Sistemas Guardlogix

Sistemas controladores GuardLogixNmeros de catlogo 1756-L61S, 1756-L62S, 1756-L63S, 1768-L43S, 1768-L45S Manual de referencia de seguridad

Informacin importante para el usuarioLos equipos de estado slido tienen caractersticas operativas que difieren de las de los equipos electromecnicos. El documento Safety Guidelines for the Application, Installation and Maintenance of Solid State Controls (publicacin SGI-1.1 disponible en la oficina local de ventas de Rockwell Automation o en lnea en http://www.rockwellautomation.com/literature/) describe algunas diferencias importantes entre los equipos de estado slido y los dispositivos electromecnicos de lgica cableada. Debido a esta diferencia, y tambin a la gran diversidad de usos de los equipos de estado slido, todas las personas responsables de aplicar este equipo deben asegurarse de la idoneidad de cada una de las aplicaciones concebidas para estos equipos. Bajo ninguna circunstancia Rockwell Automation, Inc. ser responsable por daos indirectos o consecuentes, resultantes del uso o de la aplicacin de estos equipos. Los ejemplos y los diagramas que aparecen en este manual se incluyen nicamente con fines ilustrativos. Debido a las muchas variables y a los muchos requisitos asociados con cada instalacin en particular, Rockwell Automation, Inc. no puede asumir responsabilidad alguna por el uso real basado en ejemplos y diagramas. Rockwell Automation, Inc. no asume ninguna responsabilidad de patente con respecto al uso de informacin, circuitos, equipos o software descritos en este manual. Se prohbe la reproduccin total o parcial del contenido de este manual sin la autorizacin por escrito de Rockwell Automation, Inc. Este manual contiene notas de seguridad en cada circunstancia en que se estimen necesarias.ADVERTENCIA

Identifica informacin acerca de prcticas o circunstancias que pueden causar una explosin en un ambiente peligroso, lo que puede ocasionar lesiones personales o la muerte, daos materiales o prdidas econmicas.

IMPORTANTE ATENCIN

Identifica informacin esencial para usar el producto y comprender su funcionamiento. Identifica informacin acerca de prcticas o circunstancias que pueden ocasionar lesiones personales o a la muerte, daos materiales o prdidas econmicas. Los mensajes de atencin ayudan a identificar un peligro, a evitar un peligro, y a reconocer las consecuencias.

PELIGRO DE CHOQUE

Puede haber etiquetas en el exterior o en el interior del equipo (por ejemplo, en un variador o motor) para advertir sobre la posible presencia de voltaje peligroso.

PELIGRO DE QUEMADURA

En el equipo o dentro del mismo puede haber etiquetas (por ejemplo, en un variador o motor) a fin de advertir sobre superficies que pueden alcanzar temperaturas peligrosas.

Rockwell Automation, Allen-Bradley, TechConnect, ControlLogix, GuardLogix, CompactLogix, CompactBlock Guard I/O, ArmorBlock Guard I/O, Guard I/O, ControlFlash, Logix5000, SLC, RSLogix 5000, RSNetWorx for EtherNet/IP, RSNetWorx for DeviceNet, RSNetWorx for ControlNet, FactoryTalk Security y RSLinx son marcas comerciales de Rockwell Automation, Inc. Las marcas comerciales que no pertenecen a Rockwell Automation son propiedad de sus respectivas empresas.

Resumen de cambiosLa siguiente informacin resume los cambios hechos a este manual desde la ltima publicacin. Para ayudarle a encontrar informacin nueva y actualizada en esta versin del manual, hemos incluido barras de cambio, como las que se muestran a la derecha de este prrafo. Este manual incluye ahora los controladores 1768 Compact GuardLogix y los controladores 1756 GuardLogix. Cuando el trmino GuardLogix se usa solo en este manual, se refiere a los controladores 1756 y 1768 GuardLogix.

Tema Se aadieron el manual del usuario del controlador 1768 Compact GuardLogix as como las instrucciones de instalacin, a la lista de recursos adicionales Se aadieron los controladores 1768-L43S y 1768-L45S Compact GuardLogix y las fuentes de alimentacin elctrica 1768 a la lista de componentes del sistema GuardLogix Se aadieron las tarjetas 1784-CF64 y 1784-CF128 CompactFlash a la lista de componentes del sistema GuardLogix Se aadi el adaptador 1734-AENT POINT I/O Ethernet a la lista de componentes apropiados para uso con un sistema GuardLogix Hardware del controlador 1768-L43S y 1768-L45S Compact GuardLogix Informacin sobre cumplimiento de la norma EN50156 con entradas SIL 2 1756 ControlLogix Almacenamiento y carga de un proyecto desde la memoria no voltil Uso de las instrucciones Add-On de seguridad Datos de probabilidad de fallo a demanda (PFD) y probabilidad de fallo por hora (PFH) para los controladores 1768-L43S y 1768-L45S Datos de probabilidad de fallo a demanda (PFD) para intervalos de prueba de calidad de 20 aos Terminologa actualizada para distinguir entre la firma de tarea de seguridad, la firma de instruccin y las firmas de instruccin de seguridad

Pgina 11

17

17 18 27 47 67 91 111 y 112 112 En todo el documento

3Publicacin 1756-RM093F-ES-P Enero 2010

3

Resumen de cambios

4

Publicacin 1756-RM093F-ES-P Enero 2010

Tabla de contenidoPrefacioIntroduccin . . . . . . . . . . . . . . . . . . Acerca de esta publicacin . . . . . . . Quin debe utilizar esta publicacin Comprensin de la terminologa . . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 . 9 . 9 10 11

Captulo 1 Concepto de nivel de integridad de Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Certificacin SIL 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 seguridad (SIL)Pruebas de verificacin de funcionamiento . . . . . . . . . Arquitectura GuardLogix para aplicaciones SIL 3 . . . . . Componentes del sistema GuardLogix . . . . . . . . . . . . . Certificaciones de GuardLogix . . . . . . . . . . . . . . . . . . Especificaciones PFD y PFH de GuardLogix . . . . . . . . . Distribucin y peso de conformidad con el nivel de integridad de seguridad (SIL) . . . . . . . . . . . . . . . . . Tiempo de reaccin del sistema. . . . . . . . . . . . . . . . . . Tiempo de reaccin de la tarea de seguridad . . . . . Perodo de la tarea de seguridad y temporizador de control (watchdog) de tarea de seguridad . . . . . . . . Informacin de contacto si se produce un fallo en el dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 15 17 19 20

. 21 . 22 . 22 . 22 . 24

Captulo 2 Sistema controlador GuardLogixIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardware del controlador 1756 GuardLogix . . . . . . . . Controlador primario . . . . . . . . . . . . . . . . . . . . . . Homlogo de seguridad. . . . . . . . . . . . . . . . . . . . Chasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fuentes de alimentacin elctrica . . . . . . . . . . . . . Hardware del controlador 1768 Compact GuardLogix . Protocolo CIP Safety . . . . . . . . . . . . . . . . . . . . . . . . . Safety I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Puentes de comunicacin . . . . . . . . . . . . . . . . . . . . . Descripcin general de la programacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 25 26 26 26 27 27 27 28 28 30

Captulo 3 CIP Safety I/O para el sistema de control GuardLogixIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . . . Descripcin general . . . . . . . . . . . . . . . . . . . . Funciones de seguridad tpicas de los mdulos CIP Safety I/O. . . . . . . . . . . . . . . . . . . . . . . . . Diagnsticos . . . . . . . . . . . . . . . . . . . . . . . Datos de estado. . . . . . . . . . . . . . . . . . . . . Indicadores de estado . . . . . . . . . . . . . . . . Funcin de retardo a la conexin o a la desconexin . . . . . . . . . . . . . . . . . . . . Tiempo de reaccin . . . . . . . . . . . . . . . . . . . . Consideraciones de seguridad en torno a los mdulos CIP Safety I/O . . . . . . . . . . . . . . . . . . . . . . 31 . . . . . . . 31 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 32 32 32

. . . . . . . 32 . . . . . . . 33 . . . . . . . 335


Tabla de contenido

Propiedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Firma de configuracin de Safety I/O . . . . . . . . . . . . 33 Reemplazo de mdulos de E/S . . . . . . . . . . . . . . . . . 34

Captulo 4 CIP Safety y el nmero de red de seguridadIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El sistema de control CIP Safety encaminable . . . . . . Referencia de nodo nico . . . . . . . . . . . . . . . . . Nmero de red de seguridad . . . . . . . . . . . . . . . Consideraciones para la asignacin del nmero de red de seguridad (SNN) . . . . . . . . . . . . . . . . . . . Nmero de red de seguridad (SNN) para tags de seguridad consumidos. . . . . . . . . . . . . . . . . . Nmero de red de seguridad (SNN) para mdulos tal como vienen de fbrica . . . . . . Nmero de red de seguridad (SNN) para mdulo de seguridad con un propietario de configuracin diferente . . . . . . . . . . . . . . . . . . . Nmero de red de seguridad (SNN) al copiar un proyecto de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 37 38 38

. . . 40 . . . 40 . . . 40

. . . 40 . . . 41

Captulo 5 Caractersticas de tags de seguridad, tarea de seguridad y programas de seguridadIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Diferenciar entre estndar y de seguridad . . . . . . . . . . . Aplicaciones de seguridad SIL 2. . . . . . . . . . . . . . . . . . . Control de seguridad SIL 2 en la tarea de seguridad . Control de seguridad SIL 2 en tareas estndar (controladores 1756 GuardLogix solamente) . . . . . . . Cumplimiento de la norma EN50156 con entradas de seguridad SIL 2 de 1756 ControlLogix en configuraciones de doble canal con controladores 1756 GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . Seguridad SIL3 la tarea de seguridad . . . . . . . . . . . . . . Limitaciones de la tarea de seguridad . . . . . . . . . . . . Detalles de ejecucin de la tarea de seguridad . . . . . Programas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . Rutinas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . Tags de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tags estndar en rutinas de seguridad (asignacin de tags) . . . . . . . . . . . . . . . . . . . . . . . . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 43 44 44 47

47 50 51 51 53 53 53 55 55

Captulo 6 Desarrollo de la aplicacin de seguridadIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . . Suposiciones sobre el concepto de seguridad. Nociones bsicas para el desarrollo y prueba de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . Proceso para la puesta en servicio . . . . . . . . . Especificacin de la funcin de control. . . . . . . . . . . 57 . . . . . . . . 57 . . . . . . . . 57 . . . . . . . . 59 . . . . . . . . 59

