

IMPORTANTE Se você atribuir um SNN manualmente, certifique-se de que a expansão do sistema não resulta em combinações duplicadas de SNN e endereço do nó. Um erro de verificação ocorre se seu projeto contiver combinações duplicadas de SNN e endereço do nó.



Capítulo 4 CIP Safety e número da rede de segurança

Número de segurança da rede (SNN) para dispositivos padrão

Dispositivos de E/S CIP Safety padrão não têm um SNN. O SNN é definido quando uma configuração é enviada ao dispositivo pelo controlador GuardLogix que pertence ao dispositivo.

Número da rede de segurança (SNN) para dispositivo de segurança com um proprietário de configuração diferente

Quando um dispositivo de E/S CIP Safety pertencer a um controlador GuardLogix diferente (controlador B) e for adicionado a outro projeto GuardLogix (projeto do controlador A), a aplicação Logix Designer atribuirá o SNN com base no projeto atual. Como o projeto atual (projeto do controlador A) não é o proprietário real da configuração, você precisa copiar o SNN original (projeto do controlador B) na configuração do projeto do controlador A. É mais fácil fazer isso com os comandos copiar e colar. O resultado é que o dispositivo de E/S CIP Safety produzirá dados para os dois controladores GuardLogix ao mesmo tempo. Você pode copiar e colar para um máximo de 16 controladores.

Consulte o GuardLogix 5570 Controllers User Manual, publicação 1756-UM022, para informações sobre como alterar, copiar e colar os números da rede de segurança.

Número da rede de segurança (SNN) ao copiar um projeto de segurança

IMPORTANTE Para adicionar um dispositivo de E/S CIP Safety a um sistema GuardLogix configurado (o SNN está presente no controlador GuardLogix), o dispositivo CIP Safety de substituição deve ter o SNN correto aplicado antes de ser adicionado à rede CIP Safety.

ATENÇÃO: Se um projeto de segurança for copiado para uso em outro projeto com um hardware diferente ou em um local físico diferente e o novo projeto estiver dentro do mesmo sistema CIP Safety roteável, todos os SNNs deverão ser alterados no segundo sistema. Os valores do SNN não devem ser repetidos.Consulte o GuardLogix 5570 Controllers User Manual, publicação 1756-UM022, para informações sobre como alterar o SNN.




Capítulo 5

Características de tags de segurança, da tarefa de segurança e dos programas de segurança

Diferenças entre padrão e segurança

Como é um controlador da série Logix, tanto os componentes-padrão (não relacionados à segurança) quanto os componentes relacionados à segurança podem ser usados no sistema de controle GuardLogix.

É possível desempenhar um controle de automação padrão das tarefas padrão dentro de um projeto GuardLogix. Os controladores GuardLogix fornecem a mesma funcionalidade que os outros controladores da série ControlLogix. O que diferencia os controladores GuardLogix dos controladores-padrão é que eles oferecem uma tarefa de segurança com capacidade SIL 3.

No entanto, é necessária uma distinção lógica e visível entre as partes padrão e as partes relacionadas à segurança da aplicação. A aplicação Logix Designer fornece a diferenciação através da tarefa de segurança, programas de segurança, rotinas de segurança, tags de segurança e dispositivos de E/S de segurança. É possível implementar os níveis SIL 2 e SIL 3 do controle de segurança com a tarefa de segurança do controlador GuardLogix.

Tópico Página

Diferenças entre padrão e segurança 37

Aplicações de segurança SIL 2 38

Segurança SIL 3 – a tarefa de segurança 41

Uso de interfaces homem-máquina 43

Programas de segurança 45

Rotinas de segurança 45

Tags de segurança 46


Capítulo 5 Características de tags de segurança, da tarefa de segurança e dos programas de segurança

Aplicações de segurança SIL 2 É possível realizar o controle de segurança SIL 2 usando a tarefa de segurança dos controladores GuardLogix.

Como os controladores GuardLogix fazem parte da série de processadores ControlLogix, você pode realizar o controle de segurança SIL 2 com um controlador GuardLogix usando tarefas-padrão ou a tarefa de segurança. Esse recurso oferece opções de controle de segurança exclusivas e versáteis, visto que a maior parte das aplicações tem uma porcentagem mais alta de funções de segurança SIL 2 do que funções de segurança SIL 3.

Controle de segurança SIL 2 na tarefa de segurança

A tarefa de segurança GuardLogix pode ser usada para fornecer as funções de segurança SIL 2 e SIL 3. Se as funções de segurança SIL 3 precisarem ser realizadas simultaneamente com as funções de segurança SIL 2, você deve atender as exigências definidas nas seções Segurança SIL 3 – a tarefa de segurança, Programas de segurança e Rotinas de segurança deste capítulo, bem como as exigências da SIL 2 listadas nesta seção.

Lógica de segurança SIL 2

De uma perspectiva de controle de segurança GuardLogix, a maior diferença entre os dispositivos de segurança classificados para SIL 2 e SIL 3 é que o SIL 2 geralmente é um canal simples, enquanto o SIL 3 normalmente é um canal duplo. Quando estiver usando Guard I/O com classificação de segurança (módulos vermelhos), o que é necessário para a tarefa de segurança, as entradas de segurança SIL 2 podem ser de canal único, o que pode reduzir a complexidade e o número de módulos que são necessários.

Fica a critério do criador do sistema de segurança implementar adequadamente todas as funções de segurança. Considerações devem ser dadas ao seguinte:

• Seleção de dispositivo de campo (seleção correta, identificar e reduzir todas as falhas de dispositivos)

• Considerar especificações de solicitações de segurança (baixo IEC 61511 ou alto ISO 13849)

• Considerar intervalos de testes (diagnósticos e testes de provas necessários para satisfazer as especificações da aplicação)

• Identificar e justificar com documentação adequada quaisquer exclusões de falhas que forem usadas

Dentro da tarefa de segurança, a aplicação Logix Designer inclui um conjunto de instruções de lógica ladder relacionadas à segurança. Os controladores GuardLogix também apresentam instruções de segurança com classificação SIL 3 específicas para a aplicação. Todas essas instruções de lógica podem ser usadas nas funções de segurança em Cat. 1 a 4 e SIL 1 a 3.

IMPORTANTEz

Se uma combinação de funções de segurança SIL 2 e SIL 3 forem usadas simultaneamente dentro de uma tarefa de segurança, deve-se evitar que os sinais de entrada SIL 2 controlem diretamente as funções de segurança SIL 3. Use programas de tarefa ou rotinas de segurança específicos para separar as funções de segurança SIL 2 e SIL 3.


Características de tags de segurança, da tarefa de segurança e dos programas de segurança Capítulo 5

Apenas para a segurança SIL 2, não é exigida uma assinatura de tarefa de segurança. Entretanto, se qualquer função de segurança SIL 3 for usada dentro da tarefa de segurança, uma assinatura de tarefa de segurança será exigida.

Para aplicações SIL 2, recomendamos que o travamento de segurança da tarefa de segurança depois que o teste for concluído. O travamento da tarefa de segurança possibilita os mais recursos de segurança. Você também pode usar FactoryTalk® Security e a proteção de saída de rotina Logix Designer para limitar o acesso à lógica relacionada com segurança.

Para mais informações sobre como gerar uma assinatura de tarefa de segurança e trava de segurança da tarefa de segurança, consulte o GuardLogix 5570 Controllers User Manual, publicação 1756-UM022.

Entradas de segurança SIL 2

Os módulos de entrada de segurança CompactBlock™ Guard I/O (série 1791), ArmorBlock® Guard I/O (série 1732) e POINT Guard I/O (série 1734) suportam circuitos de entrada de segurança SIL 2 de canal único. Visto que esses módulos também estão classificados para operação SIL 3, a mistura de circuitos SIL 2 e SIL 3 no mesmo módulo é permitida, desde que você siga essas orientações.

Esses dois exemplos mostram como ligar os circuitos de segurança SIL 2 aos módulos de entrada de segurança Guard I/O. Esses exemplos usam fontes de testes incorporadas (T0 a Tx) que estão incluídas em todos os módulos de entrada de segurança 1791 e 1732.

Figura 11 – Fiação de entrada

As entradas do grupo de módulos Guard I/O são em pares para facilitar as funções de segurança Cat 3, Cat 4, e SIL 3. Para utilizar as funções de segurança Cat 1, Cat 2 e SIL 2, as entradas do módulo ainda devem ser utilizadas em pares conforme ilustrado. Duas funções de segurança SIL 2 são mostradas conectadas às entradas I0 e I1 usando fontes de teste T0 e T1, respectivamente.

Figura 12 – Fiação de entrada em pares

I0 I1 T0 T1

I0 I1 T0 T1




Para as funções de segurança Cat 1, Cat 2, e SIL 2, os módulos de segurança Guard I/O necessitam de configurações específicas dentro do projeto GuardLogix. Neste exemplo, as entradas 0, 1, 6, 7, 8, 9, 10 e 11 fazem parte de uma função de segurança CAT 1, 2 ou SIL 2. As entradas 2 e 3, bem como a 4 e 5, fazem parte da função de segurança CAT 3, CAT 4 ou SIL 3.

Figura 13 – Configuração de entrada

Campo Valor

Tipo Simples

Tempo de discrepância N/A

Modo ponto Teste de pulso de segurança

Teste de fonte Defina os valores com base em como o dispositivo de campo está fisicamente conectado ao módulo. Para garantir que a fonte de teste esteja habilitada corretamente, abra e visualize os ajustes de parâmetros na guia Test Output.

Tempo de atraso na entrada

Entrada de usuário baseada nas características do dispositivo de campo.

IMPORTANTE Os testes de saída de pulso integrados (T0 a Tx) são normalmente usados com dispositivos de campo que têm contatos mecânicos. Se for utilizado um dispositivo de segurança com saídas eletrônicas (para alimentar as entradas de segurança), ele deve ter classificações de segurança apropriadas.

IMPORTANTE Se você estiver usando as instruções da aplicação de segurança GuardLogix, certifique-se de configurar os módulos de entrada de segurança como simples, e não equivalente nem complementar. Essas instruções oferecem a funcionalidade de duplo canal necessária para as funções de segurança PLd (Cat. 3) ou PLe (Cat. 4).Consulte o GuardLogix Safety Application Instruction Set Reference Manual, publicação 1756-RM095.




Controle de segurança SIL 2 em tarefas-padrão

Devido à qualidade e à quantidade de diagnósticos inseridos na série de controladores ControlLogix, é possível aplicar as funções de segurança SIL 2 de dentro das tarefas-padrão. Isso também ocorre com os controladores GuardLogix.

Para executar o controle de segurança SIL 2 dentro de uma tarefa padrão GuardLogix, é necessário obedecer às exigências definidas do Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicação 1756-RM001.

Segurança SIL 3 – a tarefa de segurança

A criação de um projeto GuardLogix cria automaticamente uma única tarefa de segurança. A tarefa de segurança apresenta estas características adicionais:

• Os controladores GuardLogix são os únicos compatíveis com a tarefa de segurança.

• A tarefa de segurança não pode ser removida.• Os controladores GuardLogix suportam uma única tarefa de segurança.• Dentro da tarefa de segurança, podem-se usar vários programas de

segurança compostos por várias rotinas de segurança. • Você não pode agendar ou executar rotinas padrão de dentro da Tarefa de

Segurança.

A tarefa de segurança é uma tarefa periódica com watchdog e prioridade de tarefa selecionável pelo usuário. Em muitos casos, ela é a prioridade do controlador e o watchdog do programa definido pelo usuário deve ser configurado para acomodar flutuações na execução da tarefa de segurança.

Limitações da tarefa de segurança

Especifique o período da tarefa de segurança e o watchdog da tarefa de segurança. O período da tarefa de segurança é o período no qual a tarefa de segurança é executada. O watchdog da tarefa de segurança é o tempo máximo permitido desde o início da execução programada da tarefa de segurança até sua conclusão.

Para obter mais informações sobre o watchdog da tarefa de segurança, consulte o Apêndice C, Tempos de reação.

O período da tarefa de segurança é limitado a um máximo de 500 ms e não pode ser modificado on-line. Certifique-se de que a tarefa de segurança tem tempo suficiente para ser concluída antes de ser desarmada novamente. O tempo-limite do watchdog da tarefa de segurança, uma falha de segurança não recuperável no controlador GuardLogix, ocorre se a tarefa de segurança for acionada enquanto ainda estiver sendo executada do acionador anterior.

Consulte o Capítulo 7, Monitoração de status e manuseio de falhas, para obter mais informações.




Detalhes de execução da tarefa de segurança

A tarefa de segurança é executada da mesma maneira que as tarefas periódicas padrão, com estas exceções:

• A tarefa de segurança não é iniciada até que o Controlador Primário e o Parceiro de Segurança estabeleçam sua parceria de controle e sincronizem oTempo de Sistema (CST). No entanto, tarefas padrão começam a ser executada logo que o controlador é transicionado para o modo de operação.

• Embora a faixa configurável do intervalo do pacote requisitado (RPI) para as entradas de segurança e os tags de segurança consumidos sejam de 6 a 500 ms, os tags de entrada de segurança e os tags de segurança consumidos são atualizados apenas no início da execução da tarefa de segurança. Isto significa que mesmo que o RPI da E/S seja mais rápido que o período da tarefa de segurança, os dados não mudarão durante a execução da tarefa de segurança. Os dados são lidos somente uma vez no início da execução da tarefa de segurança.

• Os valores de entrada de segurança são congelados no início da execução daTarefa de Segurança. Como resultado, as instruções relacionadas ao temporizador, como TON e TOF, não serão atualizadas durante uma única execução da tarefa de segurança. Elas manterão o tempo correto de execução de uma tarefa para a outra, mas o tempo acumulado não será alterado durante a execução da tarefa.

• Para os tags padrão que são mapeados em tags de segurança, os valores dos tags padrão serão copiados para a memória de segurança no início da tarefa de segurança e não mudarão durante a execução da tarefa de segurança.

• Os valores dos tags de saída de segurança (de saída e produzidos) são atualizados na conclusão da execução da tarefa de segurança.

ATENÇÃO: Este comportamento difere da execução da tarefa Logix padrão, mas é semelhante ao comportamento do CLP ou do SLC™.



• A tarefa de segurança reage às mudanças de modo (por exemplo, operação para programa ou programa para operação) em intervalos temporizados. Como resultado, a tarefa de segurança pode levar mais de um período de tarefa, mas sempre menos do que dois, para fazer uma transição de modo.

Uso de interfaces homem-máquina

Siga estas precauções e orientações para usar os dispositivos IHM em sistemas GuardLogix com classificação SIL.

Precauções

Você deve adotar precauções e implementar técnicas específicas em dispositivos IHM. Estas precauções incluem, mas não estão restritas ao seguinte:

• Acesso e segurança limitados• Especificações, teste e validação• Restrições de dados e acessos• Limites de dados e parâmetros

Para mais informações de como os dispositivos IHM se encaixam em uma malha SIL típica, consulte Figura 1 na página 15.

Use técnicas de som no software de aplicação no IHM e controlador.

IMPORTANTE Enquanto estiver sem o travamento de segurança e sem assinatura de segurança, o controlador impedirá o acesso de gravação simultâneo à memória de segurança pela tarefa de segurança e pelos comandos de comunicação. Como resultado, a tarefa de segurança pode ser retida até a conclusão da atualização da comunicação. O tempo necessário para a atualização varia de acordo com o tamanho do tag. Por isso, pode ocorrer a conexão de segurança e os tempos-limites de watchdog de segurança. (Por exemplo, se você fizer edições on-line quando a taxa da Tarefa de Segurança estiver definida para 1 ms, pode ocorrer um tempo-limite de watchdog de segurança.)Para compensar o tempo retido devido a uma atualização de comunicação, adicione 2 ms ao tempo de watchdog de segurança.Quando o controlador estiver com travamento de segurança ou houver uma assinatura de tarefa de segurança, a situação descrita nesta observação não poderá ocorrer.



