Sistemas controladores GuardLogix 5570 - Literature...

Sistemas controladores GuardLogix 5570Números de catálogo 1756-L71S, 1756-L72S, 1756-L73S, 1756-L73SXT, 1756-L7SP, 1756-L7SPXT, 1756-L72EROMS, Aplicaciones Studio 5000 Logix Designer

Manual de referencia de seguridad

Traducción de las instrucciones originales

Información importante para el usuario

Antes de instalar, configurar, poner en funcionamiento o realizar el mantenimiento de este producto, lea este documento y los documentos listados en la sección Recursos adicionales acerca de la instalación, configuración, operación y mantenimiento de este equipo. Los usuarios deben familiarizarse con las instrucciones de instalación y cableado y con los requisitos de todos los códigos, leyes y estándares vigentes.

El personal debidamente capacitado debe realizar las actividades relacionadas a la instalación, ajustes, puesta en servicio, uso, ensamblaje, desensamblaje y mantenimiento de conformidad con el código de práctica aplicable.

Si este equipo se usa de una manera no especificada por el fabricante, la protección provista por el equipo puede resultar afectada.

Bajo ninguna circunstancia Rockwell Automation, Inc. será responsable por daños indirectos o consecuentes, resultantes del uso o de la aplicación de estos equipos.

Los ejemplos y los diagramas que aparecen en este manual se incluyen únicamente con fines ilustrativos. Debido a las muchas variables y a los muchos requisitos asociados con cada instalación en particular, Rockwell Automation, Inc. no puede asumir responsabilidad alguna por el uso real basado en ejemplos y diagramas.

Rockwell Automation, Inc. no asume ninguna responsabilidad de patente con respecto al uso de información, circuitos, equipos o software descritos en este manual.

Se prohíbe la reproducción total o parcial del contenido de este manual sin la autorización por escrito de Rockwell Automation, Inc.

En este manual, cuando es necesario, usamos notas de seguridad para indicarle factores de seguridad.

También puede haber etiquetas sobre o a los lados del equipo que proporcionan información sobre precauciones específicas.

Allen-Bradley, Armor, ArmorBlock, ArmorGuard, CompactBlock, CompactLogix, ControlFLASH, ControlLogix, ControlLogix-XT, FLEX, Guard I/O, GuardLogix, GuardLogix-XT, Kinetix, Logix5000, POINT Guard I/O, Rockwell Automation, Rockwell Software, RSLogix, SLC, SmartGuard, Studio 5000, Studio 5000 Automation Engineering & Design Environment son marcas comerciales pertenecientes a Rockwell Automation, Inc.

ControlNet, DeviceNet y EtherNet/IP son marcas comerciales de ODVA. Las marcas comerciales que no pertenecen a Rockwell Automation son propiedad de sus respectivas empresas.

ADVERTENCIA: Identifica información acerca de prácticas o de circunstancias que pueden causar una explosión en un

ambiente peligroso, lo que puede ocasionar lesiones o la muerte al personal, daños materiales o pérdidas económicas.

ATENCIÓN: Identifica información acerca de prácticas o circunstancias que pueden ocasionar lesiones o la muerte al personal,

daños materiales o pérdidas económicas. Los mensajes de Atención le ayudan a identificar los peligros y a reconocer las

consecuencias.

IMPORTANTE Identifica información esencial para usar el producto y comprender su funcionamiento.

PELIGRO DE CHOQUE: Puede haber etiquetas en el exterior o en el interior del equipo (por ejemplo, en un variador o en un

motor) para advertir sobre la posible presencia de voltaje peligroso.

PELIGRO DE QUEMADURA: En el equipo o dentro del mismo puede haber etiquetas (por ejemplo, en un variador o en un

motor) a fin de advertir sobre superficies que pueden alcanzar temperaturas peligrosas.

PELIGRO DE ARCO ELÉCTRICO: Puede haber etiquetas sobre o a los lados del equipo, por ejemplo en un centro de control de

motores, para alertar al personal respecto a un potencial arco eléctrico. Un arco eléctrico causará lesiones graves o la muerte.

Use el equipo de protección personal (PPE) apropiado. Siga TODOS los requisitos normativos respecto a prácticas de trabajo

seguras y respecto a equipo de protección personal (PPE).

Resumen de cambios

Este manual contiene información nueva y actualizada.

Información nueva y actualizada

Esta tabla contiene los cambios hechos en esta revisión.

Tema Página

Se cambiaron las referencias al módulo de E/S de seguridad a dispositivo de E/S de seguridad, más genérico, según lo apropiado

En todo el manual

Se añadió el número de catálogo del Armor™ GuardLogix®, 1756-L72EROMS, en la cubierta

Cubierta

Se añadió información sobre los servovariadores Kinetix® 5500 a la lista de componentes con certificación SIL-3

16

Se añadió el módulo 1756-EN2TRXT a la lista de módulos de interface de comunicación

23

Se añadió una nota respecto a que el proyecto no verifica si existen combinaciones de direcciones de nodo Y SNN duplicados

35

Se añadió una referencia al documento Kinetix 5500 Servo Drive User Manual para información sobre cómo usar comandos directos de movimiento en aplicaciones de seguridad

72

Se añadieron datos de seguridad actualizados (IEC 61508. Edición 2, 2010) para los módulos Guard I/O™

Apéndice E

Se añadieron datos de seguridad para los módulos 1734-IB8S, serie B y 1734-OB8S, serie B

Apéndice E

Se actualizaron los datos de probabilidad de fallo por hora para los módulos 1734-IE4S

Apéndice E

Publicación de Rockwell Automation 1756-RM099B-ES-P – Noviembre 2014 3

Resumen de cambios

Notas:

4 Publicación de Rockwell Automation 1756-RM099B-ES-P – Noviembre 2014

Tabla de contenido

PrefacioEntorno Studio 5000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Terminología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Capítulo 1Concepto de nivel de integridad de seguridad (SIL)

Certificación SIL 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Pruebas de calidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Arquitectura GuardLogix para aplicaciones SIL 3 . . . . . . . . . . . . . . . . . . . 15Componentes del sistema GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Certificaciones de GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Especificaciones PFD y PFH de GuardLogix. . . . . . . . . . . . . . . . . . . . . . . . 18Distribución y peso de conformidad con el nivel de integridad de seguridad (SIL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Tiempo de reacción del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Tiempo de reacción de la tarea de seguridad . . . . . . . . . . . . . . . . . . . . . 20Período de la tarea de seguridad y temporizador de vigilancia de tarea de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Información de contacto si se produce un fallo en el dispositivo . . . . . . 20

Capítulo 2Sistema controlador GuardLogix Hardware del controlador GuardLogix 5570 . . . . . . . . . . . . . . . . . . . . . . . 21

Controlador primario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Homólogo de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Chasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Fuentes de alimentación eléctrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Protocolo CIP Safety . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Dispositivos de E/S de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Puentes de comunicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Descripción general de la programación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Capítulo 3CIP Safety I/O para el sistema de control GuardLogix

Descripción general. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Funciones de seguridad típicas de los dispositivos de CIP Safety I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Diagnósticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Datos de estado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Indicadores de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Función de retardo a la conexión o a la desconexión . . . . . . . . . . . . . 28

Tiempo de reacción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Consideraciones de seguridad en torno a los dispositivos de CIP Safety I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Propiedad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Firma de configuración de Safety I/O . . . . . . . . . . . . . . . . . . . . . . . . . . 29Reemplazo del dispositivo de Safety I/O . . . . . . . . . . . . . . . . . . . . . . . . 29


Tabla de contenido

Capítulo 4CIP Safety y número de red de seguridad

Sistema de control CIP Safety encaminable . . . . . . . . . . . . . . . . . . . . . . . . . 33Referencia única de nodo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Número de red de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Consideraciones para la asignación del número de red de seguridad (SNN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Número de red de seguridad (SNN) para tags de seguridad consumidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Número de red de seguridad (SNN) para dispositivos tal como vienen de fábrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Número de red de seguridad (SNN) para dispositivo de seguridad con un propietario de configuración diferente. . . . . . . 36Número de red de seguridad (SNN) al copiar un proyecto de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Capítulo 5Características de tags de seguridad, tarea de seguridad y programas de seguridad

Diferenciar entre estándar y seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Aplicaciones de seguridad SIL 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Control de seguridad SIL 2 en la tarea de seguridad . . . . . . . . . . . . . . 38Control de seguridad SIL 2 en tareas estándar . . . . . . . . . . . . . . . . . . . 40

Seguridad SIL 3; la tarea de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Limitaciones de la tarea de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Detalles de ejecución de la tarea de seguridad . . . . . . . . . . . . . . . . . . . . 42

Uso de interfaces máquina-operador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Precauciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Cómo obtener acceso a sistemas relacionados con la seguridad . . . . 44

Programas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Rutinas de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Tags de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Tags estándar en rutinas de seguridad (asignación de tags) . . . . . . . . 47

Capítulo 6Desarrollo de la aplicación de seguridad

Suposiciones sobre el concepto de seguridad . . . . . . . . . . . . . . . . . . . . . . . . 49Nociones básicas de desarrollo y prueba de aplicaciones . . . . . . . . . . . . . . 50Proceso para poner en servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Especificación de la función de control . . . . . . . . . . . . . . . . . . . . . . . . . 52Crear el proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Probar el programa de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Generar la firma de tarea de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 53Prueba de verificación de proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Confirmar el proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Validación de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Bloquear el controlador GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Descarga del programa de aplicación de seguridad . . . . . . . . . . . . . . . . . . . 57Carga del programa de aplicación de seguridad . . . . . . . . . . . . . . . . . . . . . . 57Edición en línea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Almacenamiento y carga de un proyecto desde la memoria no volátil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Forzar datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58


Tabla de contenido

Inhibir un dispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Editar la aplicación de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Ediciones fuera de línea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Ediciones en línea. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Modificación de la prueba de impacto . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Capítulo 7Monitoreo de estado y manejo de fallos

Monitoreo del estado del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Datos de CONNECTION_STATUS . . . . . . . . . . . . . . . . . . . . . . . . . 63Diagnósticos de entrada y salida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Estado de conexión de dispositivo de E/S . . . . . . . . . . . . . . . . . . . . . . . 64Sistema de desenergizar para activar . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Instrucciones GSV (obtener valor del sistema) y SSV (establecer valor del sistema) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Fallos del sistema GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Fallos no recuperables de controlador . . . . . . . . . . . . . . . . . . . . . . . . . . 66Fallos no recuperables de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Fallos recuperables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Apéndice AInstrucciones de seguridad

Apéndice BInstrucciones Add-On de seguridad Crear y usar una instrucción Add-On de seguridad . . . . . . . . . . . . . . . . . . 73

Crear un proyecto de prueba de instrucción Add-On . . . . . . . . . . . . 75Crear una instrucción Add-On de seguridad . . . . . . . . . . . . . . . . . . . . 75Generar una firma de instrucción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Descargar y generar la firma de instrucción de seguridad. . . . . . . . . . 76Prueba de calificación de instrucción Add-On SIL 3 . . . . . . . . . . . . . 76Confirmar el proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Validar la seguridad de instrucciones Add-On . . . . . . . . . . . . . . . . . . . 77Crear entrada de historial de firmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Exportar e importar la instrucción Add-On de seguridad . . . . . . . . . 77Verificar firmas de instrucción Add-On de seguridad . . . . . . . . . . . . 77Probar el programa de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Prueba de verificación del proyecto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Validar la seguridad del proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Apéndice CTiempos de reacción Tiempo de reacción del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Tiempo de reacción del sistema Logix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Cadena sencilla de entrada-lógica-salida . . . . . . . . . . . . . . . . . . . . . . . . 80Cadena lógica que utiliza tags de seguridad producidos/consumidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Factores que afectan los componentes del tiempo de reacción del sistema Logix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Cómo obtener acceso a los valores de configuración de tiempo de retardo del módulo de entrada Guard I/O . . . . . . . . . . . . . . . . . . . . . . 82


Tabla de contenido

Cómo obtener acceso al límite de tiempo de reacción de la conexión de seguridad de entrada y de salida. . . . . . . . . . . . . . . . 83Configuración del período de la tarea de seguridad y el temporizador de vigilancia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Acceso a datos de tag producido/consumido . . . . . . . . . . . . . . . . . . . . 85

Apéndice DListas de verificación para aplicaciones de seguridad GuardLogix

Listas de verificación para el sistema controlador GuardLogix . . . . . . . . 88Lista de verificación para entradas de seguridad . . . . . . . . . . . . . . . . . . . . . 89Lista de verificación para salidas de seguridad . . . . . . . . . . . . . . . . . . . . . . . 90Lista de verificación para el desarrollo de un programa de aplicación de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Apéndice EDatos de seguridad de sistemas GuardLogix

Valores de probabilidad de fallo a demanda (PFD) . . . . . . . . . . . . . . . . . . 93Valores de probabilidad de fallo por hora (PFH) . . . . . . . . . . . . . . . . . . . . 94

Apéndice FSoftware RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad

Sistema de desenergizar para activar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Use los datos de estado de conexión para iniciar un fallo como parte de la programación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Apéndice GUso de módulos 1794 FLEX I/O y entradas y salidas 1756 SIL 2 con controladores 1756 GuardLogix en cumplimiento de la normativa EN 50156

Entradas de doble canal SIL 2 (lado estándar de los controladores GuardLogix) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Salidas SIL 2 usando los módulos de salida Guard I/O SIL 3 . . . . . . . . 103Salidas SIL 2 usando módulos de salida 1756 o 1794 SIL 2 . . . . . . . . . . 103Funciones de seguridad dentro de la tarea de seguridad 1756 GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Glosario

Índice


Prefacio

Este manual tiene el propósito de describir el sistema controlador GuardLogix 5570, que es de un tipo-aprobado y está certificado para uso en aplicaciones de seguridad hasta el nivel SIL CL 3 según IEC 61508 e IEC 62061, y aplicaciones de seguridad hasta el nivel de rendimiento (Categoría 4) según ISO 13849-1.

Use este manual si usted es responsable del desarrollo, de la operación o del mantenimiento de un sistema de seguridad basado en un controlador GuardLogix 5570 que utiliza la aplicación Studio 5000® Logix Designer, versión 21.000 o posterior. Es necesario que lea y comprenda los conceptos y los requisitos de seguridad presentados en este manual, antes de operar un sistema de seguridad basado en un controlador GuardLogix 5570.

Para obtener información sobre los requisitos de seguridad relacionados a los controladores GuardLogix 5570 en proyectos RSLogix™ 5000 consulte el documento GuardLogix Controllers Safety Reference Manual, publicación 1756-RM093.

Entorno Studio 5000 El sistema Studio 5000 Automation Engineering and Design Environment™ com-bina los elementos de ingeniería y diseño en un entorno común. El primer ele-mento en el entorno Studio 5000 es la aplicación Logix Designer. La aplicación Logix Designer es la redefinición del software RSLogix 5000 y continúa siendo el producto para programar los controladores Logix5000™ para las soluciones basadas en control discreto, de proceso, de lote, de movimiento, de seguridad y de variador.

El entorno Studio 5000 es la base para las futuras herramientas y capacidades de diseño de ingeniería de Rockwell Automation®. Es el lugar para que los ingenieros de diseño desarrollen todos los elementos de su sistema de control.

Tema Página

Entorno Studio 5000 9

Terminología 10

Recursos adicionales 10


http://literature.rockwellautomation.com/idc/groups/literature/documents/rm/1756-rm093_-en-p.pdf

Prefacio

Terminología En la tabla siguiente se definen los términos utilizados en este manual.

Recursos adicionales Estos documentos incluyen más información sobre productos de Rockwell Automation relacionados.

Tabla 1 – Términos y definiciones

Abreviatura Significado Definición

1oo2 Uno de dos Identifica la arquitectura del controlador electrónico programable.

CIP Protocolo industrial común Un protocolo de comunicación industrial usado por los sistemas de automatización basados en Logix5000 en las redes de comunicación Ethernet/IP™, ControlNet™ y DeviceNet™.

CIP Safety Protocolo industrial común – Certificado de seguridad

Versión de CIP con clasificación SIL 3.

DC Cobertura de diagnóstico Relación entre la tasa de fallos detectada y la tasa total de fallos.

EN Normativa europea Norma oficial europea

GSV Obtener valor del sistema Instrucción de lógica de escalera que obtiene información especificada sobre el estado del controlador y la pone en un tag de destino.

PC Computadora personal Computadora utilizada para servir de interface y controlar un sistema basado en Logix mediante el entorno Studio 5000.

PFD Probabilidad de fallo a demanda Probabilidad promedio de que un sistema falle al realizar bajo demanda la función para la que está diseñado.

PFH Probabilidad de fallo por hora Probabilidad de un sistema de experimentar un fallo peligroso por hora.

PL Nivel de rendimiento Clasificación de seguridad ISO 13849-1.

SNN Número de red de seguridad Número único que identifica una sección de una red de seguridad.

SSV Establecer valor del sistema Instrucción de lógica de escalera que define los datos del sistema controlador.

-- Estándar Cualquier objeto, tarea, tag, programa o componente del proyecto que no está relacionado con la seguridad (por ej., un controlador estándar se refiere de manera genérica a un controlador ControlLogix® o CompactLogix™).

