classe de sécurité : ple, cat. 4 selon en iso 13849.1 2008 · (cat 4, ple) selon la norme iso...
TRANSCRIPT
Fonction de sécurité : Barrière immatérielle Produits : Barrière immatérielle
Automate GuardLogix®
Classe de sécurité : PLe, Cat. 4 selon EN ISO 13849.1 2008
Table des matières
Introduction 3
Informations importantes destinées
aux utilisateurs 3
Mise en œuvre de la fonction de sécurité 4
Consignes générales de sécurité 5
Mise en place et câblage 7
Confi guration 10
Programmation 17
Réinitialisation sur front descendant 18
Calcul du niveau de performance 19
Plan de vérifi cation et de validation 21
Documentations connexes 24
3
IntroductionCe profi l d’application de fonction de sécurité explique comment câbler, confi gurer et programmer un automate Compact GuardLogix® et un module POINT Guard I/O™ pour surveiller une barrière immatérielle 440L GuardShield. Si la barrière immatérielle est sollicitée ou qu’un défaut est détecté dans le circuit de surveillance, l’automate GuardLogix désactive le dispositif de commande fi nal, dans ce cas, une paire redondante de contacteurs 100S.
L’exemple indiqué fait référence à un automate Compact GuardLogix, mais il peut aussi s’appliquer à n’importe quel autre automate GuardLogix. Cet exemple se réfère à une barrière immatérielle 440L GuardShield, mais il peut aussi concerner les barrières immatérielles qui testent par impulsion les sorties OSSD1 et OSSD2. Les calculs Sistema illustrés plus loin dans ce document devraient être refaits en utilisant les produits réels.
Informations importantes destinées aux utilisateursLes équipements électroniques possèdent des caractéristiques de fonctionnement diff érentes de celles des équipements électromécaniques. La publication SGI-1.1 « Safety Guidelines for the Application, Installation and Maintenance of Solid State Controls » (disponible auprès de votre agence commerciale locale Rockwell Automation® ou en ligne sur le site http://www.rockwellautomation.com/literature) décrit certaines de ces diff érences. En raison de ces diff érences et de la grande diversité des utilisations des équipements électroniques, les personnes qui en sont responsables doivent s’assurer de l’acceptabilité de chaque application.
La société Rockwell Automation, Inc. ne saurait en aucun cas être tenue pour responsable ni être redevable des dommages indirects ou consécutifs à l’utilisation ou à l’application de cet équipement.
Les exemples et schémas contenus dans ce manuel sont fournis à titre indicatif uniquement. En raison du nombre important de variables et d’impératifs associés à chaque installation, la société Rockwell Automation Inc. ne saurait être tenue pour responsable ni être redevable des suites d’utilisation réelle basée sur les exemples et schémas présentés dans ce manuel.
La société Rockwell Automation Inc. décline également toute responsabilité en matière de propriété intellectuelle et industrielle concernant l’utilisation des informations, circuits, équipements ou logiciels présentés dans ce manuel.
Toute reproduction totale ou partielle du présent manuel sans l’autorisation écrite de Rockwell Automation Inc. est interdite.
4
Mise en œuvre de la fonction de sécurité : évaluation du risqueLe niveau de performance requis est déterminé par l’évaluation du risque. Il indique l’importance de la réduction des risques qui doit être assurée par la partie du système de commande dédiée à la sécurité. Le processus de réduction des risques consiste, en partie, à déterminer les fonctions de sécurité nécessaires à la machine. Pour les besoin de ce document, on supposera que le niveau de performance requis est la Catégorie 4, PLe.
Fonction de sécurité arrêt d’urgenceArrêt d’urgence par actionnement d’une barrière immatérielle ; protection de poste dangereux. L’exemple ne comporte pas de fonction d’inhibition.
Caractéristiques de la fonction de sécuritéL’interruption de la barrière immatérielle arrête et empêche le mouvement dangereux en coupant l’alimentation du moteur. Dès la réinitialisation de la barrière immatérielle, le mouvement présentant un danger et l’alimentation du moteur ne sont pas rétablis tant qu’une action auxiliaire (appui sur le bouton de démarrage) n’a pas été eff ectuée. La présence de défauts au niveau de la barrière immatérielle, des bornes de câblage ou de l’automate de sécurité sera détectée avant la prochaine sollicitation de sécurité. La distance de sécurité à respecter pour le positionnement de la barrière immatérielle doit être fi xée de manière à ce que le mouvement dangereux soit arrêté avant que l’utilisateur n’atteigne la zone dangereuse. La fonction de sécurité illustrée dans cet exemple est capable d’établir et de couper l’alimentation de moteurs de capacité nominale allant jusqu’à 9 A, 600 V c.a..
La fonction de sécurité satisfait aux exigences de niveau de performance « e », de la Catégorie 4 (Cat 4, PLe) selon la norme ISO 13849-1, ainsi qu’à celles de niveau d’intégrité de sécurité SIL3 selon la norme CEI 62061 et à celles de fonctionnement fi able de la commande selon la norme ANSI B11.19.