Acessando sistemas relacionados à segurança

As funções relacionadas a IHM consistem de duas atividades primárias: leitura e gravação de dados.

Lendo os parâmetros em sistemas relacionados à segurança

A leitura de dados não é restrita porque a leitura não afeta o comportamento do sistema de segurança. Entretanto, o número, frequência e dimensões dos dados sendo lidos podem afetar a disponibilidade do controlador. Para evitar desarmes por ruídos relacionados à segurança, use boas práticas de comunicação para limitar o impacto do processamento de comunicação no controlador. Não configure as taxas de leitura à taxa mais rápida possível.

Mudando parâmetros em sistemas com classificação SIL

Uma mudança de parâmetros em uma malha relacionada à segurança através de um dispositivo externo (ou seja, fora da malha de segurança) (por exemplo, um IHM) é permitida apenas com as seguintes restrições:

• Apenas pessoal (operadores) autorizado e com treinamento especial pode mudar os parâmetros em sistemas relacionados à segurança através de IHMs.

• O operador que faz as mudanças em um sistema relacionado à segurança através de um IHM é responsável pelo efeito destas mudanças na malha de segurança.

• Deve-se documentar claramente as variáveis que serão modificadas.

• Deve-se usar um procedimento de operador claro, abrangente e explícito para fazer as mudanças relacionadas à segurança através de um IHM.

• As mudanças serão aceitas em um sistema relacionado à segurança apenas se a seguinte sequência de eventos ocorrer:

a. A nova variável deve ser enviada duas vezes para dois tags diferentes; ou seja, ambos os valores não devem ser gravados com um comando.

b. O código relacionado à segurança que executa no controlador deve verificar ambos os tags para equivalência e certificar-se de que estão dentro da faixa (verificação de limites).

c. Ambas as novas variáveis devem ser lidas novamente e exibidas no dispositivo IHM.

d. Os operadores treinados devem verificar visualmente que as variáveis são iguais e estão com o valor correto.

e. Os operadores treinados devem reconhecer manualmente que os valores estão corretos na tela do IHM que envia um comando para a lógica de segurança, o que permite que os novos valores sejam usados na função de segurança.

Em cada caso, o operador deve confirmar a validade da mudança antes que sejam aceitas e aplicadas na malha de segurança.



• Teste todas as mudanças como parte do procedimento de validação de segurança.

• Documente suficientemente todas as mudanças relacionadas à segurança feitas através da IHM, incluindo o seguinte:

– Autorização– Análise de impacto– Execução– Informações de teste– Informações de revisão

• As mudanças no sistema relacionado à segurança devem estar em conformidade com o padrão IEC 61511 sobre segurança de processos, seção 11.7.1 Especificações da interface do operador.

• As mudanças no sistema relacionado à segurança devem estar em conformidade com IEC 62061 para a segurança da máquina.

• O desenvolvedor deve seguir as mesmas técnicas e procedimentos de desenvolvimento seguros usados para outro desenvolvimento de software de aplicação, incluindo a verificação e teste da interface de operação e seu acesso a outras partes do programa. No software de aplicação do controlador, crie uma tabela que seja acessível pela IHM e limite o acesso apenas a pontos de dados específicos.

• Similarmente ao programa do controlador, o software IHM precisa ser fixo e mantido para uma compatibilidade de nível SIL depois que o sistema foi validado e testado.

Programas de segurança Um programa de segurança tem todos os atributos de um programa padrão, exceto pelo fato de que ele só pode ser programado na tarefa de segurança. Um programa de segurança também pode definir tags de segurança com escopo de programa. Um programa de segurança pode ser programado ou não programado.

Um programa de segurança pode conter apenas componentes de segurança. Todas as rotinas em um programa de segurança são rotinas de segurança. Um programa de segurança não pode conter rotinas padrão ou tags padrão.

Rotinas de segurança As rotinas de segurança têm todos os atributos das rotinas padrão, mas não podem ocorrer apenas em programas de segurança. Uma rotina de segurança pode ser designada como a rotina principal. Outra rotina de segurança pode ser designada como a rotina de falha. Apenas instruções certificadas pela segurança podem ser usadas em rotinas de segurança.

Para obter uma lista de instruções de segurança, consulte o Apêndice A.

ATENÇÃO: Para preservar a conformidade com SIL 3, certifique-se de que a lógica de segurança não tente ler nem gravar tags padrão.



Tags de segurança O Sistema de Controle GuardLogix suporta o uso de tags padrão e de segurança no mesmo projeto. No entanto, o software de programação diferencia os tags padrão dos tags de segurança de forma operacional.

Os tags de segurança têm todos os atributos de tags padrão além dos mecanismos necessários para fornecer integridade de dados SIL 3.

A aplicação Logix Designer impede a criação direta de tags inválidos em um programa de segurança. Se tags inválidos forem importados, eles não podem ser verificados.

Os tags classificados como tags de segurança são tags do controlador ou do programa de segurança. Os tags de segurança com escopo do controlador podem ser lidos pela lógica-padrão e de segurança ou por outros dispositivos de comunicação, mas só podem ser gravados pela lógica de segurança ou por outro controlador de segurança GuardLogix. Os tags de segurança com escopo do programa são acessíveis apenas pelas rotinas de segurança locais. Essas rotinas residem dentro do programa de segurança.

Os tags associados à E/S de segurança e os dados de segurança produzidos ou consumidos devem ser tags de segurança com escopo de controlador.

Tabela 6 – Tipos de dados válidos para tags de segurança

• AUX_VALVE_CONTROL • DINT • MUTING_FOUR_SENSOR_BIDIR

• BOOL • DIVERSE_INPUT • MUTING_TWO_SENSOR_ASYM

• CAM_PROFILE • EIGHT_POS_MODE_SELECTOR • MUTING_TWO_SENSOR_SYM

• CAMSHAFT_MONITOR • EMERGENCY_STOP • MOTION_INSTRUCTION

• CB_CONTINUOUS_MODE • ENABLE_PENDANT • PHASE

• CB_CRANKSHAFT_POS_MONITOR • EXT_ROUTINE_CONTROL • PHASE_INSTRUCTION

• CB_INCH_MODE • EXT_ROUTINE_PARAMETERS • REAL

• CB_SINGLE_STROKE_MODE • FBD_BIT_FIELD_DISTRIBUTE • REDUNDANT_INPUT

• CONFIGURABLE_ROUT • FBD_CONVERT • REDUNDANT_OUTPUT

• CONNECTION_STATUS • FBD_COUNTER • SAFETY_MAT

• CONTROL • FBD_LOGICAL • SERIAL_PORT_CONTROL

• COUNTER • FBD_MASK_EQUAL • SFC_ACTION

• DCA_INPUT • FBD_MASKED_MOVE • SFC_STEP

• DCI_MONITOR • FBD_TIMER • SFC_STOP

• DCI_START • FIVE_POS_MODE_SELECTOR • SINT

• DCI_STOP • INT • STRING

• DCI_STOP_TEST • LIGHT_CURTAIN • THRS_ENHANCED

• DCI_STOP_TEST_LOCK • MAIN_VALVE_CONTROL • TIMER

• DCI_STOP_TEST_MUTE • MANUAL_VALVE_CONTROL • TWO_HAND_RUN_STATION

IMPORTANTE Alternar entre tags de segurança e tags padrão é proibido em aplicações de segurança.

IMPORTANTE Qualquer tag de segurança do controlador pode ser lido por qualquer rotina padrão, mas a taxa de atualização é baseada na execução da tarefa de segurança. Isso significa que os tags de segurança são atualizados na taxa periódica da tarefa de segurança, que é diferente do comportamento do tag padrão.



Tags padrão em rotinas de segurança (mapeamento de tags)

Os tags padrão com escopo de controlador podem ser mapeados em tags de segurança, fornecendo um mecanismo de sincronização de ações padrão e de segurança.

ATENÇÃO: Ao usar dados padrão em uma rotina de segurança, você será responsável por fornecer uma forma confiável de assegurar que os dados estejam sendo usados de forma adequada. O uso de dados padrão em um tag de segurança não os transforma em dados de segurança. Você não deve controlar uma saída de segurança com dados do tag padrão.Este exemplo ilustra como qualificar os dados padrão com os dados de segurança.

Figura 14 – Qualificação dos dados padrão com dados de segurança

ONS

MappedBooleanTag LatchOneShot

Node30ComboModule:O.Pt03Data

Node30ComboModule:I.Pt07Data Node30ComboModule:O.Pt03Data

Trave o circuito para impedir uma reinicialização automática se a entrada padrão (MappedTag) falhar em um estado ‘parado no 1’.

Qualificador de entrada de segurança para tag mapeado

Saída de Segurança



Observações:


Capítulo 6

Desenvolvimento da aplicação de segurança

Suposições do conceito de segurança

O conceito de segurança considera o seguinte:• Se você é responsável pela criação, operação e manutenção da aplicação,

você está qualificado, treinado e tem experiência em sistemas de segurança.• Você aplica a lógica corretamente, o que significa que erros de programação

podem ser detectados. Os erros de programação podem ser detectados, pois as regras de especificações, programação e nomeação são seguidas à risca.

• Você executa uma análise crítica da aplicação e usa todas as medidas possíveis para detectar uma falha.

• Você confirma todos os downloads de aplicações através de uma verificação manual da assinatura da tarefa de segurança.

• Você executa um teste funcional completo de todo o sistema antes da primeira partida operacional de um sistema de segurança.

Tópico Página

Suposições do conceito de segurança 49

Noções básicas do desenvolvimento e do teste de aplicativos 50

Comissionamento do ciclo de vida 51

Download do programa aplicativo de segurança 57

Upload do programa de segurança da aplicação 57

Edição on-line 57

Armazenamento e carregamento de um projeto de memória não volátil 58

Force de dados 58

Inibição de um dispositivo 58

Editando sua aplicação de segurança 59


Capítulo 6 Desenvolvimento da aplicação de segurança

Noções básicas do desenvolvimento e do teste de aplicativos

Recomendamos que o programa aplicativo para o sistema SIL CL3 pretendido seja desenvolvido pelo integrador de sistema ou por um usuário treinado e familiarizado em aplicações de segurança. O desenvolvedor deve seguir as boas práticas de projeto.

• Use as especificações funcionais, incluindo fluxogramas, diagramas de temporização e gráficos sequenciais.

• Faça uma revisão da lógica da tarefa de segurança.• Faça a validação da aplicação.

Tabela 7 – Modos de controlador

Modo de controlador

Status da tarefa de segurança

Segurança(1)

(até e incluindo)Comentários(Um programa válido foi descarregado no controlador.)

Programa DestravadoSem assinatura

• Conexões E/S estabelecidas• A lógica da tarefa de segurança não está sendo varrida.

Operação DestravadoSem assinatura

(apenas para fins de desenvolvimento)

• Forçamento permitido• Edição on-line permitida.• A memória de segurança é isolada, mas não é protegida (leitura/gravação).• A lógica da tarefa de segurança está sendo varrida.

Lógica de processos de controladores primários e parceiros, saídas de lógica de comparação cruzada. Saídas de lógica são gravadas nas saídas de segurança.

Operação TravadoSem assinatura

PLd/Cat. 3Controle confiável SIL CL2

• Novas forças não são permitidas. As forças existentes são mantidas.• Edição on-line não é permitida.• A memória de segurança é protegida (apenas leitura).• A lógica de tarefa de segurança é varrida.• Lógica de processos de controladores primários e parceiros, saídas de lógica de comparação

cruzada. Saídas de lógica são gravadas nas saídas de segurança.

Operação DestravadoCom assinatura

Ple/Cat. 4Controle confiávelSIL CL3

• As forças não são permitidas. (Devem ser removidas para gerar uma assinatura de tarefa de segurança.)

• Edição on-line não é permitida.• A memória de segurança é protegida (apenas leitura).• A lógica de tarefa de segurança é varrida.• Lógica de processos de controladores primários e parceiros, saídas de lógica de comparação

cruzada. Saídas de lógica são gravadas nas saídas de segurança.• A assinatura da tarefa de segurança não é protegida e pode ser apagada por qualquer um que

tenha acesso ao controlador.

Operação TravadaCom assinatura

Ple/Cat. 4Controle confiávelSIL CL3

• As forças não são permitidas. (Devem ser removidas para gerar uma assinatura de tarefa de segurança.)

• Edição on-line não é permitida.• A memória de segurança é protegida (apenas leitura).• A lógica de tarefa de segurança é varrida.• Lógica de processos de controladores primários e parceiros, saídas de lógica de comparação

cruzada. Saídas de lógica são gravadas nas saídas de segurança.• A assinatura da tarefa de segurança é protegida. Os usuários devem inserir a senha para destravar

o controlador antes que possam apagar a assinatura da tarefa de segurança.

(1) Para adquirir este nível, deve-se aderir às especificações de segurança definidas nesta publicação.


Desenvolvimento da aplicação de segurança Capítulo 6

Comissionamento do ciclo de vida

O fluxograma abaixo mostra as etapas necessárias para o comissionamento de um sistema GuardLogix. Os itens em negrito serão explicados nas próximas seções.

Figura 15 – Comissionamento do sistema

Especificação da função de controle

Criar projeto on-line

Criar projeto off-line

Anexe ao controlador e descarregue

Testar o programa aplicativo

Gere a assinatura da tarefa de segurança

Confirmar o projeto

Registrar a assinatura de tarefa de segurança

Teste de verificação do projeto

Validação de Segurança (Revisão Independente)

Travar o controlador/fim

Faça as modificaçõesnecessárias

Excluir a assinatura de tarefa de segurança

Passaramnos testes?

Projetovalidado?

Não

Sim

Não

Sim

Preencher a lista de verificação no Apêndice D



Especificação da função de controle

Você deve criar uma especificação para a função de controle. Use essa especificação para verificar se a lógica do programa está correta e se atende completamente aos requisitos funcionais e de controle de segurança do aplicativo. A especificação pode ser apresentada em vários formatos dependendo da aplicação. No entanto, a especificação deve ser uma descrição detalhada que inclua o seguinte (se aplicável):

• Sequência de operações• Fluxogramas e diagramas de temporização• Gráficos sequenciais• Descrição do programa• Roteiro do programa• Descrições escritas das etapas com condições de etapa e atuadores a serem

controlados, incluindo o seguinte:– Definições de entrada– Definições de saída– Esquemas elétricos e referências de E/S– Teoria da operação

• Matriz ou tabela de condições em etapas e os atuadores a serem controlados, incluindo os diagramas de sequência e de temporização

• Definição das condições marginais, por exemplo, modos de operação e PARADA DE EMERGÊNCIA

A parte de E/S da especificação deve conter a análise de circuitos de campo, ou seja, o tipo de sensores e de atuadores.

• Sensores (Digitais ou Analógicos)– Sinal na operação padrão (princípio atual inativo para sensores digitais,

sensores desligados (OFF) indicam que não há sinal)– Determinação de redundância necessária para níveis de SIL– Monitoração e visualização de discrepâncias, incluindo sua lógica de

diagnóstico• Atuadores

– Posição e ativação na operação padrão (normalmente OFF)– Reação/posicionamento de segurança quando estiver alternando para

OFF ou em falha de alimentação.– Monitoração e visualização de discrepâncias, incluindo sua lógica de

diagnóstico



Criação do projeto

A lógica e as instruções usadas durante a programação do aplicativo devem ser:• Fáceis de compreender• Fáceis de rastrear• Fáceis de mudar• Fáceis de testar

Revisar e testar toda a lógica. Mantenha a lógica relacionada à segurança e a lógica padrão separadas.

Rotulação do Programa

O programa da aplicação é claramente identificado por um dos seguintes itens:• Nome• Data• Revisão• Qualquer outra identificação do usuário

Teste o programa aplicativo

Esta etapa consiste em qualquer combinação de modos de execução e de programa, edições on-line ou off-line, carregamentos e descarregamentos e testes informais que são necessários para que o aplicativo opere adequadamente para o teste de Verificação de Projeto.