Recurso Descripción

GuardLogix 5570 Controllers User Manual, publicación 1756-UM022 Proporciona información acerca de cómo instalar, configurar, programar y usar controladores GuardLogix 5570 en proyectos Studio 5000 Logix Designer

GuardLogix Safety Application Instruction Set Reference Manual, publicación 1756-RM095

Proporciona información acerca del conjunto de instrucciones de aplicaciones de seguridad GuardLogix.

Guard I/O DeviceNet Safety Modules User Manual, publicación 1791DS-UM001

Proporciona información sobre cómo usar los módulos Guard I/O DeviceNet Safety

Guard I/O EtherNet/IP Safety Modules User Manual, publicación 1791ES-UM001

Proporciona información sobre cómo usar los módulos Guard I/O EtherNet/IP Safety

POINT Guard I/O Safety Modules User Manual, publicación 1734-UM013 Proporciona información sobre cómo instalar y usar los módulos POINT Guard I/O™

Kinetix 5500 Servo Drives User Manual, publicación 2198-UM001 Proporciona información sobre cómo instalar y usar los servovariadores Kinetix 5500

Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicación 1756-RM001

Describe los requisitos para usar los controladores ControlLogix y la tarea estándar GuardLogix en aplicaciones de control de seguridad SIL 2

Logix5000 General Instruction Set Reference Manual, publicación 1756-RM003

Proporciona información acerca del conjunto de instrucciones de Logix5000.

Logix Common Procedures Programming Manual, publicación 1756-PM001

Proporciona información sobre cómo programar los controladores Logix5000, inclusive cómo administrar los archivos del proyecto, organizar tags, programar y probar rutinas y manejar fallos

Logix5000 Controllers Add-On Instructions Programming Manual, publicación 1756-PM010

Proporciona información sobre cómo crear y usar instrucciones Add-On estándar y de seguridad en aplicaciones Logix

ControlLogix System User Manual, publicación 1756-UM001 Proporciona información sobre cómo usar los controladores ControlLogix en aplicaciones que no son de seguridad

DeviceNet Modules in Logix5000 Control Systems User Manual, publicación DNET-UM004

Proporciona información sobre cómo usar el módulo 1756-DNB en un sistema de control Logix5000

EtherNet/IP Modules in Logix5000 Control Systems User Manual, publicación ENET-UM001

Proporciona información sobre cómo usar el módulo 1756-ENBT en un sistema de control Logix5000


http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1756-um022_-en-p.pdf


http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1791ds-um001_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1791es-um001_-en-p.pdf





http://literature.rockwellautomation.com/idc/groups/literature/documents/pm/1756-pm001_-en-e.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/pm/1756-pm010_-en-p.pdf


http://literature.rockwellautomation.com/idc/groups/literature/documents/um/dnet-um004_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/enet-um001_-en-p.pdf

Prefacio

Puede ver o descargar publicaciones enhttp://www.rockwellautomation.com/literature/. Para solicitar copias impresas de la documentación técnica, comuníquese con su distribuidor regional de Allen-Bradley® o con el o representante de ventas de Rockwell Automation.

ControlNet Modules in Logix5000 Control Systems User Manual, publicación CNET-UM001

Proporciona información sobre cómo usar el módulo 1756-CNB en sistemas de control Logix5000

Logix5000 Controllers Execution Time and Memory Use Reference Manual, publicación 1756-RM087

Proporciona información sobre cómo calcular el tiempo de ejecución y el uso de memoria para las instrucciones

Logix Import Export Reference Manual, publicación 1756-RM084 Proporciona información sobre cómo usar la utilidad de importación/exportación de Logix Designer

Pautas de cableado y conexión a tierra de equipos de automatización industrial, publicación 1770-4.1

Proporciona pautas generales para instalar un sistema industrial de Rockwell Automation.

Sitio web de certificaciones de productos, http://www.ab.com Presenta declaraciones de conformidad, certificados y otros detalles de certificación.



http://literature.rockwellautomation.com/idc/groups/literature/documents/um/cnet-um001_-en-p.pdf



http://www.literature.rockwellautomation.com/idc/groups/literature/documents/in/1770-in041_-en-p.pdf

http://ab.com

http://www.rockwellautomation.com/literature/

Prefacio

Notas:


Capítulo 1

Concepto de nivel de integridad de seguridad (SIL)

Certificación SIL 3 Los sistemas de controlador GuardLogix 5570 cuentan con aprobación de tipo y están certificados para ser usados en aplicaciones de seguridad hasta el nivel SIL CL3 según IEC 61508 e IEC 62061, y aplicaciones de seguridad hasta el nivel de rendimiento PLe (Categoría 4) según ISO 13849-1. Los requisitos de nivel de integridad de seguridad (SIL) se basan en las normas vigentes al momento de la certificación.

Además, las tareas estándar dentro de los controladores GuardLogix se pueden utilizar ya sea para aplicaciones estándar o para aplicaciones de seguridad SIL 2, tal como se describe en el documento Using ControlLogix in SIL 2 Applications Reference Manual, publicación 1756-RM001. En cualquier caso, no se debe utilizar SIL 2 ni tareas ni variables estándar para implementar lazos de seguridad de un nivel superior. La tarea de seguridad es la única tarea certificada para aplicaciones SIL 3.

Use la aplicación Studio 5000 Logix Designer para crear programas para los controladores GuardLogix 5570.

Tema Página

Certificación SIL 3 13

Pruebas de calidad 14

Arquitectura GuardLogix para aplicaciones SIL 3 15

Componentes del sistema GuardLogix 16

Certificaciones de GuardLogix 18

Especificaciones PFD y PFH de GuardLogix 18

Distribución y peso de conformidad con el nivel de integridad de seguridad (SIL) 19

Tiempo de reacción del sistema 19

Período de la tarea de seguridad y temporizador de vigilancia de tarea de seguridad 20

Información de contacto si se produce un fallo en el dispositivo 20

IMPORTANTE Cuando el controlador GuardLogix está en modo de marcha Run o de

programación Program y el programa de aplicación no ha sido validado,

usted es responsable de mantener las condiciones de seguridad.



Capítulo 1 Concepto de nivel de integridad de seguridad (SIL)

TÜV Rheinland ha aprobado los sistemas de controlador GuardLogix 5570 para uso en aplicaciones relacionadas con la seguridad hasta SIL CL 3, en las que el estado desenergizado se considera el estado de seguridad. Todos los ejemplos relacionados con E/S que se incluyen en este manual se basan en conseguir la desenergización como estado seguro en sistemas típicos de parada de emergencia (ESD) y de seguridad de máquinas.

Al aplicar la seguridad funcional, restrinja el acceso solo a personal calificado y autorizado que cuente con la debida capacitación y experiencia. La función de bloqueo de seguridad, con contraseñas, se proporciona en la aplicación Logix Designer.

Para obtener información sobre cómo usar la función de bloqueo de seguridad consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022.

Pruebas de calidad La norma IEC 61508 estipula que usted debe realizar varias pruebas de calidad del equipo que se usa en el sistema. Las pruebas de calidad se realizan en momen-tos definidos por el usuario. Por ejemplo, los intervalos de pruebas de calidad pue-den ser una vez al año, una vez cada 15 años o cualquier otro intervalo adecuado.

Los controladores GuardLogix 5570 tienen un intervalo de pruebas de calidad de hasta 20 años. Otros componentes del sistema, como dispositivos de E/S de seguridad, sensores y accionadores, pueden tener intervalos más cortos de pruebas de calidad. Incluya el controlador en las pruebas de verificación de funcionalidad del resto de los componentes en el sistema de seguridad.

IMPORTANTE Como el usuario del sistema, usted es responsable de lo siguiente:

• configuración, clasificación SIL y validación de los sensores o accionadores conectados al sistema GuardLogix

• administración del proyecto y pruebas de funcionamiento

• control de acceso al sistema de seguridad, incluido el manejo de contraseñas

• programación de la aplicación y configuraciones de dispositivos, según la información presentada en este manual de referencia de seguridad y en el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022.

IMPORTANTE El intervalo para las pruebas de calidad se determina según su aplicación

específica. No obstante, esto está principalmente relacionado con los

dispositivos de E/S de seguridad y con la instrumentación de campo.




Concepto de nivel de integridad de seguridad (SIL) Capítulo 1

Arquitectura GuardLogix para aplicaciones SIL 3

La siguiente ilustración muestra una función SIL típica que incluye lo siguiente:• Función general de seguridad• Porción de GuardLogix de la función general de seguridad• Cómo están conectados otros dispositivos (por ejemplo, HMI), mientras

operan fuera de la función

Figura 1 – Función SIL típica

DeviceNet

1756

-DN

B

A la red Ethernet a nivel de toda la planta

Sistema GuardLogix SIL 3

Software de programación HMIAcceso de solo lectura a los tags de seguridad

Función general de seguridad

1756

-L7x

S

1756

-L7S

P

1756

-EN

2T

Switch

Accionador

Red DeviceNet Safety

Sensor

Módulo de E/S CIP Safety


Módulo de E/S CIP Safety en red Ethernet

CIP Safety

Accionador

Sensor

Accionador

Sensor

Sistema Compact GuardLogix SIL 3

Módulo de E/S CIP Safety en red Ethernet

Controlador Compact GuardLogix con módulo 1768-ENBT



Componentes del sistema GuardLogix

Las tablas en esta sección listan los componentes GuardLogix con certificación SIL 3 y los componentes sin certificación SIL 3 que pueden usarse con sistemas GuardLogix SIL 3.

Para obtener la lista más actualizada de series y versiones de firmware certificadas de controladores GuardLogix y dispositivos de E/S CIP Safety, visite http://www.rockwellautomation.com/products/certification/safety/. Hay versiones de firmware disponibles en http://support.rockwellautomation.com/ControlFLASH™/.

Tabla 2 – Componentes GuardLogix con certificación SIL 3

Tipo de dispositivo N.° de cat. Descripción

Documentación relacionada(3)

Instrucciones de instalación Manual del usuario

Controlador primario 1756 GuardLogix(ControlLogix5570S)

1756-L71S Controlador con memoria estándar de 2 MB, memoria de seguridad de 1 MB

N/D(4)

• Con entorno Studio 5000, versión 21 o posterior: 1756-UM022

• Con el software RSLogix 5000, versión 20 y anteriores: 1756-UM020



1756-L73SXT Controlador (XT) con memoria estándar de 8 MB, memoria de seguridad de 4 MB

Homólogo de seguridad 1756 GuardLogix(ControlLogix557SP)

1756-L7SP Homólogo de seguridad

1756-L7SPXT Homólogo de seguridad (XT)

Controlador primario 1756 GuardLogix (ControlLogix5560S)(1)


N/D(4) 1756-UM020


1756-L63S Controlador con memoria estándar de 8 MB, memoria de seguridad de 3.75 MB

Homólogo de seguridad 1756 GuardLogix(ControlLogix55SP)(1)

1756-LSP Homólogo de seguridad

Controlador 1768 Compact GuardLogix(CompactLogix4xS)(2)

1768-L43S Controlador con cabida para dos módulos 1768 N/D(4) 1768-UM002

1768-L45S Controlador con cabida para cuatro módulos 1768

Módulos de E/S CIP Safety en redes DeviceNet

Para obtener la lista más actualizada de series y versiones de firmware certificadas vea el certificado de seguridad en http://www.rockwellautomation.com/products/certification/safety/

1791DS-IN0011791DS-IN0021732DS-IN001

1791DS-UM001

Módulos de E/S CIP Safety en redes EtherNet/IP

1791ES-IN001 1791ES-UM001

Módulos POINT Guard I/O N/D(4) 1734-UM013

Servovariadores Kinetix 5500 (números de catálogo que terminan en -ERS2)

Para obtener la lista más actualizada de series y versiones de firmware certificadas vea el certificado de seguridad en http://www.rockwellautomation.com/products/certification/safety/

2198-IN001 2198-UM001

(1) Certificado para uso con el software RSLogix 5000, versión 14 y versión 16 y posteriores.

(2) Certificado para uso con el software RSLogix 5000, versión 18 y posteriores.

(3) Estas publicaciones están disponibles en el sitio web de Rockwell Automation en http://www.rockwellautomation.com/literature.

(4) Consulte el manual del usuario para obtener instrucciones de instalación.


http://literature.rockwellautomation.com





http://www.rockwellautomation.com/products/certification/safety/

http://literature.rockwellautomation.com/idc/groups/literature/documents/in/1791ds-in001_-en-p.pdf



http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1791ds-um001_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/in/1791es-in001_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1791es-um001_-en-p.pdf



http://literature.rockwellautomation.com/idc/groups/literature/documents/in/2198-in001_-en-p.pdf



http://support.rockwellautomation.com/ControlFlash/


Puede llenar las ranuras del chasis de un sistema SIL 3 que no utiliza el sistema GuardLogix SIL 3 con otros módulos ControlLogix (1756) certificados de acuerdo a las directivas de bajo voltaje y de compatibilidad electromagnética (EMC).

Tabla 3 – Componentes adecuados para uso con sistemas de seguridad de controladores 1756 GuardLogix

Tipo de dispositivo N.° de cat. Descripción

Documentación relacionada(3)

Serie(1) Revisión(1)Instrucciones de

instalaciónManual del

usuario

Chasis

1756-A4

1756-A7

1756-A10

1756-A13

1756-A17

Chasis de 4 ranuras

Chasis de 7 ranuras

Chasis de 10 ranuras



B N/D

1756-IN005 N/D

1756-A4LXT1756-A5XT1756-A7XT1756-A7LXT

Chasis XT de 4 ranurasChasis XT de 5 ranuras

Chasis XT de 7 ranurasChasis XT de 7 ranuras

B N/D

Fuente de alimentación eléctrica

1756-PA72 Fuente de alimentación eléctrica, CA C

N/D 1756-IN005 N/D

1756-PB72 Fuente de alimentación eléctrica, CC C

1756-PA75 Fuente de alimentación eléctrica, CA B

1756-PB75 Fuente de alimentación eléctrica, CC B

1756-PAXT Fuente de alimentación eléctrica XT, CA B

1756-PBXT Fuente de alimentación eléctrica XT, CC B

Módulos de comunicación

1756-ENBT1756-EN2T1756-EN2F1756-EN2TR1756-EN3TR

Puente EtherNet/IP AAACB

3.0062.0052.005

10.00710.007

ENET-IN002 ENET-UM001

1756-EN2TXT1756-EN2TRXT

Puente XT EtherNet/IP (cobre) CC

5.00710.006

1734-AENT Adaptador POINT I/O Ethernet A 3.001 1734-IN590 1734-UM011

1756-DNB Puente DeviceNet A 6.002 DNET-IN001 DNET-UM004

1756-CN2 Puente ControlNet A 12.001

CNET-IN005 CNET-UM0011756-CN2R Puente ControlNet, medio físico redundante A 12.001

1756-CN2RXT Puente ControlNet XT, medio físico redundante B 20.020

Software de programación

9324-xxxx

Software de programación RSLogix 5000 para controladores GuardLogix 5560

N/D

14(2)

N/DConsulte la ayuda en línea.Software RSLogix 5000 para controladores GuardLogix 5570 (XT) 20

9324-xxxx Entorno Studio 5000 para controladores GuardLogix 5570 (XT) 21

Tarjetas de memoria

1784-CF128 Tarjeta CompactFlash de 128 MB para controladores GuardLogix 5560

N/D N/D N/D N/D1784-SD1 Tarjeta Secure Digital (SD) de 1 GB para controladores

GuardLogix 5570

1784-SD2 Tarjeta Secure Digital (SD) de 2 GB para controladores GuardLogix 5570

(1) Esta versión o posterior.

(2) El software RSLogix 5000, versión 15, no es compatible con los controladores de seguridad GuardLogix.

(3) Estas publicaciones están disponibles en el sitio web de Rockwell Automation en http://www.rockwellautomation.com/literature.

IMPORTANTE Los componentes del sistema ControlLogix-XT™ están clasificados para

condiciones ambientales extremas solo cuando se usan correctamente con

otros componentes del sistema Logix-XT. El uso de componentes

ControlLogix-XT con componentes de sistemas tradicionales ControlLogix o

GuardLogix anula las clasificaciones para condiciones extremas.


http://literature.rockwellautomation.com



http://literature.rockwellautomation.com/idc/groups/literature/documents/in/enet-in002_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/enet-um001_-en-p.pdf



http://literature.rockwellautomation.com/idc/groups/literature/documents/in/dnet-in001_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/dnet-um004_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/in/cnet-in005_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/cnet-um001_-en-p.pdf


Para encontrar los certificados para la ‘familia de productos de control programable ControlLogix’ visite http://www.rockwellautomation.com/products/certification/ce/.

Certificaciones de GuardLogix

El documento ControlLogix Controllers Technical Data, publicación1756-TD001, lista las especificaciones de productos y las certificaciones para las cuales los productos están aprobados. Si un producto ha sido certificado, su etiqueta incluye el distintivo correspondiente. Para obtener información sobre declaraciones de conformidad, certificados y otros detalles de certificación vaya al vínculo Product Certification en http://www.rockwellautomation.com/products/certification/.

Especificaciones PFD y PFH de GuardLogix

Los sistemas relacionados con la seguridad pueden clasificarse en cuanto a su operación en sistemas que funcionan en modo de baja demanda y en sistemas que funcionan en modo de alta demanda o en modo continuo. IEC 61508 cuantifica esta clasificación al establecer que la frecuencia de demandas de operación del sistema de seguridad no sea superior a una vez al año en el modo de baja demanda, ni superior a una vez al año en el modo de alta demanda o en el modo continuo.