Depuis : Évaluation des risques (ISO 12100)
Jusqu’à : Mise en oeuvre et du PL évaluation
Identifi cation des fonctionsde sécurité1
Spécification des caracéristiques de chaque fonction de sécurité 2
Détermination du PL requis (PLr) pour chaque fonction de sécurité3
5
Des symboles sont utilisés tout au long de ce manuel pour attirer votre attention sur les mesures de sécurité à prendre en compte.
Consignes générales de sécuritéContacter Rockwell Automation pour plus d’informations sur ses services d’évaluation des risques de sécurité.
Avertissement : identifie des actions ou situations susceptibles de provoquer une explosion dans un environnement dangereux et risquant d’entraîner des blessures pouvant être mortelles, ainsi que des dégâts matériels ou des pertes financières.
IMPORTANT Informations particulièrement importantes pour la compréhension du fonctionnement et l’utilisation correcte du produit.
Attention : identifie des actions ou situations risquant d’entraîner des blessures pouvant s’avérer fatales, ainsi que des dégâts matériels ou des pertes financières. Les messages « Attention » vous aident à identifier un danger, à éviter ce danger et en mesurer les conséquences éventuelles.
Danger d’électrocution : les étiquettes ci-contre, appliquées à l’extérieur ou à l’intérieur d’un équipement (par exemple, un variateur ou un moteur), signalent la présence éventuelle de tensions électriques dangereuses.
Risque de brûlure : les étiquettes ci-contre, appliquées à l’extérieur ou à l’intérieur d’un équipement (par exemple, un variateur ou un moteur), indiquent que certaines surfaces peuvent atteindre des températures particulièrement dangereuses.
IMPORTANTCet exemple d’application s’adresse à des utilisateurs expérimentés. Il suppose que vous disposiez d’une formation et d’une expérience appropriées sur les caractéristiques des systèmes de sécurité.
Attention : une évaluation des risques doit être réalisée afin de s’assurer que tous les risques potentiels associés à toutes les tâches aient été identifiés et pris en compte. Cette évaluation des risques peut nécessiter la mise en œuvre de circuits supplémentaires afin de réduire les risques en question à un niveau tolérable. Les circuits de sécurité doivent tenir compte de calculs de distance de sécurité qui n’entrent pas dans le cadre de ce document.
6
Description de la sécurité fonctionnelleLe mouvement dangereux est interrompu ou interdit par l’interruption de la barrière immatérielle. La barrière immatérielle (LC1) est câblée à une paire d’entrées de sécurité sur un module d’entrée de sécurité (SI1). Les contacteurs de sécurité (K1 et K2) sont raccordés à une paire de sorties de sécurité sur un module de sortie de sécurité (SO1). Le module d’E/S est connecté à l’automate de sécurité (SC1) au moyen de CIP Safety sur un réseau EtherNet/IP. Le programme de sécurité dans SC1 surveille l’état de la barrière immatérielle au moyen de l’instruction de sécurité pré-certifi ée DCS (Dual Channel Input Stop – arrêt sur entrée double voie). Lorsque tous les verrouillages d’entrée de sécurité sont conformes, qu’aucun défaut n’est détecté et que le bouton-poussoir de réarmement est actionné, un second bloc fonctionnel certifi é appelé CROUT (Confi gurable Redundant Output – sortie redondante confi gurable) contrôle et surveille le retour du signal d’une paire de contacteurs redondants 100S. En résumé, lorsque la barrière immatérielle est bloquée, les contacteurs sont désactivés. Lorsque la barrière immatérielle est débloquée, et que le bouton de réarmement est actionné, les contacteurs sont activés.
NomenclatureLe présent exemple d’application fait appel aux composants suivants :
Référence Description Quantité
440L-P4JL0640YDBarrière immatérielle de sécurité GuardShield™, rés. 14 mm, Ht Pt 640 mm, 64 faisceaux lumineux, alignement laser intégré
1
889D-F4AC-2Câble femelle droit Micro c.c. 4 broches (M12), PVC, jaune, non blindé, 22AWG, 2 mètres
1
889D-F8AB-2Câble femelle droit Micro c.c. 8 broches (M12), PVC, jaune, non blindé, 24AWG, 2 mètres
1
800FM-G611MX10Bouton-poussoir de réarmement 800F – métallique, protégé, bleu, R, montage à bague de verrouillage métallique, 1 contact N.O., standard
1
100S-C09ZJ23C Contacteurs de sécurité Série 100S-C 2
1768-ENBTModule passerelle EtherNet/IP pour automate CompactLogix™
1
1768-L43SProcesseur Compact GuardLogix©, 2,0 Mo de mémoire standard et 0,5 Mo de mémoire de sécurité
1
1768-PA3 Alimentation, entrée 120/240 V c.a., 3,5 A sous 24 V c.c. 1
1769-ECR Obturateur/Cache de terminaison droit 1
1734-AENT Adaptateur Ethernet 24 V c.c. 1
1734-TB Embase de module avec bornes à vis CEI amovibles 4
1734-IB8S Module d’entrées de sécurité POINT Guard 1
1734-OB8S Module de sorties de sécurité POINT Guard 1
1783-US05T Switch Ethernet non administré Stratix 2000™ 1
7
Mise en place et câblagePour des informations détaillées sur l’installation et le câblage, reportez-vous aux manuels produits répertoriés à la rubrique Documentations connexes.