Geração da assinatura da tarefa de segurança

A assinatura da tarefa de segurança identifica exclusivamente cada projeto, incluindo sua lógica, dados e configurações. A assinatura da tarefa de segurança é composta de um ID (número de identificação), data e hora.

Você pode gerar a assinatura da tarefa de segurança se todas as condições a seguir forem verdadeiras:

• A aplicação Logix Designer está on-line com o controlador.• O controlador estiver no modo de programação.• O controlador não estiver travado para segurança.• O controlador não tiver regras de segurança ou edições de segurança

on-line pendentes.• O status da Tarefa de Segurança estiver OK.



Após a conclusão do teste do programa da aplicação, gere a assinatura da tarefa de segurança. O software de programação carrega automaticamente a assinatura da tarefa segurança depois que ela é gerada.

Você poderá excluir a assinatura da tarefa de segurança apenas quando o controlador GuardLogix estiver sem travamento de segurança e, caso esteja on-line a chave seletora esteja na posição REM ou PROG.

Quando houver uma assinatura de tarefa de segurança, as ações a seguir não serão permitidas na tarefa de segurança:

• Programação ou edição on-line ou off-line de componentes de segurança• Forçando a E/S da Segurança• Manipulação de dados (exceto através da lógica da rotina ou de outro

controlador GuardLogix)


Para verificar se o seu programa aplicativo segue as especificações, deve-se gerar um conjunto de casos de testes apropriados que cubram a aplicação. Os testes devem ser arquivados e retidos como especificação do teste.

Você deve incluir vários testes para provar a validade dos cálculos (fórmulas) usados na lógica do aplicativo. Testes de intervalos equivalentes são aceitos. Esses são testes dentro dos intervalos de valor definidos, nos limites, ou em intervalos de valores inválidos. O número necessário de testes depende das fórmulas usadas e deve conter pares de valores críticos.

A simulação ativa com origens (dispositivos de campo) também deve ser incluída, pois é a única forma de verificar se os sensores e os atuadores do sistema estão conectados corretamente. Verifique a operação das funções programadas manipulando manualmente os sensores e atuadores.

Você também deve incluir testes para verificar a reação a falhas de fiação e a falhas na comunicação da rede.

A verificação do projeto inclui testes de rotinas de falha e canais de entrada e de saída para garantir que o sistema de segurança funcione corretamente.

Para executar um teste de verificação do projeto no controlador GuardLogix, você deve executar um teste completo da sua aplicação. Você deve alternar cada sensor e atuador envolvido na função de segurança. Da perspectiva de um controlador, isto significa alternar o ponto de E/S que vai para o controlador, não necessaria-mente os ativadores reais. Certifique-se de testar todas as funções de encerra-mento, porque estas funções geralmente não são exercidas durante a operação normal. Além disso, esteja ciente de que um teste de verificação do projeto é válido somente para a aplicação testada especificamente. Se o controlador for movido para outra aplicação, deve-se também executar o teste de verificação do projeto e de partida no controlador no contexto do seu novo programa aplicativo.

IMPORTANTE Para verificar a integridade de cada download, deve-se registrar manualmente a assinatura da tarefa de segurança após a criação inicial e verificar a assinatura da tarefa de segurança após cada download para garantir que corresponda à original.



Confirmação do projeto

Deve-se imprimir ou visualizar o projeto e comparar as configurações do controlador e de E/S de segurança carregadas, os dados de segurança e a lógica de programação da tarefa de segurança para garantir que os componentes de segurança corretos foram descarregados, testados e retidos no programa aplicativo de segurança.

Caso o programa da aplicação contenha uma instrução add-on de segurança que esteja travada com uma assinatura da instrução, você também deve comparar a instrução de assinatura, a data/hora e a assinatura da instrução de segurança com os valores registrados quando a instrução add-on foi lacrada.

Consulte Apêndice B, Instruções add-on de segurança para informações sobre a criação e uso das Instruções Add-On de segurança em aplicações SIL 3.

As etapas abaixo ilustram um método de confirmação do projeto:

1. Com o controlador no modo de programa, salve o projeto.

2. Responda ‘Sim’ no prompt Carregar valores de tag.

3. Com a aplicação Logix Designer off-line, salve o projeto com um novo nome, como Offlineprojectname.ACD, onde projectname é o nome de seu projeto.

Este é o novo arquivo de projeto mestre testado.

4. Feche o projeto.

5. Remova o arquivo do projeto original do diretório atual.É possível excluir este arquivo ou armazená-lo em um local de arquivamento. Essa etapa é necessária porque, se a aplicação Logix Designer encontrar o projectname.ACD neste diretório, ela irá correlacioná-lo ao projeto do controlador e não realizará o carregamento real.

6. Com o controlador ainda no modo de programa, carregue o projeto do controlador.

7. Salve o projeto carregado como ‘Onlineprojectname.ACD’, onde projectname é o nome do projeto.

8. Responda ‘Sim’ no prompt Carregar valores de tag.

9. Use o utilitário Logix Designer Program Compare para fazer estas comparações:• Compare todas as propriedades do controlador GuardLogix e dos

dispositivos de E/S CIP Safety.• Compare todas as propriedades da tarefa de segurança, programas de

segurança e rotinas de segurança.• Compare toda a lógica nas rotinas de segurança.



Validação da segurança

Uma revisão independente, feita por terceiros, do sistema de segurança pode ser necessária para que o sistema seja considerado aprovado para operação. Uma certificação de terceiros independente é solicitada para a IEC 61508 SIL 3.

Travamento do controlador GuardLogix

O sistema do controlador GuardLogix pode estar com travamento de segurança para ajudar a proteger os componentes do controle de segurança contra modificação. Entretanto, o travamento de segurança para o controlador não é um requisito para as aplicações SIL 3. A função de travamento de segurança é aplicada apenas aos componentes de segurança tais como, tarefa de segurança, programas de segurança, rotinas de segurança, tags de segurança, instruções add-on de segurança, E/S de segurança e assinatura de tarefa de segurança. No entanto, sozinho, o recurso de travamento para segurança não satisfaz aos requisitos do SIL 3.

Nenhum aspecto de segurança pode ser modificado enquanto o controlador estiver no estado travado para segurança. Quando o controlador está nesse estado, as seguintes ações não são permitidas na Tarefa de Segurança:

• Programação ou edição on-line ou off-line• Forçando a E/S de Segurança• Manipulação de dados (exceto através da lógica da rotina ou de outro

controlador GuardLogix)• Criação ou edição das instruções add-on de segurança• Criação ou exclusão da assinatura da tarefa de segurança

O estado padrão do controlador está sem o travamento de segurança. Você pode colocar a aplicação de segurança em um estado de travamento de segurança independentemente de o controlador estar on-line ou off-line e independentemente de você ter a fonte original do programa. No entanto, nenhuma regra ou edição de segurança on-line pode estar presente. Os status de com ou sem travamento de segurança não pode ser modificado quando a chave seletora está na posição RUN.

Para fornecer uma camada de proteção adicional, senhas separadas podem ser usadas para travá-lo ou destravar a segurança do controlador. As senhas são opcionais.



Download do programa aplicativo de segurança

Após o download, é necessário fazer um teste na aplicação, a menos que exista uma assinatura da tarefa de segurança.

Os downloads para um controlador GuardLogix com travamento de segurança são permitidos somente se a assinatura da tarefa de segurança, a série de hardware e a versão do sistema operacional do projeto off-line coincidirem com os contidos no controlador GuardLogix alvo e se o status da tarefa de segurança do controlador estiver OK.

Upload do programa de segurança da aplicação

Se o controlador GuardLogix contiver uma assinatura de tarefa de segurança, se fará upload da assinatura será com o projeto. Isso significa que as mudanças nos dados de segurança off-line serão sobrescritas como resultado do upload.

Edição on-line Se não houver assinatura de tarefa de segurança e o controlador estiver com travamento de segurança, você poderá executar edições on-line em suas rotinas de segurança.

Não podem haver edições pendentes quando o controlador estiver com travamento de segurança ou quando houver uma assinatura de tarefa de segurança. Edições on-line poderão existir quando o controlador estiver travado para segurança. No entanto, elas não poderão ser montadas ou canceladas.

Consulte na página 59 para obter mais informações sobre como fazer edições no programa da aplicação.

IMPORTANTE Para verificar a integridade de cada download, deve-se registrar manualmente a assinatura da tarefa de segurança após a criação inicial e verificar a assinatura da tarefa de segurança após cada download para garantir que corresponda à original.

IMPORTANTE Se a assinatura da tarefa de segurança não corresponder e o controlador estiver com travamento de segurança, você deverá desbloquear o controlador para fazer download dele. Neste caso, o download para o controlador apaga a assinatura da tarefa de segurança. Como resultado, você deverá validar novamente a aplicação.

ATENÇÃO: A porta USB destina-se apenas a fins de programação local temporária e não para conexão permanente.

DICA Não é possível editar as instruções add-on de segurança ou padrão on-line.

DICA As edições on-line em rotinas padrão não são afetadas pelo estado travado ou não travado de segurança.



Armazenamento e carregamento de um projeto de memória não volátil

Os controladores GuardLogix 5570 suportam atualizações de firmware e armazenamento de programa do usuário e recuperação pelo uso de um cartão de memória. Em um sistema GuardLogix, apenas o controlador primário usa um cartão para a memória não volátil.

Durante o armazenamento de um projeto de segurança em um cartão de memória, a Rockwell Automation recomenda que você selecione Remote Program como o modo de carregamento, ou seja, o modo em que o controlador deve entrar após a carga. Antes da operação real da máquina, é necessário a intervenção do operador para ligar a máquina.

Só é possível iniciar a carga a partir de uma memória não volátil sob estas condições:

• Se o tipo de controlador especificado pelo projeto armazenado na memória não volátil corresponder ao tipo de controlador

• Se as revisões principais e secundárias do projeto na memória não volátil combinam com as revisões principais e secundárias do seu controlador

• Se o controlador não estiver no modo de operação

Carregar um projeto em um controlador com travamento de segurança só é permitido quando a assinatura da tarefa de segurança armazenada no projeto na memória não volátil corresponder ao projeto no controlador. Se as assinaturas não corresponderem ou se o controlador estiver com travamento de segurança sem uma assinatura de tarefa de segurança, será preciso primeiro destravar o controlador antes de tentar atualizar o controlador usando a memória não volátil.

Force de dados Todos os dados contidos em um tag de segurança consumido ou produzido de E/S, incluindo CONNECTION_STATUS, podem ser forçados enquanto o projeto estiver sem o travamento de segurança e não houver assinatura da tarefa de segurança. No entanto, os forces devem ser desinstalados, não apenas desabilitados, em todos os tags de segurança para que o projeto de segurança possa ficar com travamento de segurança ou uma assinatura de segurança possa ser gerada. Você não pode forçar tags de segurança enquanto o projeto estiver como travamento de segurança ou quando houver uma assinatura da tarefa de segurança.

Inibição de um dispositivo Você não pode inibir ou desinibir os dispositivos de CIP Safety ou controladores produtores se o programa aplicativo estiver com travamento de segurança ou se existir uma assinatura da tarefa de segurança.

Siga estas etapas para inibir um dispositivo de E/S de segurança.

IMPORTANTE Se você destravar o controlador e iniciar uma carga de uma memória não volátil, o estado do travamento de segurança, as senhas e a assinatura da tarefa de segurança utilizarão os valores contidos na memória não volátil quando o carregamento for concluído.

DICA Você pode instalar e desinstalar regras em tags padrão independentemente do estado travado ou não travado para segurança.



1. Na aplicação Logix Designer, clique com o botão direito no dispositivo e escolha Properties.

2. Na caixa de diálogo Module Properties, selecione a guia Connection.

3. Marque Inhibit Connection e clique em Apply.

O dispositivo é inibido sempre que a caixa de verificação estiver marcada. Se um dispositivo de comunicação for inibido, todos os dispositivos a jusante também serão inibidos.

Editando sua aplicação de segurança

As regras a seguir aplicam-se à alteração do programa aplicativo de segurança na aplicação Logix Designer:

• Apenas pessoal autorizado e treinado pode editar o programa. Essas pessoas devem usar métodos de supervisão disponíveis, por exemplo, usar a chave seletora do controlador e proteções de senha no software.

• Quando pessoal especialmente treinado e autorizado faz edições no programa, eles assumirão a responsabilidade da segurança central enquanto as alterações estiverem em andamento. Esse pessoal também deve manter a operação segura do aplicativo.

• Quando estiver editando on-line, você deverá usar um mecanismo de proteção alternativo para manter a segurança do sistema.

• Você deve documentar todas as edições no programa suficientemente, incluindo o seguinte:– Autorização– Análise de impacto– Execução– Informações de teste– Informações de revisão

• Se as edições on-line existirem apenas nas rotinas padrão, essas edições não precisarão ser validadas antes de retornarem à operação normal.

• Você deve garantir que as alterações na rotina-padrão, relacionadas à temporização e ao mapeamento de tags, sejam aceitas para a sua aplicação de segurança.

• Você pode editar a parte lógica do programa enquanto estiver on-line ou off-line, conforme descrito nas próximas seções.



Realização de edições off-line

Quando as edições off-line são feitas apenas em elementos do programa padrão e a assinatura de segurança encontra correspondência logo após um descarregamento, você pode reiniciar a operação.

Quando edições off-line afetam o programa de segurança, devem-se revalidar todos os elementos afetados da aplicação, conforme determinado pela análise de impacto, antes de retornar à aplicação.

O fluxograma na página 61 ilustra o processo da edição off-line.

Realização de edições on-line

Se edições off-line afetam o programa de segurança, devem-se revalidar todos os elementos afetados da aplicação, conforme determinado pela análise de impacto, antes de retornar à aplicação. O fluxograma na página 61 ilustra o processo da edição on-line.

As edições on-line são afetadas pelos recursos de travamento de segurança e de assinatura de tarefa de segurança do controlador GuardLogix.

Consulte Geração da assinatura da tarefa de segurança na página 53 e Travamento do controlador GuardLogix na página 56 para obter mais informações.

Para obter informações detalhadas sobre como editar a lógica ladder na aplicação Logix Designer enquanto estiver on-line, consulte Início rápido dos controladores Logix5000, publicação 1756-QS001.

Teste de impacto de modificação

Qualquer modificação, aprimoramento ou adaptação do seu software validado deve ser planejada e analisada para qualquer impacto ao sistema de segurança funcional. Todas as fases apropriadas do ciclo de vida de segurança do software precisam ser realizadas conforme indicado pela análise de impacto. No mínimo, deve ser feito o teste funcional de todo o software com impacto. Todas as modificações às especificações do seu software devem ser documentadas. Os resultados de testes devem também ser documentados. Consulte IEC 61508-3, Seção 7.8 Modificação de software, para informações detalhadas.

DICA Limite as edições on-line a modificações pequenas no programa, como mudanças no ponto de definição ou pequenas adições de lógica, exclusões e modificações na lógica.


http://literature.rockwellautomation.com/idc/groups/literature/documents/qs/1756-qs001_-en-p.pdf


Figura 16 – Processo de edição on-line e off-line

Gere a assinatura da tarefa de segurança

Confirme o projeto

Registre a assinatura de aplicação de segurança

Teste de impacto de modificação

Validação de Segurança (Revisão Independente)

Trave o controlador

Faça as modificaçõesnecessárias

Apague a assinaturade aplicação de segurança

Passaramnos testes?

Projetovalidado?

Não

Sim

Não

Sim

Edição On-line

Anexe ao controlador


Faça as modificações desejadas na lógica

padrão

Alguma alteração de segurança?

Sim

Não


Faça as Modificações Desejadas

Edição off-line

Abra o projeto

Alguma alteração de segurança?