El valor de nivel de integridad de seguridad (SIL) para un sistema relacionado con la seguridad de baja demanda está directamente relacionado con los rangos de orden de magnitud de su probabilidad media de fallos para realizar satisfactoria-mente su función de seguridad a demanda o, sencillamente, la probabilidad de fallo a demanda (PFD). El valor SIL de un sistema de seguridad en modo de alta demanda/continuo está directamente relacionado con la probabilidad de que ocurra un fallo peligroso por hora (PFH).

Los valores PFD y PFH están asociados con cada uno de los tres elementos primarios que conforman un sistema relacionado con la seguridad (sensores, elementos lógicos y accionadores). Dentro de los elementos lógicos también hay elementos de entrada, procesadores y de salida.

Para obtener los valores PFD y PFH y los intervalos de pruebas de calidad de los módulos Guard I/O, consulte el Apéndice E, Datos de seguridad de sistemas GuardLogix.

Figura 2 – Ejemplo de PFH

DeviceNet EtherNetLogix5562S Logix55LSP

Sensor

Sensor

Sensor

1791DS-IB12

Controlador GuardLogix

1791DS-IB8XOB8

1791DS-IB4XOX4

Accionador

Accionador

LAZO 1

LAZO 2


http://www.rockwellautomation.com/products/certification/ce/index.html

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/1756-td001_-en-e.pdf

http://www.rockwellautomation.com/products/certification/


Para determinar el elemento lógico PFH de cada lazo de seguridad en el sencillo sistema mostrado en el ejemplo de PFH, sume los valores de PFH de cada componente del lazo. La tabla Ecuaciones de PFH por lazo de seguridad presenta un ejemplo simplificado de cálculos del valor PFH para cada lazo de seguridad mostrado en la ilustración del ejemplo de PFH.

Al calcular los valores de PFH se deben tener en cuenta los requisitos específicos de su aplicación, incluidos los intervalos de prueba.

Distribución y peso de conformidad con el nivel de integridad de seguridad (SIL)

Se puede suponer conservadoramente que el controlador GuardLogix y el sistema de E/S representan un 10% de la carga de confiabilidad. Es posible que un sistema SIL 3 deba incorporar varias entradas para sensores críticos y dispositivos de entrada críticos, así como salidas dobles conectadas en serie a accionadores dobles, de acuerdo a las evaluaciones SIL del sistema relacionado con la seguridad.

Figura 3 – Carga de confiabilidad

Tiempo de reacción del sistema

El tiempo de reacción del sistema es el tiempo transcurrido desde que ocurre un evento de seguridad, como una entrada al sistema, hasta que el sistema establece las salidas correspondientes a su estado seguro. Los fallos dentro del sistema también pueden afectar el tiempo de reacción del sistema. El tiempo de reacción del sistema es la suma de los siguientes tiempos de reacción:

Cada uno de los tiempos de reacción varía debido a factores como, por ejemplo, el tipo de dispositivo de E/S y las instrucciones utilizadas en el programa.

Tabla 4 – Ecuaciones de PFH por lazo de seguridad

En este lazo Sume los valores PFH de estos componentes

PFH total en el lazo 1 = 1791DS-IB12 + controlador GuardLogix + 1791DS-IB4XOX4

PFH total en el lazo 2 = 1791DS-IB8XOB8 + controlador GuardLogix + 1791DS-IB4XOX4

AccionadorControlador Módulo

de salida

+V

Sensor

Sensor

40% de la PFD

10% de la PFD

50% de la PFD

Módulo de

entrada

Accionador

+ + + +Tiempo de reacción de

sensor

Tiempo de reacción de

entrada

Tiempo de reacción de la

tarea de seguridad


salida

Tiempo de reacción de accionador



Tiempo de reacción de la tarea de seguridad

El tiempo de reacción de la tarea de seguridad es el mayor retardo que puede producirse entre el momento en que se presenta cualquier cambio a la entrada del controlador y el momento en que la salida procesada queda establecida por el productor de salida. Es menor o igual que la suma del período de la tarea de seguridad y del temporizador de vigilancia de tarea de seguridad.

Período de la tarea de seguridad y temporizador de vigilancia de tarea de seguridad

El período de tarea de seguridad es el intervalo en que se ejecuta la tarea de seguridad.

El tiempo del temporizador de vigilancia de tarea de seguridad es el máximo tiempo permisible para el procesamiento de la tarea de seguridad. Si el tiempo de procesamiento de la tarea de seguridad supera el tiempo del temporizador de vigilancia de tarea de seguridad, se presenta un fallo de seguridad no recuperable en el controlador y las salidas cambian automáticamente al estado seguro (desconectado).

Usted define el tiempo del temporizador de vigilancia de tarea de seguridad, que debe ser menor o igual al período de la tarea de seguridad.

El tiempo del temporizador de vigilancia de tarea de seguridad se establece en la ventana de propiedades de tareas de la aplicación Logix Designer. Este valor puede ser modificado en línea, independientemente del modo en que se encuentre el controlador, pero no se puede cambiar cuando el controlador esté en bloqueo de seguridad o una vez que se haya creado una firma de tarea de seguridad.

Información de contacto si se produce un fallo en el dispositivo

Si experimenta un fallo en algún dispositivo con certificación SIL 3, comuníquese con su distribuidor local de Allen-Bradley para iniciar las siguientes acciones:

• Puede devolver el dispositivo a Rockwell Automation para que el fallo quede registrado adecuadamente para el número de catálogo afectado y se guarde un informe del fallo.

• Puede solicitar un análisis del fallo (en caso necesario) para intentar determinar el motivo del fallo.


Capítulo 2

Sistema controlador GuardLogix

Para consultar una breve lista de los componentes adecuados para usar en aplicaciones con nivel de integridad de seguridad (SIL 3) vea la tabla en la página 16. Para obtener información más detallada y actualizada visite http://www.rockwellautomation.com/products/certification/safety/.

Al instalar un controlador GuardLogix 5570 siga la información descrita en el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022.

Hardware del controlador GuardLogix 5570

El controlador GuardLogix consta de un controlador primario (ControlLogix 557xS) y de un homólogo de seguridad (ControlLogix 557SP). Estos dos módulos funcionan en una arquitectura 1oo2 para crear el controlador compatible con SIL 3. Dichos módulos se describen en las siguientes secciones.

Tanto el controlador primario como el homólogo de seguridad realizan pruebas diagnósticas funcionales, tanto al momento del encendido como durante la ejecución, de todos los componentes del controlador relacionados con la seguridad.

Para obtener detalles acerca de la operación de los indicadores de estado consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022.

Para obtener una lista de los números de catálogo de los controladores de seguridad GuardLogix vea la Tabla 2 en la página 16. Para obtener una lista de los componentes ControlLogix estándar apropiados para aplicaciones de seguridad vea la Tabla 3 en la página 17.

Tema Página

Hardware del controlador GuardLogix 5570 21

Protocolo CIP Safety 22

Dispositivos de E/S de seguridad 23

Puentes de comunicación 23

Descripción general de la programación 25

IMPORTANTE Los indicadores de estado no son indicadores confiables de las funciones de

seguridad. Deben utilizarse solo para realizar diagnósticos generales al

poner en servicio o al resolver problemas. No intente utilizar los indicadores

de estado para determinar el estado de operación.


http://www.rockwellautomation.com/products/certification/safety/index.html



Capítulo 2 Sistema controlador GuardLogix

Controlador primario

El controlador primario es el procesador que realiza funciones estándar y de control de seguridad, y que se comunica con el homólogo de seguridad para las funciones relacionadas con la seguridad del sistema de control GuardLogix. El controlador primario consta de un procesador central, la interface de E/S y la memoria.

Homólogo de seguridad

Para satisfacer los requisitos SIL 3 es necesario instalar un homólogo de seguridad en la ranura que se encuentra justo a la derecha del controlador primario. El homólogo de seguridad es un coprocesador que proporciona redundancia para las funciones relacionadas con la seguridad del sistema.

El controlador primario configura el homólogo de seguridad. Solo es necesaria una sola descarga del programa de usuario al controlador primario. El modo de operación del homólogo de seguridad se controla mediante el controlador primario.

Chasis

El chasis proporciona las conexiones físicas entre los módulos y el sistema 1756 GuardLogix. Cualquier fallo, aunque improbable, sería detectado como fallo por uno o más de los componentes activos del sistema. Por tanto, el chasis es irrelevante para el análisis de seguridad.

Los controladores GuardLogix-XT™ usan un chasis ControlLogix-XT para alcanzar la clasificación de ambientes difíciles.

Fuentes de alimentación eléctrica

No es necesario contar con configuraciones ni con cableados adicionales para la operación SIL 3 de las fuentes de alimentación eléctrica ControlLogix. Cualquier fallo sería detectado como tal por uno o más de los componentes activos del sistema GuardLogix. Por lo tanto, la fuente de alimentación eléctrica es irrelevante para el análisis de seguridad.

Los controladores GuardLogix-XT usan una fuente de alimentación eléctrica ControlLogix-XT para alcanzar la clasificación de ambientes difíciles.

Protocolo CIP Safety La comunicación relacionada con la seguridad entre controladores GuardLogix tiene lugar a través de los tags de seguridad producidos y consumidos. Estos tags de seguridad utilizan el protocolo CIP Safety, que está diseñado para conservar la integridad de los datos durante las comunicaciones.


Sistema controlador GuardLogix Capítulo 2

Para obtener más información acerca de los tags de seguridad consulte el Capítulo 5, Características de tags de seguridad, tarea de seguridad y programas de seguridad.

Dispositivos de E/S de seguridad

Para obtener información acerca de los dispositivos de E/S CIP Safety para uso con los controladores GuardLogix consulte el Capítulo 3.

Puentes de comunicación La Tabla 5 lista los módulos de interface de comunicación que están disponibles para facilitar la comunicación mediante redes Ethernet/IP, DeviceNet y ControlNet mediante el protocolo CIP Safety.

Red EtherNet/IP

La comunicación de seguridad de igual a igual entre controladores GuardLogix es posible a través de la red EtherNet/IP mediante el uso de puente EtherNet/IP. Un puente EtherNet/IP permite que el controlador GuardLogix controle e intercambie datos de seguridad con dispositivos de E/S CIP Safety en una red EtherNet/IP.

Figura 4 – Comunicación de igual a igual mediante puente EtherNet/IP y la red EtherNet/IP

Tabla 5 – Módulos de interface de comunicación por sistema

Sistema GuardLogix Módulos de comunicación

1756 • Puente 1756-ENBT, 1756-EN2T(R), 1756-EN2F o 1756-EN3TR EtherNet/IP• Adaptador 1734-AENT POINT I/O Ethernet• Puente 1756-DNB DeviceNet• Puente 1756-CN2 ControlNet• Puente 1756-CN2R redundante ControlNet

1756 -XT • Puente 1756-EN2TXT, 1756-EN2TRXT EtherNet/IP XT (cobre)• Puente 1756-CN2RXT redundante XT ControlNet

1768 • 1768-ENBT• Adaptador 1734-AENT POINT I/O Ethernet• 1768-CNB• 1768-CNBR

IMPORTANTE Debido al diseño del sistema de control CIP Safety, los dispositivos de

puente de seguridad CIP como los puentes listados en la tabla no necesitan

tener la certificación SIL 3.

1756

-PB7

5

1756

-L73

S

1756

-EN

2T

1756

-L7S

P

1756

-L72

S

1756

-L7S

P

1756

-DN

B

1756

-EN

2T

Controlador A

Controlador B

Switch Ethernet


Módulo de E/S CIP SafetyRed DeviceNet

Red EtherNet/IP Red EtherNet/IP





Red DeviceNet Safety

El puente DeviceNet le permite al controlador GuardLogix controlar e intercambiar datos de seguridad con módulos de E/S CIP Safety en una red DeviceNet.

Figura 5 – Comunicación mediante u puente DeviceNet

Red ControlNet

Los puentes ControlNet le permiten al controlador GuardLogix producir y consumir tags de seguridad mediante redes ControlNet a otros controladores GuardLogix o redes de E/S CIP Safety remotas.

Figura 6 – Comunicación mediante un puente ControlNet

SUGERENCIA La comunicación de seguridad de igual a igual entre dos controladores

GuardLogix en el mismo chasis también es posible a través del backplane.

1756

-L72

S

1756

-L7S

P

1756

-L72

S

1756

-L7S

P

Backplane

1756

-L72

S

1756

-L7S

P

1756

-DN

B



Red DeviceNet

1756

-OB1

6

1756

-IB16

1756

-CN

2

1756

-DN

B

1756

-PB7

5

1756

-L73

S

1768

-CN

2

1756

-L7S

P

Módulo de E/S CIP Safety Red DeviceNet

Red ControlNet


Controlador A Controlador B


Sistema controlador GuardLogix Capítulo 2

Descripción general de la programación

Programe los controladores GuardLogix 5570 mediante la aplicación Studio 5000 Logix Designer.

Use la aplicación Logix Designer para definir la ubicación, la propiedad y la configuración de los dispositivos de E/S y controladores, así como para crear, probar y depurar la lógica del programa. Solo la lógica de escalera de relés es compatible con la tarea de seguridad GuardLogix.

Consulte el Apéndice A para obtener información acerca del conjunto de instrucciones lógicas disponibles para proyectos de seguridad.

El personal autorizado puede cambiar un programa de seguridad, pero solo si utiliza uno de los procesos descritos en Editar la aplicación de seguridad en la página 59.



Notas:


Capítulo 3

CIP Safety I/O para el sistema de control GuardLogix

Descripción general Antes de poner a funcionar un sistema de seguridad GuardLogix 5570 que contiene dispositivos CIP Safety I/O, usted debe leer, entender y seguir la información de instalación, operación y seguridad proporcionada en las publicaciones listadas en las tablas de Componentes GuardLogix con certificación SIL 3 en la página 16.

Los dispositivos de CIP Safety I/O se pueden conectar a dispositivos de entrada y salida de seguridad, como sensores y accionadores que permiten a estos dispositivos ser monitoreados y controlados por el controlador GuardLogix. En el caso de datos de seguridad, las comunicaciones de E/S se realizan mediante conexiones de seguridad utilizando el protocolo CIP Safety; la lógica de seguridad se procesa en el controlador GuardLogix.

Funciones de seguridad típicas de los dispositivos de CIP Safety I/O

Los dispositivos de CIP Safety I/O tratan lo siguiente como estado seguro:• Salidas de seguridad: Desactivadas • Datos de entrada de seguridad al controlador: Desactivados

Los dispositivos de CIP Safety I/O deben utilizarse para aplicaciones que estén en estado seguro cuando se desactive la salida de seguridad.

Tema Página

Descripción general 27

Funciones de seguridad típicas de los dispositivos de CIP Safety I/O 27

Tiempo de reacción 28

Consideraciones de seguridad en torno a los dispositivos de CIP Safety I/O 29

Red CIP Safety

Estado de seguridad

Salida de seguridad, desactivada

Datos de entrada de seguridad


Capítulo 3 CIP Safety I/O para el sistema de control GuardLogix

Diagnósticos

Los dispositivos de CIP Safety I/O realizan autodiagnósticos cuando se conecta la alimentación eléctrica y periódicamente durante la operación. Si se detecta un fallo de diagnóstico, los datos de entrada de seguridad (al controlador) y las salidas de seguridad locales se establecen en su estado seguro (desactivado).

Datos de estado

Además de los datos de entrada y de salida de seguridad, los dispositivos de CIP Safety I/O aceptan datos de estado para monitorear el buen estado de los circuitos de E/S y del dispositivo. Consulte la documentación de su dispositivo para obtener información sobre las capacidades del producto especifico.

Indicadores de estado

Los dispositivos de CIP Safety I/O incluyen indicadores de estado. Para obtener información detallada acerca de la operación de los indicadores de estado, consulte la documentación del producto relacionada con el dispositivo específico.

Función de retardo a la conexión o a la desconexión

Algunos dispositivos de CIP Safety I/O admiten funciones de retardo a la conexión y a la desconexión para las señales de entrada. De acuerdo a la aplicación es posible que usted deba incluir retardo a la desconexión, retardo a la conexión, o ambos, al calcular el tiempo de reacción del sistema.

Consulte el Apéndice C para obtener información acerca del tiempo de reacción del sistema.

Tiempo de reacción El tiempo de reacción de entrada es el tiempo que transcurre desde que la señal cambia en un terminal de entrada hasta que se envían datos de seguridad al controlador GuardLogix.

El tiempo de reacción de salida es el tiempo que transcurre desde que se reciben datos de seguridad del controlador GuardLogix hasta que el terminal de salida cambia de estado.

Para obtener información acerca de cómo determinar los tiempos de reacción de entrada y de salida, consulte la documentación del producto relacionada con el dispositivo de CIP Safety I/O específico.

Consulte el Apéndice C para obtener información acerca de cómo calcular el tiempo de reacción del sistema.


CIP Safety I/O para el sistema de control GuardLogix Capítulo 3

Consideraciones de seguridad en torno a los dispositivos de CIP Safety I/O

Debe poner en servicio todos los dispositivos con dirección de nodo o dirección IP y velocidad de comunicación, de ser necesario, antes de instalarlos en una red de seguridad.