Présentation du systèmeLe module d’entrée 1734-IB8S surveille OSSD1 et OSSD2 à partir de la barrière immatérielle 440L. Si la barrière immatérielle est bloquée, les sorties OSSD1 et OSSD2 deviennent désactivées, et l’automate réagit en désactivant les contacteurs de sécurité.
La 440L intègre des fonctions de diagnostic lui permettant de tester dynamiquement le câblage du signal afi n de détecter des courts-circuits au 24 V cc. et d’une voie à l’autre. En cas d’apparition d’un défaut, la sortie OSSD1 ou OSSD2 ou les deux deviennent désactivées. L’automate réagit alors en désactivant les contacteurs de sécurité.
Les courts-circuits au 0 V c.c. (et les fi ls débranchés ou coupés) seront vus comme des ouvertures du circuit par le module d’entrée 1734-IB8S. L’automate réagit alors en désactivant les contacteurs de sécurité. Si les entrées restent discordantes pendant une durée supérieure à la temporisation de discordance, l’automate, par le biais du bloc fonctionnel DCS, déclare un défaut. Le bloc fonctionnel est réinitialisé uniquement après la correction du défaut et que la barrière immatérielle ait subi un cycle de blocage/déblocage.
Dans notre exemple, le dispositif de commande fi nal est une paire de contacteurs de sécurité 100S, K1 et K2. Les contacteurs sont pilotés par un module de sortie de sécurité 1734-OBS. Ils sont câblés selon une confi guration en série redondante. Un circuit de retour passe par les contacts N.O. et revient à une entrée du module 1734-IB8S afi n de surveiller le bon fonctionnement des contacteurs. Les contacteurs ne peuvent pas redémarrer tant que le circuit de retour n’est pas à l’état correct.
Le système possède des boutons de réarmement individuels pour réinitialiser les défauts et les sorties de sécurité.
Dans notre exemple, il convient de remarquer que les boutons de réarmement et le circuit de retour des contacteurs sont tous raccordés au module 1734-IB8S. Ce type de câblage n’est pas nécessaire pour la sécurité fonctionnelle. Ces trois (3) entrées pourraient être raccordées à un module d’entrée standard.
Calcul de la distance de sécuritéL’utilisateur doit eff ectuer un calcul à l’aide de la formule suivante pour déterminer la distance entre la barrière immatérielle et le danger. Il doit utiliser les valeurs se rapportant à son application, plutôt que celles de l’exemple de calcul illustré ci-dessous :
S = (K * T) + C
K = 63 pouces par seconde (constant à partir de B11.19-1990)
T = Temps d’arrêt
C = Facteur de pénétration en profondeur = 1 pouce (pour une résolution de 14 mm ; provient de la documentation)
8
Le temps d’arrêt (T) dans notre exemple est la somme des temps suivants :a) Délai de barrière immatérielle = 25 ms (issu de la documentation)
b) Délai du module 1734-IB8S = 16 ms (issu de la documentation)
c) Délai de connexion du module d’entrée
d) Délai de l’automate de sécurité
Chien de garde de tâche de sécurité
Période de tâche de sécurité
e) Délai de connexion du module de sortie
f) Délai 1734-OB8S = 6 ms (issu de la documentation)
g) Temps de réponse du contacteur = 15 ms (issu de la documentation)
h) Temps d’arrêt machine réel = 900 ms par hypothèse pour cet exemple
C – La valeur par défaut du délai de connexion du module d’entrée est de 4 x RPI
Si nous prenons pour hypothèse un RPI de 10 ms, le délai maximum = 40 ms
E – La valeur par défaut du délai de connexion du module de sortie est de 3 x RPI
Si nous prenons pour hypothèse un RPI de 10 ms, le délai maximum = 30 ms
Le temps de réaction dans le cas le plus défavorable peut être calculé en supposant qu’il n’existe qu’un seul défaut dans le système de commande. Ainsi, seule la plus élevée des deux valeurs de délai de connexion indiquées plus haut doit être incorporée dans le calcul du temps. Dans cet exemple, on prend 40 ms et on exclut 30. Si vous souhaitez prendre en compte plusieurs défauts survenant simultanément, incluez les deux valeurs dans le calcul.