6


Tabla de contenido

Crear el proyecto . . . . . . . . . . . . . . . . . . . . . . . Probar el programa de aplicacin . . . . . . . . . . . Generar la firma de tarea de seguridad . . . . . . . Prueba de verificacin de proyecto. . . . . . . . . . Confirmar el proyecto . . . . . . . . . . . . . . . . . . . Validacin de seguridad . . . . . . . . . . . . . . . . . . Bloquear el controlador GuardLogix . . . . . . . . . Descarga del programa de aplicacin de seguridad Carga del programa de aplicacin de seguridad . . . Edicin en lnea . . . . . . . . . . . . . . . . . . . . . . . . . . Almacenamiento y carga de un proyecto desde la memoria no voltil . . . . . . . . . . . . . . . . . . . . . . Forzar los datos . . . . . . . . . . . . . . . . . . . . . . . . . . Inhibir un mdulo. . . . . . . . . . . . . . . . . . . . . . . . . Edicin de la aplicacin de seguridad . . . . . . . . . . Realizacin de ediciones fuera de lnea. . . . . . . Realizacin de ediciones en lnea . . . . . . . . . . . Edite el proyecto . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

61 61 62 62 63 65 65 66 66 67 67 68 68 69 69 70 70

Captulo 7 Monitoreo de estado y manejo de fallosIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Monitoreo del estado del sistema. . . . . . . . . . . . . . . . . Datos de CONNECTION_STATUS. . . . . . . . . . . . . . Condicionamiento de las lneas de entrada y salida . Estado de conexin de mdulo de E/S . . . . . . . . . . Sistema de desenergizar para disparar. . . . . . . . . . . Use los datos de estado de conexin para iniciar un fallo mediante la lgica del programa . . . . . . . . Instrucciones GSV (obtener valor del sistema) y SSV (establecer valor del sistema) . . . . . . . . . . . . Fallos del sistema GuardLogix . . . . . . . . . . . . . . . . . . . Fallos de controlador no recuperables . . . . . . . . . . Fallos de seguridad no recuperables . . . . . . . . . . . . Fallos recuperables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 73 73 74 74 75

. 75 . . . . . 80 81 82 82 83

Apndice A Instrucciones de seguridadIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . Instrucciones de aplicaciones de seguridad . Instrucciones de aplicaciones de seguridad, formato metlico. . . . . . . . . . . . . . . . . . . . . Instrucciones de seguridad . . . . . . . . . . . . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 . . . . . . . . . 85 . . . . . . . . . 87 . . . . . . . . . 88 . . . . . . . . . 89

Apndice B Instrucciones Add-On de seguridadIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creacin y uso de una instruccin Add-On de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Crear proyecto de prueba de instruccin Add-On Crear una instruccin Add-On de seguridad . . . . . . . 91 . . . 91 . . . 93 . . . 937


Tabla de contenido

Generar firma de instruccin . . . . . . . . . . . . . . . . . Descargar y generar firma de instruccin de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prueba de calificacin de instruccin Add-On SIL 3. Confirmar el proyecto . . . . . . . . . . . . . . . . . . . . . . Validar la seguridad de instrucciones Add-On . . . . . Crear entrada de historial de firmas . . . . . . . . . . . . Exportar e importar la instruccin Add-On de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verificar firmas de instruccin Add-On de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Probar el programa de aplicacin . . . . . . . . . . . . . . Prueba de verificacin de proyecto. . . . . . . . . . . . . Validar la seguridad del proyecto . . . . . . . . . . . . . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . .

. 93 . . . . . 94 94 94 95 95

. 95 . . . . . 96 96 96 96 97

Apndice C Tiempos de reaccinIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . . . Tiempo de reaccin del sistema. . . . . . . . . . . . Tiempo de reaccin del sistema Logix . . . . . . . Cadena sencilla de entrada-lgica-salida . . . Cadena lgica que utiliza tags de seguridad producidos/consumidos . . . . . . . . . . . . . . . Factores que afectan los componentes del tiempo de reaccin del sistema Logix . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 . 99 . 99 100

. . . . . . 101 . . . . . . 102 . . . . . . 103

Apndice D Listas de verificacin para aplicaciones de seguridad GuardLogixIntroduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . Listas de verificacin para el sistema controlador GuardLogix. . . . . . . . . . . . . . . . . . . . . . . . . . . . Lista de verificacin para entradas de seguridad . Lista de verificacin para salidas de seguridad . . Lista de verificacin para el desarrollo de un programa de aplicacin de seguridad . . . . . . . . . . . 105 . . . . . 106 . . . . . 107 . . . . . 108 . . . . . 109

Apndice E Datos de probabilidad de fallo a demanda (PFD) y probabilidad de fallo por hora (PFH)Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datos de seguridad del controlador GuardLogix y de Guard I/O . . . . . . . . . . . . . . . . . Valores de probabilidad de fallo a demanda (PFD). Valores de probabilidad de fallo por hora (PFH) . . . . . 111 . . . 111 . . . 112 . . . 112

ndice

8


Prefacio

IntroduccinTema Acerca de esta publicacin Quin debe utilizar esta publicacin Comprensin de la terminologa Recursos adicionales Pgina 9 9 10 11

Acerca de esta publicacin

Este manual fue concebido para describir el sistema controlador GuardLogix, que es de un tipo aprobado y est certificado para uso en aplicaciones de seguridad hasta el nivel SIL 3 segn IEC 61508 e IEC 62061, y aplicaciones de seguridad hasta el nivel de rendimiento PLe (Categora 4) segn ISO 13849-1. Esta publicacin cubre los sistemas controladores 1756 y 1768 GuardLogix. Cuando el trmino controladores GuardLogix se usa solo en esta publicacin, se refiere a los controladores 1756 y 1768 GuardLogix. La informacin especfica de un controlador incluir el nmero de boletn, 1756 1768.

Quin debe utilizar esta publicacin

Use este manual si usted es responsable del desarrollo, de la operacin o del mantenimiento de un sistema de seguridad basado en un controlador GuardLogix. Es necesario que lea y comprenda los conceptos y los requisitos de seguridad presentados en este manual, antes de operar un sistema de seguridad basado en un controlador GuardLogix.


9

Prefacio

Comprensin de la terminologaTrminos y definiciones Abreviatura 1oo2 CIP CIP Safety Significado

En la tabla siguiente se definen los trminos utilizados en este manual.

Definicin Identifica la arquitectura del controlador electrnico programable. Protocolo de comunicacin diseado para aplicaciones industriales de automatizacin. Versin de CIP con clasificacin SIL 3

One Out of Two (uno de dos) Common Industrial Protocol (protocolo industrial comn) Common Industrial Protocol (Protocolo industrial comn) Certificado de seguridad Diagnostic Coverage (cobertura de diagnstico) European Norm. (normativa europea) Get System Value (obtener valor del sistema) Personal Computer (computadora personal)

DC EN GSV PC PFD

Relacin entre la tasa de fallos detectada y la tasa total de fallos. Estndar oficial europeo Una instruccin de lgica de escalera que obtiene informacin sobre el estado del controlador especificado y la pone en un tag de destino. Computadora utilizada para servir de interface y controlar un sistema basado en Logix mediante el software de programacin RSLogix 5000.

Probability of Failure on Probabilidad media de que un sistema falle al realizar bajo demanda la funcin Demand (probabilidad de fallo a para la que est diseado. demanda) Probability of Failure per Hour (probabilidad de fallo por hora) Performance Level (nivel de rendimiento) Safety Network Number (nmero de red de seguridad) Set System Value (definir valor del sistema) Estndar Probabilidad de un sistema de experimentar un fallo peligroso por hora. Clasificacin de seguridad ISO 13849-1. Nmero nico que identifica una seccin de una red de seguridad. Instruccin de lgica de escalera que define los datos del sistema controlador. Cualquier objeto, tarea, tag, programa o componente del proyecto que no est relacionado con la seguridad (por ej., un controlador estndar se refiere de manera genrica a un controlador ControlLogix o CompactLogix).

PFH PL SNN SSV --

10


Prefacio

Recursos adicionales

La siguiente tabla presenta una lista de las publicaciones que contienen informacin importante acerca de los sistemas controladores GuardLogix.Descripcin Proporciona informacin acerca de cmo instalar el controlador GuardLogix.

Recurso GuardLogix Controller Installation Instructions, publicacin 1756-IN045

GuardLogix Controllers User Manual, publicacin 1756-UM020 Configuracin y programacin del sistema GuardLogix CompactLogix Controllers Installation Instructions, publicacin Proporciona informacin acerca de cmo instalar los controladores 1768-IN004 Compact GuardLogix 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002 GuardLogix Safety Application Instruction Set Reference Manual, publicacin 1756-RM095 Detalla cmo configurar, programar y operar un sistema 1768 CompactLogix y proporciona especificaciones tcnicas. Proporciona informacin acerca del conjunto de instrucciones de aplicaciones de seguridad GuardLogix.

CompactBlock Guard I/O DeviceNet Safety Module Installation Proporciona informacin sobre cmo instalar los mdulos Instructions, publicacin 1791DS-IN002 CompactBlock Guard I/O DeviceNet Safety Guard I/O DeviceNet Safety Modules User Manual, publicacin Proporciona informacin sobre cmo usar los mdulos Guard I/O 1791DS-UM001 DeviceNet Safety Guard I/O EtherNet/IP Safety Modules Installation Instructions, Proporciona informacin sobre cmo instalar los mdulos publicacin 1791ES-IN001 CompactBlock Guard I/O EtherNet/IP Safety Guard I/O EtherNet/IP Safety Modules User Manual, publicacin 1791ES-UM001 Using ControlLogix in SIL2 Applications Safety Reference Manual, publicacin 1756-RM001 Logix5000 General Instruction Set Reference Manual, publicacin 1756-RM003 Logix Common Procedures Programming Manual, publicacin 1756-PM001 Proporciona informacin sobre cmo usar los mdulos Guard I/O EtherNet/IP Safety Describe los requisitos para usar los controladores ControlLogix y la tarea estndar GuardLogix en aplicaciones de control de seguridad SIL 2. Proporciona informacin acerca del conjunto de instrucciones de Logix5000. Proporciona informacin sobre cmo programar los controladores Logix5000, incluida la administracin de archivos de proyecto, organizacin de tags, programacin y prueba de rutinas, y manejo de fallos. Proporciona informacin sobre cmo crear y usar instrucciones Add-On estndar y de seguridad en aplicaciones Logix. Proporciona informacin sobre cmo usar ControlLogix en aplicaciones que no son de seguridad. Proporciona informacin sobre cmo usar el mdulo 1756-DNB en un sistema de control Logix5000. Proporciona informacin sobre cmo usar el mdulo 1756-ENBT en un sistema de control Logix5000. Proporciona informacin sobre cmo usar el mdulo 1756-CNB en sistemas de control Logix5000. Proporciona informacin sobre cmo calcular el tiempo de ejecucin y el uso de memoria para las instrucciones. Proporciona informacin acerca del uso de la utilidad de importacin/exportacin de RSLogix 5000.