Propiedad

Cada dispositivo de CIP Safety I/O en un sistema GuardLogix es propiedad de un controlador GuardLogix. Es posible usar múltiples controladores GuardLogix y múltiples dispositivos de CIP Safety I/O sin restricciones en chasis o en redes, según sea necesario. Cuando un controlador posee un dispositivo de E/S, almacena los datos de configuración del dispositivo, tal y como los define el usuario. Esta configuración controla la forma en que operan los dispositivos en el sistema.

Desde el punto de vista de control, los dispositivos de salida de seguridad pueden ser controlados solamente por un controlador. Cada dispositivo de entrada de seguridad es posesión de un solo controlador; sin embargo, los datos de entrada de seguridad pueden ser compartidos (consumidos) por múltiples controladores GuardLogix.

Firma de configuración de Safety I/O

La firma de configuración define la configuración del dispositivo. La misma se puede leer y monitorear. La firma de configuración se utiliza para identificar de forma exclusiva la configuración de un dispositivo. Al usar un controlador GuardLogix usted no tiene que monitorear esta firma. El controlador GuardLogix monitorea automáticamente la firma.

Reemplazo del dispositivo de Safety I/O

El reemplazo de dispositivos de seguridad precisa que el dispositivo de reemplazo sea configurado adecuadamente y que la operación del dispositivo de reemplazo sea verificada por el usuario.

ATENCIÓN: Durante el reemplazo o las pruebas de funcionamiento de un

dispositivo, la seguridad del sistema no debe recaer en ninguna parte del

dispositivo afectado.



Hay dos opciones disponibles de dispositivos de E/S de repuesto en la ficha Safety del cuadro de diálogo Controller Properties de la aplicación Logix Designer:

• Configure Only When No Safety Signature Exists• Configure Always

Figura 7 – Opciones de reemplazo de Safety I/O

Configure Only When No Safety Signature Exists

Esta opción instruye al controlador GuardLogix que configure un dispositivo de seguridad solo cuando la tarea de seguridad no tenga una firma de tarea de seguridad y si el dispositivo de repuesto está tal como viene de fábrica, lo cual significa que no existe un número de red de seguridad en el dispositivo de seguridad.

Si la tarea de seguridad tiene una firma de tarea de seguridad, el controlador GuardLogix configura solo el dispositivo de CIP Safety I/O de repuesto si lo siguiente es verdadero:

• El dispositivo ya tiene el número de red de seguridad correcto.• La codificación electrónica del dispositivo es correcta.• El nodo o dirección IP es correcto.


CIP Safety I/O para el sistema de control GuardLogix Capítulo 3

Configure Always

El controlador GuardLogix siempre intenta configurar un dispositivo de CIP Safety I/O de repuesto si el dispositivo está tal como viene de fábrica, lo cual significa que no existe un número de red de seguridad en el dispositivo de seguridad de reemplazo y el número de nodo y la codificación del dispositivo de E/S coinciden con la configuración del controlador.

ATENCIÓN: Habilite la función Configure Always solo si no confía en todo el

sistema de control CIP Safety encaminable para mantener el comportamiento

SIL 3 durante el reemplazo y las pruebas funcionales de un dispositivo.

Si se confía en otras partes del sistema de control CIP Safety para mantener el

comportamiento SIL 3, asegúrese de que la función Configure Always del

controlador esté inhabilitada.

Es su responsabilidad implementar un proceso para asegurar que se mantenga la

funcionalidad de seguridad adecuada durante el reemplazo del dispositivo.

ATENCIÓN: No ponga ningún dispositivo en su condición original en ninguna

red de seguridad CIP cuando la función Configure Always esté habilitada,

excepto al seguir el procedimiento de reemplazo de dispositivo descrito en el

documento GuardLogix5570 Controllers User Manual, publicación 1756-UM022.




Notas:


Capítulo 4

CIP Safety y número de red de seguridad

Sistema de control CIP Safety encaminable

Para comprender los requisitos de seguridad de un sistema de control CIP Safety, incluido el número de red de seguridad (SNN), primero hay que entender cómo se encamina la comunicación en los sistemas de control CIP. El sistema de control CIP Safety representa un conjunto interconectado de dispositivos CIP Safety. El sistema encaminable representa la totalidad de los posibles encaminamientos erróneos de paquetes, desde un originador hasta un receptor, dentro del sistema de control CIP Safety. El sistema se aísla, de forma que no existan otras conexiones en el sistema. Por ejemplo, debido a que el sistema que aparece en la Figura 8 no puede interconectarse con otro sistema CIP Safety a través de una conexión principal Ethernet más grande a nivel de toda la planta, ilustra el alcance de un sistema CIP Safety encaminable.

Figura 8 – Ejemplo de sistema CIP Safety

Tema Página

Sistema de control CIP Safety encaminable 33

Consideraciones para la asignación del número de red de seguridad (SNN) 35

1756

-L71

S

1756

-L7S

P

1756

-DN

B

1756

-EN

2T

1768

-PB3

1768

-L43

S

1769

-ECR

Switch SwitchEncaminador/

cortafuegos(1)

CIP Safety I/O

SmartGuard™

1756

-IB1

6

1756

-DN

B

1756

-EN

2T

(1) El encaminador o el cortafuegos están configurados para limitar el tráfico.

1756

-OB1

6

1768

-EN

BT

1768

-EN

BT

CIP Safety I/O

CIP Safety I/O

CIP Safety I/O

CIP Safety I/O

CIP Safety I/O

CIP Safety I/O

CIP Safety I/O


Capítulo 4 CIP Safety y número de red de seguridad

Referencia única de nodo

El protocolo CIP Safety es un protocolo de seguridad entre nodos finales. El protocolo CIP Safety permite el encaminamiento de mensajes CIP Safety desde y hacia dispositivos CIP Safety, a través de puentes, conmutadores y encaminadores no certificados.

Para evitar que los errores en puentes, conmutadores o encaminadores no certificados se tornen peligrosos, cada nodo final dentro de un sistema de control CIP Safety encaminable debe tener una referencia única de nodo. La referencia única de nodo es una combinación de un número de red de seguridad (SNN) y la dirección de nodo correspondiente al nodo.

Número de red de seguridad

El número de red de seguridad (SNN) es asignado automáticamente por el software o manualmente por usted. Cada red CIP Safety que contiene nodos de E/S de seguridad debe tener por lo menos un SNN único. Cada chasis que contenga uno o más dispositivos de seguridad debe tener por lo menos un SNN único. Los números de red de seguridad asignados a cada red de seguridad o subred de la red tienen que ser únicos..

Figura 9 – Ejemplo de CIP Safety con más de un SNN

Cada dispositivo CIP Safety debe configurarse con un SNN. Cualquier dispositivo que origine una conexión de seguridad hacia otro dispositivo de seguridad debe configurarse con el SNN del dispositivo receptor. Si el sistema CIP Safety está en proceso de encendido antes de que se realice la prueba de seguridad funcional del sistema, el dispositivo originador puede utilizarse para definir la referencia única de nodo en el dispositivo.

SUGERENCIA Varios SNN se pueden asignar a una subred CIP Safety o a un chasis que

contenga múltiples dispositivos de seguridad. No obstante, para simplificar

las cosas, recomendamos que cada subred CIP Safety tenga un solo SNN

único. Esta recomendación también aplica para cada chasis.

Encaminador/cortafuegos

SNN_1 SNN_3 SNN_5

SNN_2 SNN_4 SNN_6

SNN_7

1756

-L71

S

1756

-L7S

P

1756

-DN

B

1756

-EN

2T

1768

-PB3

1768

-L43

S

1769

-ECR

Switch Switch

CIP Safety I/O

SmartGuard

1756

-IB1

6

1756

-DN

B

1756

-EN

2T

1756

-OB1

6

1768

-EN

BT

1768

-EN

BT

CIP Safety I/O

CIP Safety I/O

CIP Safety I/O

CIP Safety I/O

CIP Safety I/O

CIP Safety I/O

CIP Safety I/O


CIP Safety y número de red de seguridad Capítulo 4

El SNN utilizado por el sistema es un número hexadecimal de 6 bytes. El SNN puede establecerse y verse en cualquiera de dos formatos: basado en tiempo o manual. Cuando se selecciona el formato basado en tiempo, el SNN representa una fecha y una hora concretas. Cuando se selecciona el formato manual, el SNN representa un tipo de red y un valor decimal de 1…9999.

Figura 10 – Formatos de SNN

La asignación de un SNN basado en tiempo es automática cuando se crea un nuevo proyecto de controlador de seguridad GuardLogix y se añaden nuevos dispositivos CIP Safety I/O.

La manipulación manual de un SNN es necesaria en las siguientes situaciones:• Si se utilizan tags de seguridad consumidos• Si el proyecto consume datos de entrada de seguridad provenientes de un

dispositivo cuya configuración está en posesión de otro dispositivo de seguridad

• Si un proyecto de seguridad se copia en una instalación de hardware distinta dentro del mismo sistema CIP Safety encaminable

Consideraciones para la asignación del número de red de seguridad (SNN)

La asignación del SNN depende de factores que incluyen la configuración del controlador o del dispositivo de E/S CIP Safety.

Número de red de seguridad (SNN) para tags de seguridad consumidos

Cuando un controlador de seguridad que contiene tags de seguridad producidos se añade al árbol de configuración de E/S, es necesario introducir el número de red de seguridad (SNN) del controlador productor. El SNN puede copiarse del proyecto del controlador productor y pegarse en el nuevo controlador que se esté añadiendo al árbol de configuración de E/S.

IMPORTANTE Si usted asigna un SNN manualmente, no olvide asegurarse de que la

expansión del sistema no dé como resultado una duplicación de las

combinaciones de SNN y direcciones de nodo. Un error de verificación

ocurre si su proyecto contiene combinaciones de SNN y direcciones de nodo

duplicadas.


Capítulo 4 CIP Safety y número de red de seguridad

Consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022, para obtener más información acerca de cómo copiar y pegar un SNN.

Número de red de seguridad (SNN) para dispositivos tal como vienen de fábrica

Los dispositivos CIP Safety I/O tal como vienen de fábrica, no tienen un SNN. El SNN se establece cuando se envía una configuración al dispositivo por parte del controlador GuardLogix que es propietario del dispositivo.

Número de red de seguridad (SNN) para dispositivo de seguridad con un propietario de configuración diferente

Cuando un dispositivo CIP Safety I/O es propiedad de un distinto controlador GuardLogix (controlador B), y posteriormente se añade a otro proyecto GuardLogix (proyecto de controlador A), la aplicación Logix Designer asigna el número de red de seguridad (SNN) basado en el proyecto actual. Puesto que el proyecto actual (proyecto del controlador A) no es el verdadero propietario de la configuración, es necesario copiar el SNN original (proyecto del controlador B) en la configuración en el proyecto del controlador A. Esto puede hacerse fácilmente mediante los comandos estándar de copiar y pegar. Como resultado, el dispositivo CIP Safety I/O produce datos para dos controladores GuardLogix simultáneamente. Es posible copiar y pegar para un máximo de 16 controladores.

Consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022, para obtener más información acerca de cómo copiar y pegar números de red de seguridad.

Número de red de seguridad (SNN) al copiar un proyecto de seguridad

IMPORTANTE Para añadir un dispositivo de E/S CIP Safety a un sistema GuardLogix

configurado (el SNN está presente en el controlador GuardLogix),

es necesario aplicar el SNN correcto al dispositivo de E/S CIP Safety de

reemplazo antes de que se añada a la red CIP Safety.

ATENCIÓN: Si se copia un proyecto de seguridad para usarlo en otro proyecto

con hardware diferente o en una ubicación física diferente, y el nuevo proyecto

está dentro del mismo sistema CIP Safety encaminable, todos los números

de red de seguridad deben cambiarse en el segundo sistema. Los valores SNN no

deben repetirse.

Consulte el documento GuardLogix 5570 Controllers User Manual,

publicación 1756-UM022, para obtener información sobre cómo cambiar el SNN.





Capítulo 5

Características de tags de seguridad, tarea de seguridad y programas de seguridad

Diferenciar entre estándar y seguridad

Puesto que se trata de un controlador de la serie Logix, en el sistema de control GuardLogix se pueden utilizar tanto componentes estándar (no relacionados con la seguridad) como componentes relacionados con la seguridad.

Dentro de un proyecto GuardLogix se puede realizar control de automatización estándar de tareas estándar. Los controladores GuardLogix proporcionan la misma funcionalidad que otros controladores de la serie ControlLogix. Lo que diferencia a los controladores GuardLogix de los controladores estándar es que éstos proporcionan una tarea de seguridad con capacidad SIL 3.

Sin embargo, es necesario realizar una distinción lógica y visible entre la porción estándar y la relacionada con la seguridad de la aplicación. La aplicación Logix Designer proporciona esta diferenciación mediante la tarea de seguridad, los programas de seguridad, las rutinas de seguridad, los tags de seguridad y los dispositivos de E/S de seguridad. Es posible implementar tanto el nivel SIL 2 como el nivel SIL 3 del control de seguridad con la tarea de seguridad del controlador GuardLogix.

Tema Página

Diferenciar entre estándar y seguridad 37

Aplicaciones de seguridad SIL 2 38

Seguridad SIL 3; la tarea de seguridad 41

Uso de interfaces máquina-operador 43

Programas de seguridad 45

Rutinas de seguridad 45

Tags de seguridad 46


Capítulo 5 Características de tags de seguridad, tarea de seguridad y programas de seguridad

Aplicaciones de seguridad SIL 2

Se puede realizar el control de seguridad SIL 2 mediante la tarea de seguridad del controlador GuardLogix.

Puesto que los controladores GuardLogix forman parte de la serie de procesadores ControlLogix, se puede realizar el control de seguridad SIL 2 con un controlador GuardLogix mediante las tareas estándar o la tarea de seguridad. Esta capacidad ofrece opciones de control de seguridad únicas y versátiles, ya que la mayoría de las aplicaciones tiene un porcentaje mayor de funciones de seguridad SIL 2 que de funciones de seguridad SIL 3.

Control de seguridad SIL 2 en la tarea de seguridad

La tarea de seguridad GuardLogix puede usarse para proporcionar funciones de seguridad SIL 2 y SIL 3. Si las funciones de seguridad SIL 3 deben ejecutarse simultáneamente con las funciones de seguridad SIL 2, se debe cumplir con los requisitos definidos en las secciones Seguridad SIL 3; la tarea de seguridad, Programas de seguridad y Rutinas de seguridad de este capítulo, así como los requisitos de SIL 2 listados en esta sección.

Lógica de seguridad SIL 2

Desde la perspectiva de control de seguridad GuardLogix, la mayor diferencia entre dispositivos con clasificación de seguridad SIL 2 y SIL 3 es que SIL 2 generalmente tiene un solo canal, mientras que SIL 3 generalmente tiene dos canales. Al usar E/S con clasificación de seguridad Guard (módulos rojos), que es lo requerido en la tarea de seguridad, las entradas de seguridad SIL 2 puede tener un solo canal, lo cual puede reducir la complejidad y el número de módulos necesarios.

La correcta implementación de todas las funciones de seguridad depende del diseñador del sistema de seguridad. Se debe considerar lo siguiente:

• Selección del dispositivo de campo (correcta selección, identificación y mitigación de todos los fallos de dispositivos)

• Considere los requisitos de demanda de seguridad (baja según IEC 61511 o alta según ISO 13849)

• Considere los intervalos de prueba (pruebas de calidad y diagnósticos necesarios para satisfacer los requisitos de la aplicación)

• Identifique y justifique con la documentación apropiada todas las exclusiones de fallo usadas

Dentro de la tarea de seguridad, la aplicación Logix Designer incluye un conjunto de instrucciones de lógica de escalera relacionadas con la seguridad. Los controladores GuardLogix también ofrecen instrucciones de seguridad SIL 3 específicas para la aplicación. Todas estas instrucciones lógicas pueden usarse en funciones de seguridad CAT 1…4 y SIL 1…3.

IMPORTANTEz

Si se usa una combinación de funciones de seguridad SIL 2 y SIL 3

simultáneamente dentro de la tarea de seguridad, es necesario evitar que

las señales de entrada SIL 2 controlen directamente las funciones de

seguridad SIL 3. Use rutinas o programas de tarea de seguridad específicos

para separar las funciones de seguridad SIL 2 y SIL 3.


Características de tags de seguridad, tarea de seguridad y programas de seguridad Capítulo 5

Para el nivel de seguridad SIL 2 únicamente no se requiere una firma de tarea de seguridad. Sin embargo, si se usa alguna función de seguridad SIL 3 dentro de la tarea de seguridad, sí se requiere una firma de tarea de seguridad.

Para las aplicaciones SIL 2, se recomienda el bloqueo de seguridad de la tarea de seguridad una vez terminadas las pruebas. Bloquear la tarea de seguridad habilita más funciones de seguridad. Se pueden usar FactoryTalk® Security y protección de origen de rutina Logix Designer para limitar el acceso a la lógica relacionada con la seguridad.

Para obtener más información sobre cómo generar una firma de tarea de seguridad y cómo realizar el bloqueo de seguridad de la tarea de seguridad, consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022.