D – Le délai de l’automate de sécurité associe la période de tâche de sécurité et le chien de garde de tâche de sécurité. Le chien de garde tient compte du fait que le programme de sécurité peut approcher la valeur du chien de garde sans déclencher celui-ci. La période de tâche de sécurité tient compte du fait que la scrutation asynchrone peut juste se terminer lorsque l’entrée change d’état. Prenons par exemple les hypothèses suivantes :
Période de tâche de sécurité = 10 ms
Chien de garde de tâche de sécurité = 5 ms
Pour calculer T, il faut donc ajouter les temps suivants :
Délai de barrière immatérielle = 25 ms
Délai du module 1734-IB8S = 16 ms
Valeur la plus élevée des délais de connexion du module d’entrée/sortie = 40 ms
Délai de l’automate de sécurité = 10 + 5 = 15 ms
Délai 1734-OB8S = 6 ms
Temps de réponse du contacteur = 15 ms
Temps d’arrêt machine réel mesuré = 900 ms
Ce qui donne un temps d’arrêt total (T) = 1017 ms
S = (K * T) + C = (63 * 1,017) + 1 = 65,071 pouces
Dans notre exemple, la barrière immatérielle doit être placée à 65 pouces du danger.
9
Calcul de la distance de sécurité au 13855S = (K x T) + CS : distance minimum, en millimètres (mm)
K : est un paramètre, exprimé en millimètres par seconde (mm/s), déduit des données sur les vitesses d’approche du corps ou des parties du corps
T : est la performance d’arrêt générale, en secondes
C : est la distance d’intrusion, en mm
Dans ce profi l d’application, les valeurs sont les suivantes :
K = 1600 mm par secondeT = Somme des temps suivants :
Délai de barrière immatérielle = 25 ms
Délai du module 1734-IB8S = 16 ms
Valeur la plus élevée des délais de connexion du module d’entrée/sortie = 40 ms
Délai de l’automate de sécurité = 10 + 5 = 15 ms
Délai 1734-OB8S = 6 ms
Temps de réponse du contacteur = 15 ms
Temps d’arrêt machine réel mesuré = 900 ms
Ce qui donne un temps d’arrêt total (T) = 1017 ms
C = 8(d-14) mais non inférieur à 0, avec d = résolution de la barrière immatérielle
S = 1600 x 1,017 + 8(14 -14)
La barrière immatérielle ne doit pas être montée à moins de 1628 mm
(environ 64 pouces) du mouvement dangereux dont il faut se préserver.
10
Schéma électrique
Confi gurationLa barrière immatérielle 400L comporte des micro-interrupteurs DIP. Ces micro-interrupteurs peuvent rester à leur position par défaut.
La confi guration de l’automate Compact GuardLogix s’eff ectue à l’aide du logiciel RSLogix™ 5000 en version 17 ou ultérieure. Vous devez d’abord créer un nouveau projet et y ajouter les modules d’E/S. Confi gurez ensuite les types d’entrées et de sorties appropriés pour ces modules d’E/S. La description détaillée de chacune de ces étapes n’est pas traitée dans ce document. On suppose par ailleurs que l’utilisateur connaît l’environnement de programmation RSLogix.
Récepteur – Réglages usine
Interrupteur Fonction de l’interrupteur Valeur par défaut Description
1 Activation de mode – Combinaison active l’un des modes suivants : Protection seule, Verrouillage du démarrage, Verrouillage du redémarrage
ON
Protection seule2 ON
3 MPCE : Désactiver la surveillance ON Désactivé
4 Activer désensibilisation fi xe OFF Désactivé
5 Activer désensibilisation fl ottante – Faisceau unique OFFLes commutateurs 5 et 6 ne peuvent pas être activés « ON » simultanément
6 Activer désensibilisation fl ottante – Deux faisceaux OFF
7 Défi nir codage des faisceaux OFF Désactivé
8 Inutilisé OFF
Émetteur – Réglages usine
Interrupteur Fonction de l’interrupteur
Valeur par défaut Description
1 Défi nir codage des faisceaux OFF Désactivé
2 Signal de test machine OFFOFF : Signal actif haut – Pas de connexion ou connexion normalement ouverte
ON : Signal actif bas – Connexion N.F.
11
Confi guration de l’automate et ajout des modules d’E/SSuivez les étapes ci-dessous.
1. Dans le logiciel RSLogix 5000, créez un nouveau projet.
2. Dans l’arborescence de l’automate, ajoutez le module 1768-ENBT au bus 1768.
3. Sélectionnez ce module 1768-ENBT et cliquez sur OK.
12
4. Nommez le module, saisissez son adresse IP et cliquez sur OK. Dans cet exemple d’application, nous avons utilisé l’adresse 192.168.1.8. La vôtre peut être diff érente.
5. Ajoutez l’adaptateur 1734-AENT en cliquant avec le bouton droit de la souris sur le module 1768-ENBT dans l’arborescence de l’automate et choisissez New Module (nouveau module).