Logix5000 Controllers Add-On Instructions Programming Manual, publicacin 1756-PM010 ControlLogix System User Manual, publicacin 1756-UM001 DeviceNet Modules in Logix5000 Control Systems User Manual, publicacin DNET-UM004 EtherNet/IP Modules in Logix5000 Control Systems User Manual, publicacin ENET-UM001 ControlNet Modules in Logix5000 Control Systems User Manual, publicacin CNET-UM001 Logix5000 Controllers Execution Time and Memory Use Reference Manual, publicacin 1756-RM087 Logix Import Export Reference Manual, publicacin 1756-RM084

Puede ver o descargar publicaciones en http://literature.rockwellautomation.com. Para pedir copias impresas de documentos tcnicos, comunquese con el distribuidor o con el representante de ventas local de Rockwell Automation.


11

Prefacio

Notas:

12


Captulo

1

Concepto de nivel de integridad de seguridad (SIL)

Introduccin

Este captulo presenta el concepto de nivel de integridad de seguridad (SIL) y describe cmo el controlador GuardLogix cumple con los requisitos para la certificacin SIL 3.Tema Certificacin SIL 3 Pruebas de verificacin de funcionamiento Arquitectura GuardLogix para aplicaciones SIL 3 Componentes del sistema GuardLogix Certificaciones de GuardLogix Especificaciones PFD y PFH de GuardLogix Distribucin y peso de conformidad con el nivel de integridad de seguridad (SIL) Tiempo de reaccin del sistema Perodo de la tarea de seguridad y temporizador de control (watchdog) de tarea de seguridad Informacin de contacto si se produce un fallo en el dispositivo Pgina 13 14 15 17 19 20 21 22 22 23

Certificacin SIL 3

Los sistemas de controlador 1756 y 1768 GuardLogix cuentan con aprobacin de tipo y estn certificados para uso en aplicaciones de seguridad hasta el nivel SIL 3 segn IEC 61508 e IEC 62061, y aplicaciones de seguridad hasta el nivel de rendimiento PLe (Categora 4) segn ISO 13849-1. Los requisitos de nivel de integridad de seguridad (SIL) se basan en los estndares vigentes al momento de la certificacin.IMPORTANTE

Cuando el controlador GuardLogix est en modo de marcha o de programacin, y el usuario no ha validado la aplicacin, el usuario es responsable de mantener las condiciones de seguridad.

Adems, las tareas estndar dentro de los controladores 1756 GuardLogix pueden usarse para aplicaciones estndar o para aplicaciones de seguridad SIL2, como se describe en el documento Using ControlLogix in SIL 2 Applications Reference Manual, publicacin 1756-RM001. En cualquier caso, no use SIL2 o tareas estndar y variables para crear lazos de seguridad de un nivel superior. La tarea de seguridad es la nica tarea certificada para aplicaciones SIL3. La tarea estndar en los controladores 1768 Compact GuardLogix no debe usarse en aplicaciones de seguridad SIL 2.


13

Captulo 1


El software de programacin RSLogix 5000 se requiere para crear programas para los controladores 1756 y 1768 GuardLogix. TV Rheinland ha aprobado los sistemas controladores GuardLogix para uso en aplicaciones relacionadas con la seguridad hasta SIL 3, en las que el estado desenergizado se considera el estado seguro. Todos los ejemplos relacionados con E/S que se incluyen en este manual se basan en la consecucin de la desenergizacin como estado seguro para sistemas tpicos de desactivacin de emergencia (ESD) y seguridad de mquinas.IMPORTANTE El usuario del sistema es responsable de: la configuracin, la clasificacin SIL y la validacin de cualquier sensor o accionador conectado al sistema GuardLogix; la administracin del proyecto y las pruebas de funcionamiento; el control de acceso al sistema de seguridad, incluido el manejo de contraseas; programar el software de aplicacin y las configuraciones de los dispositivos segn la informacin descrita en este manual de referencia de seguridad y en el documento GuardLogix Controllers User Manual, publicacin 1756-UM020, o en el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002.

Al aplicar la seguridad de funcionamiento, restrinja el acceso a personal calificado y autorizado que cuente con la debida formacin y experiencia. La funcin de bloqueo de seguridad, con contraseas, se proporciona en el software RSLogix 5000. Para obtener informacin sobre cmo usar la funcin de bloqueo de seguridad, consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002.

Pruebas de verificacin de funcionamiento

La norma IEC 61508 estipula que el usuario debe realizar varias pruebas de verificacin de funcionamiento del equipo utilizado en el sistema. Las pruebas de verificacin de funcionamiento se realizan en momentos definidos por el usuario. Por ejemplo, los intervalos de la prueba de verificacin de funcionamiento pueden ser una vez al ao, una vez cada 15 aos o cualquier otro intervalo adecuado. Los controladores GuardLogix tienen un intervalo de prueba de verificacin de funcionamiento de hasta 20 aos. Otros componentes del sistema, como mdulos Safety I/O, sensores y accionadores, pueden tener intervalos de prueba de verificacin de funcionamiento ms frecuentes. El controlador debe incluirse

14



Captulo 1

en la prueba de verificacin de funcionamiento de los otros componentes del sistema de seguridad.IMPORTANTE

Sus aplicaciones especficas determinan el intervalo de prueba de la verificacin de funcionamiento. No obstante, esto est principalmente relacionado con los mdulos Safety I/O y con la instrumentacin de campo.

Para obtener ms informacin sobre los requisitos de una prueba de verificacin de funcionamiento, vea Prueba de verificacin de proyecto en las pgina 62 y 63.

Arquitectura GuardLogix para aplicaciones SIL 3

La siguiente ilustracin muestra una funcin SIL tpica que incluye: la funcin general de seguridad; la parte GuardLogix de la funcin general de seguridad; cmo otros dispositivos (por ejemplo, la HMI) estn conectados, mientras operan fuera de la funcin.


15

Captulo 1


Funcin SIL tpicaA Ethernet a nivel de toda la planta Software de programacin HMI Acceso de slo lectura a los tags de seguridad

Conmutador Funcin general de seguridad Sistema GuardLogix SIL 3 Mdulo CIP Safety I/O 1756-ENBT 1756-L6xS 1756-DNB 1756-LSP Accionador Red DeviceNet Safety Mdulo CIP Safety I/O Accionador Sensor CIP Safety Sensor

Mdulo CIP Safety I/O en red Ethernet

Mdulo CIP Safety I/O en red Ethernet

Accionador Controlador Compact GuardLogix con mdulo 1768-ENBT Sensor

Sistema Compact GuardLogix SIL 3

16



Captulo 1

Componentes del sistema GuardLogix

Las tablas proporcionadas en esta seccin listan los componentes GuardLogix con certificacin SIL 3 para los sistemas 1756 y 1768, as como los componentes sin certificacin SIL 3 que pueden usarse con sistemas GuardLogix SIL 3. Para obtener la lista ms actualizada de series y revisiones de firmware certificadas de controladores GuardLogix y mdulos CIP Safety I/O, visite http://www.rockwellautomation.com/products/ certification/safety/. Las revisiones de firmware estn disponibles en http://support.rockwellautomation.com/ControlFlash/.

Componentes GuardLogix con certificacin SIL 3 Documentacin relacionada(1) Tipo de dispositivo N de cat. Descripcin Instrucciones de instalacin Manual del usuario

1756-L61S Controlador con memoria estndar de 2 MB, memoria de seguridad de 1 MB Controlador primario 1756 (ControlLogix556xS) 1756-L62S Controlador con memoria estndar de 4 MB, memoria de seguridad de 1 MB 1756-L63S Controlador con memoria estndar de 8 MB, memoria de seguridad de 3.75 MB Homlogo de seguridad 1756 1756-LSP (ControlLogix55SP) Controlador 1768 Compact GuardLogix (CompactLogix4xS) Mdulos CIP Safety I/O en redes DeviceNet Mdulos CIP Safety I/O en redes EtherNet/IP Homlogo de seguridad 1768-IN004 1768-UM002 1756-IN045 1756-UM020

1768-L43S Controlador con cabida para dos mdulos 1768 1768-L45S Controlador con cabida para cuatro mdulos 1768

1791DS-IN001 1791DS-IN002 Para obtener la lista ms actualizada de series y revisiones de 1732DS-IN001 firmware certificadas, vea el certificado de seguridad en http://www.rockwellautomation.com/products/certification/safety/ 1791ES-IN001

1791DS-UM001 1791ES-UM001

(1) Estas publicaciones estn disponibles en el sitio web de Rockwell Automation http://literature.rockwellautomation.com.

Componentes adecuados para uso con sistemas de seguridad de controladores 1768 Compact GuardLogix Documentacin relacionada(2) Tipo de dispositivo Fuente de alimentacin elctrica Mdulos de comunicacin Software de programacin N de cat. 1768-PA3 1768-PB3 1768-ENBT 1734-AENT 1734-AENTR 1768-CNB 9324-xxxx Descripcin Fuente de alimentacin elctrica, CA Fuente de alimentacin elctrica, CC Mdulo puente EtherNet/IP Adaptador POINT I/O Ethernet Adaptador POINT I/O Ethernet Mdulo puente ControlNet Software RSLogix 5000 Tarjeta CompactFlash de 64 MB Tarjeta CompactFlash de 128 MB Serie(1) N/A N/A A A A A N/A N/A N/A Instrucciones Versin(1) de instalacin N/A N/A 3.1.1 3.001 3.001 2.1.1 18 N/A N/A 1768-IN001 1768-IN002 1734-IN590 1734-IN040 1768-IN006 N/A N/A N/A ENET-UM001 1734-UM011 Ninguno disponible. CNET-UM001 Consulte la ayuda en lnea. N/A N/A Manual del usuario Ninguno disponible.

Tarjetas 1784-CF64 CompactFlash 1784-CF128

(1) Esta versin o posterior. (2) Estas publicaciones estn disponibles en el sitio web de Rockwell Automation en http://literature.rockwellautomation.com.