Entradas de seguridad SIL 2

Los módulos de entrada de seguridad CompactBlock™ Guard I/O (serie 1791), ArmorBlock® Guard I/O (serie 1732) y POINT Guard I/O (serie 1734) aceptan circuitos de entrada de seguridad SIL 2 de un solo canal. Puesto que estos módulos también están clasificados para operación SIL 3, es posible combinar los circuitos SIL 2 y SIL 3 en el mismo módulo, siempre que se sigan estas pautas.

Estos dos ejemplos de cableado muestran cómo cablear los circuitos de seguridad SIL 2 a los módulos de entrada de seguridad Guard I/O. Estos ejemplos utilizan fuentes de prueba incorporadas (T0…Tx) que residen en todos los módulos de entradas de seguridad 1791 y 1732.

Figura 11 – Cableado de entradas

Los módulos Guard I/O agrupan las entradas en parejas para facilitar las funcio-nes de seguridad Cat 3, Cat 4 y SIL 3. Para usarse en funciones de seguridad Cat 1, Cat 2 y SIL 2, las entradas de módulos deben usarse en parejas como se ilustra. Se muestran dos funciones de seguridad SIL 2 cableadas a I0 y I1 usando las fuentes de prueba T0 y T1, respectivamente.

Figura 12 – Cableado de entradas en parejas

I0 I1 T0 T1

I0 I1 T0 T1




En el caso de funciones de seguridad Cat 1, Cat 2 y SIL 2, los módulos de seguridad Guard I/O necesitan configuraciones específicas dentro del proyecto GuardLogix. En este ejemplo, las entradas 0, 1, 6, 7, 8, 9, 10 y 11 forman parte de una función de seguridad CAT 1, 2 o SIL 2. Las entradas 2 y 3, así como las entradas 4 y 5 forman parte de una función de seguridad CAT 3, CAT 4 o SIL 3.

Figura 13 – Configuración de entradas

Control de seguridad SIL 2 en tareas estándar

Debido al número y a la calidad de los diagnósticos incorporados en la serie de controladores ControlLogix es posible realizar funciones de seguridad SIL 2 desde dentro de las tareas estándar. Esto también se cumple en el caso de los controladores GuardLogix.

Campo Valor

Tipo Single

Discrepancy Time N/D

Point Mode Safety Pulse Test

Test Source Establecer valores según la forma en que el dispositivo de campo esté cableado físicamente al módulo. Para asegurar que la fuente de prueba esté correctamente habilitada, abra y fíjese en los valores de configuración de la ficha Test Output.

Input Delay Time Entrada de usuario basada en las características de los dispositivos de campo.

IMPORTANTE Las salidas de prueba de impulso incorporadas (T0…Tx) generalmente se

usan con dispositivos de campo que tienen contactos mecánicos. Si se usa

un dispositivo de seguridad con salidas electrónicas (para alimentar

entradas de seguridad), éstas deben tener las clasificaciones de seguridad

apropiadas.

IMPORTANTE Si está usando las instrucciones de aplicaciones de seguridad GuardLogix,

asegúrese de configurar sus módulos de entrada de seguridad como

módulos sencillos, no equivalentes ni complementarios. Estas instrucciones

proporcionan la funcionalidad de doble canal necesaria para las funciones

de seguridad PLd (Cat. 3) o PLe (Cat. 4).

Consulte el documento GuardLogix Safety Application Instruction Set

Reference Manual, publicación 1756-RM095.




Para realizar un control de seguridad SIL 2 dentro de una tarea estándar GuardLogix es necesario cumplir con los requisitos definidos en el documento Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicación 1756-RM001.

Seguridad SIL 3; la tarea de seguridad

Al crear un proyecto GuardLogix se crea automáticamente una sola tarea de seguridad. La tarea de seguridad tiene estas características adicionales:

• Los controladores GuardLogix son los únicos controladores que aceptan la tarea de seguridad.

• La tarea de seguridad no se puede eliminar.• Los controladores GuardLogix admiten una sola tarea de seguridad.• Dentro de la tarea de seguridad se pueden usar varios programas de

seguridad, compuestos a su vez por varias rutinas de seguridad. • No es posible secuenciar ni ejecutar rutinas estándar desde dentro de la

tarea de seguridad.

La tarea de seguridad es una tarea periódica temporizada con prioridad de tarea y temporizador de vigilancia seleccionables por el usuario. En la mayoría de los casos ésta es la prioridad principal del controlador, y el temporizador de vigilancia definido por el usuario debe establecerse para que se adapte a las fluctuaciones en la ejecución de la tarea de seguridad.

Limitaciones de la tarea de seguridad

Usted especifica tanto el período de la tarea de seguridad como el temporizador de vigilancia de tarea de seguridad. El período de la tarea de seguridad es el período en el que se ejecuta la tarea de seguridad. El temporizador de vigilancia de tarea de seguridad es el tiempo máximo permitido desde el inicio de la ejecución priorizada de la tarea de seguridad hasta que la misma se completa.

Si desea obtener más información acerca del temporizador de vigilancia de tarea de seguridad consulte el Apéndice C, Tiempos de reacción.

El período de la tarea de seguridad está limitado a 500 ms como máximo, y no se puede modificar en línea. Asegúrese de que la tarea de seguridad tenga suficiente tiempo para completarse antes de que se vuelva a activar. Si se activa la tarea de seguridad mientras todavía se está ejecutando debido a la activación anterior, ocurre una interrupción del temporizador de vigilancia de tarea de seguridad, que es un fallo de seguridad no recuperable en el controlador GuardLogix.

Vea Capítulo 7, Monitoreo de estado y manejo de fallos, para obtener más información.




Detalles de ejecución de la tarea de seguridad

La tarea de seguridad se ejecuta de la misma forma que las tareas periódicas estándar, con las siguientes excepciones:

• La tarea de seguridad no comienza a ejecutarse sino hasta que el controlador primario y el homólogo de seguridad hayan establecido su asociación de control y que la hora coordinada del sistema (CST) se haya sincronizado. No obstante, las tareas estándar comienzan a ejecutarse tan pronto como el controlador cambia al modo Run.

• Si bien el rango configurable del intervalo solicitado entre paquetes (RPI) para las entradas de seguridad y para los tags consumidos de seguridad es 6…500 ms, los tags de entrada de seguridad y los tags consumidos de seguridad se actualizan solo al comienzo de la ejecución de la tarea de seguridad. Esto significa que, aunque el intervalo solicitado entre paquetes (RPI) de E/S puede ser más breve que el período de la tarea de seguridad, los datos no cambian durante la ejecución de la tarea de seguridad. Los datos se leen solo una vez al inicio de la ejecución de la tarea de seguridad.

• Los valores de entrada de seguridad se congelan al inicio de la ejecución de la tarea de seguridad. Como resultado, las instrucciones relacionadas con el temporizador, tales como TON y TOF, no se actualizan durante una sola ejecución de la tarea de seguridad. Mantienen el tiempo exacto de una ejecución de tarea a otra, pero el tiempo acumulado no cambia durante la ejecución de la tarea de seguridad.

• En el caso de tags estándar que están asignados a tags de seguridad, los valores de tag estándar se copian en la memoria de seguridad al inicio de la tarea de seguridad y no cambian durante la ejecución de dicha tarea.

• Los valores de tags de salida de seguridad (de salida y producidos) se actualizan cuando finaliza la ejecución de la tarea de seguridad.

• La tarea de seguridad responde a cambios de modo (por ejemplo, Run a Program o de Program a Run) a intervalos temporizados. Como resultado, la tarea de seguridad puede tardar más de un período de tarea, pero siempre menos de dos, para realizar una transición de modo.

ATENCIÓN: Este comportamiento difiere de la ejecución de la tarea

Logix estándar, pero es similar al comportamiento de PLC o SLC™.



Uso de interfaces máquina-operador

Siga estas precauciones y pautas para usar dispositivos HMI en sistemas GuardLogix con clasificación SIL.

Precauciones

Tome medidas de precaución e implemente técnicas específicas en dispositivos HMI. Estas precauciones incluyen, entre otras, las siguientes:

• Acceso limitado y protección• Especificaciones, pruebas y validación• Restricciones de datos y de acceso• Límites de datos y de parámetros

Para obtener más información sobre cómo los dispositivos HMI encajan en un lazo SIL típico, vea la Figura 1 en la página 15.

Use técnicas seguras en el software de aplicación dentro del HMI y el controlador.

IMPORTANTE Mientras el controlador esté en desbloqueo de seguridad y no haya una firma

de tarea de seguridad, éste impide el acceso simultáneo de escritura a la

memoria de seguridad desde la tarea de seguridad y desde comandos de

comunicación. Como resultado, la tarea de seguridad puede permanecer

retenida hasta que se complete la actualización de comunicación. El tiempo

necesario para la actualización varía de acuerdo al tamaño del tag. Por lo

tanto, es posible que ocurran suspensiones de conexión de seguridad y del

temporizador de vigilancia de seguridad. (Por ejemplo, si realiza ediciones en

línea cuando la tasa de la tarea de seguridad se establece en 1 ms, podría

ocurrir una interrupción del temporizador de vigilancia de seguridad).

Para compensar el tiempo de aplazamiento debido a la actualización de

comunicación, añada 2 ms al tiempo del temporizador de vigilancia de

seguridad.

Cuando el controlador está en bloqueo de seguridad o cuando existe una

firma de tarea de seguridad, la situación descrita en esta nota no puede

suceder.



Cómo obtener acceso a sistemas relacionados con la seguridad

Las funciones relacionadas al HMI constan de dos actividades primarias: lectura y escritura de datos.

Lectura de parámetros en sistemas relacionados a la seguridad

La lectura de datos no está restringida porque la lectura no afecta el comporta-miento del sistema de seguridad. Sin embargo, el número, la frecuencia y el tamaño de los datos que se leen pueden afectar la disponibilidad del controlador. Para evitar disparos inoportunos relacionados a la seguridad, use buenas prácticas de comunicación para limitar el efecto del procesamiento de comunicaciones en el controlador. No establezca los regímenes de lectura en el valor de régimen más rápido posible.

Cambio de parámetros en sistemas con clasificación SIL

Se permite un cambio de parámetro en un lazo relacionado a la seguridad mediante un dispositivo externo (es decir, fuera del lazo de seguridad), por ejemplo, un HMI, con las siguientes restricciones:

• Solo el personal especialmente capacitado y autorizado (operadores) puede cambiar los parámetros en sistemas relacionados a la seguridad mediante la HMI.

• El operador que haga cambios en un sistema relacionado a la seguridad mediante un HMI es responsable del efecto de dichos cambios en el lazo de seguridad.

• Usted debe documentar claramente las variables que vayan a ser modificadas.

• Se debe usar un procedimiento de operador claro, completo y explícito para hacer cambios relacionados a la seguridad mediante un HMI.

• Pueden aceptarse cambios en un sistema relacionado a la seguridad sólo si ocurre la siguiente secuencia de eventos:

a. La nueva variable debe enviarse dos veces a dos tags diferentes; es decir, no debe escribirse a ambos valores con un comando.

b. El código relacionado a la seguridad que se ejecuta en el controlador debe verificar la equivalencia de ambos tags y asegurarse de que estén dentro del rango (verificaciones de límites).

c. Ambas variables nuevas deben volverse a leer y aparecer en el dispositivo HMI.

d. Los operadores capacitados deben confirmar visualmente que ambas variables sean iguales y que tengan el valor correcto.

e. Los operadores capacitados deben confirmar manualmente que los valores sean los correctos en la pantalla HMI que envía un comando a la lógica de seguridad, lo cual permite que se usen los nuevos valores en la función de seguridad.



En cada caso el operador debe confirmar la validez del cambio antes de aceptarlo y aplicarlo en el lazo de seguridad.

• Pruebe todos los cambios como parte del procedimiento de validación de seguridad.

• Documente de manera suficiente todos los cambios relacionados a la seguridad hechos mediante el HMI, incluidos los siguientes:

– Autorización– Análisis de impacto– Ejecución– Información de prueba– Información de la revisión

• Los cambios en el sistema relacionado a la seguridad deben cumplir con el estándar sobre seguridad de procesos IEC 61511, sección 11.7.1, requisitos de interface de operador.

• Los cambios hechos al sistema relacionado a la seguridad deben cumplir con IEC 62061 para seguridad de máquina.

• El desarrollador debe seguir las mismas técnicas de desarrollo y los mismos procedimientos seguros usados para otro desarrollo de software de aplicación, incluidas la verificación y las pruebas de la interface de operador y su acceso a otras partes del programa. En el software de aplicación del controlador cree una tabla que sea accesible por el HMI y limite el acceso solamente a los puntos de datos requeridos.

• De modo similar al programa del controlador, el software HMI debe ser protegido y mantenido en cumplimiento con el nivel SIL después de que el sistema haya sido validado y probado.

Programas de seguridad Un programa de seguridad tiene todos los atributos de un programa estándar, con la excepción de que solo se puede priorizar en la tarea de seguridad. Un programa de seguridad también puede definir tags de seguridad restringidos al programa. Un programa de seguridad puede ser priorizado o no priorizado.

Un programa de seguridad solo puede contener componentes de seguridad. Todas las rutinas de un programa de seguridad son rutinas de seguridad. Un programa de seguridad no puede contener rutinas estándar ni tags estándar.

Rutinas de seguridad Las rutinas de seguridad tienen todos los atributos de las rutinas estándar, con la excepción de que solo pueden existir en los programas de seguridad. Una rutina de seguridad puede ser designada como la rutina principal. Otra rutina de seguridad puede ser designada como la rutina de fallo. En las rutinas de seguridad solo se pueden utilizar instrucciones certificadas de seguridad.



Consulte la lista de instrucciones de seguridad en el Apéndice A.

Tags de seguridad El sistema de control GuardLogix admite el uso de tags estándar y de tags de seguridad en el mismo proyecto. Sin embargo, el software de programación diferencia operativamente los tags estándar de los tags de seguridad.

Los tags de seguridad tienen todos los atributos de los tags estándar, además de mecanismos para proporcionar integridad de datos SIL 3.

La aplicación Logix Designer evita la creación directa de tags inválidos en un programa de seguridad. Si los tags inválidos son importados, no podrán verificarse.

Los tags clasificados como tags de seguridad se restringen al controlador o al programa. Los tags de seguridad restringidos al controlador pueden ser leídos por la lógica estándar o de seguridad o por otros dispositivos de comunicación, pero pueden ser escritos solo por la lógica de seguridad o por otro controlador de seguridad GuardLogix. Solamente las rutinas de seguridad locales pueden tener acceso a los tags de seguridad restringidos al programa. Estas son rutinas que residen dentro del programa de seguridad.

ATENCIÓN: Para preservar el nivel SIL 3, es necesario asegurarse de que su

lógica de seguridad no intente leer ni escribir tags estándar.

Tabla 6 – Tipos de datos válidos para tags de seguridad

• AUX_VALVE_CONTROL • DINT • MUTING_FOUR_SENSOR_BIDIR

• BOOL • DIVERSE_INPUT • MUTING_TWO_SENSOR_ASYM

• CAM_PROFILE • EIGHT_POS_MODE_SELECTOR • MUTING_TWO_SENSOR_SYM

• CAMSHAFT_MONITOR • EMERGENCY_STOP • MOTION_INSTRUCTION

• CB_CONTINUOUS_MODE • ENABLE_PENDANT • PHASE

• CB_CRANKSHAFT_POS_MONITOR • EXT_ROUTINE_CONTROL • PHASE_INSTRUCTION

• CB_INCH_MODE • EXT_ROUTINE_PARAMETERS • REAL

• CB_SINGLE_STROKE_MODE • FBD_BIT_FIELD_DISTRIBUTE • REDUNDANT_INPUT

• CONFIGURABLE_ROUT • FBD_CONVERT • REDUNDANT_OUTPUT

• CONNECTION_STATUS • FBD_COUNTER • SAFETY_MAT

• CONTROL • FBD_LOGICAL • SERIAL_PORT_CONTROL

• COUNTER • FBD_MASK_EQUAL • SFC_ACTION

• DCA_INPUT • FBD_MASKED_MOVE • SFC_STEP

• DCI_MONITOR • FBD_TIMER • SFC_STOP

• DCI_START • FIVE_POS_MODE_SELECTOR • SINT

• DCI_STOP • INT • STRING

• DCI_STOP_TEST • LIGHT_CURTAIN • THRS_ENHANCED

• DCI_STOP_TEST_LOCK • MAIN_VALVE_CONTROL • TIMER

• DCI_STOP_TEST_MUTE • MANUAL_VALVE_CONTROL • TWO_HAND_RUN_STATION

IMPORTANTE Los alias entre tags estándar y de seguridad están prohibidos en las

aplicaciones de seguridad.



Los tags asociados con Safety I/O y los datos de seguridad producidos o consumidos deben ser tags de seguridad restringidos al controlador.

Tags estándar en rutinas de seguridad (asignación de tags)

Los tags estándar restringidos al controlador se pueden asignar a tags de seguridad, lo que proporciona un mecanismo para sincronizar las acciones estándar y las de seguridad.

IMPORTANTE Cualquier tag de seguridad restringido al controlador se puede leer

mediante una rutina estándar, pero la velocidad de actualización se basa en

la ejecución de la tarea de seguridad. Por consiguiente, los tags de

seguridad se actualizan a la tasa periódica de la tarea de seguridad, que es

diferente del comportamiento de los tags estándar.