6. Sélectionnez le module 1734-AENT et cliquez sur OK.
7. Nommez ce module, saisissez son adresse IP et cliquez sur OK. Dans cet exemple d’application, nous avons utilisé l’adresse 192.168.1.11. La vôtre peut être diff érente.
8. Cliquez sur Change (modifi er).
9. Défi nissez la taille de châssis (Chassis size) à 3 pour l’adaptateur 1734-AENT et cliquez sur OK. La taille de châssis correspond au nombre des modules qui seront insérés dans le châssis. L’adaptateur 1734-AENT est considéré se trouver à l’emplacement 0. Avec un module d’entrée et un module de sortie, la taille de châssis est donc de 3.
13
14
10. Dans l’arborescence de l’automate, cliquez avec le bouton droit sur l’adaptateur 1734-AENT et choisissez New Module (nouveau module).
11. Développez le répertoire Safety (sécurité), sélectionnez le module 1734-IB8S et cliquez sur OK.
12. Dans la boîte de dialogue New Module, nommez ce composant « IB8S » et cliquez sur Change (modifi er).
13. Lorsque la boîte de dialogue Module Defi nition (défi nition du module) s’affi che, choisissez None (aucune) pour Output Data (données de sortie) et vérifi ez que l’état d’entrée (Input Status) est défi ni sur « Combined Status-Power » (état-alimentation combiné), puis cliquez sur OK. La confi guration des données de sortie sur « None » implique que vous ne pourrez pas utiliser les sorties de test comme des sorties standard, ce qui est le cas dans cet exemple. Remarque : cette confi guration ne comporte qu’une (1) connexion avec l’automate puisque nous utilisons uniquement la connexion d’entrée.
14. Fermez la boîte de dialogue Module Properties (propriétés du module) en cliquant sur OK.
15. Réitérez les étapes 10 à 14 pour ajouter le module de sortie de sécurité 1734-OB8S. Nommez ce module « OB8S ». Remarque : ce module devra se trouver à l’emplacement 2. Choisissez par ailleurs « Combined Status-Readback-Power » (état-relecture-alimentation combiné) pour la défi nition de son état d’entrée (Input Status).
15
16
Confi guration des modules d’E/SPour confi gurer les modules POINT Guard I/O, suivez les étapes ci-dessous.
1. Dans l’arborescence de l’automate, cliquez avec le bouton droit sur le module 1734-IB8S et choisissez Properties (propriétés).
2. Cliquez sur Test Output (sortie de test) et confi gurez le module comme indiqué sur l’illustration.
3. Cliquez sur Input Confi guration (confi guration des entrées) et confi gurez le module comme indiqué sur l’illustration. Les entrées 0 et 1 correspondent à la barrière immatérielle. Les entrées 4 et 5 correspondent aux boutons de réarmement. L’entrée 7 est le circuit de surveillance des contacteurs. N’oubliez pas que l’entrée 7 a pour source la sortie de test 2. À noter que vous pouvez indiff éremment confi gurer une voie d’entrée en sécurité ou en standard. Cette confi guration est surtout utilisée à titre d’information.
4. Cliquez sur OK.
5. Dans l’arborescence de l’automate, cliquez avec le bouton droit sur le module 1734-OB8S et choisissez Properties (propriétés).
17
6. Cliquez sur Output Confi guration (confi guration des sorties) et confi gurez le module comme indiqué sur l’illustration. La bobine électromécanique du contacteur peut être testée par impulsion sans réagir à la brève impulsion basse.
7. Cliquez sur OK.
ProgrammationL’instruction DCS (Dual Channel Input Stop – arrêt sur entrée double voie) contrôle les dispositifs de sécurité à double entrée dont la fonction principale est d’arrêter une machine en toute sécurité ; par exemple : un arrêt d’urgence, une barrière immatérielle ou une porte de sécurité. Dans notre exemple, elle est utilisée pour surveiller une barrière immatérielle.
L’instruction DCS surveille la cohérence (équivalence – état haut actif) des entrées double voie. Elle détecte et piège le défaut en cas d’incohérence décelée pendant une durée supérieure à la temporisation de discordance confi gurée (en ms).
La caractéristique de redémarrage automatique permet à la sortie DCS (O1) d’être automatiquement réinitialisée après une sollicitation. L’action manuelle normalement requise dans les système de sécurité est gérée par la ligne 1 de l’instruction qui réinitialise la validation de la sortie de sécurité.
L’état d’entrée (Input Status) représente habituellement l’état des deux voies d’entrée. Dans notre exemple, le bit « Combined Input Status » (état combiné de l’entrée) se trouve désactivé si l’une des 8 voies d’entrée présente un défaut.
Dans notre exemple, la réinitialisation eff ectuée par l’instruction DCS joue le rôle d’un eff acement du défaut. Même lorsque le redémarrage automatique a été défi ni, la reprise à partir d’un état de défaut exige une réinitialisation.