17

Captulo 1


Componentes adecuados para uso con sistemas de seguridad de controladores 1756 GuardLogix Documentacin relacionada(4) Tipo de dispositivo Chasis N de cat. 1756-A4, A7, A10, A13, A17 1756-PA72 1756-PB72 Fuente de alimentacin elctrica 1756-PA75 1756-PB75 1756-PA75R(1) 1756-PB75R 1756-ENBT 1756-EN2T 1756-EN2F Mdulos de comunicacin 1734-AENT 1756-DNB 1756-CN2 1756-CN2R Software de programacin Tarjetas CompactFlash 9324-xxxx 1784-CF64 1784-CF128 Chasis Fuente de alimentacin elctrica, CA Fuente de alimentacin elctrica, CC Fuente de alimentacin elctrica, CA Fuente de alimentacin elctrica, CC Fuente de alimentacin elctrica redundante, CA Fuente de alimentacin elctrica redundante, CC Mdulo puente EtherNet/IP Descripcin Instrucciones Manual del usuario Serie(2) Versin(2) de instalacin B C C B B A A A A A A A A A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A 3.6 2.005 2.005 3.001 6.2 12.1 12.1 14(3) N/A N/A 1756-IN019 1756-IN603 1756-IN606 1734-IN590 1756-IN566 1756-IN602 1756-IN602 NA N/A N/A ENET-UM001 1756-IN573 1756-IN596 Ninguno disponible. 1756-IN080

Adaptador POINT I/O Ethernet Mdulo puente DeviceNet Mdulo puente ControlNet Mdulo puente ControlNet, medio fsico redundante Software RSLogix 5000 Tarjeta CompactFlash de 64 MB Tarjeta CompactFlash de 128 MB

1734-UM011 DNET-UM004 CNET-UM001 CNET-UM001 Consulte la ayuda en lnea. N/A N/A

(1) Se necesita un adaptador de chasis para fuente de alimentacin redundante 1756-PSCA o 1756-PSCAR para uso con las fuentes de alimentacin elctrica redundantes. (2) Esta versin o posterior. (3) El software RSLogix 5000, versin 15, no es compatible con los controladores de seguridad GuardLogix. (4) Estas publicaciones estn disponibles en el sitio web de Rockwell Automation en http://literature.rockwellautomation.com.

Las ranuras del chasis de un sistema SIL 3 que no se utilizan en el sistema 1753 SIL 3 se pueden ocupar con otros mdulos ControlLogix (1756) certificados segn las directivas de bajo voltaje y de compatibilidad electromagntica (EMC). Las ranuras de expansin de un bus de sistema SIL 3 que no se utilizan en el sistema 1768 SIL 3 se pueden ocupar con otros mdulos CompactLogix (1768) certificados segn las directivas de bajo voltaje y de compatibilidad electromagntica (EMC). Para encontrar los certificados para el Control programable Familia de productos ControlLogix y Control programable Familia de productos CompactLogix, visite http://www.rockwellautomation.com/products/certification/ce/.

18



Captulo 1

Certificaciones de GuardLogix

Esta tabla lista las principales certificaciones de GuardLogix. Para obtener la lista completa de las certificaciones de seguridad actuales y productos asociados, visite http://www.rockwellautomation.com/products/certification/safety/ index.html.ISO 13849-1:2006 (PLe)

Nmero de catlogo UL 1998 UL 508

IEC 61508 (SIL 3)

ANSI RIA 15.06

IEC 61511 X X

1756-L61S,1756-L62S, 1756-L63S 1768-L43S, 1768-L45S

X X

X X

X X

X X

X X

X X

X X

La documentacin del usuario de GuardLogix normalmente indica las certificaciones obtenidas para los productos. Si un producto ha sido certificado, su etiqueta incluye el distintivo correspondiente. La certificacin de un producto aparece en la tabla de especificaciones del producto, de manera similar al ejemplo mostrado a continuacin.Certificacin Descripcin Seguridad de funcionamiento(1) c-UL-us Certificacin de TV: capacidad SIL 1 a 3, segn IEC 61508 y PLe/Cat. 4 segn ISO 13849-1 Certificacin UL: capacidad SIL 3; vea el archivo UL E256621. Equipo de control industrial en lista de UL y certificado para los EE.UU. y Canad. Vea el archivo UL E65584. En lista de UL para lugares peligrosos Clase I, Divisin 2, Grupos A, B, C, D, certificado para los EE.UU. y Canad. Vea el archivo UL E194810. CSA Equipo de control de procesos certificado por CSA. Vea el archivo CSA LR54689C. Equipo de control de procesos certificado por CSA para lugares peligrosos Clase I, Divisin 2, Grupos A, B, C, D FM CE Equipo aprobado por FM para uso en lugares peligrosos Clase I, Divisin 2, Grupos A, B, C, D Directiva 2004/108/EC EMC de la Unin Europea, compatible con: EN 61000-6-4; Emisiones industriales EN 61326-1; Medicin/control/laboratorio, requisitos industriales EN 61000-6-2; Inmunidad industrial EN61131-2; Controladores programables (clusula 8, zonas A y B) C-Tick Ley australiana de radiocomunicaciones, conforme la normativa AS/NZS CISPR 11; Emisiones industriales

(1) Cuando se usa con las versiones de software especificadas y como se describe en el documento GuardLogix Controller Systems Safety Reference Manual, publicacin 1756-RM093.


IEC6206119

NFPA 79

Captulo 1


Vaya al vnculo Product Certification en http://www.rockwellautomation.com/products/certification/ para obtener informacin sobre las declaraciones de conformidad, certificados y otros detalles de certificacin.

Especificaciones PFD y PFH de GuardLogix

Los sistemas relacionados con la seguridad pueden clasificarse en cuanto a su operacin en sistemas que funcionan en modo de baja demanda y los que funcionan en modo de alta demanda o continuo. IEC 61508 cuantifica esta clasificacin al establecer que la frecuencia de demandas de operacin del sistema de seguridad no sea superior a una vez al ao en el modo de baja demanda, ni superior a una vez al ao en el modo de alta demanda o continuo. El valor de nivel de integridad de seguridad (SIL) para un sistema relacionado con la seguridad de baja demanda est directamente relacionado con los rangos de orden de magnitud de su probabilidad media de fallos para realizar satisfactoriamente su funcin de seguridad a demanda o, sencillamente, la probabilidad de fallo a demanda (PFD). El valor SIL de un sistema de seguridad en modo de alta demanda/continuo est directamente relacionado con la probabilidad de que ocurra un fallo peligroso por hora (PFH). Los valores PFD y PFH estn asociados con cada uno de los tres elementos primarios que conforman un sistema relacionado con la seguridad (sensores, elementos lgicos y accionadores). Dentro de los elementos lgicos, tambin hay elementos de entrada, procesadores y de salida. Para obtener los valores PFD y PFH y los intervalos de prueba (de calidad) para verificacin de funcionamiento de los mdulos CIP Safety I/O, consulte el Apndice E, Datos de probabilidad de fallo a demanda (PFD) y probabilidad de fallo por hora (PFH).Ejemplo de PFH

1791DS-IB12 Sensor LAZO 1 Controlador GuardLogix 1791DS-IB4XOX4 Accionador Accionador Sensor Sensor 1791DS-IB8XOB8 LAZO 2

20



Captulo 1

Para determinar el elemento lgico PFH de cada lazo de seguridad en el sencillo sistema mostrado en el ejemplo de PFH, sume los valores de PFH de cada componente del lazo. La tabla Ecuaciones de PFH por lazo de seguridad proporciona un ejemplo simplificado de clculos del valor PFH para cada lazo de seguridad mostrado en la ilustracin del ejemplo de PFH.Ecuaciones de PFH por lazo de seguridad Para este lazo Sume los valores PFH de estos componentes

PFH total por lazo 1 = 1791DS-IB12 + controlador GuardLogix + 1791DS-IB4XOX4 PFH total por lazo 2 = 1791DS-IB8XOB8 + controlador GuardLogix + 1791DS-IB4XOX4

Al calcular los valores de PFH debe tener en cuenta los requisitos especficos de su aplicacin, incluidos los intervalos de prueba.

Distribucin y peso de conformidad con el nivel de integridad de seguridad (SIL)

Se puede suponer conservadoramente que el controlador GuardLogix y el sistema de E/S contribuyen en un 10% a la prdida de confiabilidad. Es posible que un sistema SIL 3 necesite incorporar varias entradas para sensores crticos y dispositivos de entrada, as como salidas dobles conectadas en serie a accionadores dobles, dependiendo de las evaluaciones SIL del sistema relacionado con la seguridad.Prdida de confiabilidad+V 10% del PFD

40% del PFD

SensorMdulo de entrada

Controlador

Accionador Mdulo de salida Accionador

Sensor

50% del PFD


21

Captulo 1


Tiempo de reaccin del sistema

El tiempo de reaccin del sistema es la cantidad de tiempo transcurrido desde la ocurrencia de un evento de seguridad, como una entrada al sistema, hasta que el sistema establece las salidas correspondientes a su estado seguro. Los fallos dentro del sistema tambin pueden afectar el tiempo de reaccin del sistema. El tiempo de reaccin del sistema es la suma de los siguientes tiempos de reaccin:Tiempo de reaccin del sensor Tiempo de reaccin de la entrada Tiempo reaccin de tarea seg. Tiempo de reaccin de la salida Tiempo reaccin accion.

Cada uno de los tiempos antes mencionados vara debido a factores como, por ejemplo, el tipo de mdulo de E/S y las instrucciones utilizadas en el programa.

Tiempo de reaccin de la tarea de seguridadEl tiempo de reaccin de la tarea de seguridad es el mayor retardo que puede producirse entre el momento en que se presenta cualquier cambio a la entrada del controlador y el momento en que la salida procesada queda establecida por el productor de salida. Es menor o igual que la suma del perodo de la tarea de seguridad y el temporizador de control (watchdog) de tarea de seguridad.

Perodo de la tarea de seguridad y temporizador de control (watchdog) de tarea de seguridadEl perodo de la tarea de seguridad es el intervalo con que se ejecuta la tarea de seguridad. El tiempo del temporizador de control (watchdog) de tarea de seguridad es el mayor tiempo permisible para el procesamiento de la tarea de seguridad. Si el tiempo de procesamiento de la tarea de seguridad supera el tiempo del temporizador de control (watchdog) de tarea de seguridad, se presenta un fallo de seguridad no recuperable en el controlador y las salidas cambian automticamente al estado seguro (desconectado). Usted define el tiempo del temporizador de control (watchdog) de tarea de seguridad, el cual debe ser menor o igual que el perodo de la tarea de seguridad. El tiempo del temporizador de control (watchdog) de tarea de seguridad se establece en la ventana de propiedades de tareas del software RSLogix 5000. Este valor se puede modificar en lnea, independientemente del modo del controlador, pero no se puede cambiar cuando el controlador est en bloqueo de seguridad o una vez que se haya creado una firma de tarea de seguridad.22 Publicacin 1756-RM093F-ES-P Enero 2010


Captulo 1

Informacin de contacto si se produce un fallo en el dispositivo

Si experimenta un fallo en algn dispositivo con certificacin SIL 3, pngase en contacto con el distribuidor local de Rockwell Automation. Mediante este contacto, podr hacer lo siguiente: devolver el dispositivo a Rockwell Automation para que el fallo quede registrado adecuadamente para el nmero de catlogo afectado y se guarde un informe del fallo; solicitar un anlisis del fallo (si fuera necesario) para intentar determinar el motivo del fallo.