ATENCIÓN: Cuando utilice datos estándar en una rutina de seguridad, usted

será responsable de proporcionar una forma confiable de garantizar que los

datos se utilicen de manera apropiada. El uso de datos estándar en un tag de

seguridad no los convierte en datos de seguridad. No se debe controlar

directamente una salida de seguridad con datos de tag estándar.

Este ejemplo ilustra cómo calificar los datos estándar con datos de seguridad.

Figura 14 – Calificación de datos estándar con datos de seguridad

ONSMappedBooleanTag LatchOneShot

Node30ComboModule:O.Pt03Data

Node30ComboModule:I.Pt07Data Node30ComboModule:O.Pt03Data

Enclave el circuito para evitar un reinicio automático si la entrada estándar (MappedTag) falla en un estado atascado en 1 (“stuck at 1”).

Calificador de entrada de seguridad para tag asignado

Salida de seguridad



Notas:


Capítulo 6

Desarrollo de la aplicación de seguridad

Suposiciones sobre el concepto de seguridad

El concepto de seguridad parte de los siguientes supuestos:• Que si usted es responsable de crear, operar y mantener la aplicación, debe

estar debidamente calificado y especialmente capacitado, y tener experiencia en sistemas de seguridad.

• Que usted aplica la lógica correctamente, lo que significa que los errores de programación se pueden detectar. Los errores de programación se pueden detectar mediante la estricta observancia de las especificaciones y de las reglas de programación y nomenclatura.

• Que usted realiza un análisis crítico de la aplicación y que hace uso de todas las medidas posibles para detectar un fallo.

• Que usted confirma todas las descargas de la aplicación mediante la verificación manual de la firma de tarea de seguridad.

• Que antes de poner en marcha un sistema relacionado con la seguridad, usted realiza una prueba de funcionamiento completa de todo el sistema.

Tema Página

Suposiciones sobre el concepto de seguridad 49

Nociones básicas de desarrollo y prueba de aplicaciones 50

Proceso para poner en servicio 51

Descarga del programa de aplicación de seguridad 57

Carga del programa de aplicación de seguridad 57

Edición en línea 57

Almacenamiento y carga de un proyecto desde la memoria no volátil 58

Forzar datos 58

Inhibir un dispositivo 58

Editar la aplicación de seguridad 59

Tabla 7 – Modos del controlador

Modo del controlador

Estado de la tarea de seguridad

Seguridad(1)

(hasta e inclusive)Comentarios(Un programa válido ha sido descargado al controlador.)

Program DesbloqueadoSin firma

• Conexiones de E/S establecidas• La lógica de la tarea de seguridad no está siendo escaneada.

Run DesbloqueadoSin firma

(únicamente para fines de desarrollo)

• Forzado permitido• Edición en línea permitida• La memoria de seguridad está aislada, pero no está protegida (lectura/escritura)• La lógica de la tarea de seguridad está siendo escaneada.

Los controladores primario y homólogo procesan la lógica, hacen comparación cruzada de salidas lógicas. Se escriben salidas lógicas a las salidas de seguridad.


Capítulo 6 Desarrollo de la aplicación de seguridad

Nociones básicas de desarrollo y prueba de aplicaciones

Recomendamos que el programa de aplicación para el sistema SIL CL3 deseado sea desarrollado por el integrador de sistemas o por un usuario que tenga la debida capacitación y experiencia en aplicaciones de seguridad. El especialista en desarrollo debe cumplir con buenas prácticas de diseño:

• Usar especificaciones funcionales, tales como diagramas de flujo, diagramas de temporización y diagramas de secuencia.

• Realizar la revisión de la lógica de la tarea de seguridad.• Realizar la validación de la aplicación.

Run DesbloqueadoSin firma

PLd/Cat. 3

Control confiable SIL CL2

• No se admiten nuevos forzados. Se mantienen forzados existentes.• Edición en línea no permitida.• La memoria de seguridad está protegida (lectura solamente).• Se escanea la lógica de la tarea de seguridad.• Los controladores primario y homólogo procesan la lógica, hacen comparación cruzada de salidas

lógicas. Se escriben salidas lógicas a las salidas de seguridad.

Run DesbloqueadoCon firma

Ple/Cat. 4 Control confiable SIL CL3

• No se admiten forzados. (Deben retirarse para generar una firma de tarea de seguridad).• Edición en línea no permitida.• La memoria de seguridad está protegida (lectura solamente).• Se escanea la lógica de la tarea de seguridad.• Los controladores primario y homólogo procesan la lógica, hacen comparación cruzada de salidas

lógicas. Se escriben salidas lógicas a las salidas de seguridad.• La firma de la tarea de seguridad no está protegida y cualquier persona con acceso al controlador

puede eliminarla.

Run BloqueadoCon firma

Ple/Cat. 4 Control confiable SIL CL3

• No se admiten forzados. (Deben retirarse para generar una firma de tarea de seguridad).• Edición en línea no permitida.• La memoria de seguridad está protegida (lectura solamente).• Se escanea la lógica de la tarea de seguridad.• Los controladores primario y homólogo procesan la lógica, hacen comparación cruzada de salidas

lógicas. Se escriben salidas lógicas a las salidas de seguridad.• La firma de la tarea de seguridad está protegida. Los usuarios deben ingresar la contraseña de

desbloqueo para desbloquear el controlador antes de eliminar la firma de la tarea de seguridad.

(1) Para llegar a este nivel es necesario cumplir con los requisitos de seguridad definidos en esta publicación.

Tabla 7 – Modos del controlador

Modo del controlador

Estado de la tarea de seguridad

Seguridad(1)

(hasta e inclusive)Comentarios(Un programa válido ha sido descargado al controlador.)


Desarrollo de la aplicación de seguridad Capítulo 6

Proceso para poner en servicio

El siguiente diagrama de flujo muestra los pasos necesarios para poner en servicio un sistema GuardLogix. Los ítems en negrita se explican en las secciones siguientes.

Figura 15 – Poner en servicio el sistema

Especificar la función de control

Crear proyecto En línea

Crear proyecto Fuera de línea

Adjuntar al controlador y descargar

Probar el programade aplicación

Generar la firma de tarea de seguridad

Confirmar el proyecto

Registrar la firma de tarea de seguridad

Prueba de verificación del proyecto

Validación de seguridad (revisión independiente)

Bloquear el controlador/Fin

Hacer las modificaciones necesarias

Eliminar la firma de tarea de seguridad

¿Pasó las pruebas?

¿Es válido el proyecto?

No

Sí

No

Sí

Completar las listas de verificaciónde seguridad en el Apéndice D



Especificación de la función de control

Usted debe crear una especificación para la función de control. Utilice esta especificación para verificar que la lógica del programa esté orientada correcta y totalmente a satisfacer los requisitos de funcionamiento y de control de seguridad de la aplicación. La especificación puede presentarse en diversos formatos, según la aplicación. No obstante, la especificación debe ser una descripción detallada que incluya lo siguiente (si corresponde):

• Secuencia de operaciones• Diagramas de flujo y de temporización• Diagramas de secuencias• Descripción del programa• Impresión del programa• Descripciones por escrito de los pasos con condiciones de pasos y

accionadores que deben controlarse, incluido lo siguiente:– Definiciones de entrada– Definiciones de salida– Referencias y diagramas de cableado de E/S– Teoría de operación

• Matriz o tabla de condiciones por pasos, y los accionadores que deben controlarse, incluidos los diagramas de secuencia y de temporización

• Definición de condiciones marginales; por ejemplo, modos de operación y de PARO DE EMERGENCIA.

La porción de E/S de la especificación debe contener el análisis de los circuitos de campo, es decir, el tipo de sensores y de accionadores.

• Sensores (digitales o analógicos)– Señal en operación estándar (en el caso de sensores digitales, si éstos

están desactivados no se transmiten señales)– Determinación de redundancias necesarias para niveles SIL– Monitoreo y visualización de discrepancias, incluida la lógica de

diagnóstico• Accionadores

– Posición y activación en la operación estándar (normalmente desactivado)

– Reacción y posicionamiento de seguridad cuando se conmuta a desactivado o cuando se produce un fallo en la energía eléctrica

– Monitoreo y visualización de discrepancias, incluida la lógica de diagnóstico



Crear el proyecto

La lógica y las instrucciones utilizadas en la programación de la aplicación deben ser las siguientes:

• Fáciles de comprender• Fáciles de rastrear• Fáciles de cambiar• Fáciles de probar

Revise y pruebe toda la lógica. Mantenga separadas la lógica relacionada con la seguridad de la lógica estándar.

Etiquetar el programa

El programa de aplicación se identifica claramente mediante uno de los siguientes datos:

• Nombre• Fecha• Revisión• Cualquier otra identificación del usuario

Probar el programa de aplicación

Este paso consta de cualquier combinación de los modo Run y Program, ediciones en línea o fuera de línea, cargas y descargas, y pruebas informales necesarias para que la aplicación funcione debidamente en preparación para la prueba de verificación del proyecto.


La firma de tarea de seguridad identifica de forma exclusiva cada proyecto, incluida su lógica, datos y configuración. La firma de tarea de seguridad está compuesta por el número de identificación, la fecha y la hora.

Usted puede generar la firma de tarea de seguridad si se cumple con todas las siguientes condiciones:

• la aplicación Logix Designer está en línea con el controlador;• el controlador está en modo Program;• el controlador está en desbloqueo de seguridad;• el controlador no tiene forzados de seguridad ni ediciones de seguridad

pendientes en línea;• el estado de la tarea de seguridad es OK.



Una vez completada la prueba del programa de aplicación, es necesario generar la firma de tarea de seguridad. El software de programación carga automáticamente la firma de tarea de seguridad una vez que ha sido generada.

Se puede eliminar la firma de tarea de seguridad solo cuando el controlador GuardLogix está en desbloqueo de seguridad y, si está en línea, cuando el interruptor de llave está en la posición REM o PROG.

Cuando existe una firma de tarea de seguridad no se pueden realizar las siguientes acciones dentro de la tarea de seguridad:

• programación o edición en línea o fuera de línea de componentes de seguridad;

• forzado de E/S de seguridad;• manipulación de datos (excepto a través de la lógica de rutina o de otro

controlador GuardLogix)

Prueba de verificación de proyecto

Para comprobar si el programa de aplicación se apega a las especificaciones es necesario generar un conjunto adecuado de escenarios de prueba que cubran la aplicación. El conjunto de escenarios de prueba debe archivarse y conservarse como especificación de prueba.

Es necesario incluir un grupo de pruebas para comprobar la validez de los cálculos (las fórmulas) utilizados en la lógica de la aplicación. Es aceptable utilizarpruebas de rangos equivalentes. Estas son pruebas dentro de los rangos de valores definidos, en los límites, o en rangos de valores inválidos. El número necesario de escenarios de prueba depende de las fórmulas utilizadas y debe incluir pares de valores críticos.

También se debe incluir una simulación activa con fuentes (dispositivos de campo), ya que es la única forma de verificar que los sensores y los accionadores del sistema estén cableados correctamente. Verifique la operación de las funciones programadas manipulando manualmente los sensores y los accionadores.

También debe incluir pruebas para verificar la reacción frente a fallos de cableado y fallos de comunicación en red.

La verificación del proyecto incluye pruebas de rutinas de fallo y canales de entrada y de salida, con el fin de asegurarse de que el sistema de seguridad funcione adecuadamente.

Para realizar una prueba de verificación del proyecto en el controlador GuardLogix es necesario realizar una prueba total de la aplicación. Es necesario alternar cada sensor y accionador utilizado en cada función de seguridad. Desde la perspectiva de un controlador, esto significa alternar el punto de E/S que va al controlador, no necesariamente los accionadores en sí. Es necesario asegurarse de probar todas las funciones de desactivación, ya que estas funciones generalmente

IMPORTANTE Para verificar la integridad de cada descarga es necesario registrar

manualmente la firma de tarea de seguridad después de haberla creado

inicialmente, y comprobarla después de cada descarga, para asegurarse de

que coincida con el original.



no se ejecutan durante la operación normal. Además, tenga en cuenta que una prueba de verificación del proyecto es válida solo para la aplicación específica que esté siendo probada. Si el controlador se traslada a otra aplicación, es necesario realizar también la prueba de verificación del proyecto y de puesta en marcha en el controlador en el contexto de su nuevo programa de aplicación.


Es imperativo imprimir o ver el proyecto y comparar las E/S de seguridad cargadas y las configuraciones del controlador, los datos de seguridad y la lógica del programa de la tarea de seguridad para asegurarse de que los componentes de seguridad adecuados hayan sido descargados, probados y conservados en el programa de aplicación de seguridad.

Si el programa de aplicación contiene una instrucción Add-On de seguridad que haya sido sellada con una firma de instrucción, también es necesario comparar la firma de la instrucción, la fecha/hora y la firma de la instrucción de seguridad contra los valores registrados al sellar la instrucción Add-On.

Consulte el Apéndice B, Instrucciones Add-On de seguridad para obtener información sobre cómo crear y usar instrucciones Add-On de seguridad en aplicaciones SIL 3.

Los siguientes pasos ilustran un método para confirmar el proyecto.

1. Guarde el proyecto cuando el controlador esté en el modo de programación.

2. Responda Yes cuando aparezca Upload Tag Values.

3. Con la aplicación Logix Designer fuera de línea, guarde el proyecto con un nuevo nombre, como Offlineprojectname.ACD, donde projectname es el nombre del proyecto.

Este es el nuevo archivo de proyecto maestro probado.

4. Cierre el proyecto.

5. Mueva el archivo de proyecto original fuera de su directorio actual.Puede eliminar este archivo o guardarlo en una ubicación de almacenamiento. Se requiere este paso porque si la aplicación Logix Designer encuentra projectname.ACD en este directorio, lo correlaciona con el proyecto del controlador y no realiza la carga.

6. Con el controlador todavía en el modo Program, cargue el proyecto desde el controlador.

7. Guarde el proyecto guardado como Onlineprojectname.ACD, donde projectname es el nombre de su proyecto.

8. Responda Yes cuando aparezca Upload Tag Values.



9. Use la utilidad Logix Designer Program Compare para realizar estas comparaciones:• Compare todas las propiedades del controlador GuardLogix y los de

dispositivos de E/S CIP Safety.• Compare todas las propiedades de la tarea de seguridad, de los

programas de seguridad y de las rutinas de seguridad.• Compare toda la lógica de las rutinas de seguridad.

Validación de seguridad

Es posible que sea necesario que un tercero independiente revise el sistema de seguridad antes de que éste quede aprobado para funcionar. Se requiere una certificación por parte de un tercero independiente, según IEC 61508 SIL 3.

Bloquear el controlador GuardLogix

Es posible aplicar un bloqueo de seguridad al sistema controlador GuardLogix para ayudar a proteger los componentes de control de seguridad frente a posibles modificaciones. Sin embargo, no es obligatorio realizar un bloqueo de seguridad del controlador para las aplicaciones SIL 3. La función de bloqueo de seguridad solo es aplicable a componentes de seguridad como, por ejemplo, la tarea de seguridad, los programas de seguridad, las rutinas de seguridad, los tags de seguridad, las instrucciones Add-On, las E/S de seguridad y la firma de tarea de seguridad. No obstante, el bloqueo de seguridad por sí solo no satisface los requisitos de SIL 3.

Ningún aspecto de seguridad puede ser modificado mientras el controlador esté en el estado de bloqueo de seguridad. Cuando el controlador está en bloqueo de seguridad no se permiten las siguientes acciones dentro de la tarea de seguridad:

• programación o edición en línea o fuera de línea;• forzado de E/S de seguridad;• manipulación de datos (excepto a través de la lógica de rutina o de otro

controlador GuardLogix)• creación o edición de instrucciones Add-On de seguridad;• generación o eliminación de la firma de tarea de seguridad.

El estado predeterminado del controlador es desbloqueo de seguridad. Es posible poner la aplicación de seguridad en un estado de bloqueo de seguridad, indepen-dientemente de que esté en línea o fuera de línea, e independientemente de si usted tiene la fuente original del programa. No obstante, no debe estar presente ningún forzado de seguridad ni edición de seguridad pendiente. El estado de blo-queo o de desbloqueo de seguridad no se puede modificar cuando el interruptor de llave está en la posición de RUN.

Para contar con una capa adicional de protección es posible utilizar contraseñas independientes para el bloqueo o el desbloqueo de seguridad del controlador. Las contraseñas son opcionales.



Descarga del programa de aplicación de seguridad

Al realizar la descarga es necesario realizar una prueba de aplicación, a no ser que exista una firma de tarea de seguridad.

Las descargas a un controlador GuardLogix en bloqueo de seguridad se permiten solo si la firma de tarea de seguridad, la serie de hardware y la versión del sistema operativo del proyecto fuera de línea coinciden con las contenidas en el controlador receptor GuardLogix, y si el estado de la tarea de seguridad del controlador es OK.

Carga del programa de aplicación de seguridad

Si el controlador GuardLogix contiene una firma de tarea de seguridad, dicha firma se carga junto con el proyecto. Esto significa que cualquier cambio en los datos de seguridad fuera de línea se sobrescribe como resultado de la carga.

Edición en línea Si no hay firma de tarea de seguridad y el controlador está en desbloqueo de seguridad, es posible realizar ediciones en línea de las rutinas de seguridad.