La sortie (O1) de l’instruction DCS est utilisée comme verrouillage de sécurité dans la ligne verrouillable destinée à piloter le point de validation de la sortie. Si cette sortie DCS se trouve désactivée, il en sera de même pour la validation de la sortie, qui restera alors désactivée jusqu’à ce qu’une action de réinitialisation manuelle soit exécutée.
L’instruction CROUT contrôle et surveille les sorties redondantes. Cette instruction vérifi e essentiellement que le signal de retour est bien en phase avec les sorties de sécurité. Dans le cas du signal de retour négatif utilisé dans notre exemple, si les sorties sont à l’état « haut », le signal de retour doit être à l’état « bas » et vice-versa. Dans notre exemple, le signal de retour dispose de 500 ms pour passer à l’état approprié. Du fait qu’un seul circuit de retour est utilisé, le point de retour sert à la fois à Feedback 1 et à Feedback 2.
Les deux (2) points de sortie de l’instruction CROUT sont utilisés pour piloter les sorties de contacteur sur le module 1734-OB8S.
18
Réinitialisation sur front descendantLa norme ISO 13849-1 stipule que les fonctions de réinitialisation de l’instruction doivent être appelées sur le front descendant des signaux. Pour se conformer à cette exigence, ajoutez une instruction OSF (One Shot Falling – impulsion sur front descendant) à la ligne juste avant la ligne Cmd_Zone1_OutputEnable, puis utilisez le point du bit de sortie de cette instruction OSF comme bit de réinitialisation dans la ligne suivante. La ligne Cmd_Zone1_OutputEnable est toujours utilisée pour activer l’instruction CROUT.
Le programme modifi é apparaît ci-dessous sur les lignes 1 et 2.
Calcul du niveau de performanceLorsqu’elle est correctement confi gurée, cette fonction de sécurité arrêt d’urgence par barrière immatérielle peut atteindre une classifi cation de sécurité PLe, Cat. 4 selon EN ISO 13849.1 2008.
Les caractéristiques de sécurité fonctionnelle du projet exigent un niveau de performance (minimum) de PLd et une structure de catégorie Cat 3 (minimum également). Une probabilité moyenne de défaillance dangereuse par heure (PFHd) inférieure à 1.0 E-06 au niveau de la fonction de sécurité globale est exigée pour le niveau de performance PLd.
Les résultats obtenus pour chacun des sous-systèmes de sécurité sont représentés ci-dessous.
La valeur de la fonction de sécurité globale est indiquée ci-dessous.
La fonction de sécurité LC peut être modélisée comme illustré dans le schéma fonctionnel suivant :
19
20
Les calculs sont basés sur 1 sollicitation de la barrière immatérielle par heure, soit 8760 sollicitations des contacteurs à l’année.
Les mesures prises contre la défaillance de cause commune (CCF) sont quantifi ées à l’aide du procédé de notation décrit à l’annexe F de la norme ISO 13849-1. Dans notre exemple de calcul du niveau de performance PL, le score de 65 requis pour satisfaire aux exigences de CCF est supposé être atteint. Une procédure complète d’évaluation eff ective de ces CCF devra cependant être exécutée lors de la mise en pratique de cet exemple.
Plan de vérifi cation et de validationTout au long du processus de conception et de développement du système de sécurité, la vérifi cation et la validation jouent un rôle important dans la prévention des défauts. La norme ISO/EN 13849-2 défi nit les exigences en matière de vérifi cation et de validation. Elle requiert qu’un plan documenté soit établi pour confi rmer que toutes les exigences de sécurité fonctionnelle ont été satisfaites.
La vérifi cation consiste à analyser la pertinence du système de commande de sécurité résultant. Le calcul du niveau de performance (PL) du système de commande de sécurité sert à vérifi er que celui-ci est bien conforme au niveau de performance requis (PLr) spécifi é. L’outil logiciel SISTEMA est habituellement employé pour eff ectuer ces calculs dans le respect des préconisations de la norme ISO 13849-1.
La validation est un test fonctionnel du système de commande de sécurité destiné à démontrer qu’il répond bien aux exigences spécifi ées pour la fonction de sécurité. Le système de commande de sécurité est testé de façon à confi rmer que toutes les sorties à caractère de sécurité répondent conformément aux signaux d’entrée à caractère de sécurité correspondants. Ce test fonctionnel doit reproduire les conditions de fonctionnement normales et l’apparition des défauts potentiels correspondant aux modes de défaillance. Une liste de contrôle est généralement utilisée pour justifi er la validation du système de commande de sécurité.
La validation des développements logiciels (programme de commande) est une procédure dont les méthodes et les techniques ressemblent à celles utilisées pour les développements matériels. Les défauts qui se produisent suite à des erreurs dans la procédure de développement du programme sont de nature systémique, tandis que ceux qui sont liés au matériel sont considérés comme aléatoires.