23

Captulo 1


24


Captulo

2

Sistema controlador GuardLogix

IntroduccinTema Hardware del controlador 1756 GuardLogix Hardware del controlador 1768 Compact GuardLogix Protocolo CIP Safety Safety I/O Puentes de comunicacin Descripcin general de la programacin Pgina 25 27 27 28 28 30

Para consultar una breve lista de los componentes adecuados para uso en aplicaciones con nivel de integridad de seguridad (SIL 3), vea la tabla en la pgina 17. Para obtener informacin ms detallada y actualizada, visite http://www.rockwellautomation.com/products/certification/safety/ Al instalar un controlador GuardLogix, siga la informacin descrita en el documento GuardLogix Controllers Installation Instructions, publicacin 1756-IN045, o en el documento CompactLogix Controllers Installation Instructions, publicacin 1768-IN004.

Hardware del controlador 1756 GuardLogix

El controlador 1756 GuardLogix consta de un controlador primario, nmero de catlogo 1756-L61S, 1756-L62S o 1756-L63S, y un homlogo de seguridad, nmero de catlogo 1756-LSP. Estos dos mdulos trabajan en una arquitectura 1oo2 para crear el controlador con capacidad SIL 3. Dichos mdulos se describen en las siguientes secciones. Tanto el controlador primario como el homlogo de seguridad realizan pruebas diagnsticas de funcionamiento, tanto al momento del encendido como durante la ejecucin, de todos los componentes del controlador relacionados con la seguridad. Adems, ambos cuentan con indicadores de estado. Para obtener detalles acerca de la operacin de los indicadores de estado, consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020.


25

Captulo 2


IMPORTANTE

Los indicadores de estado no son indicadores confiables de las funciones de seguridad. Deben utilizarse slo realizar hacer diagnsticos generales durante la puesta en servicio o la resolucin de problemas. No intente utilizar los indicadores de estado para determinar el estado de operacin.

Controlador primarioEl controlador primario es el procesador que realiza funciones estndar y de control de seguridad, y que se comunica con el homlogo de seguridad para las funciones relacionadas con la seguridad del sistema de control GuardLogix. El controlador primario consta de un procesador central, la interface de E/S y la memoria.

Homlogo de seguridadCon el fin de cumplir los requisitos de SIL 3, es necesario instalar un homlogo de seguridad, nmero de catlogo 1756-LSP, en la ranura situada inmediatamente a la derecha del controlador primario. El homlogo de seguridad es un coprocesador que proporciona redundancia para las funciones relacionadas con la seguridad del sistema. El homlogo de seguridad es configurado por el controlador primario. Slo es necesaria una simple descarga del programa de usuario al controlador primario. El modo de operacin del homlogo de seguridad se controla mediante el controlador primario.

ChasisEl chasis 1756-Axx proporciona las conexiones fsicas entre los mdulos y el sistema 1756 GuardLogix. Cualquier fallo, aunque improbable, sera detectado como fallo por uno o ms de los componentes activos del sistema. Por tanto, el chasis es irrelevante para el anlisis de seguridad.

Fuentes de alimentacin elctricaLas siguientes fuentes de alimentacin elctrica de ControlLogix son aptas para utilizarse en aplicaciones SIL 3:

26



Captulo 2

Fuente de alimentacin elctrica de CA 1756-PA72 Fuente de alimentacin elctrica de CA 1756-PA75 Fuente de alimentacin elctrica de CC 1756-PB72 Fuente de alimentacin elctrica de CC 1756-PB75 Fuente de alimentacin elctrica de CA 1756-PA75R (redundante) Fuente de alimentacin elctrica de CC 1756-PB75R (redundante) Adaptador de chasis de fuente de alimentacin elctrica redundante 1756-PSCA o 1756-PSCA2 (necesario para utilizar con fuentes de alimentacin elctrica redundantes) No es necesario contar con configuraciones ni cableados adicionales para la operacin SIL 3 de las fuentes de alimentacin elctrica ControlLogix. Cualquier fallo sera detectado como tal por uno o ms de los componentes activos del sistema GuardLogix. Por lo tanto, la fuente de alimentacin elctrica es irrelevante para el anlisis de seguridad.

Hardware del controlador 1768 Compact GuardLogix

Los controladores 1768 Compact GuardLogix combinan a los controladores primario y homlogo de seguridad en un solo paquete de hardware de controlador para formar un controlador con capacidad SIL-3. Los controladores Compact GuardLogix cuentan con un backplane 1768 y un backplane 1769 para aceptar mdulos de E/S 1769 estndar.Controlador Mximo de mdulos 1768 (locales) 1768-L43S 1768-L45S 2 4 Mximo de mdulos de E/S 1769 (locales y remotos) 16 30

El controlador 1768 Compact GuardLogix es alimentado por una fuente de alimentacin elctrica 1768-PA3 1768-PB3. Tambin se requiere una terminacin de tapa final 1769-ECR.

Protocolo CIP Safety

La comunicacin relacionada con la seguridad entre controladores GuardLogix tiene lugar a travs de los tags de seguridad producidos y consumidos. Estos tags de seguridad utilizan el protocolo CIP Safety, que est diseado para conservar la integridad de los datos durante las comunicaciones. Para obtener ms informacin acerca de los tags de seguridad, consulte el Captulo 5, Caractersticas de tags de seguridad, tarea de seguridad y programas de seguridad.


27

Captulo 2


Safety I/O

Para obtener informacin acerca de los mdulos CIP Safety I/O para uso con los controladores GuardLogix, consulte el Captulo 3.

Puentes de comunicacin

Los siguientes mdulos de interface de comunicacin estn disponibles para facilitar la comunicacin sobre redes Ethernet/IP, DeviceNet y ControlNet mediante el protocolo CIP Safety:Sistema GuardLogix Mdulos de comunicacin 1756 Mdulo puente 1756-ENBT, 1756-EN2T o 1756-EN2F EtherNet/IP Adaptador 1734-AENT POINT I/O Ethernet Mdulo puente 1756-DNB DeviceNet Mdulo puente 1756-CN2 ControlNet Mdulo puente 1756-CN2R ControlNet redundante 1768 1768-ENBT Adaptador 1734-AENT POINT I/O Ethernet 1768-CNB 1768-CNBR

IMPORTANTE

Debido al diseo del sistema de control CIP Safety, los dispositivos de puente de seguridad CIP como los listados en la tabla no necesitan tener la certificacin SIL 3.

Red EtherNet/IPLa comunicacin de seguridad de igual a igual entre controladores GuardLogix es posible a travs de la red EtherNet/IP mediante el uso de mdulos puente 1756-ENBT, 1756-EN2T o 1768-ENBT. Un mdulo puente EtherNet/IP permite que el controlador GuardLogix controle e intercambie datos de seguridad con mdulos CIP Safety I/O en una red EtherNet/IP.Comunicacin de igual a igual mediante mdulos 1756-ENBT y la red EtherNet/IPConmuador EtherNet Red EtherNet/IP Red EtherNet/IP

1768-ENBT

1756-ENBT

1756-DNB

1768-L43S

1756-L62S

1769-ECR

1768-PB3

1756-LSP

Mdulo CIP Safety I/O Mdulo CIP Safety I/O

Controlador B

Controlador A Mdulo CIP Safety I/O Mdulo CIP Safety I/O Red DeviceNet

28



Captulo 2

SUGERENCIA

La comunicacin de seguridad de igual a igual entre dos controladores 1756 GuardLogix en el mismo chasis tambin es posible a travs del backplane.Backplane1756-L62S 1756-L62S 1756-OB16 1756-IB16 1756-LSP 1756-LSP 1756-DNB 1756-CN2

Red DeviceNet SafetyEl mdulo puente 1756-DNB DeviceNet permite que el controlador 1756 GuardLogix controle e intercambie datos de seguridad con mdulos CIP Safety I/O en una red DeviceNet.Comunicacin DeviceNet mediante un mdulo 1756-DNB

1756-L62S

1756-LSP

1756-DNB

Red DeviceNet


Red ControlNetEl mdulo 1756-CN2 1768-CNB CN2 permiten que el controlador GuardLogix produzca y consuma tags de seguridad mediante redes ControlNet a otros procesadores GuardLogix o redes CIP Safety I/O remotas.Red ControlNet

1768-L43S

1768-CNB

1769-IA16

1769-ECR

1768-PB3

Controlador A

Controlador B


Red DeviceNet


29

Captulo 2


Descripcin general de la programacin

El software de programacin para el controlador GuardLogix es el software RSLogix 5000. El software RSLogix 5000 se utiliza para definir la ubicacin, la propiedad y la configuracin de los controladores y de los mdulos de E/S. El software tambin se utiliza para crear, probar y depurar la lgica de la aplicacin. Inicialmente, slo la lgica de escalera de rels es compatible con la tarea de seguridad GuardLogix. Consulte el Apndice A para obtener informacin acerca del conjunto de instrucciones lgicas disponibles para las aplicaciones de seguridad. El personal autorizado puede cambiar un programa de aplicacin, pero slo si utiliza uno de los procesos descritos en Edicin de la aplicacin de seguridad en la pgina 69.

30


Captulo

3

CIP Safety I/O para el sistema de control GuardLogix

IntroduccinTema Descripcin general Funciones de seguridad tpicas de los mdulos CIP Safety I/O Tiempo de reaccin Consideraciones de seguridad en torno a los mdulos CIP Safety I/O Pgina 31 31 33 33

Descripcin general

Antes de poner a funcionar un sistema de seguridad GuardLogix que contenga mdulos CIP Safety I/O, usted debe leer, comprender y seguir la informacin sobre instalacin, operacin y seguridad proporcionada en las publicaciones mencionadas en las tablas de Componentes GuardLogix con certificacin SIL 3 en la pgina 17. Los mdulos CIP Safety I/O se pueden conectar a dispositivos de entrada y salida de seguridad, lo cual permite monitorear y controlar estos dispositivos mediante el controlador GuardLogix. Para los datos de seguridad, la comunicacin de E/S se realiza mediante conexiones de seguridad usando el protocolo CIP Safety; la lgica de seguridad se procesa en el controlador GuardLogix.