Sim

Não


Faça as Modificações Desejadas na Lógica de

Segurança


Faça as modificações desejadas na lógica

padrão


Destrave o controlador

Destrave o controlador

FIM

FIM

FIM



Confirme o projeto



Observações:


Capítulo 7

Monitoração de status e manuseio de falhas

A arquitetura GuardLogix fornece a você várias maneiras de detectar e reagir contra falhas no sistema. A primeira maneira que você pode manusear as falhas é garantir que preencheu as listas de verificação de sua aplicação (consulte o Apêndice D).

Monitoração do status do sistema

Pode-se visualizar o status de conexões de tag de segurança. Você também pode determinar o status operacional interrogando vários objetos de dispositivo. É sua responsabilidade determinar quais dados são mais apropriados para iniciar uma sequência de encerramento.

Dados CONNECTION_STATUS

O primeiro membro da estrutura de tag associado aos dados de entrada de segurança e aos dados de tag de segurança produzidos/consumidos contém o status da conexão. Esse membro é um tipo de dados predefinido chamado CONNECTION_STATUS.

Figura 17 – Caixa de diálogo de tipo de dados

Tópico Página

Monitoração do status do sistema 63

Falhas do sistema GuardLogix 66


Capítulo 7 Monitoração de status e manuseio de falhas

Os dois primeiros bits do tipo de dados CONNECTION_STATUS contêm bits de status de dispositivo RunMode e ConnectionFaulted. A tabela a seguir descreve as combinações dos estados RunMode e ConnectionFaulted.

Diagnósticos de entrada e saída

Os módulos Guard I/O fornecem teste de pulsos e recursos de monitoração. Se o módulo detecta uma falha, ele define a entrada ou saída com problema como estado de segurança e reporta a falha ao controlador. A indicação de falha é feita através do status da entrada ou da saída e é mantida por um período configurável após a reparação da falha.

Status da conexão do dispositivo de E/S

O protocolo CIP Safety fornece o status para cada dispositivo de E/S no sistema de segurança. Se uma falha da conexão de entrada é detectada, o sistema operacional define todas as entradas do dispositivo como estado desenergizado (de segurança) e o status da entrada associada como falha. Se uma falha de conexão de saída for detectada, o sistema operacional define o status da saída associada como falha. O dispositivo de saída desenergiza as saídas.

Tabela 8 – Status da conexão de segurança

Status RunMode

Status ConnectionFaulted Operação de conexão de segurança

1 = Execução 0 = Válido Os dados estão sendo controlados ativamente pelo dispositivo de produção. O dispositivo de produção está no modo Run.

0 = Inativo 0 = Válido A conexão está ativa e o dispositivo de produção está no estado inativo. Os dados de segurança são redefinidos como zero.

0 = Inativo 1 = Com Falha A conexão de segurança contém falhas. O estado do dispositivo de produção é desconhecido. Os dados de segurança são redefinidos como zero.

1 1 Estado inválido.

ATENÇÃO: As conexões de E/S de segurança e as conexões produzidas/consumidas não podem ser configuradas automaticamente para falhar o controlador se uma conexão for perdida e se o sistema transicionar para o estado seguro. Por isso, se precisar detectar uma falha no dispositivo para garantir que o sistema mantenha o SIL 3, devem-se monitorar os bits CONNECTION_STATUS de E/S de segurança e iniciar a falha através da lógica do programa.

IMPORTANTE Você é responsável por fornecer a lógica da aplicação para travar estas falhas de E/S e certificar-se de que o sistema é reiniciado adequadamente.

IMPORTANTE Você é responsável por fornecer a lógica da aplicação para travar estas falhas de E/S e certificar-se de que o sistema é reiniciado adequadamente.


Monitoração de status e manuseio de falhas Capítulo 7

Sistema desenergizar para desarmar

Os controladores GuardLogix são parte de um sistema “desenergizar para desarmar”, o que significa que zero é o estado seguro. Algumas, mas não todas, falhas do dispositivo de E/S de segurança fazem com que todas as entradas ou saídas de dispositivos sejam configuradas para zero (estado seguro). As falhas associadas a um canal de entrada específico fazem com que aquele canal específico seja configurado para zero; por exemplo, uma falha de teste de pulso que seja específica para o canal 0 faz com que os dados de entrada do canal 0 sejam configurados para o estado seguro (0). Se a falha for geral para o dispositivo e não para um canal específico, o bit de status combinado exibe o status de falha e todos os dados do dispositivo são configurados para o estado seguro (0).

Para informações sobre como usar as instruções de aplicação de segurança GuardLogix, consulte Apêndice F deste manual e o Manual de referência de segurança e instruções de aplicação GuardLogix, publicação 1756-RM095.

Instruções GSV e SSV

As instruções GSV e SSV permitem que você obtenha (GSV) e defina (SSV) dados do sistema do controlador armazenados em objetos de dispositivo. Quando você insere uma instrução GSV/SSV, o software de programação exibe as classes de objeto válidas, os nomes de objeto e os nomes de atributo para cada instrução. Há restrições em relação ao uso das instruções GSV e SSV com componentes de segurança.

Para mais informações sobre que atributos de segurança estão acessíveis através das instruções GSV e SSV, consulte o Manual do usuário dos controladores GuardLogix 5570, publicação 1756-UM022.

Para informações gerais sobre o uso de instruções GSV e SSV, consulte o Manual de referência de instruções gerais dos controladores Logix5000, publicação 1756-RM003.

IMPORTANTE A Tarefa de Segurança não pode executar uma operação GSV ou SSV nos atributos padrão.Os atributos dos objetos de segurança que podem ser gravados pela tarefa padrão são apenas para finalidades de diagnóstico. Eles não afetam a execução da Tarefa de Segurança.






Falhas do sistema GuardLogix

Há três categorias de falhas no sistema GuardLogix:• Falhas não recuperáveis do controlador• Falhas de segurança irrecuperáveis• Falhas recuperáveis

Para informações sobre as falhas de manuseio, consulte o Manual do usuário dos controladores GuardLogix 5570, publicação 1756-UM022.

Falhas não recuperáveis do controlador

Uma falha do controlador irrecuperável ocorre se o diagnóstico interno do controlador falhar. A associação é perdida quando uma falha não recuperável do controlador ocorre no controlador principal ou no parceiro de segurança, fazendo com que o outro gere uma falha de tempo-limite de watchdog não recuperável. A execução da tarefa padrão e da Tarefa de Segurança é encerrada e a E/S de segurança é transicionada para o estado seguro.

A recuperação de uma falha do controlador não recuperável requer o download do programa aplicativo.

Falhas de segurança irrecuperáveis

Se houver uma falha de segurança não recuperável, o controlador registra a falha no manipulador de falhas com escopo de controlador e encerra a Tarefa de Segurança, incluindo a E/S e a lógica de segurança.

Para se recuperar de uma falha de segurança irrecuperável, a memória de segurança é inicializada novamente na assinatura da tarefa de segurança (acontece automaticamente quando você remove a falha) ou, se não houver assinatura de tarefa de segurança, através de um download explícito do projeto de segurança.

Você pode cancelar a falha de segurança apagando a entrada do log de falhas através do manipulador de falhas de segurança com escopo de controlador. Isso permite que as tarefas padrão continuem a ser executadas.

ATENÇÃO: O cancelamento da falha de segurança não a apaga! Se você cancelar a falha de segurança, é sua responsabilidade provar que, mesmo assim, consegue manter o SIL 3.



Monitoração de status e manuseio de falhas Capítulo 7

Falhas recuperáveis

As falhas do controlador causadas por erros de programação do usuário em um programa de segurança disparam o controlador para processar a lógica contida no manipulador de falhas do programa de segurança. O manipulador de falhas do programa de segurança fornece ao aplicativo a oportunidade de resolver a condição de falha e se recuperar.

Quando um manipulador de falhas do programa de segurança não existir ou a falha não for recuperada por ele, o controlador processará a lógica no manipulador de falhas com escopo do controlador, terminando a execução da lógica do programa de segurança e deixando as conexões de E/S ativas, mas ociosas.

Se a lógica do usuário for terminada como resultado de uma falha recuperável que não é recuperada, as saídas de segurança são colocadas no estado seguro e o produtor dos tags consumidos de segurança ordena aos consumidores que os coloquem em um estado seguro.

Se uma falha de segurança recuperável é cancelada no manipulador de falhas com escopo de controlador, apenas as tarefas padrão são mantidas em execução. Se a falha não for cancelada, as tarefas padrão também serão encerradas.

ATENÇÃO: Você deve fornecer prova para o órgão de certificação que a recuperação automática contra falhas recuperáveis mantém o SIL 3.

IMPORTANTE Quando a execução de uma lógica do programa de segurança for terminada devido a uma falha recuperável não manipulada pelo manipulador de falhas do programa de segurança, as conexões de E/S de segurança serão fechadas e reabertas para uma nova inicialização das conexões de segurança.

DICA Quando usar uma E/S de segurança para aplicações padrão, a E/S de segurança será comandada ao estado seguro se a lógica do usuário for determinada como um resultado de uma falha recuperável que não é recuperada.

ATENÇÃO: O cancelamento da falha de segurança não a apaga! Se você cancelar a falha de segurança, é sua responsabilidade provar que, mesmo assim, consegue manter o SIL 3.



Observações:


Apêndice A

Instruções de segurança

Para mais informações, consulte nossa certificação de segurança em http://www.rockwellautomation.com/products/certification/safety/.

Tabela 9 e Tabela 10 listam as instruções de aplicações de segurança que são certificadas para uso em aplicações SIL 3.

Tabela 9 – Instruções gerais de aplicação de segurança

Mnemônico Nome Finalidade Certificação

CROUT Saída redundante configurável Controla e monitora saídas redundantes. • BG• TÜV

DCA Entrada de canal duplo – Analógica (versão de número inteiro)

Monitora dois valores analógicos para desvio e tolerância de faixa.

TÜV

DCAF Entrada de canal duplo – Analógica (versão de ponto flutuante)

DCS Entrada de canal duplo – Parada Monitora os dispositivos de segurança de entrada dupla, cuja principal finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch.

• BG• TÜV

DCST Entrada de canal duplo – Parada com teste

Monitora os dispositivos de segurança de entrada dupla, cuja principal finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch. Inclui a capacidade adicional de iniciar uma função de teste no dispositivo de parada.

• BG• TÜV

DCSTL Entrada de canal duplo – Parada com teste e trava

Monitora os dispositivos de segurança de entrada dupla, cuja principal finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch. Inclui a capacidade adicional de iniciar uma função de teste no dispositivo de parada. Ela pode monitorar um sinal de realimentação de um dispositivo de segurança e emitir uma solicitação de travamento para um dispositivo de segurança.

• BG• TÜV

DCSTM Entrada de canal duplo – Parada com teste e muting.

Monitora os dispositivos de segurança de entrada dupla, cuja principal finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch. Inclui a capacidade adicional de iniciar um teste funcional do dispositivo de parada e a habilidade de colocar em muting o dispositivo de segurança.

TÜV

DCM Entrada de canal duplo – Monitoração

Monitora os dispositivos de entrada dupla. • BG• TÜV

DCSRT Entrada de canal duplo – Partida Energiza os dispositivos de segurança, cuja função principal é dar a partida no equipamento de forma segura, por exemplo, uma habilitação pendente.

• BG• TÜV

SMAT Tapete de segurança Indica se o tapete de segurança está ocupado. TÜV

THRSe Estação de operação bimanual – Avançada

Monitora duas entradas de segurança diferentes, uma de um botão pulsador direito e uma de um botão pulsador esquerdo, para controlar uma saída simples. Recursos configuráveis de tempo de discrepância canal a canal e capacidade aprimorada para o bypass de uma operação de estação bimanual.

• BG• TÜV

TSAM Sensor duplo de muting assimétrico

Desabilita a função de proteção de uma cortina de luz automática e temporariamente, usando dois sensores de muting que são organizados assimetricamente.

TÜV

TSSM Sensor duplo de muting simétrico Desabilita a função de proteção de uma cortina de luz automática e temporariamente, usando dois sensores de muting que são organizados simetricamente.

TÜV

FSBM Sensor quádruplo bidirecional de muting

Desabilita a função de proteção de uma cortina de luz automática e temporariamente, usando quatro sensores de muting que são organizadas de forma sequencial antes e depois do campo de detecção da cortina de luz.

TÜV



Apêndice A Instruções de segurança

Rotinas na tarefa de segurança podem usar essas instruções de segurança de lógica ladder.

Tabela 10 – Instruções de aplicação de segurança de conformação de metal

Mnemônico Nome Finalidade Certificação

CBCM Modo Contínuo de Freio de Embreagem

Usado para aplicações de prensa onde se deseja a operação contínua. • BG• TÜV

CBIM Modo de avanço lento de Freio de Embreagem

Usado para aplicações de prensa onde pequenos ajustes ao dispositivo corrediço são necessários, bem como a configuração da prensa.

• BG• TÜV

CBSSM Modo de Alimentação Simples do Freio da Embreagem

Usado em aplicações de prensa de ciclo-simples. • BG• TÜV

CPM Monitorar a Posição Virabrequim. Usado para determinar a posição do dispositivo corrediço da prensa. • BG• TÜV

CSM Monitorar Eixo de cames Monitora o movimento de partida, parada e execução na operação de um eixo de cames. • BG• TÜV

EPMS Modo Seletor de 8 Posições Monitora oito entradas de segurança para controlar uma das oito saídas que corresponde à entrada ativa.

• BG• TÜV

AVC Controle de Válvula Auxiliar Controla uma válvula auxiliar que é usada com uma válvula principal. TÜV

MVC Controle de Válvula Principal Controla e monitora uma válvula principal. • BG• TÜV

MMVC Controle de Manutenção de Válvula Manual

Usado para impulsionar manualmente uma válvula durante operações de manutenção. • BG• TÜV

Tabela 11 – Instruções de segurança da lógica ladder

Tipo Mnemônico Nome Finalidade

Vetor (Arquivo)

FAL(1) Aritmética e lógica do arquivo

Realize operações de cópia, aritmética, lógica e função em dados armazenados em um vetor

FLL(1) Preencher arquivo Preencha o elemento de um vetor com o Valor de Saída, enquanto deixa o valor de saída sem modificação

FSC(1) Pesquisa e comparação de arquivo

Compare o valor em um vetor, elemento por elemento

DIMENSÕES(1) Dimensões em elementos Encontre o tamanho de uma dimensão no vetor

Bit

XIC Verifique se estiver Fechada Habilitar saídas quando um bit estiver configurado

XIO Verifique se estiver Aberta Habilitar saídas quando um bit for apagado

OTE Energizar Saída Habilitar um bit

OTL Energizar saída com retenção

Habilitar um bit (retenção)

OTU Desenergizador de saída com retenção

Apagar bit (retenção)

ONS Monoestável Acionar um evento para que ocorra uma vez

OSR Monoestável Ascendente Acionar um evento para que ocorra uma vez no momento falso para verdadeiro (crescente) da alteração de estado

OSF Monoestável Descendente Acionar um evento para que ocorra uma vez no momento verdadeiro para falso (decrescente) da alteração de estado

Temporizador

TON Temporizador de energização

Por quanto tempo o temporizador é habilitado

TOF Temporizador de desenergização

Por quanto tempo o temporizador é desabilitado

RTO Temporizador retentivo ligado

Tempo acumulado

CTU Contagem progressiva Contagem progressiva

CTD Contagem regressiva Contagem regressiva

RES Reinicializar Reinicializar um temporizador ou contador


Instruções de segurança Apêndice A

Comparação

CMP(1)(2) Comparação Fazer uma comparação das operações aritméticas que você especificar na expressão

EQU Corresponde a Testar se dois valores são iguais

GEQ Maior ou Igual a Testar se um valor é maior do que ou igual a um segundo valor