Avant de procéder à la validation d’un système de sécurité GuardLogix, il est important de s’assurer que le système de sécurité et le programme d’application de sécurité ont bien été conçus conformément aux recommandations de nos documentations « Systèmes automates GuardLogix – Manuel de référence sur la sécurité » (1756-RM093) et « GuardLogix Application Instruction Safety Reference Manual » (1756-RM095).
21
22
Liste de contrôle pour la vérification et la validation de fonc tion de sécurité barrière immatérielle GuardLogix
Informations générales sur la machine
Nom/Numéro de modèle de machineNuméro de série de machineNom du clientDate du testNom(s) du testeurNuméro du schéma de câblageNom d’automateID signature de sécuritéNuméro(s) de réseau de sécuritéVersion du logiciel RSLogix5000
Modules du système de commande de sécurité
Modules GuardLogix Version du firmware
Automate de sécurité GuardLogix 1768-L43SPasserelle Ethernet CompactLogix 1768-ENBTAdaptateur Ethernet POINT I/O 1734-AENTModules d’entrée POINT I/O 1734-IB8SModules de sortie POINT I/O 1734-OB8S
Conf iguration du système de sécurité GuardLogix et vérif ication du câblage
Étape du test
Vérif ication Bon/Mauvais Changements/Modif ications
1 Vérifi ez que le système de sécurité a été conçu conformément à la publication 1756-RM093 « Systèmes automates GuardLogix – Manuel de référence sur la sécurité ».
2 Vérifi ez que le programme de l’application de sécurité a été conçu conformément à la publication 1756-RM095 « GuardLogix Application Instruction – Safety Reference Manual ».
3 Vérifi ez visuellement que le réseau du système de sécurité et les E/S sont câblés conformément aux schémas de principe.
4 Inspectez visuellement le programme RSLogix 5000 afi n de vérifi er que le réseau du système de sécurité et le module des E/S sont confi gurés conformément à la documentation.
5Inspectez visuellement le programme d’application RSLogix 5000 pour vérifi er que les instructions utilisées sont convenablement certifi ées pour la sécurité. Vérifi ez que la logique est lisible, compréhensible et testable et comporte des commentaires clairs.
6Tous les dispositifs d’entrée sont qualifi és par la coupure et l’établissement de l’alimentation de leurs actionneurs correspondants. Surveillez l’état dans la fenêtre des points d’automate (Controller Tags) dans RSLogix 5000.
7Tous les dispositifs de sortie sont qualifi és par la coupure et l’établissement de l’alimentation de leurs actionneurs correspondants. Surveillez l’état dans la fenêtre des points d’automate (Controller Tags) dans RSLogix 5000.
Vérification du fonctionnement normal – Le système de sécurité GuardLogix répond correctement à toutes les commandes normales de démarrage, d’arrêt, d’activation et de réinitialisation
Étape du test
Vérif ication Bon/Mauvais Changements/Modif ications
1Lancez une commande de démarrage. Le fonctionnement normal de la machine doit se traduire par l’activation des deux contacteurs. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
2Lancez une commande d’arrêt. L’arrêt normal de la machine doit se traduire par la désactivation des deux contacteurs. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
3Pendant le fonctionnement, interrompez la barrière immatérielle. Pour une condition sûre normale, les deux contacteurs doivent rester désactivés et ouverts. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
4
À l’arrêt, interrompez la barrière immatérielle et lancez une commande de démarrage. Pour une condition sûre normale, les deux contacteurs doivent rester désactivés et ouverts. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Renouvelez l’opération pour toutes les barrières immatérielles.
5Lancez une commande de réinitialisation. Les deux contacteurs doivent rester désactivés. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
23
Vérification du fonctionnement anormal – Le système de sécurité GuardLogix répond correctement à tous les défauts prévisibles avec les diagnostics correspondants.
Tests des entrées de la barrière immatérielle
Étape du test
Validation Bon/Mauvais Changements/Modif ications
1
Pendant le fonctionnement, retirez de l’E/S de sécurité le câble de la voie 1. Les deux contacteurs doivent se désactiver. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifi ez que le redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage de la voie 1 et renouvelez l’opération pour la voie 2.
2
Pendant le fonctionnement, mettez en court-circuit au +24 V c.c. le câble de la voie 1 relié à l’E/S de sécurité. Les deux contacteurs doivent se désactiver. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifi ez que le redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage de la voie 1 et renouvelez l’opération pour la voie 2.
3
Pendant le fonctionnement, mettez en court-circuit à (–) 0 V c.c. le câble de la voie 1 relié à l’E/S de sécurité. Les deux contacteurs doivent se désactiver. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifi ez que le redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage de la voie 1 et renouvelez l’opération pour la voie 2.
4
Pendant le fonctionnement, mettez en court-circuit les câbles des voies 1 et 2 reliés à l’E/S de sécurité. Les deux contacteurs doivent se désactiver. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifi ez que le redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage des voies 1 et 2.