Funciones de seguridad tpicas de los mdulos CIP Safety I/O

Los mdulos CIP Safety I/O tratan lo siguiente como estado seguro. Salidas de seguridad: OFF Datos de entrada de seguridad al controlador: OFFRed CIP Safety

Estado de seguridad

Salida de seguridad, desactivada

Datos de entrada de seguridad


31

Captulo 3


Los mdulos CIP Safety I/O deben utilizarse para aplicaciones que estn en el estado seguro cuando la salida de seguridad se desactiva.

DiagnsticosLos mdulos CIP Safety I/O realizan autodiagnsticos cuando se conecta la alimentacin elctrica y peridicamente durante la operacin. Si se detecta un fallo de diagnstico, los datos de entrada de seguridad (al controlador) y las salidas de seguridad locales se establecen en su estado seguro (desactivado).

Datos de estadoAdems de los datos de entrada y salida de seguridad, los mdulos CIP Safety I/O aceptan datos de estado para monitorear el buen estado de los circuitos de E/S y del mdulo. Consulte la documentacin de su mdulo para obtener informacin sobre las capacidades del producto especifico.

Indicadores de estadoLos mdulos CIP Safety I/O incluyen indicadores de estado. Para obtener informacin detallada acerca de la operacin de los indicadores de estado, consulte la documentacin del producto relacionada con el mdulo especfico.

Funcin de retardo a la conexin o a la desconexinAlgunos mdulos CIP Safety I/O admiten funciones de retardo a la conexin y a la desconexin para las seales de entrada. Dependiendo de la aplicacin, es posible que deba incluir retardo a la desconexin, retardo a la conexin o ambos, al calcular el tiempo de reaccin del sistema. Consulte el Apndice C para obtener informacin acerca del tiempo de reaccin del sistema.

32



Captulo 3

Tiempo de reaccin

El tiempo de reaccin de entrada es el tiempo transcurrido desde que la seal cambia en un terminal de entrada hasta que los datos se envan al controlador GuardLogix. El tiempo de reaccin de salida es el tiempo transcurrido desde que se reciben los datos de seguridad del controlador GuardLogix hasta que el terminal de salida cambia de estado. Para obtener informacin acerca de cmo determinar los tiempos de reaccin de entrada y salida, consulte la documentacin del producto relacionada con el mdulo especfico CIP Safety I/O. Consulte el Apndice C para obtener informacin acerca de cmo calcular el tiempo de reaccin del sistema.

Consideraciones de seguridad en torno a los mdulos CIP Safety I/O

Debe poner en servicio todos los dispositivos con direccin de nodo o direccin IP y velocidad de comunicacin, si es necesario, antes de instalarlos en una red de seguridad.

PropiedadCada mdulo CIP Safety I/O en un sistema GuardLogix es propiedad de un controlador GuardLogix. Es posible usar mltiples controladores GuardLogix y mltiples mdulos CIP Safety I/O sin restricciones en chasis o en redes, segn sea necesario. Cuando un controlador tiene la propiedad de un mdulo de E/S, almacena los datos de configuracin del mdulo, tal y como los define el usuario. Esto controla la forma en que operan los mdulos en el sistema. Desde el punto de vista del control, los mdulos de salida de seguridad slo pueden ser controlados por un controlador. Cada mdulo de entrada de seguridad tambin es propiedad de un solo controlador; sin embargo, los datos de entrada de seguridad pueden ser compartidos (consumidos) por mltiples controladores GuardLogix.

Firma de configuracin de Safety I/OLa firma de configuracin define la configuracin del mdulo. La misma se puede leer y monitorear. La firma de configuracin se utiliza para identificar de forma exclusiva una configuracin de mdulo. Al usar un controlador GuardLogix, usted no tiene que monitorear esta firma. El controlador GuardLogix la monitorea en forma automtica.


33

Captulo 3


Reemplazo de mdulos de E/SEl reemplazo de dispositivos de seguridad precisa que el dispositivo de reemplazo se configure adecuadamente y que la operacin del dispositivo de reemplazo sea verificada por el usuario. Durante el reemplazo o las pruebas de funcionamiento de un mdulo, la seguridad del sistema no debe recaer en ninguna parte del mdulo afectado.

ATENCIN

Hay dos opciones disponibles de mdulos de E/S de repuesto en la ficha Safety del dilogo Controller Properties del software RSLogix 5000: Configure Only When No Safety Signature Exists Configure AlwaysOpciones de reemplazo de Safety I/O

34



Captulo 3

Configure Only When No Safety Signature ExistsEsta opcin instruye al controlador GuardLogix para que configure un mdulo de seguridad slo cuando la tarea de seguridad no tiene una firma de tarea de seguridad, y si el mdulo de repuesto est tal como viene de fbrica, lo cual significa que no existe un nmero de red de seguridad en el mdulo de seguridad. Si la tarea de seguridad tiene una firma de tarea de seguridad, el controlador GuardLogix slo configura el mdulo CIP Safety I/O de repuesto si el mdulo ya tiene el nmero correcto de red de seguridad, la codificacin electrnica del mdulo es correcta y el nodo o direccin IP es correcto.

Configure AlwaysEl controlador GuardLogix siempre intenta configurar un mdulo CIP Safety I/O de repuesto si el mdulo est tal como viene de fbrica, lo cual significa que no existe un nmero de red de seguridad en el mdulo de seguridad de reemplazo, y el nmero de nodo y la codificacin del modulo de E/S coinciden con la configuracin del controlador. Habilite la funcin Configure Always slo si no confa en todo el sistema de control CIP Safety encaminable para mantener el comportamiento SIL 3 durante el reemplazo y las pruebas de funcionamiento de un mdulo. Si utiliza otras partes del sistema de control CIP Safety para mantener el comportamiento SIL 3, asegrese de que la funcin Configure Always del controlador est inhabilitada. Es su responsabilidad implementar un proceso para asegurar que se mantenga la funcin de seguridad adecuada durante el reemplazo del dispositivo.

ATENCIN

ATENCIN

No coloque ningn mdulo tal como viene de fbrica en ninguna red CIP Safety cuando la funcin Configure Always est habilitada, excepto cuando siga el procedimiento de reemplazo del mdulo descrito en el documento GuardLogix Controllers User Manual, publicacin 1756-UM020, o en el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002.


35

Captulo 3


Notas:

36


Captulo

4

CIP Safety y el nmero de red de seguridad

Introduccin

Para comprender los requisitos de seguridad de un sistema de control CIP Safety, incluido el nmero de red de seguridad (SNN), primero hay que entender cmo se encamina la comunicacin en los sistemas de control CIP.Tema El sistema de control CIP Safety encaminable Consideraciones para la asignacin del nmero de red de seguridad (SNN) Pgina 37 40

El sistema de control CIP Safety encaminable

El sistema de control CIP Safety representa un conjunto interconectado de dispositivos CIP Safety. El sistema encaminable representa la totalidad de los posibles encaminamientos errneos de los paquetes, desde un originador hasta un receptor, dentro del sistema de control CIP Safety. El sistema se asla, de forma que no existan otras conexiones en el sistema. Por ejemplo, debido a que el sistema descrito a continuacin no puede interconectarse con otro sistema CIP Safety a travs de una mayor conexin principal Ethernet a nivel de toda la planta, ilustra el alcance de un sistema CIP Safety encaminable.Ejemplo de sistema CIP Safety

Encamin./ cortafuegos(1)

Conmutador

Conmutador

1756-ENBT

1756-L62S

1768-ENBT

1768-ENBT

1756-ENBT

1756-OB16

1756-DNB

1768-L43S

1756-DNB

1756-IB16

1756-LSP

1769-ECR

1768-PB3

SmartGuard CIP Safety I/O

CIP Safety I/O CIP Safety I/O



CIP Safety I/O

(1) El encaminador o el cortafuegos se establecen para limitar el trfico.


37

Captulo 4


Referencia de nodo nicoEl protocolo CIP Safety es un protocolo de seguridad entre nodos finales. El protocolo CIP Safety permite el encaminamiento de mensajes CIP Safety desde y hacia dispositivos CIP Safety, a travs de puentes, conmutadores y encaminadores no certificados. Para evitar que los errores en puentes, conmutadores o encaminadores no certificados se tornen peligrosos, cada nodo final dentro de un sistema de control CIP Safety encaminable debe tener una referencia de nodo nico. La referencia de nodo nico es una combinacin de un nmero de red de seguridad (SNN) y la direccin de nodo correspondiente al nodo.

Nmero de red de seguridadEl nmero de red de seguridad (SNN) es asignado por el software o por el usuario. Cada red CIP Safety que contiene nodos Safety I/O debe tener por lo menos un nmero de red de seguridad (SNN) nico. Cada chasis ControlBus que contiene uno o ms dispositivos de seguridad debe tener por lo menos un SNN nico. Los nmeros de red de seguridad asignados a cada subred o red de seguridad deben ser nicos. SUGERENCIA Es posible asignar ms de un SNN a una subred CIP Safety o a un chasis ControlBus que contenga ms de un dispositivo de seguridad. Sin embargo, por razones de simplicidad, recomendamos que cada subred CIP Safety tenga solamente un SNN nico. Recomendamos lo mismo para cada chasis ControlBus.

Ejemplo de CIP Safety con ms de un SNNEncamind./ cortafuegos

Conmutador

Conmutador

1756-ENBT

1768-ENBT

1768-ENBT

1756-L62S

1756-DNB

1756-ENBT

1756-OB16

1768-L43S

1756-LSP

1756-DNB

1769-ECR

1756-IB16

1768-PB3

SmartGuard CIP Safety I/O

SNN_1 CIP Safety I/O CIP Safety I/O SNN_2 CIP Safety I/O CIP Safety I/O SNN_4

SNN_3

SNN_5 CIP Safety I/O CIP Safety I/O SNN_6

CIP Safety I/O SNN_7

38



Captulo 4

Cada dispositivo CIP Safety debe configurarse con un SNN. Todo dispositivo que origine una conexin de seguridad hacia otro dispositivo de seguridad debe configurarse con el SNN del dispositivo receptor. Si el sistema CIP Safety est en proceso de encendido antes de que se realice la prueba de seguridad del sistema, el dispositivo originador puede utilizarse para definir la referencia nica de nodo en el dispositivo. El SNN utilizado por el sistema es un nmero hexadecimal de 6 bytes. El SNN puede establecerse y verse en cualquiera de dos formatos: basado en tiempo o manual. Cuando se selecciona el formato basado en tiempo, el SNN representa una fecha y una hora concretas. Cuando se selecciona el formato manual, el SNN representa un tipo de red y un valor decimal de 19999.Formatos de SNN

La asignacin de un SNN basado en tiempo es automtica cuando se crea un nuevo proyecto de controlador de seguridad GuardLogix y se aaden nuevos mdulos Safety I/O. La manipulacin manual de un SNN es necesaria en las siguientes situaciones: si se utilizan tags de seguridad consumidos; si el proyecto consume datos de entrada de seguridad procedentes de un mdulo cuya configuracin es propiedad de otro dispositivo de seguridad; si un proyecto de seguridad se copia en una instalacin de hardware distinta, dentro del mismo sistema CIP Safety encaminable.IMPORTANTE

Si asigna un SNN manualmente, no olvide asegurarse de que la expansin del sistema no produzca como resultado una duplicacin de las combinaciones de SNN y direcciones de nodo.