GRT Maior que Testar se um valor é maior que um segundo valor

LEQ Menor ou Igual a Testar se um valor é menor que ou igual a um segundo valor

LES Menor que Testar se um valor é menor que um segundo valor

MEQ Comparação Mascarada para Igualdade

Passar a origem e comparar valores por meio de uma máscara e testar se eles são iguais

NEQ Não é Igual a Testar se um valor é diferente de um segundo valor

LIM Teste de Limite Testar se um valor está em uma faixa especificada

Mover

CLR Apagar Apagar um valor

COP(3) Copiar Copiar um valor

MOV Mover Copiar um valor

MVM Mover mascarado Copiar uma parte específica de um número inteiro

SWPB(1) Swap Byte Reorganizar os bytes de um valor

Lógica

AND Bitwise AND Executar a operação AND bit a bit

NOT Bitwise NOT Executar a operação NOT bit a bit

OR Bitwise OR Executar a operação OR bit a bit

XOR Bitwise Exclusive OR Executar a operação OR exclusiva bit a bit

Controle de Programa

JMP Saltar para registro Pular uma seção de lógica que nem sempre precisa ser executada (pula para a instrução da etiqueta mencionada)

LBL Etiqueta Rotular uma instrução para que ela possa ser mencionada por uma instrução JMP

JSR Saltar para sub-rotina Pular para uma rotina separada

RET Retorno Retornar os resultados de uma sub-rotina

SBR Sub-rotina Passar dados para uma sub-rotina

TND Fim Temporário Marcar um fim temporário que encerre a execução da rotina

MCR Reset de Controle Mestre Desabilitar todas as linhas em uma seção de lógica

AFI Instrução Sempre Falsa Desabilitar uma linha

NOP Sem Operação Inserir um espaço reservado na lógica

EVENTO Disparar a tarefa do evento Disparar uma execução de uma tarefa de evento(5)

Matemática/Computação

ADICIONAR Adicionar Somar dois valores

CPT(1) Computar Realizar a operação aritmética definida na expressão

SUB Subtrair Subtrair dois valores

MUL Multiplicar Multiplicar dois valores

DIV Dividir Dividir dois valores

MOD Módulo Determinar o restante depois que um valor for dividido por um segundo valor

SQR Raiz Quadrada Calcular a raiz quadrada de um valor

NEG Negar Pegar o sinal oposto de um valor

ABS Valor Absoluto Pegar o valor absoluto de um valor

E/SGSV(4) Obter valor do sistema Obter informações de status do controlador

SSV(4) Configurar valor do sistema Configurar informações de status do controlador

(1) Suportado apenas em controladores 1756-L7xS e 1756-L7xSXT. Para o tipo de dados REAL, um formato de ponto flutuante é suportado para rotinas de segurança em controladores 1756-L7xS e 1756-L7xSXT.

(2) Operandos avançados como SIN, COS e TAN não são suportados em rotinas de segurança.(3) O operando de comprimento deve ser uma constante quando a instrução COP for usada em uma rotina de segurança. Os comprimentos da origem e do destino devem ser os mesmos.(4) Consulte o GuardLogix 5570 Controllers User Manual, publicação 1756-UM022, para considerações especiais quando usar as instruções GSV e SSV.(5) A instrução de evento disparar uma varredura da tarefa padrão.

Tabela 11 – Instruções de segurança da lógica ladder

Tipo Mnemônico Nome Finalidade



Apêndice A Instruções de segurança

Consulte essas publicações para mais informações.

IMPORTANTE Se estiver usando Motion Direct Commands com um servo-drive Kinetix 5500, consulte o Kinetix 5500 Servo Drives User Manual, publicação 2198-UM001, para informações sobre como usar esse recurso em aplicações de segurança.

Tabela 12 – Recursos adicionais

Recurso Descrição

GuardLogix Safety Application Instruction Set Reference Manual, publicação 1756-RM095

Fornece mais informações sobre as instruções da aplicação de segurança

Logix5000 Controllers General Instructions Reference Manual, publicação 1756-RM003

Contém informações detalhadas sobre o conjunto de instruções Logix





Apêndice B

Instruções add-on de segurança

Com a aplicação Logix Designer, podem-se criar Instruções Add-On de segurança. As instruções de segurança add-on permitem que você sintetize a lógica de segurança geralmente usada em uma única instrução, transformando-a em modular e mais fácil de ser reutilizada.

As instruções add-on de segurança usam a assinatura de instrução de alta integridade de instruções add-on e também uma assinatura de instrução de segurança SIL 3 para uso em funções relacionadas à segurança até SIL 3 inclusive.

Criar e usar uma instrução add-on de segurança

O fluxograma na página 74 mostra as etapas necessárias para criar uma instrução add-on de segurança e usá-la em um programa de aplicação de segurança SIL 3. Os itens sombreados são etapas únicas para as instruções add-on. Os itens em negrito estão explicados nas próximas seções do fluxograma.

Tópico Página

Criar e usar uma instrução add-on de segurança 73

Recursos adicionais 78


Apêndice B Instruções add-on de segurança

Figura 18 – Fluxograma para criação e uso de instruções add-on de segurança

Criar um projeto de teste de instrução add-on

Sim

Gerar assinatura de instrução

Criar instrução add-on de segurança

Criar/modificar programa de teste

Fazer download(Gerar assinatura de instrução

de segurança)

Alterar modo de operação

Fazer teste de qualificação de instrução Add-On SIL 3

Todos os testes passaram?

Registrar Assinatura de Instrução, Data/Hora e Assinatura de Instrução de Segurança

Exportar instrução add-on de segurança

Instrução add-on de segurança disponível para uso

Modificar instrução add-on de segurança

Excluir assinatura de instrução

Ficar off-line

Excluir a assinatura de tarefa de segurança, caso exista

Retornar para o projeto de teste original

Criar uma instrução add-on de segurança

Criar ou abrir um projeto

Criar/modificar aplicação

Importar instrução add-on de segurança

Fazer download

Usar uma instrução add-on de segurança

Verificar assinaturas de instrução add-on de segurança

Instrução de assinatura válida?

Criar assinatura de tarefa de segurança


Confirmar projeto

Alterar modo para programa

Alterar modo de operação


Todos os testes passaram?

Registrar a assinatura de tarefa de segurança

Projeto validado de segurança

Projeto validado?

Sim

Não

Concluído

Fazer as modificações necessárias

Excluir a assinatura de tarefa de segurança

Mudanças para a instrução add-on

são necessárias?

SimSim

Não

Não

Não

Não

Sim

Modificar uma instrução add-on de segurança

(off-line)

Retornar para o projeto de teste original

Não

Sim

Assinaturade instrução de segurança

válida?

Validar segurança de instrução add-on

Criar entrada de histórico de assinatura(off-line)

Confirmar projeto


Instruções add-on de segurança Apêndice B

Criar um projeto de teste de instrução add-on

Você deve criar um único teste de projeto, especificamente para criar e testar a instrução add-on de segurança. Esse projeto deve ser separado e específico para minimizar consequências inesperadas.

Siga as orientações para projetos descritas em Criação do projeto na página 53.

Criar uma instrução add-on de segurança

Para obter orientações sobre como criar instruções add-on, consulte o Logix5000 Controllers Add-On Instruction Programming Manual, publicação 1756-PM010.

Gerar assinatura de instrução

A assinatura da instrução permite que você determine rapidamente se a instrução foi alterada. Cada instrução add-on pode ter sua própria assinatura. A assinatura de instrução é solicitada quando uma instrução add-on for usada em funções relacionadas à segurança e, algumas vezes, podem ser solicitadas para indústrias regulamentadas. Use-a quando sua aplicação precisar de um nível mais alto de integridade.

A assinatura de instrução consiste em um número ID e um registro de data e hora que identifica o conteúdo da instrução add-on em um tempo determinado.

Uma vez gerada, a assinatura de instrução trava a instrução add-on que evita que ela seja editada enquanto a assinatura estiver acionada. Essa restrição inclui comentários de linha, descrições de tag e qualquer documentação de instrução que seja criada. Quando a instrução está travada, você pode realizar apenas estas ações:

• Copiar a assinatura de instrução• Criar ou copiar uma entrada de histórico de assinatura• Criar exemplos de Instrução Add-On• Baixar a instrução• Remover a assinatura de instrução• Imprimir relatórios




Quando uma assinatura de instrução é gerada, a aplicação Logix Designer exibe a definição da instrução com o ícone do selo.

Download e gerar a assinatura de instrução de segurança

Quando se faz download de uma Instrução Add-On de segurança travada pela primeira vez, uma assinatura de instrução de segurança SIL 3 é gerada automatica-mente. A assinatura da instrução de segurança é um número de ID que identifica as características de execução da Instrução Add-On de segurança.

Teste de qualificação de instrução Add-On SIL 3

O teste da Instrução Add-On de Segurança SIL 3 deve ser feito em uma aplicação dedicada em separado para garantir que influências indesejáveis sejam minimizadas. Você deve acompanhar um teste bem projetado e realizar um teste de unidade de instrução add-on de segurança que exercite todos os caminhos de execução possíveis por meio da lógica, incluindo as faixas válidas e inválidas de todos os parâmetros de entrada.

O desenvolvimento de todas as Instruções Add-On de segurança deve cumprir as “Exigências para teste de módulo de software” IEC 61508, que fornece as exigências detalhadas para o teste de unidade.

Confirmar o projeto

Você deve imprimir ou exibir o projeto e comparar manualmente as configurações de E/S e do controlador de segurança carregadas, os dados de segurança, definições de instrução add-on e a lógica do programa de segurança para garantir que se fez download dos componentes de segurança corretos, e foram testados e retidos no programa aplicativo de segurança.

Consulte Confirmação do projeto na página 55 para uma descrição de um método para confirmar um projeto.

IMPORTANTE Caso pretenda proteger sua instrução add-on usando a função de proteção de fonte na aplicação Logix Designer, você deve habilitar a proteção de fonte antes de gerar a assinatura de instrução.


Instruções add-on de segurança Apêndice B

Instruções Add-On de segurança validada

Uma revisão de terceiros independentes da instrução de segurança add-on pode ser solicitada antes que a instrução seja aprovada para o uso. Uma validação de terceiros independentes é solicitada para a SIL 3 IEC 61508.

Criar uma entrada de histórico de assinatura

O histórico de assinatura fornece um registro para referência futura. Uma entrada de histórico de assinatura consiste na instrução de assinatura, no nome do usuário, o valor do registro de data e hora e uma descrição definida pelo usuário. Até seis entradas de histórico podem ser armazenadas. Você deve estar off-line para criar uma entrada de histórico de assinatura.

Exportar e importar a instrução Add-on de segurança

Quando exportar uma Instrução Add-On de segurança, escolha a opção para incluir todas as Instruções Add-On e os Tipos definidos pelo usuário referenciados no mesmo arquivo para exportação. Ao incluir as Instruções Add-On referenciadas, será mais fácil preservar as assinaturas.

Quando importar Instruções Add-On, considere essas orientações:• Não se pode importar uma Instrução Add-On de segurança para um

projeto padrão.• Não se pode importar uma Instrução Add-On de segurança para um

projeto de segurança que tem trava de segurança ou que tenha uma assinatura de tarefa de segurança.

• Não se pode importar uma Instrução Add-On de segurança enquanto estiver on-line.

• Caso importe uma Instrução Add-On com uma assinatura de instrução para um projeto quando Instruções Add-On ou Tipos Definidos pelo Usuário referenciado não estiverem disponíveis, é preciso remover a assinatura.

Verificar assinaturas de instrução add-on de segurança

Depois de fazer download do projeto de aplicação que contém a instrução add-on de segurança importada, você deve comparar o valor da instrução de assinatura, a data e o registro de data e hora e os valores da assinatura da instrução de segurança com os valores originais que registrou anteriormente para exportar a instrução add-on de segurança. Se forem correspondentes, a Instrução Add-On de segurança é válida e é possível continuar com a validação de sua aplicação.

DICA O relatório de listagem de assinatura na aplicação Logix Designer imprime as instruções de assinatura, o registro de data e hora e a assinatura da instrução de segurança. Para imprimir o relatório, clique com o botão direito do mouse em Add-On Instruction no organizador do controlador e escolha Print>Signature Listing.




Esta etapa consiste em uma combinação de modo de Operação e modo de Programa, edições de programa on-line ou off-line, fazer upload e download, e testes informais que são exigidos para executar a aplicação adequadamente.


Realizar um teste de engenharia da aplicação, incluindo o sistema de segurança.

Consulte Teste de verificação do projeto na página 54 para mais informações sobre as especificações.

Projeto validado de segurança

Uma revisão independente, feita por terceiros, do sistema de segurança pode ser necessária para que o sistema seja considerado aprovado para operação. Uma validação de terceiros independentes é solicitada para a SIL 3 IEC 61508.

Recursos adicionais Para mais informações sobre com usar as instruções add-on, consulte estas publicações.

Recurso Descrição

Logix5000 Controllers Add-On Instructions Programming Manual, publicação 1756-PM010

Fornece informações sobre como planejar, criar, usar, importar e exportar as instruções add-on em aplicações RSLogix 5000

Import/Export Project Components Programming Manual, publicação 1756-PM019

Contém informações detalhadas sobre como importar e exportar os componentes do projeto




Apêndice C

Tempos de reação

Tempo de reação do sistema Para determinar o tempo de reação do sistema de qualquer cadeia de controle, você deve somar os tempos de reação de todos os componentes da cadeia de segurança.

Tempo de Reação do Sistema = Tempo de Reação do Sensor + Tempo de Reação do Sistema Logix + Tempo de Reação do Atuador

Figura 19 – Tempo de reação do sistema

Tempo de reação do sistema Logix

As próximas seções fornecem informações sobre como calcular o Tempo de Reação do Sistema Logix para uma cadeia entrada-lógica-saída simples e para uma aplicação mais complexa que use tags de segurança produzidos/consumidos na cadeia lógica.

Tópico Página

Tempo de reação do sistema 79

Tempo de reação do sistema Logix 79

Tempo de reação do sistema

Tempo de reação do sensor

Tempo de reação da entrada

Tempo de reação da tarefa de segurança

Tempo de reação da saída

Tempo de reação do atuador

Tempo de reação do sistema Logix

Atraso de dispositivo

entrada

Limite de tempo de reação de conexão

de entrada

Período de tarefa de segurança+

Watchdog da tarefa de segurança

Limite de tempo de reação de conexão

de saída

Atraso do dispositivo

de saída


Apêndice C Tempos de reação

Cadeia entrada-lógica-saída simples

Figura 20 – Tempo de reação do pior caso do sistema Logix para entrada simples para lógica para saída

O tempo de reação do sistema Logix para qualquer entrada simples para lógica para cadeia de saída consiste destes cinco componentes:

1. Tempo de reação de dispositivo de entrada de segurança (mais o tempo de atraso de entrada, se aplicável)

2. Limite de tempo de reação de conexão de entrada de segurança(Leia na caixa de diálogo Module Properties na aplicação Logix Designer, este valor é um múltiplo da conexão do módulo de entrada de segurança RPI.)

3. Período da tarefa de segurança mais o tempo de watchdog da tarefa de segurança

4. Limite de tempo de reação de conexão de saída de segurança(Leia na caixa de diálogo Module Properties na aplicação Logix Designer, este valor é um múltiplo do período da tarefa de segurança.)

5. Tempo de reação do dispositivo de saída de segurança

Para ajudá-lo a determinar o tempo de reação da malha de controle determinada, uma planilha do Microsoft Excel está disponível na pasta Tools do DVD de ambiente Studio 5000.