No puede haber ediciones pendientes cuando el controlador está en bloqueo de seguridad o cuando hay una firma de tarea de seguridad. Pueden existir ediciones en línea cuando el controlador está en bloqueo de seguridad. Sin embargo, estas no se pueden ensamblar ni cancelar.

Para obtener más información acerca de cómo realizar ediciones en el programa de aplicación consulte la página 59.

IMPORTANTE Para verificar la integridad de cada descarga es necesario registrar

manualmente la firma de tarea de seguridad después de haberla creado

inicialmente, y comprobarla después de cada descarga, para asegurarse de

que coincida con el original.

IMPORTANTE Si la firma de tarea de seguridad no coincide y el controlador está en

bloqueo de seguridad, es necesario desbloquear el controlador para la

descarga. En este caso, la descarga al controlador elimina la firma de tarea

de seguridad. Como resultado, es necesario volver a validar la aplicación.

ATENCIÓN: El puerto USB está diseñado solamente para programación local

temporal, no para conexión permanente.

SUGERENCIA No se pueden editar instrucciones estándar ni instrucciones Add-On de

seguridad mientras se está en línea.

SUGERENCIA Las ediciones en línea en las rutinas estándar no se ven afectadas por el

estado de bloqueo o de desbloqueo de seguridad.



Almacenamiento y carga de un proyecto desde la memoria no volátil

Los controladores GuardLogix 5570 admiten actualizaciones de firmware y almacenamiento y recuperación de programas de usuario mediante una tarjeta de memoria. En un sistema GuardLogix, solo el controlador primario usa una tarjeta de memoria como memoria no volátil.

Cuando usted almacena un proyecto de seguridad en una tarjeta de memoria, Rockwell Automation recomienda que seleccione Remote Program como modo de carga, es decir, el modo al que entra el controlador después de la carga. Antes de que la máquina pueda ponerse en funcionamiento es necesario que el operador intervenga para arrancar la máquina.

Es posible iniciar una carga desde memoria no volátil solo bajo estas condiciones:• Si el tipo de controlador especificado por el proyecto almacenado en la

memoria no volátil coincide con el tipo del controlador• Si las revisiones mayor y menor del proyecto alojadas en memoria no volátil

coinciden con las revisiones mayor y menor del controlador• Si su controlador no está en el modo Run

La carga de un proyecto a un controlador con bloqueo de seguridad está permitido solo cuando la firma de tarea de seguridad del proyecto almacenado en la memoria no volátil coincide con el proyecto en el controlador. Si las firmas no coinciden o el controlador tiene bloqueo de seguridad sin una firma de tarea de seguridad, primero debe desbloquear el controlador antes de actualizar el controlador mediante la memoria no volátil.

Forzar datos Todos los datos contenidos en un tag de seguridad de E/S, producido o consumido, incluido CONNECTION_STATUS, pueden ser forzados mientras el proyecto está en desbloqueo de seguridad y no existe una firma de tarea de seguridad. Sin embargo, los forzados no solo deben ser inhabilitados sino también desinstalados en todos los tags de seguridad para que el proyecto de seguridad pueda estar en bloqueo de seguridad o para que se pueda generar una firma de tarea de seguridad. Los tags de seguridad no se pueden forzar mientras el proyecto esté en bloqueo de seguridad ni cuando exista una firma de tarea de seguridad.

Inhibir un dispositivo No es posible inhibir o desinhibir dispositivos de E/S CIP Safety ni controladores productores si el programa de aplicación está en bloqueo de seguridad o si existe una firma de tarea de seguridad.

IMPORTANTE Si usted desbloquea el controlador e inicia una carga desde la memoria no

volátil, el estado de bloqueo de seguridad, las contraseñas y la firma de

tarea de seguridad se establecen con los valores contenidos en la memoria

no volátil una vez que la carga ha sido completada.

SUGERENCIA Es posible instalar y desinstalar los forzados en los tags estándar,

independientemente de si el estado es de bloqueo o de desbloqueo de

seguridad.



Siga estos pasos para inhibir un dispositivo específico de E/S de seguridad.

1. En la aplicación Logix Designer, haga clic con el botón derecho del mouse en el dispositivo y seleccione Properties.

2. En el cuadro de diálogo Module Properties, haga clic en la ficha Connection.

3. Seleccione Inhibit Connection y haga clic en Apply.

El dispositivo está inhibido siempre que la casilla de verificación esté seleccionada. Si un dispositivo de comunicación está inhibido, todos los dispositivos en la rama descendente también están inhibidos.

Editar la aplicación de seguridad

Las siguientes reglas se aplican al cambio del programa de aplicación de seguridad en la aplicación Logix Designer:

• Solo personal autorizado y con la debida capacitación puede realizar ediciones en los programas. Este personal debe utilizar todos los métodos de supervisión disponibles como, por ejemplo, protecciones mediante contraseñas para el software e interruptor de llave para el controlador.

• Cuando el personal debidamente autorizado y capacitado realiza ediciones en los programas, este personal asume la responsabilidad de la seguridad central mientras se realizan los cambios. Este personal también debe mantener la operación segura de la aplicación.

• Cuando se realiza una edición en línea es necesario utilizar un mecanismo de protección alternativo para mantener la seguridad del sistema.

• Es necesario documentar suficientemente todas las ediciones del programa, incluidas las siguientes:– Autorización– Análisis de impacto– Ejecución– Información de prueba– Información de la revisión

• Si existen ediciones en línea solo en las rutinas estándar, no es necesario validar esas ediciones antes de volver a la operación normal.

• Es necesario asegurarse de que los cambios en la rutina estándar, con respecto a la temporización y a la asignación de tags, sean aceptables para su aplicación de seguridad.

• Es posible editar la parte lógica de su programa, ya sea en línea o fuera de línea, tal y como se describe en las siguientes secciones.



Ediciones fuera de línea

Cuando se realizan ediciones fuera de línea solamente a elementos del programa estándar y si la firma de tarea de seguridad coincide después de la descarga, entonces es posible reanudar la operación.

Cuando las ediciones fuera de línea afectan el programa de seguridad, antes de reanudar la operación es necesario volver a validar todos los elementos afectados de la aplicación, según lo determinado por el análisis de impacto.

El diagrama de flujo de la página 61 ilustra el proceso de edición fuera de línea.

Ediciones en línea

Si las ediciones en línea afectan el programa de seguridad, antes de reanudar la operación es necesario volver a validar todos los elementos afectados de la aplicación, según lo determinado por el análisis de impacto. El diagrama de flujo de la página 61 ilustra el proceso de edición en línea.

Las ediciones en línea se ven afectadas por las funciones de bloqueo de seguridad y de firma de tarea de seguridad del controlador GuardLogix.

Para obtener más información consulte Generar la firma de tarea de seguridad en la página 53 y Bloquear el controlador GuardLogix en la página 56.

Para obtener información detallada acerca de cómo editar la lógica de escalera en la aplicación Logix Designer mientras está en línea, consulte el documento Logix5000 Controllers Quick Start, publicación 1756-QS001.

Modificación de la prueba de impacto

Cualquier modificación, mejora o adaptación de su software validado debe planificarse y analizarse para determinar el impacto en el sistema de seguridad funcional. Todas las fases apropiadas del ciclo de vida de seguridad del software deben llevarse a cabo según lo indicado por el análisis de impacto. Como mínimo deben llevarse a cabo pruebas funcionales de todo el software afectado. Todas las modificaciones en las especificaciones del software deben documentarse. También deben documentarse los resultados de las pruebas. Consulte IEC 61508-3, Sección 7.8, Modificación de software, para obtener información detallada.

SUGERENCIA Limite las ediciones en línea a modificaciones menores en los programas,

como cambios de puntos de ajuste o adiciones, eliminaciones y

modificaciones menores en la lógica.


http://literature.rockwellautomation.com/idc/groups/literature/documents/qs/1756-qs001_-en-p.pdf


Figura 16 – Proceso de edición en línea y fuera de línea



Registrar la firma de aplicación de seguridad

Modificación de la prueba de impacto

Validación de seguridad(revisión independiente)

Bloquear el controlador/fin

Hacer las modificaciones necesarias

Eliminar la firma de aplicación de seguridad

¿Pasó las pruebas?

¿Es válido el proyecto?

No

Sí

No

Sí

Edición en línea

Adjuntar al controlador


Realizar las modificaciones deseadas en la lógica

estándar

¿Hay cambios de seguridad?

Sí

No


Realizar las modificaciones deseadas

Edición fuera de línea

Abrir proyecto

¿Hay cambios de seguridad?

Sí

No


Realizar las modificaciones deseadas en la lógica de

seguridad


Realizar las modificaciones deseadas en la lógica

estándar


Desbloquear el controlador

Desbloquear el controlador

FIN

FIN

FIN






Notas:


Capítulo 7

Monitoreo de estado y manejo de fallos

La arquitectura GuardLogix le proporciona muchas formas de detectar fallos del sistema y reaccionar ante ellos. La primera forma en que usted puede manejar los fallos consiste en asegurarse de haber completado las listas de verificación de sus aplicaciones (vea Apéndice D).

Monitoreo del estado del sistema

Se puede ver el estado de las conexiones de tags de seguridad. También se puede determinar el estado operativo actual al interrogar varios objetos de dispositivos. Es su responsabilidad determinar qué datos son los más adecuados para iniciar una secuencia de desactivación.

Datos de CONNECTION_STATUS

El primer miembro de la estructura de tags asociada con datos de entrada de seguridad y con datos de tags de seguridad producidos/consumidos contiene el estado de la conexión. Este miembro es un tipo de datos predefinido que se denomina CONNECTION_STATUS.

Figura 17 – Cuadro de diálogo Data Type

Tema Página

Monitoreo del estado del sistema 63

Fallos del sistema GuardLogix 66


Capítulo 7 Monitoreo de estado y manejo de fallos

Los primeros dos bits del tipo de datos CONNECTION_STATUS contienen los bits de estado RunMode y ConnectionFaulted de un dispositivo. La siguiente tabla describe las combinaciones de los estados RunMode y ConnectionFaulted.

Diagnósticos de entrada y salida

Los módulos de Guard I/O proporcionan capacidades de prueba de impulsos y de monitoreo. Si el módulo detecta un fallo, establece la entrada o la salida perturbadora en su estado de seguridad e informa del fallo al controlador. La indicación de fallo se realiza mediante el estado de entrada o salida, y se mantiene durante un período de tiempo configurable después de que se repara el fallo.

Estado de conexión de dispositivo de E/S

El protocolo CIP Safety proporciona el estado de cada dispositivo de E/S del sistema de seguridad. Si se detecta un fallo en la conexión de entrada, el sistema operativo pone todas las entradas del dispositivo en su estado desenergizado (de seguridad) y el estado de la entrada asociada en fallo. Si se detecta un fallo de conexión de salida, el sistema operativo establece el estado de la salida asociada en condición de fallo. El dispositivo de salida desactiva las salidas.

Tabla 8 – Estado de la conexión de seguridad

Estado RunMode

Estado ConnectionFaulted Operación de conexión de seguridad

1 = Run 0 = Válido El dispositivo productor está controlando activamente los datos. El dispositivo productor está en el modo Run.

0 = Idle 0 = Válido La conexión está activa y el dispositivo productor está en estado inactivo. Los datos de seguridad han sido restablecidos a cero.

0 = Idle 1 = Fallo La conexión de seguridad ha fallado. Se desconoce el estado del dispositivo productor. Los datos de seguridad han sido restablecidos a cero.

1 1 Estado inválido

ATENCIÓN: Las conexiones Safety I/O y las conexiones producidas/consumidas

no se pueden configurar automáticamente para que produzcan un fallo en el

controlador si se pierde una conexión y el sistema realiza la transición al estado

seguro. Por tanto, si necesita detectar un fallo en el dispositivo para asegurarse

de que el sistema mantiene el nivel SIL 3, debe monitorear los bits de

CONNECTION_STATUS de Safety I/O e iniciar el fallo a través de la lógica del

programa.

IMPORTANTE Usted es responsable de proporcionar la lógica de la aplicación para

enclavar estos fallos de E/S y de asegurarse que el sistema se reinicie

correctamente.

IMPORTANTE Usted es responsable de proporcionar la lógica de la aplicación para

enclavar estos fallos de E/S y de asegurarse que el sistema se reinicie

correctamente.


Monitoreo de estado y manejo de fallos Capítulo 7

Sistema de desenergizar para activar

Los controladores GuardLogix forman parte de un sistema de desenergizar para activar, lo cual significa que cero es el estado de seguridad. Algunos fallos del dispositivo de E/S de seguridad, aunque no todos, causan que todas las entradas o salidas del dispositivo se establezcan en cero (estado de seguridad). Los fallos asociados a un canal de entrada específico causan que dicho canal específico se establezca en cero; por ejemplo, un fallo de prueba de impulso específico del canal 0 causa que los datos de entrada del canal 0 se establezcan en el estado de seguridad (0). Si un fallo es general para el dispositivo y no corresponde a un canal específico, el bit de estado combinado muestra el estado del fallo y todos los datos del dispositivo se establecen en el estado de seguridad (0).

Para obtener información sobre cómo usar las instrucciones de aplicación de seguridad consulte el Apéndice F de este manual y el documento GuardLogix Safety Application Instructions Safety Reference Manual, publicación 1756-RM095.

Instrucciones GSV (obtener valor del sistema) y SSV (establecer valor del sistema)

Las instrucciones GSV y SSV permiten obtener (GSV) y establecer (SSV) datos del sistema controlador que están almacenados en objetos de dispositivos. Cuando se introduce una instrucción GSV o SSV, el software de programación muestra las clases válidas de objetos, los nombres de objetos y los nombres de atributos de cada instrucción. Existen restricciones en cuanto al uso de las instrucciones GSV y SSV con componentes de seguridad.

Para obtener más información sobre qué atributos son accesibles mediante las instrucciones GSV y SSV consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022.

Si desea obtener información general acerca del uso de las instrucciones GSV y SSV consulte el documento Logix5000 Controllers General Instructions Reference Manual, publicación 1756-RM003.

IMPORTANTE La tarea de seguridad no puede realizar operaciones GSV o SSV en

atributos estándar.

Los atributos de los objetos de seguridad que puede escribir la tarea

estándar son solo para fines de diagnóstico. No afectan la ejecución de la

tarea de seguridad.






Fallos del sistema GuardLogix

Los fallos en el sistema GuardLogix se dividen en estas tres categorías:• Fallos no recuperables de controlador• Fallos no recuperables de seguridad• Fallos recuperables

Para obtener información acerca de cómo manejar los fallos consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022.

Fallos no recuperables de controlador

Si falla el diagnóstico interno del controlador se presenta un fallo no recuperable de controlador. La asociación se pierde cuando se presenta un fallo no recuperable de controlador, ya sea en el controlador primario o en el homólogo de seguridad, lo cual hace que el otro genere un fallo de interrupción no recuperable del tempo-rizador de vigilancia. La ejecución de la tarea estándar y de la tarea de seguridad se detienen, y Safety I/O realiza una transición al estado seguro.

En el caso de la recuperación de un fallo no recuperable de controlador es necesario realizar una descarga del programa de aplicación.

Fallos no recuperables de seguridad

En caso de que se produzca un fallo no recuperable de seguridad , el controlador registra el fallo en el gestor de fallos restringidos al controlador y desactiva la tarea de seguridad, incluidas Safety I/O y la lógica de seguridad.

Para recuperarse de un fallo no recuperable de seguridad se reinicializa la memoria de seguridad, ya sea desde la firma de tarea de seguridad (sucede automáticamente cuando se borra el fallo) o, si no existe una firma de tarea de seguridad, mediante una descarga explícita del proyecto de seguridad.

Usted puede anular el fallo de seguridad si borra la entrada del registro de fallos por medio del gestor de fallos de seguridad restringido al controlador. Esto permite que las tareas estándar sigan funcionando.

ATENCIÓN: La anulación del fallo de seguridad no lo borra. Si usted anula el

fallo de seguridad, es su responsabilidad comprobar que al hacerlo se mantenga

el nivel SIL 3.



Monitoreo de estado y manejo de fallos Capítulo 7

Fallos recuperables

Los fallos del controlador originados por errores de programación del usuario en un programa de seguridad activan el controlador para que procese la lógica contenida en el gestor de fallos del programa de seguridad del proyecto. El gestor de fallos del programa de seguridad proporciona a la aplicación la oportunidad de resolver la condición de fallo y posteriormente realizar la recuperación.

Cuando no existe un gestor de fallos del programa de seguridad o el fallo no se puede recuperar a través de éste, el controlador procesa la lógica en el gestor de fallos restringido al controlador, con lo cual cancela la lógica del programa de seguridad y deja las conexiones Safety I/O activas, pero en estado inactivo.

Si la lógica del usuario se cancela como resultado de un fallo recuperable que no se recupera, las salidas de seguridad se ponen en el estado seguro y el productor de los tags consumidos de seguridad da instrucciones a los consumidores para ponerlos en el estado seguro.

Si se anula un fallo recuperable de seguridad en el gestor de fallos restringido al controlador, solo las tareas estándar siguen funcionando. Si el fallo no se anula, las tareas estándar también se desactivan.

ATENCIÓN: Usted debe presentar una prueba al organismo certificador de que

la recuperación automática de los fallos recuperables mantiene el SIL 3.