39

Captulo 4


Consideraciones para la asignacin del nmero de red de seguridad (SNN)

La asignacin del SNN depende de factores que incluyen la configuracin del controlador o el mdulo CIP Safety I/O.

Nmero de red de seguridad (SNN) para tags de seguridad consumidosCuando un controlador de seguridad que contiene tags de seguridad producidos se aade al rbol de configuracin de E/S, es necesario introducir el nmero de red de seguridad (SNN) del controlador productor. El SNN puede copiarse del proyecto del controlador productor y pegarse en el nuevo controlador que se est aadiendo al rbol de configuracin de E/S. Consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002, para obtener informacin sobre cmo copiar y pegar un SNN.

Nmero de red de seguridad (SNN) para mdulos tal como vienen de fbricaLos mdulos CIP Safety I/O tal como vienen de fbrica no tienen un nmero de red de seguridad (SNN). El SNN se establece cuando el controlador GuardLogix propietario del mdulo enva la configuracin al mdulo.IMPORTANTE

Para aadir un mdulo CIP Safety I/O a un sistema GuardLogix configurado (el SNN est presente en el controlador GuardLogix), es necesario aplica el SNN correcto al mdulo CIP Safety de reemplazo antes de que se aada a la red CIP Safety.

Nmero de red de seguridad (SNN) para mdulo de seguridad con un propietario de configuracin diferenteCuando un mdulo CIP Safety I/O es propiedad de un controlador GuardLogix diferente (controlador B), y posteriormente se aade a otro proyecto GuardLogix (proyecto de controlador A), el software RSLogix 5000 asigna el nmero de red de seguridad (SNN) basado en el proyecto actual. Puesto que el proyecto actual (proyecto del controlador A) no es el verdadero propietario de la configuracin, es necesario copiar el SNN original (proyecto del controlador B) dentro de la configuracin en el proyecto del controlador A. Esto puede hacerse fcilmente mediante los comandos estndar de copiar y pegar. Como resultado, el mdulo CIP Safety I/O produce40 Publicacin 1756-RM093F-ES-P Enero 2010


Captulo 4

datos para dos controladores GuardLogix simultneamente. Es posible hacer esto con un mximo de 16 controladores. Consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002, para obtener informacin sobre cmo cambiar, copiar y pegar nmeros de red de seguridad.

Nmero de red de seguridad (SNN) al copiar un proyecto de seguridadATENCIN

Si se copia un proyecto de seguridad para usar en otro proyecto con hardware diferente o en una ubicacin fsica diferente, y el nuevo proyecto est dentro del mismo sistema CIP Safety enrutable, todos los nmeros de red de seguridad deben cambiarse en el segundo sistema. Los valores SNN no deben repetirse. Consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002, para obtener informacin sobre cmo cambiar el SNN.


41

Captulo 4


Notas:

42


Captulo

5

Caractersticas de tags de seguridad, tarea de seguridad y programas de seguridad

Introduccin

Este captulo explica cmo usar los componentes estndar y de seguridad del sistema GuardLogix.Tema Diferenciar entre estndar y de seguridad Aplicaciones de seguridad SIL 2 Seguridad SIL3 la tarea de seguridad Programas de seguridad Rutinas de seguridad Tags de seguridad Recursos adicionales Pgina 43 44 50 53 53 53 55

Diferenciar entre estndar y de seguridad

Puesto que se trata de un controlador de la serie Logix, en el sistema de control GuardLogix se pueden utilizar tanto componentes estndar (no relacionados con la seguridad) como componentes relacionados con la seguridad. Usted puede realizar un control de automatizacin estndar de tareas estndar dentro de un proyecto GuardLogix. Los controladores 1756 GuardLogix proporcionan la misma funcionalidad que otros controladores de la serie 1756 ControlLogix. Los controladores 1768 Compact GuardLogix proporcionan la misma funcionalidad que otros controladores 1768-L4x CompactLogix. Lo que diferencia a los controladores 1756 y 1768 GuardLogix de los controladores estndar es que proporcionan una tarea de seguridad con capacidad SIL 3. Sin embargo, es necesario realizar una distincin lgica y visible entre la parte estndar y la relacionada con la seguridad de la aplicacin. El software RSLogix 5000 proporciona esta diferenciacin mediante la tarea de seguridad, los programas de seguridad, las rutinas de seguridad, los tags de seguridad y los mdulos de E/S de seguridad. Usted puede implementar tanto el nivel SIL 2 como el nivel SIL 3 del control de seguridad con la tarea de seguridad del controlador GuardLogix.


43

Captulo 5


Aplicaciones de seguridad SIL 2

Puede realizar el control de seguridad SIL 2 usando la tarea de seguridad del controlador 1756 1768 GuardLogix. Puesto que los controladores 1756 GuardLogix son parte de la serie de procesadores ControlLogix, puede realizar el control de seguridad SIL 2 con un controlador 1756 GuardLogix usando las tareas estndar o la tarea de seguridad. Esta capacidad ofrece opciones de control de seguridad nicas y verstiles, ya que la mayora de las aplicaciones tiene un porcentaje mayor de funciones de seguridad SIL 2 que las funciones de seguridad SIL 3.

Control de seguridad SIL 2 en la tarea de seguridadLa tarea de seguridad de las unidades 1756 y 1768 GuardLogix puede usarse para proporcionar funciones de seguridad SIL 2 y SIL 3. Si las funciones de seguridad SIL 3 deben ejecutarse simultneamente con las funciones de seguridad SIL 2, deber cumplir con los requisitos definidos en las secciones Seguridad SIL3 la tarea de seguridad, Programas de seguridad y Rutinas de seguridad de este captulo, as como los requisitos de SIL 2 listados en esta seccin.

Lgica de seguridad SIL 2Desde la perspectiva de control de seguridad GuardLogix, la mayor diferencia entre dispositivos con clasificacin de seguridad SIL 2 y SIL 3 es que SIL 2 generalmente tiene un solo canal, mientras que SIL 3 generalmente tiene dos canales. Al usar E/S con clasificacin de seguridad, que es lo requerido por la tarea de seguridad, la seguridad SIL 2 puede tener un solo canal, lo cual reduce la complejidad del sistema.IMPORTANTE

Si se usa una combinacin de funciones de seguridad SIL 2 y SIL 3 simultneamente dentro de la tarea de seguridad, debe evitar que las seales de entrada SIL 2 controlen directamente las funciones de seguridad SIL 3. Esto puede hacerse mediante rutinas o programas de tarea de seguridad especficos para separar las funciones de seguridad SIL 2 y SIL 3.

Dentro de la tarea de seguridad, el software RSLogix 5000 incluye un conjunto de instrucciones de lgica de escalera relacionadas con la seguridad. Adems de estas instrucciones de lgica de escalera relacionadas con la seguridad, los controladores GuardLogix cuentan con instrucciones de seguridad con clasificacin SIL 3 especificas en cuanto a la aplicacin. Todas estas instrucciones lgicas pueden usarse en funciones de seguridad Cat 14 y SIL 13.

44



Captulo 5

Para el nivel de seguridad SIL 2 nicamente, no se requiere una firma de tarea de seguridad. Sin embargo, si se usa alguna funcin de seguridad SIL 3 dentro de la tarea de seguridad, se requerir una firma de tarea de seguridad. Para las aplicaciones SIL 2, se recomienda el bloqueo de seguridad de la tarea de seguridad una vez terminadas las pruebas. Bloquear la tarea de seguridad habilita funciones de seguridad adicionales. Tambin puede usar FactoryTalk Security y proteccin de fuente de rutina RSLogix 5000 para limitar el acceso a la lgica relacionada con la seguridad. Para obtener ms informacin sobre cmo generar una firma de tarea de seguridad y cmo realizar el bloqueo de seguridad de la tarea de seguridad, consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento Compact GuardLogix Controllers User Manual, publicacin 1768-UM002.

Entradas de seguridad SIL 2Los mdulos de entrada de seguridad CompactBlock Guard I/O (serie 1791) y ArmorBlock Guard I/O (serie 1732) aceptan circuitos de entrada de seguridad SIL 2 de un solo canal. Puesto que estos mdulos tambin estn clasificados para operacin SIL 3, es posible combinar los circuitos SIL 2 y SIL 3 en el mismo mdulo, siempre que se sigan estas pautas: Estos dos ejemplos de cableado muestran cmo cablear los circuitos de seguridad SIL 2 a los mdulos de entrada de seguridad Guard I/O. Estos ejemplos utilizan fuentes de prueba incorporadas (T0Tx) que residen en todos los mdulos de entrada de seguridad 1791 y 1732.Cableado de las entradas

I0

I1

T0

T1

Los mdulos Guard I/O agrupan las entradas en parejas para facilitar las funciones de seguridad Cat 3, Cat 4 y SIL 3. Para usarse en funciones de seguridad Cat 1, Cat 2 y SIL 2, las entradas de mdulos deben usarse en parejas como se ilustra. Se muestran dos funciones de seguridad SIL 2 cableadas a I0 y I1 usando las fuentes de prueba T0 y T1, respectivamente.


45

Captulo 5


Cableado de entradas en parejas

I0

I1

T0

T1

Para las funciones de seguridad Cat 1, Cat 2 y SIL 2, los mdulos de seguridad Guard I/O necesitan configuraciones especficas dentro del proyecto GuardLogix. En este ejemplo, las entradas 0, 1, 6, 7, 8, 9, 10 y 11 son parte de una funcin de seguridad CAT 1, 2 o SIL 2. Las entradas 2 y 3, as como las entradas 4 y 5 son parte de una funcin de seguridad CAT 3, CAT 4 o SIL 3.Configuracin de entrada

Campo Type Discrepancy Time Point Mode Test Source

Valor Single N/A Safety Pulse Test Establecer valores segn la forma como el dispositivo de campo est cableado fsicamente al mdulo. Para asegurar que la fuente de prueba est correctamente habilitada, abra y fjese en los ajustes de la ficha Test Output. Entrada de usuario segn las caractersticas del dispositivo de campo.