1. Atraso de dispositivo de

entrada de segurança


saída de segurança

2. Limite de tempo de reação de conexão de entrada de segurança

4. Limite de tempo de reação de conexão de saída de segurança

Rede CIP Safety

Mód

ulo de

com

unica

ção

Cont

rolad

or G

uard

Logix

3. Período da tarefa de segurança + Watchdog da tarefa de segurança


Tempos de reação Apêndice C

Cadeia de lógica usando tags de segurança produzidos/consumidos

Figura 21 – Tempo de reação do sistema Logix para a cadeia entrada para a lógica do Controlador A para a lógica do Controlador B para a saída

O tempo de reação do sistema Logix para qualquer cadeia entrada para lógica do controlador A para lógica do controlador B para saída consiste nestes sete componentes:

1. Tempo de reação de dispositivo de entrada de segurança (mais o tempo de atraso de entrada, se aplicável)


3. Período de tarefa de segurança mais o tempo de watchdog da tarefa de segurança para o Controlador A

4. Limite de tempo de reação de conexão de segurança produzida/consumida

5. Período de tarefa de segurança mais o tempo de watchdog da tarefa de segurança para o Controlador B


7. Tempo de reação do dispositivo de saída de segurança

Para ajudá-lo a determinar o tempo de reação da malha de controle determinada, uma planilha do Microsoft Excel está disponível na pasta Tools do DVD de ambiente Studio 5000.


entrada de segurança


saída de segurança



Rede CIP Safety

4. Limite de tempo de reação de conexão de segurança P/C

RedeEthernet

SwitchEtherNet Rede

Ethernet

Rede CIP Safety

Gua

rdLo

gix Co

ntro

lador

A

Mód

ulo D

evice

Net

Mód

ulo E

ther

Net

Mód

ulo D

evice

Net

Mód

ulo Et

herN

et

Gua

rdLo

gix Co

ntro

lador

B





Fatores que afetam o tempo de reação do Logix

Os componentes do tempo de reação do Logix descritos nas seções anteriores podem ser influenciados por vários fatores.

As seguintes seções descrevem como acessar os dados ou configurações para muitos destes fatores.

Acessando configurações do tempo de atraso do módulo de entrada Guard I/O

Para configurar o tempo de atraso do módulo de entrada na aplicação Logix Designer, siga estas etapas.

1. Na árvore de configurações, clique com o botão direito no seu módulo Guard I/O e escolha Properties.

2. Clique na guia Input Configuration.

Tabela 13 – Fatores que afetam o tempo de reação do sistema logix

Estes componentes do tempo de reação São influenciados pelos fatores a seguir

Atraso de dispositivo entrada Tempo de reação do dispositivo de entrada

Configurações de atraso de On-Off e Off-On para cada canal de entrada, se aplicável

Limite de tempo de reação de conexão de entrada de segurança

Configurações do dispositivo de entrada para:• Intervalo do pacote requisitado (RPI)• Multiplicador de tempo-limite• Multiplicador de atraso

A quantidade do tráfego de comunicação da rede

O ambiente EMC do sistema

Período da tarefa de segurança e watchdog da tarefa de segurança

Configuração do Período da Tarefa de Segurança

Configuração do Watchdog da Tarefa de Segurança

O número e o tempo de execução das instruções na Tarefa de Segurança

Quaisquer tarefas de prioridade maior que podem ser antecipar a execução da tarefa de segurança

Limite de tempo de reação de conexão de segurança produzida/consumida

Configurações de tag consumido para:• RPI• Multiplicador de tempo-limite• Multiplicador de atraso



Limite de tempo de reação de conexão de saída Configuração do Período da Tarefa de Segurança

Configuração do dispositivo de saída para:• Multiplicador de tempo-limite• Multiplicador de atraso



Atraso do módulo de saída Tempo de reação do módulo de saída



3. Ajuste o tempo de atraso de entrada conforme necessário para a sua aplicação.

Acesso ao limite de tempo de reação de conexão de segurança de entrada e saída

O limite de tempo de reação de conexão é definido por estes três valores:

Pelo ajuste destes valores, pode-se ajustar o limite de tempo de reação de conexão. Para visualizar ou configurar estes ajustes de parâmetros, siga estas etapas.

1. Na árvore de configurações, clique com o botão direito no seu dispositivo de E/S de segurança e escolha Properties.

2. Clique na guia Safety.

Valor Descrição

Intervalo do pacote requisitado (RPI)

É a frequência com que os pacotes de entrada e saída são colocados no fio (rede).

Multiplicador de tempo-limite O multiplicador de tempo-limite é essencialmente o número de novas tentativas antes do tempo-limite.

Multiplicador de atraso de rede O multiplicador de atraso de rede é responsável por qualquer atraso conhecido na fiação. Quando estes atrasos ocorrem, os tempos-limite podem ser evitados usando este parâmetro.



3. Clique em Advanced para abrir a caixa de diálogo Advanced Connection Reaction Time Limit.

Configurando o período da tarefa de segurança e watchdog

A tarefa de segurança é uma tarefa periódica/temporizada. Você seleciona a prioridade da tarefa e o tempo de watchdog através da caixa de diálogo Task Properties – Safety Task no seu projeto Logix Designer.

Para acessar as configurações do período de tarefa de segurança e tempo de watchdog, clique com o botão direito em Safety Task e escolha Properties.

A prioridade da tarefa de segurança não é uma preocupação de segurança, já que o watchdog da tarefa de segurança monitora se a tarefa é interrompida por uma tarefa de prioridade mais alta.



Acessando dados de tags produzidos/consumidos

Para visualizar ou configurar dados de conexão de tags de segurança, siga estas etapas.

1. Na árvore de configuração, clique com o botão direito em Controller Tags e escolha Edit tags.

2. Em Tag Editor, clique com o botão direito no nome do tag e escolha Edit Properties.

3. Clique em Connection.

4. Clique na guia Safety.



5. Clique em Advanced para visualizar ou editar as configurações atuais.

Consulte GuardLogix 5570 Controllers User Manual, publicação 1756-UM022 para mais informações.






Apêndice D

Listas de verificação para as aplicações de segurança do GuardLogix

As listas de verificação deste apêndice são necessárias para planejar, programar e iniciar uma aplicação GuardLogix certificada para SIL 3. Elas podem ser usadas como guias de planejamento e durante o teste de verificação do projeto. Se usadas como guias de planejamento, as listas de verificação podem ser salvas como um registro do plano.

As listas de verificação incluídas nas próximas páginas fornecem um exemplo de considerações de segurança e não têm intenção de serem uma lista completa de itens a serem verificados. A sua aplicação de segurança específica pode ter especificações de segurança adicionais, para os quais fornecemos espaço nas listas de verificação.

Tópico Página

Lista de verificação para o sistema do controlador GuardLogix 88

Lista de verificação para entradas de segurança 89

Lista de verificação para saídas de segurança 90

Lista de verificação para desenvolver um programa aplicativo de segurança 91

DICA Faça cópias das listas de verificação e guarde estas páginas para o futuro.


Apêndice D Listas de verificação para as aplicações de segurança do GuardLogix

Lista de verificação para o sistema do controlador GuardLogixLista de verificação para o sistema GuardLogix

Empresa

Planta

Definição da função de segurança

Número Especificações do sistemaSatisfeito Comentário

Sim Não

1 Você está usando somente componentes listados em Componentes GuardLogix certificados para SIL 3 na página 16 e no site http://www.rockwellautomation.com/products/certification/safety/, com a versão do firmware correspondente?

2 Você calculou o tempo de resposta de segurança do sistema para cada cadeia de segurança?

3 O tempo de resposta do sistema inclui o tempo do software de watchdog do programa da tarefa de segurança definido pelo usuário (watchdog do software) e o período/taxa da tarefa de segurança?

4 O tempo de resposta do sistema tem uma relação adequada com o tempo de tolerância do processo?

5 Os valores de probabilidade (PFD/PFH) foram calculados de acordo com a configuração do sistema?

6 Você executou todos os testes de verificação projeto adequados?

7 Você determinou a forma como o sistema lidará com as falhas?

8 Cada rede no sistema de segurança possui um SNN exclusivo?

9 Todos os dispositivos CIP Safety estão configurado com o SNN correto?

10 Você gerou uma assinatura tarefa de segurança?

11 Você carregou e registrou a assinatura de tarefa de segurança para comparação futura?

12 Após um download, você verificou se a assinatura da tarefa de segurança no controlador corresponde à assinatura de tarefa de segurança registrada?

13 Você tem um mecanismo alternativo para preservar a integridade da segurança do sistema quando estiver fazendo edições on-line?

14 Você levou em consideração as listas de verificação para usar as entradas e saídas SIL listadas nas páginas 89 e 90?



Listas de verificação para as aplicações de segurança do GuardLogix Apêndice D

Lista de verificação para entradas de segurança

Para programação ou partida, uma lista de verificação individual pode ser preenchida para cada canal de entrada SIL em um sistema. Esse método é a única forma de garantir que os requisitos estão completamente e claramente implementados. Essa lista de verificação também pode ser usada como documentação sobre a conexão de fiação externa para o programa aplicativo.

Lista de verificação para o sistema GuardLogix

Empresa

Planta


Canais de entrada SIL

Número Requisitos do dispositivo de entradaSatisfeito

ComentárioSim Não

1 Você seguiu as instruções de instalação e as precauções de forma a ficar em conformidade com os padrões de segurança aplicáveis?

2 Você executou testes de verificação do projeto no sistema e nos dispositivos?

3 As funções de controle, diagnóstico e de alarme são executadas em sequência na lógica do aplicativo?

4 Você fez upload e comparou a configuração de cada dispositivo com a configuração enviada pela ferramenta de configuração?

5 Os dispositivos conectados estão em conformidade com PLe/Cat. 4 de acordo com ISO 13849-1?(1)

6 Você verificou se as especificações elétricas do sensor e da entrada são compatíveis?

(1) Para obter informações sobre como fazer a fiação no dispositivo de E/S CIP Safety, consulte a documentação do produto para seu dispositivo específico.



Lista de verificação para saídas de segurança

Para programação ou partida, uma lista de verificação de especificações individuais deve ser preenchida para cada canal de saída SIL em um sistema. Esse método é a única forma de garantir que os requisitos estão completamente e claramente implementados. Essa lista de verificação também pode ser usada como documentação sobre a conexão de fiação externa para o programa aplicativo.

Lista de verificação de saída para o sistema GuardLogix

Empresa

Planta


Canais de saída SIL

Número Requisitos do dispositivo de saídaSatisfeito

ComentárioSim Não

1 Você seguiu as instruções de instalação e as precauções de forma a ficar em conformidade com os padrões de segurança aplicáveis?

2 Você executou testes de verificação do projeto nos dispositivos?

3 Você fez upload e comparou a configuração de cada dispositivo com a configuração enviada pela ferramenta de configuração?

4 Você verificou se as saídas do teste não são usadas como saídas de segurança?

5 Os dispositivos conectados estão em conformidade com PLe/Cat. 4 de acordo com ISO 13849-1?(1)

6 Você verificou se as especificações elétricas da saída e do atuador são compatíveis?

(1) Para obter informações sobre como fazer a fiação no dispositivo de E/S de segurança, consulte a documentação do produto para seu dispositivo específico.


Listas de verificação para as aplicações de segurança do GuardLogix Apêndice D

Lista de verificação para desenvolver um programa aplicativo de segurança

Use a próxima lista de verificação para ajudar a manter a segurança ao criar ou modificar um programa aplicativo de segurança.

Lista de verificação para o desenvolvimento do programa aplicativo do GuardLogix

Empresa

Planta

Definição do projeto

Número Especificações do programa aplicativoSatisfeito

ComentárioSim Não

1 Você está usando a versão 21 ou posterior da aplicação Logix Designer, a ferramenta de programação do sistema GuardLogix?

2 As orientações de programação no Capítulo 6 foram seguidas durante a criação do programa aplicativo de segurança?

3 O programa aplicativo de segurança contém lógica ladder?

4 O programa aplicativo de segurança contém apenas as instruções listadas no Apêndice A conforme adequadas para a programação da aplicação de segurança?

5 O programa aplicativo de segurança diferencia claramente os tags de segurança e padrão?

6 Apenas tags de segurança estão sendo usados para rotinas de segurança?

7 Você verificou se as rotinas de segurança não tentam ler ou gravar nos tags padrão?

8 Você verificou se nenhum tag de segurança é chamado como tag padrão e vice-versa?

9 Todos os tags de saída de segurança estão configurados corretamente e conectados a um canal de saída físico?

10 Você verificou se todos os tags mapeados foram condicionados na lógica de aplicação de segurança?

11 Você definiu os parâmetros do processo que são monitorados pelas rotinas de falha?

12 Todas as instruções add-on de segurança estão travadas com uma assinatura de instrução e a assinatura de instrução de segurança está registrada?

13 O programa foi revisado por um editor de segurança independente (se necessário)?

14 A revisão foi documentada e assinada?



Observações:


Apêndice E

Dados de segurança de sistemas GuardLogix

Os exemplos a seguir mostram os valores de probabilidade de falha sob solicitação (PFD) e a probabilidade de falha por hora (PFH) para sistemas GuardLogix 1oo2 SIL 3 que usam os módulos Guard I/O.

O tempo de missão para controladores GuardLogix e dispositivos Guard I/O é de 20 anos.

Valores PFD Tabela 14 – PFD calculado por intervalo de teste de prova

Tópico Página

Valores PFD 93

Valores PFH 94

Cód. cat. DescriçãoPFD calculado

2 anos(17.520 horas)




1756-L7xS e 1756-L7SP Controlador GuardLogix 5.7E-06 1.5E-05 3.5E-05 8.9E-05

1756-L73SXT e 1756-L7SPXT Controlador GuardLogix XT 5.7E-06 1.5E-05 3.5E-05 8.9E-05

1791DS-IB12 Módulo de entrada de 12 pontos CIP Safety 4.73E-07 1.18E-06 2.35E-06 4.71E-06(2)

1791DS-IB16 Módulo de entrada de 16 pontos CIP Safety 4.11E-06 1.03E-05 2.06E-05 4.11E-05

1791DS-IB8XOB8 Módulo de entrada com 8 pontos/saída com 8 pontos CIP Safety

4.73E-07 1.18E-06 2.35E-06 4.71E-06(2)

1791DS-IB4XOW4 Módulo de entrada com 4 pontos/saída a relé com 4 pontos CIP Safety

2.21E-05 7.05E-05 1.92E-04 5.88E-04(2)

1791DS-IB8XOBV4 Módulo de entrada com 8 pontos/saída com 4 bipolares CIP Safety

4.16E-06 1.04E-05 2.08E-05 4.16E-05

1732DS-IB8XOBV4

1732DS-IB8 Módulo de entrada de 8 pontos CIP Safety 4.11E-06 1.03E-05 2.06E-05 4.11E-05

1791ES-IB16 Módulo de entrada de 16 pontos CIP Safety 4.13E-06 1.03E-05 2.06E-05 —

1791ES-IB8XOBV4 Módulo de entrada com 8 pontos/saída com 4 bipolares CIP Safety

4.17E-06 1.04E-05 2.09E-05 —

1734-IB8S, série A Módulo de entrada de 8 pontos CIP Safety 4.23E-06 1.06E-05 2.11E-05 4.23-05

1734-IB8S, série B(1) Módulo de entrada de 8 pontos CIP Safety 4.36E-06 1.09E-05 2.18E-05 4.36E-05

1734-OB8S, série A Módulo de entrada de 8 pontos CIP Safety 4.27E-06 1.07E-05 2.13E-05 4.27E-05

1734-OB8S, série B Módulo de entrada de 8 pontos CIP Safety 4.32E-06 1.08E-05 2.16E-05 4.32E-05

1734-IE4S Módulo de entrada analógica de 4 pontos CIP Safety,operação de canal simples

4.7E-07 1.2E-06 2.4E-06 4.8E-06

1734-IE4S Módulo de entrada analógica de 4 pontos CIP Safety,operação de canal duplo

3.2E-07 8.1E-07 1.6E-06 3.3E-06

(1) Esses dados servem para operação de canal simples e duplo.(2) Os dados PFD de 20 anos para este produto são aplicados apenas aos produtos com data de fabricação código

2009/01/01 (1º de janeiro de 2009) ou posterior. Consulte a etiqueta do produto para a data do código.