Tests de l’automate GuardLogix et du réseau
Étape du test
Validation Bon/Mauvais Changements/Modif ications
1Pendant le fonctionnement, retirez la connexion réseau Ethernet entre l’E/S de sécurité et l’automate. Tous les contacteurs doivent se désactiver. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle de l’état de la connexion d’E/S dans le programme d’application de sécurité RSLogix 5000.
2Rétablissez la connexion réseau du module d’E/S de sécurité et laissez à la communication le temps de se rétablir. Vérifi ez le bit d’état de connexion dans le programme d’application de sécurité RSLogix 5000. Renouvelez l’opération pour toutes les connexions d’E/S de sécurité.
3
Pendant le fonctionnement, mettez l’automate hors du mode Exécution. Tous les contacteurs doivent se désactiver. Remettez l’interrupteur à clé en mode Exécution ; tous les contacteurs doivent rester désactivés. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
Tests des sorties des contacteurs de sécurité
Étape du test
Validation Bon/Mauvais Changements/Modif ications
1Lancez une commande de démarrage. Le fonctionnement normal de la machine doit se traduire par l’activation des deux contacteurs. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
2
Pendant le fonctionnement, retirez de l’E/S de sécurité le retour du contacteur. Tous les contacteurs doivent rester activés. Lancez une commande d’arrêt et tentez d’exécuter une commande de réinitialisation. Le système ne doit ni redémarrer ni se réinitialiser. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
3
Pendant le fonctionnement, mettez le retour du contacteur en court-circuit à l’E/S de sécurité. Tous les contacteurs doivent rester activés. Lancez une commande d’arrêt et tentez d’exécuter une commande de réinitialisation. Le système ne doit ni redémarrer ni se réinitialiser. Vérifi ez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
24
Siège des activités « Power, Control and Information Solutions »Amériques : Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496 Etats-Unis, Tél: +1 414.382.2000, Fax : +1 414.382.4444Europe / Moyen-Orient / Afrique : Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgique, Tél: +32 2 663 0600, Fax : +32 2 663 0640Asie Pacifique : Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tél: +852 2887 4788, Fax : +852 2508 1846
Canada : Rockwell Automation, 3043 rue Joseph A. Bombardier, Laval, Québec, H7P 6C5, Tél: +1 (450) 781-5100, Fax: +1 (450) 781-5101, www.rockwellautomation.caFrance : Rockwell Automation SAS – 2, rue René Caudron, Bât. A, F-78960 Voisins-le-Bretonneux, Tél: +33 1 61 08 77 00, Fax : +33 1 30 44 03 09Suisse : Rockwell Automation AG, Av. des Baumettes 3, 1020 Renens, Tél: 021 631 32 32, Fax: 021 631 32 31, Customer Service Tél: 0848 000 278
www.rockwel lautomation.com
Documentations connexesPour de plus amples informations sur les produits utilisés dans cet exemple, vous pouvez vous reporter aux documentations listées à la suite.
Les publications concernées peuvent être téléchargées à partir du site http://www.rockwellautomation.com/literature. Pour commander des exemplaires imprimés de documentation technique, contactez votre distributeur local Allen-Bradley® ou votre agence commerciale Rockwell Automation.
Publication SAFETY-AT056B-FR-E – Janvier 2013 Copyright © 2013 Rockwell Automation, Inc. Tous droits réservés.
Rockwell Automation, Allen-Bradley, GuardLogix, RSLogix 5000, CompactLogix, Stratix 2000 et POINT Guard I/O sont des marques commerciales de Rockwell Automation, Inc.Les marques commerciales n’appartenant pas à Rockwell Automation sont la propriété de leurs sociétés respectives.
Pour plus d’informations sur les possibilités off ertes par les fonctions de sécurité, visitez la page :discover.rockwellautomation.com/safety
Documentation Description
Automates Compact GuardLogix – Manuel utilisateur, Publication 1768-UM002
Fournit des informations sur la confi guration, l’utilisation et la maintenance des automates Compact GuardLogix.
Modules de sécurité POINT Guard I/O – Notice d’installation et Manuel utilisateur, Publication 1734-UM013
Fournit des informations sur l’installation, la confi guration et l’utilisation des modules POINT Guard I/O.
Systèmes automates GuardLogix – Manuel de référence sur la sécurité, Publication 1756-RM093
Contient des instructions détaillées sur la façon d’atteindre et de maintenir la classe de sécurité d’un système de commande GuardLogix.
« GuardLogix Safety Application Instruction Set Reference Manual », Publication 1756-RM095
Fournit des information détaillées sur le jeu d’instructions de sécurité pour les applications GuardLogix.
« Safety Accelerator Toolkit for GuardLogix Systems Quick Start Guide », Publication IASIMP-QS005
Guide pas à pas dans l’utilisation des outils de conception, de programmation et de diagnostic inclus dans le kit de développement Safety Accelerator Toolkit.
Catalogue des produits de sécurité