Input Delay Time

IMPORTANTE

Las salidas de prueba de impulso incorporadas (T0Tx) generalmente se usan con dispositivos de campo que tienen contactos mecnicos. Si se usa un dispositivo de seguridad que tiene salidas electrnicas (entradas de seguridad de alimentacin), stas deben tener las clasificaciones de seguridad apropiadas.

46



Captulo 5

IMPORTANTE

Si est usando las instrucciones de aplicaciones de seguridad GuardLogix, asegrese de configurar sus mdulos de entrada de seguridad como mdulos sencillos, no equivalentes ni complementarios. Estas instrucciones proporcionan la funcionalidad de doble canal necesaria para las funciones de seguridad PLd (Cat. 3) o PLe (Cat. 4). Consulte el documento GuardLogix Safety Application Instruction Set Reference Manual, publicacin 1756-RM095.

Control de seguridad SIL 2 en tareas estndar (controladores 1756 GuardLogix solamente)Debido a la cantidad y a la calidad de los diagnsticos incorporados en la serie de controladores 1756 ControlLogix, es posible realizar funciones de seguridad SIL 2 desde dentro de las tareas estndar. Esto tambin es cierto para los controladores 1756 GuardLogix. Para realizar un control de seguridad SIL 2 dentro de una tarea estndar GuardLogix, usted debe cumplir los requisitos definidos en el documento Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicacin 1756-RM001.IMPORTANTE

No puede usar la tarea estndar en un controlador 1768 Compact GuardLogix para aplicaciones de seguridad SIL 2.

Cumplimiento de la norma EN50156 con entradas de seguridad SIL 2 de 1756 ControlLogix en configuraciones de doble canal con controladores 1756 GuardLogixSe requiere una configuracin de doble canal para cumplir la norma en ciertas aplicaciones relacionadas con la seguridad, incluidas funciones de seguridad relacionadas con quemadores. Estos ejemplos proporcionan pautas para cumplir con los requisitos de doble canal SIL 2 de EN50156.

Entradas de doble canal SIL 2 (lado estndar de los controladores 1756 GuardLogix)Debe implementar una separacin clara y fcilmente identificable entre ambos canales de entrada y cumplir con todos los requisitos


47

Captulo 5


SIL 2 existentes segn lo definido en el documento Using ControlLogix in SIL 2 Applications, publicacin 1756-RM001.Canal A Canal B

Cn0+ Cn0-

Cn0+ Cn0-

+ Transmisor de voltaje A -

+ Transmisor de voltaje B -

Datos de entrada SIL 2Mantenga los datos de entrada del canal A y del canal B separados en todo momento. Este ejemplo ilustra un mtodo para separar los datos del canal A y del canal B en su aplicacin. Todo procesamiento lgico que se necesite, deber realizarse segn las pautas de SIL 2 de ControlLogix.

IMPORTANTE

No realice funciones especficas de seguridad dentro de estas rutinas. La evaluacin de seguridad debe manejarse dentro de la tarea de seguridad 1756 GuardLogix.

Transferencia de datos SIL 2 a la tarea de seguridadPara transferir datos de seguridad SIL 2 del canal A y del canal B a la tarea de seguridad GuardLogix, use la funcin de asignacin de tags de seguridad del software RSLogix 5000. Los nombres de tags usados aqu son con fines de ejemplo. Implemente y siga las

48



Captulo 5

convenciones de asignacin de nombres apropiadas para su aplicacin.

SUGERENCIA

Para usar la funcin de asignacin de tags de seguridad, seleccione Map Safety Tags del men Logic del software RSLogix 5000.

Funciones de seguridad dentro de la tarea de seguridad 1756 GuardLogixSiga estas pautas para usar las funciones de seguridad SIL 2 y SIL 3 dentro de la tarea de seguridad:IMPORTANTE

No debe usar datos SIL 2 para controlar directamente una salida SIL 3.

Pueden usarse todas las instrucciones de aplicaciones de seguridad disponibles. Los mdulos de entrada de seguridad SIL 3 (por ejemplo los mdulos Guard I/O) pueden usarse con configuraciones de un solo canal para las funciones de seguridad SIL 2. Se recomienda usar la firma de tarea de seguridad y realizar un bloqueo de seguridad de la aplicacin.

Salidas SIL 2Siga estas pautas para las salidas SIL 2. Los mdulos de salida Guard I/O usados para salidas de seguridad SIL 2 deben configurarse para operacin de doble canal. Todos los mdulos de salida Guard I/O estn aprobados para uso en aplicaciones SIL 2. 1732DS-IB8XOBV4 1791DS-IB8XOBV4, 1791ES-IB8XOBV4 1791DS-IB4XOW4 1791DS-IB8XOB8 1734-OB8SIMPORTANTE

No se puede usar mdulos de salida Flex o 1756 en aplicaciones EN 50156 SIL 2.


49

Captulo 5


Seguridad SIL3 la tarea de seguridad

La creacin de un proyecto GuardLogix crea automticamente una sola tarea de seguridad. La tarea de seguridad tiene estas caractersticas adicionales: Los controladores GuardLogix son los nicos controladores que aceptan la tarea de seguridad. La tarea de seguridad no se puede eliminar. Los controladores GuardLogix admiten una sola tarea de seguridad. Dentro de la tarea de seguridad se pueden secuenciar mltiples programas de seguridad compuestos por mltiples rutinas de seguridad. No es posible secuenciar ni ejecutar rutinas estndar desde dentro de la tarea de seguridad. La tarea de seguridad es una tarea peridica temporizada con prioridad de tarea y temporizador de control (watchdog) seleccionables por el usuario.En la mayora de los casos, es la prioridad principal del controlador, y el temporizador de control (watchdog) definido por el usuario debe establecerse para que se adapte a las fluctuaciones en la ejecucin de la tarea de seguridad.

50



Captulo 5

Limitaciones de la tarea de seguridadEspecifique tanto el perodo de la tarea de seguridad como el temporizador de control (watchdog) de la tarea de seguridad. El perodo de la tarea de seguridad es el perodo con el que se ejecuta la tarea de seguridad. El temporizador de control (watchdog) de la tarea de seguridad es el tiempo mximo permitido desde el inicio de la ejecucin secuenciada de la tarea de seguridad hasta que la misma se completa. Si desea obtener ms informacin acerca del temporizador de control (watchdog) de la tarea de seguridad, consulte el Apndice C, Tiempos de reaccin. El perodo de la tarea de seguridad est limitado a un mximo de 100 ms y no se puede modificar en lnea. Asegrese de que la tarea de seguridad tenga suficiente tiempo para completarse antes de volver a activarse. Si la tarea de seguridad se activa sin que la misma haya terminado de ejecutarse tras la activacin anterior, ocurre una expiracin del tiempo de espera del temporizador de control (watchdog) de tarea de seguridad, que es un fallo de seguridad no recuperable en el controlador GuardLogix. Vea Captulo 7, Monitoreo de estado y manejo de fallos, para obtener ms informacin.

Detalles de ejecucin de la tarea de seguridadLa tarea de seguridad se ejecuta de la misma forma que las tareas peridicas estndar, con las siguientes excepciones: La tarea de seguridad no comienza a ejecutarse sino hasta que el controlador primario y el homlogo de seguridad hayan establecido su asociacin de control y que el tiempo coordinado del sistema (CST) se haya sincronizado. No obstante, las tareas estndar comienzan a ejecutarse tan pronto como el controlador cambia al modo de marcha. Si bien el rango configurable del intervalo solicitado entre paquetes (RPI) para las entradas de seguridad y para los tags de seguridad consumidos es 1100 ms, los tags de entrada de seguridad y los tags de seguridad consumidos se actualizan slo al comienzo de la ejecucin de la tarea de seguridad. Esto significa que, aunque el intervalo solicitado entre paquetes (RPI) de E/S puede ser ms breve que el perodo de la tarea de seguridad, los datos no cambian durante la ejecucin de la tarea de seguridad. Los datos se leen slo una vez al inicio de la ejecucin de la tarea de seguridad.


51

Captulo 5


Los valores de entrada de seguridad se congelan al inicio de la ejecucin de la tarea de seguridad. Como resultado, las instrucciones relacionadas con el temporizador, tales como TON y TOF, no se actualizan durante una sola ejecucin de la tarea de seguridad. Mantendrn el tiempo exacto de una ejecucin de tarea a otra, pero el tiempo acumulado no cambiar durante la ejecucin de la tarea de seguridad.ATENCIN

Este comportamiento difiere de la ejecucin de la tarea Logix estndar, pero es similar al comportamiento del PLC o SLC.

En el caso de los tags estndar que estn asignados a tags de seguridad, los valores de tag estndar se copian en la memoria de seguridad al inicio de la tarea de seguridad y no cambian durante la ejecucin de dicha tarea. Los valores de tags de salida de seguridad (de salida y producidos) se actualizan cuando finaliza la ejecucin de la tarea de seguridad. La tarea de seguridad responde a cambios de modo (por ejemplo, de marcha a programa, o de programa a marcha) a intervalos temporizados. Como resultado, la tarea de seguridad puede tardar ms de un perodo de tarea, pero nunca ms de dos, para realizar una transicin de modo.IMPORTANTE

Mientras el controlador est en desbloqueo de seguridad y no hay una firma de tarea de seguridad, ste impide el acceso simultneo de escritura a la memoria de seguridad desde la tarea de seguridad y los comandos de comunicacin. Como resultado, la tarea de seguridad puede permanecer retenida hasta que se complete la actualizacin de comunicacin. El tiempo necesario para la actualizacin depende del tamao del tag. Por lo tanto, es posible que ocurran expiraciones del tiempo de espera de la conexin de seguridad y/o del temporizador de control (watchdog) de seguridad. (Por ejemplo, si realiza ediciones en lnea cuando la velocidad de la tarea de seguridad est fijada en 1 ms, podra ocurrir una expiracin del temporizador de control (watchdog) de seguridad). Para compensar el tiempo de aplazamiento debido a la actualizacin de comunicacin, aada 2 ms al tiempo del temporizador de control (watchdog) de seguridad. Cuando el controlador est en bloqueo de seguridad o existe una firma de tarea de seguridad, la situacin descrita en esta nota no puede suceder.

52



Captulo 5

Programas de seguridad

Un programa de seguridad tiene tod

Sistemas Guardlogix

Documents

Transcript of Sistemas Guardlogix