Apêndice E Dados de segurança de sistemas GuardLogix

Valores PFH Os dados abaixo aplicam-se à prova de intervalos de teste superiores a 20 anos inclusive.

Tabela 15 – Cálculo do PFH

Cód. cat. Descrição PFH (1/hora)

1756-L7xS e 1756-L7SP Controlador GuardLogix 1.2E-09

1756-L7xSXT e 1756-L7SPXT Controlador GuardLogix-XT 1.2E-09

1791DS-IB12 Módulo de entrada de 12 pontos CIP Safety 5.77E-11(1)

1791DS-IB16 Módulo de entrada de 16 pontos CIP Safety 4.96E-10

1791DS-IB8XOB8 Módulo de entrada com 8 pontos/saída com 8 pontos CIP Safety 5.77E-11(1)

1791DS-IB4XOW4 Módulo de entrada com 4 pontos/saída a relé com 4 pontos CIP Safety 9.03E-09(1)

1791DS-IB8XOBV4 Módulo de entrada com 8 pontos/saída com 4 bipolares CIP Safety 5.02E-10

1732DS-IB8XOBV4

1732DS-IB8 Módulo de entrada de 8 pontos CIP Safety 4.96E-10

1791ES-IB16 Módulo de entrada de 16 pontos CIP Safety 4.98E-10

1791ES-IB8XOBV4 Módulo de entrada com 8 pontos/saída com 4 bipolares CIP Safety 5.04E-10

1734-IB8S, série A Módulo de entrada de 8 pontos CIP Safety 5.10E-10

1734-IB8S, série B Módulo de entrada de 8 pontos CIP Safety 5.27E-10

1734-OB8S, série A Módulo de entrada de 8 pontos CIP Safety 5.14E-10

1734-OB8S, série B Módulo de entrada de 8 pontos CIP Safety 5.20E-10

1734-IE4S Módulo de entrada analógica de 4 pontos CIP Safety, operação do canal simplesMódulo de entrada analógica de 4 pontos CIP Safety, operação do canal duplo

5.6E-113.9E-11

(1) Os dados PFD de anos para este produto são aplicados apenas aos produtos com data de fabricação código 2009/01/01 (1º de janeiro de 2009) ou posterior. Consulte a etiqueta do produto para a data do código.


Apêndice F

Software RSLogix 5000, Versão 14 e posterior, Instruções da aplicação de segurança

Sistema desenergizar para desarmar

Quando usar instruções do software RSLogix 5000, versão 14, instruções de aplicação de segurança, todas as entradas e saídas são configuradas para zero quando uma falha é detectada. Como resultado, qualquer entrada que seja monitorada por uma das diferentes instruções de entrada (entradas diferentes ou estação de operação bimanual) deve ter entrada normalmente fechada condicionada por uma lógica similar à lógica na linha 4 da Exemplo 2 da lógica ladder e Exemplo 3 da lógica ladder nas páginas 98 e 99. A lógica exata necessária depende tanto das aplicações quanto do dispositivo de entrada. Porém, a lógica deve criar um estado seguro de 1 para a entrada normalmente fechada das diversas instruções de entrada.

Uso de dados de status de conexão para iniciar uma falha programaticamente

Os diagramas a seguir fornecem exemplos da lógica da aplicação necessária para travar e reinicializar as falhas da E/S. Os exemplos mostram a lógica necessária para os módulos de entrada apenas e para módulos combinados de entrada e saída. Os exemplos usam o recurso chamado status combinado dos módulos de E/S que apresenta o status de todos os canais de entrada em uma variável booleana. Uma outra variável booleana representa o status de todos os canais de saída. Esta abordagem reduz a quantidade de lógica de condicionamento de E/S necessária e força o encerramento de todos os canais de entrada ou saída do módulo afetado.

Use o Travamento da falha de entrada e fluxograma de reset na página 96 para determinar quais linhas de lógica são necessárias para as situações de diferentes aplicações. O Exemplo 1 da lógica ladder mostra a lógica que substitui as variáveis de tag de entrada real enquanto existir uma condição de falha. Se um estado de entrada real é necessário para solução de problemas enquanto uma falha de entrada é travada, use a lógica mostrada em Exemplo 2 da lógica ladder. Esta lógica usa tags internos que representam as entradas que serão usadas nesta lógica da aplicação. Enquanto a falha de entrada estiver travada, os tags internos são definidos para o estado de segurança. Enquanto a falha da entrada não for travada, os valores reais de entrada são copiados para os tags internos.

Use o Travamento da falha de saída e fluxograma de reset para determinar quais linhas da lógica da aplicação no Exemplo 3 da lógica ladder na página 99 são necessárias.

Tópico Página

Sistema desenergizar para desarmar 95

Uso de dados de status de conexão para iniciar uma falha programaticamente 95


Apêndice F Software RSLogix 5000, Versão 14 e posterior, Instruções da aplicação de segurança

Figura 22 – Travamento da falha de entrada e fluxograma de reset

Partida

Esta função de segurança precisa da intervenção do operador depois de uma falha

de entrada de segurança?

Escreva a lógica para travar a falha da entrada. (linha 0 do exemplo)

Escreva a lógica para configurar as entradas para o estado de segurança.

(linhas 2 e 3 do exemplo)

As entradas são usadas para acionar as instruções da aplicação

de segurança?

O circuito de reset pode ser usado para intervenção do operador?

As informações de falha de entrada necessárias para fins de diagnósticos?

Certifique-se de selecionar Manual Reset para

a instrução da aplicação de segurança.

Não

Sim

Não

Sim

Escreva a lógica para travar a falha da entrada. (linha 0 do exemplo)

Escreva a lógica para eliminar o travamento da falha da entrada.

(linha 1 do exemplo)

Todas as entradas são usadas em uma instrução com diversas entradas?

(DIN ou THRS)

Não

Sim

Sim

Não

Escreva a lógica para definir o valor do estado seguro quando a entrada apresentar uma falha.


Concluído

Sim

Não


Software RSLogix 5000, Versão 14 e posterior, Instruções da aplicação de segurança Apêndice F

Figura 23 – Exemplo 1 da lógica ladder

0 /Node30:I.InputStatus

LNode30InputsFaulted

/Node31:I.CombinedStatus


1FaultReset

ONSInputFaultResetOneShot Node30:I.InputStatus

UNode30InputsFaulted

Node31:I.CombinedStatusU

Node31InputsFaulted

2Node30InputsFaulted

UNode30:I.Pt00Data

UNode30:I.Pt01Data

UNode30:I.Pt07Data


UNode31:I.Pt00Data

UNode31:I.Pt01Data


LNode30:I.Pt01Data

LNode30:I.Pt03Data

UNode31:I.Pt11Data

O nó 30 é um módulo combinado com 8 pontos de entrada/8 pontos de saída.O nó 31 é um módulo de entrada com 12 pontos.Se o status da entrada não estiver OK, retenha as indicações das entradas com falhas.

Se a borda de subida do sinal de reset da falha for detectada e o status de entrada estiver OK, não retenha a indicação das entradas com falha.

Se as entradas estiverem com falha, substitua os tags de entrada com os valores do estado de segurança.

Se as entradas estiverem com falha, substitua os tags de entrada com os valores do estado de segurança.

Se a indicação das entradas com falha for verdadeira, defina os valores da entrada Diverse para o estado de segurança (1).




0 /

/

/

Node30:I.InputStatusL

Node30InputsFaulted

/Node31:I.CombinedStatus


1FaultReset

ONSInputFaultResetOneShot Node30:I.InputStatus

UNode30InputsFaulted

Node31:I.CombinedStatusU

Node31InputsFaulted

2Node30InputsFaulted Node30:I.Pt00Data Node30Input00

Node30Input01

Node30Input07

Node30:I.Pt01Data

Node30:I.Pt07Data



LNode31Input01

LNode31Input03

Node31:I.Pt00Data Node31Input00

Node31Input01

Node31Input11

Node31:I.Pt01Data

Node31:I.Pt11Data

O nó 30 é um módulo combinado com 8 pontos de entrada/8 pontos de saída.O nó 31 é um módulo de entrada com 12 pontos.Se o status da entrada não estiver OK, retenha as indicações das entradas com falhas.


Se as entradas não estiverem com falha, escreva os valores do tag de entrada para as representações internas das entradas.

Se as entradas não estiverem com falha, escreva os valores do tag de entrada para as representações internas das entradas.

Se a indicação das entradas com falha for verdadeira, defina as representações internas das entradas Diverse para o estado de segurança (1).


Software RSLogix 5000, Versão 14 e posterior, Instruções da aplicação de segurança Apêndice F

Figura 25 – Travamento da falha de saída e fluxograma de reset


Partida

Esta função de segurança precisa da intervenção do operador depois de uma

falha de saída de segurança?

Escreva a lógica para travar a falha da saída. (linha 0 do exemplo)

As informações de falha de saída necessárias para fins de diagnósticos?

Não

Sim

Sim

NãoEscreva a lógica para configurar as saídas para um estado de segurança.


Escreva a lógica para não travar a falha da saída (linha 1 do exemplo)

Escreva a lógica para travar a falha da saída. (linha 0 do exemplo)

Concluído

0 /

/

Node30:I.OutputStatusL

Node30OutputsFaulted

1FaultReset

ONSInputFaultResetOneShot Node30:I.OutputStatus

UNode30OutputsFaulted

2Node30OutputsFaulted RedundantOutputTag.O1 Node30:O.Pt00Data

Node30:O.Pt01DataRedundantOutputTag.O2

O nó 30 é um módulo combinado com 8 pontos de entrada/8 pontos de saída.Se o status da saída não estiver OK, retenha as indicações das saídas com falhas.




Observações:


Apêndice G

Usando módulos 1794 FLEX I/O e entradas e saídas de 1756 SIL 2 com controladores 1756 GuardLogix para cumprir com EN 50156

A configuração de canal duplo é necessária para a conformidade em determinadas aplicações relacionadas à segurança, incluindo as funções de segurança relacionadas ao queimador. Estes exemplos fornecem orientações para satisfazer as especificações de canal duplo EN50156 SIL 2 com intervalos de teste de prova de 1 e 2 anos.

Entradas de canal duplo SIL 2 (lado padrão de controladores GuardLogix)

Você deve implementar uma separação limpa e facilmente identificável entre os canais de entrada e respeitar todas as especificações SIL 2 existentes conforme definidas em Using ControlLogix in SIL 2 Applications, publicação 1756-RM001.

Figura 27 – Exemplo de entradas de canal duplo SIL 2 F

Tópico Página

Entradas de canal duplo SIL 2 (lado padrão de controladores GuardLogix) 101

Saídas SIL 2 usando módulos de saída SIL 3 Guard I/O 103

Saídas SIL 2 usando módulos de saída 1756 ou 1794 SIL 2 103

Funções de segurança na tarefa de segurança do 1756 GuardLogix 104

Canal A Canal B

Ch0+ Ch0+

Ch0+ Ch0+

Transmissor de tensão A

Transmissor de tensão B

+

+

-

-



Apêndice G Usando módulos 1794 FLEX I/O e entradas e saídas de 1756 SIL 2 com controladores 1756 GuardLogix para cumprir com EN 50156

Dados de entrada SIL 2

Mantenha sempre os dados de entrada do canal A e do canal B separados. Este exemplo ilustra um método para separar os dados do canal A e do canal B em sua aplicação.

Siga todas a regras para os módulos de E/S 1756 e 1794 FLEX™ conforme definido no Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicação 1756-RM001.

Transferência de dados SIL 2 para uma tarefa de segurança

Para transferir dados de segurança do canal A e do canal B para a tarefa de segurança GuardLogix, use a funcionalidade de mapeamento do tag de segurança na aplicação Logix Designer. Os nomes dos tags usados aqui são apenas para exemplos. Implemente e siga as nomenclaturas apropriadas para sua aplicação.

IMPORTANTE Não execute funções específicas de segurança dentro nessas rotinas. A avaliação de segurança deve ser manuseada dentro das tarefas de segurança do 1756 GuardLogix.

DICA Para usar a função de mapeamento de um tag de segurança, selecione Map Safety Tags no menu Logic na aplicação Logix Designer.



Usando módulos 1794 FLEX I/O e entradas e saídas de 1756 SIL 2 com controladores 1756 GuardLogix para cumprir com EN 50156 Apêndice G

Saídas SIL 2 usando módulos de saída SIL 3 Guard I/O

Siga essas orientações para as saídas SIL 2:

• Os módulos de saída Guard I/O usados nas saídas de segurança SIL 2 devem ser configurados para operação de canal duplo.

• Todos os módulos de saída Guard I/O são aprovados para uso em aplicações SIL 2.– 1732DS-IB8XOBV4– 1791ES-IB8XOBV4– 1791DS-IB8XOBV4, 1791ES-IB8XOBV4– 1791DS-IB4XOW4– 1791DS-IB8XOB8– 1734-OB8S

Saídas SIL 2 usando módulos de saída 1756 ou 1794 SIL 2

Quando usar estes módulos de saída com classificação SIL 2, é necessário que você configure suas saídas de segurança SIL 2 como tags de segurança produzidas por GuardLogix para cumprir as especificações de canal duplo de EN 50156.

Crie tags de segurança produzidos com as saídas SIL 2 que a sua aplicação exige. Os tags de segurança produzidos/consumidos GuardLogix necessitam que o primeiro membro seja atribuído para os diagnósticos. O primeiro membro de uma conexão de segurança produzida/consumida deve ser um tipo de dados chamado de CONNECTION_STATUS. Este exemplo mostra um tag SIL 2 com dois membros INT e dois BOOL. Use estes tags de segurança SIL 2 para controlar as saídas 1756 ou 1794 SIL 2.

Siga todas a regras para os módulos de E/S 1756 e 1794 FLEX™ conforme definido no Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicação 1756-RM001.

DICA Neste exemplo, não é mostrado um consumidor para o tag produzido. O status de conexão mostra uma falha se você não configurar um consumidor. Entretanto, neste tipo de configuração, não é necessário monitorar o status de conexão do tag produzido, então a falha não é um problema.



Apêndice G Usando módulos 1794 FLEX I/O e entradas e saídas de 1756 SIL 2 com controladores 1756 GuardLogix para cumprir com EN 50156

Funções de segurança na tarefa de segurança do 1756 GuardLogix

Siga essas orientações de uso das funções de segurança SIL 2 e SIL 3 nas tarefas de segurança:

• Todas as instruções da aplicação de segurança disponíveis podem ser usadas.

• Os módulos de entrada de segurança CL3 (ou seja, módulos Guard I/O) podem ser usados com a configuração de canal simples para as funções de segurança SIL 2.

• É recomendado o uso da assinatura da tarefa de segurança e do travamento de segurança da aplicação.

IMPORTANTE Não use dados SIL 2 para controlar diretamente uma saída SIL 3.


Glossário

Os seguintes termos e abreviações são usados neste manual. Para definições de termos que não estão listados aqui, consulte o Glossário de Automação Industrial Allen-Bradley, publicação AG-7.1.

Assinatura da configuração Um número exclusivo que identifica a configuração de um dispositivo. A assinatura de configuração é composta de um número ID, data e hora.

Assinatura da tarefa de segurança Um valor, calculado pelo firmware, que representa exclusivamente a lógica e a configuração do sistema de segurança. Ele é usado para verificar a integridade do programa de aplicação de segurança durante descarregamentos para o controlador.

Assinatura de instrução A assinatura de instrução consiste em um número ID e um registro de data e hora que identificam o conteúdo da instrução add-On em um momento determinado.

Assinatura de instrução de segurança A assinatura da instrução de segurança é um número de ID que identifica as características de execução da instrução add-on de segurança. Ele é usado para verificar a integridade da instrução add-on de segurança durante descarregamen-tos para o controlador.

Associação O Controlador Primário e o Parceiro de Segurança devem estar presentes e o hardware e o firmware devem ser compatíveis para que a associação seja estabelecida.

Cancelar edições Ação tomada para rejeitar qualquer mudança na edição on-line desmontada.

Componente de segurança Qualquer objeto, tarefa, programa, rotina, tag ou módulo etc., marcado como um item de segurança.

Componente padrão Qualquer objeto, tarefa, tag, programa etc., não marcado como um item relacionado à segurança.

Conexão válida A conexão de segurança está aberta e ativa, sem erros.

Controlador padrão Conforme usado neste documento, um controlador padrão refere-se genericamente a um controlador ControlLogix.

Controlador primário O processador em um controlador de dois processadores que executa a funcionalidade do controlador padrão e se comunica com o Parceiro de Segurança para executar funções relacionadas à segurança.

E/S de segurança A E/S de Segurança tem a maioria dos atributos da E/S Padrão, exceto que ela apresenta mecanismos certificados para SIL 3 para garantir a integridade de dados.

Edição pendente Uma alteração em uma rotina que foi feita na aplicação Logix Designer, mas que ainda não foi comunicada para o controlador através da aceitação da edição.


http://literature.rockwellautomation.com/idc/groups/literature/documents/qr/ag-qr071_-en-p.pdf

Glossário

Edições de montagem Você monta edições quando fizer alterações de edição on-line no programa do controlador e deseja que as alterações se tornem permanentes para que você possa testar, cancelar o teste ou cancelar as edições.

Endereçamento simbólico Um método de endereçamento que fornece uma interpretação ASCII do nome do tag.

Falha de segurança não recuperável Uma falha, que apesar de ser manipulada de forma correta pelos mecanismos de manipulação de falhas fornecidos pelo controlador de segurança e implementados pelo usuário, termina todo o processamento da tarefa de segurança e requer uma ação externa do usuário para reiniciá-la.

Falha não recuperável do controlador Uma falha que força o término de qualquer processamento e requer que a alimentação do controle seja alternada de desligada para ligada. O programa do usuário não é preservado e deve ser descarregado novamente.

Falha recuperável Uma falha, que quando manipulada corretamente pela implementação de mecanismos de manipulação de falhas fornecidos pelo controlador, não força o término da execução lógica.

Instrução add-on Uma instrução que foi criada como uma add-on no conjunto de instruções Logix. Uma vez definida, uma instrução add-on pode ser usada como qualquer outra instrução Logix e pode ser usada em vários projetos. Uma instrução add-on é composta de parâmetros, tags locais, rotina de lógica e rotinas de modo de varredura opcionais.

Instrução add-on de segurança Uma instrução add-on pode usar instruções de aplicação de segurança. As instruções add-on de segurança usam a assinatura de instrução de alta integridade de instruções add-on e também uma assinatura de instrução de segurança SIL 3 para uso em funções relacionadas à segurança.

Instruções de aplicação de segurança Instruções de segurança que fornecem funcionalidade relacionada à segurança. Elas foram certificadas para SIL 3 para uso em rotinas de segurança.

Intervalo do pacote requisitado(RPI)

Quando está se comunicando por uma rede, esse valor é o tempo máximo entre a produção subseqüente de dados de entrada.

Multiplicador de tempo-limite Este valor determina o número de mensagens que podem ser perdidas antes de declarar de um erro de conexão.

Número de rede de segurança (SNN) Identifica exclusivamente uma rede entre todas as redes no sistema de segurança. O usuário final é responsável por atribuir um número exclusivo para cada rede de segurança ou sub-rede de segurança dentro de um sistema. O número da rede de segurança constitui parte do identificador de nó exclusivo (UNID).

On-line Uma situação em que você está monitorando/modificando o programa no controlador GuardLogix.


Glossário

Parceiro de segurança O processador em um controlador de dois processadores que trabalha com o Controlador Primário para executar funções relacionadas à segurança.

Período da tarefa de segurança O período no qual a Tarefa de Segurança é executada.

Programa de segurança Um programa de segurança tem todos os atributos de um programa comum, exceto pelo fato de que ele pode ser programado apenas em uma tarefa de segurança. O programa de segurança consistem em zero ou mais rotinas de segurança. Ele não pode conter rotinas ou tags padrão.

Protocolo CIP Safety Um método de comunicação de rede projetado e certificado para o transporte de dados com alta integridade.

Rotina Um conjunto de instruções lógicas em uma linguagem de programação, como um diagrama de lógica ladder. As rotinas fornecem código executável para o projeto em um controlador. Cada programa tem uma rotina principal. Você também pode especificar rotinas opcionais específicas.

Rotina de segurança Uma rotina de segurança tem todos os atributos de uma rotina-padrão, exceto que é válida apenas em um programa de segurança e que consiste de uma ou mais instruções adequadas para aplicações de segurança. (Consulte Apêndice A para uma lista de instruções de aplicação de segurança e instruções Logix padrão que podem ser usadas em lógica de rotina de segurança.)

Sobreposição Quando uma tarefa (periódica ou evento) é acionada enquanto a tarefa ainda está sendo executada pelo acionador anterior.

Tags de segurança Um tag de segurança tem todos os atributos de um tag-padrão, mas o controlador GuardLogix fornece mecanismos certificados para SIL 3 para ajudar a proteger a integridade dos dados associados. Eles podem ter escopo de programa ou de controlador.

Tarefa Um mecanismo de programação para a execução de uma tarefa. Uma tarefa fornece informação de programação e de prioridade para um conjunto de um ou mais programas que são executados com base em critérios determinados. Depois que uma tarefa é acionada (ativada), todos os programas atribuídos (programados) para a tarefa são executados na ordem em que são exibidos no organizador do controlador.

Tarefa de segurança Uma Tarefa de Segurança tem todos os atributos de uma tarefa padrão, mas ela é válida somente em um controlador GuardLogix e pode ser programada apenas em programas de segurança. Apenas a Tarefa de Segurança pode existir no controlador GuardLogix. A Tarefa de Segurança deve ser uma tarefa periódica/temporizada.

Tarefa periódica Uma tarefa que é acionada pelo sistema operacional em um intervalo repetido. Sempre que o tempo expira, a tarefa é acionada e seus programas são executados. Os dados e as saídas estabelecidos pelos programas na tarefa retêm os valores até a próxima execução da tarefa ou até elas serem manipuladas por outra tarefa. As tarefas periódicas sempre interrompem a tarefa contínua.


Glossário

Tempo de reação da tarefade segurança

A soma do Período da Tarefa de Segurança mais o Watchdog da Tarefa de Segurança. Esse tempo é o atraso de pior caso de qualquer alteração na entrada apresentada pelo controlador GuardLogix até que a saída processada esteja disponível para a conexão de produção.

Tempo de reação do sistema O pior cenário de tempo de um evento relacionado à segurança como uma entrada no sistema ou como uma falha dentro do sistema até a hora em que o sistema entra no estado seguro. O tempo de reação do sistema inclui tempos de reação do sensor e do ativado, além do tempo de reação do controlador.

Watchdog da tarefa de segurança O tempo máximo permitido desde o início da execução da Tarefa de Segurança até a sua conclusão. Se o Watchdog da Tarefa de Segurança for ultrapassado, uma falha não recuperável de segurança será gerada.


Índice

Números1734-AENT 17, 231756-A10 171756-A13 171756-A17 171756-A4 171756-A5XT 171756-A7 171756-A7XT 171756-CN2 17, 231756-CN2R 17, 231756-CN2RXT 17, 231756-DNB 17, 231756-EN2F 17, 231756-EN2T 17, 231756-EN2TR 231756-EN2TXT 17, 231756-EN3TR 231756-ENBT 17, 231756-PB72 171756-PB75 171768-CNB 231768-CNBR 231768-ENBT 231784-CF64 171784-SD1 171784-SD2 17

Aalterando o programa aplicativo 59ambiente Studio 5000 17assinatura da configuração 29assinatura da tarefa de segurança

definição 105excluindo 54gerando 53operações restritas 54

assinatura de instrução 75definição 105

assinatura de instrução de segurança 76definição 105

associaçãodefinição 105

Ccarga de confiabilidade 19cartão de memória 17cartão Secure Digital (SD) 17certificação de nível 3 de integridade de

segurança (SIL 3) 9, 13, 76certificação de nível de integridade de

segurança (SIL) 3componentes do Logix 16responsabilidades do usuário 14TÜV Rheinland 14

certificações 18certificações da agência 18certificações e compatibilidades de

segurança 18cobertura de diagnóstico

definição 10comissionamento do ciclo de vida 51componentes do Logix

certificado para SIL 3 16componentes XT 17comunicações peer to peer 23conceito de segurança

suposições 49configuração da instrução de variável do

sistema (SSV) 65CONNECTION_STATUS

tipo de dados 63controlador primário

características gerais do hardware 22definição 105

Eedição on-line 57, 60edições off-line 60edições pendentes 57EN50156 101EN954-1

CAT 4 9, 13EtherNet/IP

características gerais de comunicação 23

Ffalhas

cancelando 66falhas de segurança irrecuperáveis 66falhas não recuperáveis do controlador 66recuperável 67, 106

falhas de hardwarerecuperação 66

falhas de segurança irrecuperáveis 66, 106reinício da tarefa de segurança 66

falhas não recuperáveis do controlador 66, 106falhas recuperáveis 67, 106fontes de alimentação 17

características gerais do hardware 22force 58função de controle

especificação 52funções de segurança

E/S CIP Safety 27saída de segurança 28

funções de segurança relacionadas ao queimador 101


Índice

GGSV (Get System Value)

definição 10

Hhistórico de assinatura 77

IIEC 61508

certificação de nível 3 de integridade de segurança (SIL 3) 9, 13, 76

inibindo um módulo 58instalando um controlador 21instrução add-on

assinatura de instrução 75assinatura de instrução de segurança 76certificar 73

instruções de aplicação de segurançadefinição 106

instruções de segurança da lógica ladder 70instruções GSV 65interface

uso de IHM e aplicação 43–45interfaces homem-máquina

uso e aplicação 43–45intervalo do pacote requisitado

definição 106faixa 42

ISO 13849-1 9, 13

Llista de verificação

desenvolvimento de programa 91entradas de SIL 3 89saídas de SIL 3 90sistema do controlador GuardLogix 25, 88

Mmapeamento de tags 47módulo de interface de comunicação

EtherNet/IPcaracterísticas gerais do hardware 23

módulo de interface de scanner DeviceNetcaracterísticas gerais do hardware 23

módulo ponte ControlNetcaracterísticas gerais do hardware 23

módulos de comunicaçãocaracterísticas gerais do hardware 23códigos de catálogo 17

módulos de E/Ssubstituição 29–31

módulos Guard I/Oaplicações SIL 2 103

multiplicador de tempo-limite 82definição 106

Nnível de desempenho

definição 10nível de integridade de segurança (SIL)

conformidade de distribuição e peso 19exemplo de função 16política 13–20

noções básicas do desenvolvimento de aplicações 50

norma europeia.definição 10

número da rede de segurança 34atribuição manual 34definição 106módulos padrão 36tags consumidos de segurança 35

Oon-line

definição 106

Pparceiro de segurança

características gerais do hardware 22definição 107local 22

período da tarefa de segurança 20características gerais 20definição 107limitações 41

PFH (probabilidade de falha por hora)definição 10

PLe 9, 13probabilidade de falha por hora (PFH) 18–19probabilidade de falha sob solicitação

(PFD) 18–19definição 10

programaedição off-line 60edição on-line 60editando o ciclo de vida 61fazer download 57identificação 53lista de verificação 91upload 57verificação 54

programa aplicativoalterando 59consulte programa

programa de segurança 45definição 107

projetoconfirmação 55

propriedade 29protocolo CIP Safety

características gerais 22definição 107sistema roteável 33

protocolo de controle e informaçãodefinição 10


Índice

Qqualificando dados padrão 47

Rrack

características gerais do hardware 22códigos de catálogo 17

referência de nó exclusivodefinida 34

revisões de firmware 17rotina de segurança 45

definição 107

Ssegurança do DeviceNet

características gerais de comunicação 24SIL 2

EN50156 101sobreposição

definição 107software

alterando o programa aplicativo 59software RSLogix 5000 17status da conexão 64

Ttags

consulte também tags de segurançadados de segurança produzidos/

consumidos 46E/S de segurança 46

tags consumidos de segurançanúmero da rede de segurança 35

tags de segurança 46definição 107tipos de dados válidos 46

tarefa de segurançacaracterísticas gerais 41definição 107execução 42prioridade 84tempo de reação 20, 108tempo de watchdog 84

tarefa periódicadefinição 107

tempo de atraso de saída 28tempo de reação

calculando para o sistema 79sistema 19, 108tarefa de segurança 20

tempo de reação do sistema 19calculando 79

tempo de reação do sistema Logixcalculando 80

tempo de watchdog 84terminologia 10teste de verificação do projeto 54, 78testes de prova 14travamento de segurança 56

operações restritas 56padrão 56senhas 56

Wwatchdog da tarefa de segurança 20

ajuste de parâmetro 20características gerais 20definição 108modificando 20tempo-limite 41


Índice


Publicação 1756-RM099B-PT-P – Novembro 2014 Copyright © 2014 Rockwell Automation, Inc. Todos os direitos reservados. Impresso nos EUA.

Suporte da Rockwell Automation

A Rockwell Automation fornece informações técnicas na web para ajudá-lo a usar seus produtos.Em http://www.rockwellautomation.com/support, você pode encontrar notas técnicas e de aplicação, código de exemplo e links para os service packs de software. Você pode também visitar nosso Centro de Suporte em https://rockwellautomation.custhelp.com/ para atualizações de software, bate-papos de suporte e fóruns, informações técnicas, FAQs e assinar notificações sobre atualizações de produtos.

Além disso, oferecemos diversos programas de suporte para instalação, configuração e localização de falhas. Para obter mais informações, contate o distribuidor ou representante local da Rockwell Automation ou visite http://www.rockwellautomation.com/services/online-phone.

Assistência para Instalação

Se você tiver um problema dentro das primeiras 24 horas após a instalação, revise a informação que está contida neste manual. Entre em contato com o Suporte ao Cliente para obter ajuda para que seu produto funcione.

Retorno de satisfação de novo produto

A Rockwell testa todos os seus produtos para ajudar a garantir que eles estão totalmente operacionais quando saem da fábrica. Entretanto, caso seu produto não esteja funcionando e necessite ser devolvido, siga os seguintes procedimentos.

Comentários sobre a documentação

Seus comentários irão ajudar a melhorar a documentação. Se tiver sugestões sobre como melhorar este documento, complete o seguinte formulário, publicação RA-DU002, disponível em http://www.rockwellautomation.com/literature/.

Estados Unidos ou Canadá 1.440.646.3434

Fora dos Estados Unidos ou Canadá Use o Worldwide Locator em http://www.rockwellautomation.com/rockwellautomation/support/overview.page ou entre em contato com seu representante da Rockwell Automation.

Estados Unidos Contate o distribuidor. Você deve fornecer um número de caso do suporte ao cliente (consulte o telefone acima para obtê-lo) para que o distribuidor complete o processo de devolução.

Fora dos Estados Unidos Contate o representante local da Rockwell Automation para obter o procedimento de devolução.

A Rockwell Automation mantém as informações ambientais do produto atual em seu website: http://www.rockwellautomation.com/rockwellautomation/about-us/sustainability-ethics/product-environmental-compliance.page.

http://www.rockwellautomation.com/rockwellautomation/distributor-locator/sales-locator.page

http://www.rockwellautomation.com/rockwellautomation/about-us/sustainability-ethics/product-environmental-compliance.page

http://www.rockwellautomation.com/support

https://rockwellautomation.custhelp.com/

http://www.rockwellautomation.com/services/online-phone

http://literature.rockwellautomation.com/idc/groups/literature/documents/du/ra-du002_-en-e.pdf

http://www.rockwellautomation.com/literature/

sistemas de controladores guardlogix 5570...sistemas de controladores guardlogix 5570 códigos de...

Documents