IMPORTANTE Cuando la ejecución de la lógica del programa de seguridad se cancela

debido a un fallo recuperable que no se maneja a través del gestor de fallos

del programa de seguridad, las conexiones Safety I/O se cierran y se vuelven

a abrir, para reinicializar las conexiones de seguridad.

SUGERENCIA Cuando se utilizan E/S de seguridad para aplicaciones estándar, esas

reciben instrucciones para ponerse en estado seguro si la lógica del usuario

finaliza como resultado de un fallo recuperable que no se recupera.

ATENCIÓN: La anulación del fallo de seguridad no lo borra. Si usted anula el

fallo de seguridad, es su responsabilidad comprobar que al hacerlo se mantenga

el nivel SIL 3.



Notas:


Apéndice A

Instrucciones de seguridad

Para obtener la información más reciente vea nuestros certificados de seguridad en http://www.rockwellautomation.com/products/certification/safety/.

La Tabla 9 y la Tabla 10 listan las instrucciones de aplicación certificadas para usar en aplicaciones SIL 3.

Tabla 9 – Instrucciones generales de aplicaciones de seguridad

Mnemónico Nombre Finalidad Certificación

CROUT Salida redundante configurable Controla y monitorea salidas redundantes. • BG• TÜV

DCA Entrada de doble canal – Analógica (versión de números enteros)

Monitorea la desviación y la tolerancia de rango de dos valores analógicos.

TÜV

DCAF Entrada de doble canal – Analógica (versión de punto flotante (coma flotante))

DCS Entrada de doble canal – Paro Monitorea dispositivos de seguridad de entrada doble cuyo propósito principal es proporcionar una función de paro como, por ejemplo, paro de emergencia, cortina de luz o interruptor de puerta.

• BG• TÜV

DCST Entrada de doble canal – Paro con prueba

Monitorea dispositivos de seguridad de entrada doble cuyo propósito principal es proporcionar una función de paro como, por ejemplo, paro de emergencia, cortina de luz o interruptor de puerta. Incluye la capacidad adicional de iniciar una prueba funcional del dispositivo de paro.

• BG• TÜV

DCSTL Entrada de doble canal – Paro con prueba y bloqueo

Monitorea dispositivos de seguridad de entrada doble cuyo propósito principal es proporcionar una función de paro como, por ejemplo, paro de emergencia, cortina de luz o interruptor de puerta. Incluye la capacidad adicional de iniciar una prueba funcional del dispositivo de paro. Puede monitorear una señal de retroalimentación proveniente de un dispositivo de seguridad y emitir una petición de bloqueo a un dispositivo de seguridad.

• BG• TÜV

DCSTM Entrada de doble canal – Paro con prueba y silenciamiento

Monitorea dispositivos de seguridad de entrada doble cuyo propósito principal es proporcionar una función de paro como, por ejemplo, paro de emergencia, cortina de luz o interruptor de puerta. Incluye la capacidad adicional de iniciar una prueba funcional del dispositivo de paro, y además la capacidad de silenciar el dispositivo de seguridad.

TÜV

DCM Entrada de doble canal – Monitoreo

Monitorea dispositivos de seguridad de entrada doble. • BG• TÜV

DCSRT Entrada de doble canal – Arranque Energiza dispositivos de seguridad de entrada doble cuya función principal es arrancar una máquina de manera segura como, por ejemplo, una consola colgante habilitante.

• BG• TÜV

SMAT Tapete de seguridad Indica si el tapete de seguridad está ocupado. TÜV

THRSe Estación de mando a dos manos – Características mejoradas

Monitorea dos entradas de seguridad diversas: una desde un botón pulsador para la mano derecha y otra desde un botón pulsador para la mano izquierda, a fin de controlar una sola salida. Proporciona tiempo de discrepancia configurable canal a canal, y capacidad mejorada para evitar una estación de mando a dos manos.

• BG• TÜV

TSAM Muting asimétrico de dos sensores Inhabilita automáticamente la función de protección de una cortina óptica temporalmente, mediante dos sensores de muting dispuestos de forma asimétrica.

TÜV

TSSM Muting simétrico de dos sensores Inhabilita automáticamente la función de protección de una cortina óptica temporalmente, mediante dos sensores de muting dispuestos de forma simétrica.

TÜV

FSBM Muting bidireccional de cuatro sensores

Inhabilita automáticamente la función de protección de una cortina óptica temporalmente mediante cuatro sensores dispuestos secuencialmente antes y después del campo de detección de la cortina óptica.

TÜV



Apéndice A Instrucciones de seguridad

Las rutinas en la tarea de seguridad pueden usar estas instrucciones de seguridad de lógica de escalera.

Tabla 10 – Instrucciones de aplicaciones de seguridad en formado de metales

Mnemónico Nombre Finalidad Certificación

CBCM Embrague/freno – Modo continuo

Se usa en aplicaciones de prensa cuando se selecciona la operación continua. • BG• TÜV

CBIM Embrague/freno – Modo de avance a pasos

Se usa en aplicaciones de prensas que requieren ajustes menores del carro como, por ejemplo, durante la configuración de la prensa.

• BG• TÜV

CBSSM Embrague/freno – Modo de ciclo sencillo

Se usa en aplicaciones de prensa de un solo ciclo. • BG• TÜV

CPM Monitor de posición de cigüeñal Se usa para determinar la posición del carro de la prensa. • BG• TÜV

CSM Monitor de árbol de levas Monitorea el movimiento en operaciones de arranque, paro y marcha de un árbol de levas. • BG• TÜV

EPMS Selector de modo de ocho posiciones

Monitorea ocho entradas de seguridad para controlar una de las ocho salidas que corresponden a la entrada activa.

• BG• TÜV

AVC Control de válvula auxiliar Controla una válvula auxiliar que se usa con una válvula principal. TÜV

MVC Control de válvula principal Controla y monitorea una válvula principal. • BG• TÜV

MMVC Control manual de válvula en mantenimiento

Se usa para accionar manualmente una válvula durante las operaciones de mantenimiento. • BG• TÜV

Tabla 11 – Instrucciones de seguridad de lógica de escalera

Tipo Mnemónico Nombre Finalidad

Matriz (archivo)

FAL(1) Aritmética y lógica de archivo Realizar operaciones de copia, aritméticas, lógicas y de función en los datos almacenados en una matriz

FLL(1) Llenado de archivo Llenar el elemento en una matriz con el valor de origen, sin cambiar el valor de origen

FSC(1) Búsqueda y comparación de archivo

Comparar el valor en una matriz, elemento por elemento

SIZE(1) Dimensionar elementos Buscar la magnitud de una dimensión de una matriz

Bit

XIC Examinar si está cerrado Habilitar salidas cuando se establece un bit.

XIO Examinar si está abierto Habilitar salidas cuando se borra un bit.

OTE Activación de salida Establecer un bit.

OTL Enclavamiento de salida Establecer un bit (retentivo).

OTU Desenclavamiento de salida Borrar un bit (retentivo).

ONS Un impulso Activar un evento para que ocurra una sola vez.

OSR Un impulso en flanco ascendente

Activar un evento para que ocurra una sola vez en el flanco ascendente (de estado falso a verdadero).

OSF Un impulso en flanco descendente

Activar un evento una sola vez en el flanco descendente (de estado verdadero a falso).

Timer

TON Temporizador de retardo a la conexión

Contabilizar el tiempo que un temporizador está habilitado.

TOF Temporizador de retardo a la desconexión

Contabilizar el tiempo que un temporizador está inhabilitado.

RTO Temporizador retentivo activado

Acumular tiempo.

CTU Conteo progresivo Conteo progresivo

CTD Conteo regresivo Conteo regresivo

RES Restablecimiento Restablecer un temporizador o un contador.


Instrucciones de seguridad Apéndice A

Comparación

CMP(1)(2) Comparación Realizar una comparación de las operaciones aritméticas que se especifican en la expresión.

EQU Igual a Probar si dos valores son iguales.

GEQ Mayor o igual que Probar si un valor es mayor o igual a un segundo valor.

GRT Mayor que Probar si un valor es mayor a un segundo valor.

LEQ Menor o igual que Probar si un valor es menor o igual a un segundo valor.

LES Menor que Probar si un valor es menor a un segundo valor.

MEQ Comparación enmascarada de igualdad

Pasar la fuente, comparar los valores a través de una máscara y determinar si son iguales.

NEQ Desigual a Probar si un valor no es igual a un segundo valor.

LIM Prueba de límite Probar si un valor está dentro de un rango determinado.

Movimiento

CLR Borrado Borrar un valor.

COP(3) Copiado Copiar un valor

MOV Movimiento Copiar un valor

MVM Mover con máscara Copiar una parte específica de un entero.

SWPB(1) Intercambio de byte Reacomodar los bytes de un valor.

Lógico

AND Función Y a nivel de bits Realizar la función Y a nivel de bits.

NOT Función NO a nivel de bits Realizar la función NOT a nivel de bits.

OR Función O a nivel de bits Realizar la función O a nivel de bits.

XOR Función O a nivel de bits exclusiva

Realizar la función O a nivel de bits exclusiva.

Control de programa

JMP Salto a etiqueta Saltar sobre una sección de lógica que no siempre debe ser ejecutada (salta a la instrucción de la etiqueta referenciada).

LBL Etiqueta Etiquetar una instrucción para que pueda ser referenciada por una instrucción JMP.

JSR Salto a subrutina Saltar a otra rutina.

RET Retorno Retornar los resultados de una subrutina.

SBR Subrutina Pasar datos a una subrutina.

TND Fin temporal Marcar un fin temporal que detiene la ejecución de la rutina.

MCR Restablecimiento de control maestro

Inhabilitar cada renglón de una sección de lógica

AFI Instrucción siempre falso Inhabilitar un renglón.

NOP Ninguna operación Insertar un indicador de posición en la lógica.

EVENT Activación de tarea de evento Activar la ejecución de una tarea de evento.(5)

Matemáticas/Cálculo

ADD Suma Sumar dos valores.

CPT(1) Cálculo Realizar la operación aritmética definida en la expresión

SUB Resta Restar dos valores.

MUL Multiplicación Multiplicar dos valores.

DIV División Dividir dos valores.

MOD Modulus Determinar el residuo después de que un valor se divide entre un segundo valor.

SQR Raíz cuadrada Calcular la raíz cuadrada de un valor.

NEG Negar Tomar el signo opuesto de un valor.

ABS Valor absoluto Tomar el valor absoluto de un valor.

E/SGSV(4) Obtener valor del sistema Obtener información de estado del controlador.

SSV(4) Establecer valor del sistema Establecer información de estado del controlador.

(1) Solo en los controladores 1756-L7xS y 1756-L7xSXT. En el tipo de datos REAL se acepta el formato de punto flotante (coma flotante) para rutinas de seguridad en los controladores 1756-L7xS y

1756-L7xSXT.

(2) Los operandos avanzados, tales como SIN, COS y TAN no son compatibles en las rutinas de seguridad.

(3) La longitud del operando debe ser una constante cuando se utiliza la instrucción COP en una rutina de seguridad. La longitud del origen y del destino deben ser iguales.

(4) Consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022, para obtener información sobre consideraciones especiales al usar las instrucciones GSV y SSV.

(5) La instrucción del evento acciona un escán de la tarea estándar.

Tabla 11 – Instrucciones de seguridad de lógica de escalera

Tipo Mnemónico Nombre Finalidad



Apéndice A Instrucciones de seguridad

Consulte estas publicaciones para obtener más información.

IMPORTANTE Si está usando comandos directos de movimiento con un servovariador

Kinetix 5500, consulte el documento Kinetix 5500 Servo Drives User Manual,

publicación 2198-UM001, para obtener información sobre como usar esta

función en aplicaciones de seguridad.

Tabla 12 – Recursos adicionales


GuardLogix Safety Application Instruction Set Reference Manual, publicación 1756-RM095

Proporciona más información acerca de las instrucciones de aplicaciones de seguridad.

Logix5000 Controllers General Instructions Reference Manual, publicación 1756-RM003

Contiene información detallada sobre el conjunto de instrucciones Logix.





Apéndice B

Instrucciones Add-On de seguridad

Con la aplicación Logix Designer se pueden crear instrucciones Add-On de seguridad. Las instrucciones Add-On de seguridad permiten encapsular en una sola instrucción la lógica de seguridad usada comúnmente, lo que la hace modular y más fácil de volver a utilizar.

Las instrucciones Add-On de seguridad usan la firma de instrucción de las instrucciones Add-On de alta integridad además de una firma de instrucción de seguridad SIL 3 para funciones asociadas con la seguridad hasta el nivel SIL 3.

Crear y usar una instrucción Add-On de seguridad

El diagrama de flujo en la página 74 muestra los pasos requeridos para crear una instrucción Add-On de seguridad y posteriormente usar dicha instrucción en un programa de aplicación de seguridad SIL 3. Los ítems sombreados son pasos exclusivos de instrucciones Add-On. Los ítems en negrita se explican en las páginas que siguen al diagrama de flujo.

Tema Página

Crear y usar una instrucción Add-On de seguridad 73

Recursos adicionales 78


Apéndice B Instrucciones Add-On de seguridad

Figura 18 – Diagrama de flujo para crear y usar instrucciones Add-On de seguridad

Crear un proyecto de prueba de instrucción Add-On

Sí

Generar una firma de instrucción

Crear una instrucción Add-On de seguridad

Crear/modificar un programa de prueba

Descargar

(Generar una firma de instrucción de seguridad)

Cambiar al modo Run

Realizar prueba de calificación de instrucción Add-On SIL 3

¿Todas laspruebas

aprobadas?

Registrar firma de instrucción, fecha/hora y firma

de instrucción de seguridad

Exportar instrucción Add-On de seguridad

Instrucción Add-On de seguridad

disponible para ser usada

Modificar una instrucción

Add-On de seguridad

Eliminar firma de

instrucción

Ir fuera de línea

Eliminar firma de tarea de

seguridad, si la hay.

Regresar al proyecto de

prueba original

Para crear una instrucción Add-On de seguridad

Crear o abrir un proyecto

Crear/modificar una aplicación

Importar una instrucción Add-On de seguridad

Descargar

Para usar una instrucción Add-On de seguridad

Verificar firmas de instrucción Add-On de seguridad

¿Firma de instrucción válida?

Crear la firma de tarea de seguridad


Confirmar proyecto

Cambiar al modo Program

Cambiar al modo Run


¿Todas las

pruebas aprobadas?

Registrar la firma de tarea de seguridad

Validar la seguridad del proyecto

¿Proyecto válido?

Sí

No

Fin

Hacer las

modificaciones

necesarias

Eliminar la firma de tarea de

seguridad

¿Se requieren cambios

a la instrucción Add-On?

Sí

Sí

No

No

No

No

Sí

Para modificar una instrucción Add-On de

seguridad (fuera de línea)

Regresar al proyecto de

prueba original

No

Sí

¿Firma de instrucción de seguridad válida?

Validar la seguridad de la instrucción Add-On

Crear entrada de historial de firmas(fuera de línea)

Confirmar proyecto


Instrucciones Add-On de seguridad Apéndice B

Crear un proyecto de prueba de instrucción Add-On

Usted debe crear un proyecto de prueba único, específicamente para crear y probar la instrucción Add-On de seguridad. Este proyecto debe ser un proyecto independiente y dedicado para minimizar las influencias inesperadas.

Siga las pautas para proyectos descritas en la sección Crear el proyecto en la página 53.

Crear una instrucción Add-On de seguridad

Para obtener información sobre cómo crear instrucciones Add-On consulte el documento Logix5000 Controllers Add-On Instruction Programming Manual, publicación 1756-PM010.

Generar una firma de instrucción

La firma de instrucción le permite determinar rápidamente si la instrucción ha sido modificada. Cada instrucción Add-On puede tener su propia firma. Se requiere la firma de instrucción cuando se usa una instrucción Add-On en funciones relacionadas con la seguridad, y algunas veces es posible que sea un requisito en industrias reguladas. Úsela cuando su aplicación requiera un nivel más alto de integridad.

La firma de instrucción consiste de un número de identificación y de un sello de hora que identifican el contenido de la instrucción Add-On en un momento dado.

La firma de instrucción, una vez que ha sido generada, sella la instrucción Add-On lo que evita que la instrucción sea editada mientras la firma esté implementada. Esta restricción incluye comentarios de renglón, descripciones de tags y toda documentación de instrucción que haya sido creada. Cuando la instrucción está sellada solo se pueden realizar las siguientes acciones:

• copiar la firma de instrucción;• crear o copiar una entrada de historial de firmas;• crear instancias de la instrucción Add-On;• descargar la instrucción;• retirar la firma de instrucción;• imprimir informes.




Cuando se ha generado una firma de instrucción, la aplicación Logix Designer muestra la definición de la instrucción con el icono de sello.

Descargar y generar la firma de instrucción de seguridad

Cuando se descarga por primera vez una instrucción Add-On de seguridad, automáticamente se genera una firma de instrucción de seguridad SIL 3. La firma de instrucción de seguridad es un número de identificación que identifica las características de ejecución de la instrucción Add-On de seguridad.

Prueba de calificación de instrucción Add-On SIL 3

La instrucción Add-On de seguridad SIL 3 debe ejecutarse en una aplicación independiente y dedicada para asegurar que se mantengan al mínimo las influencias inesperadas. Usted debe seguir un plan de prueba bien diseñado y realizar una prueba de unidad de la instrucción Add-On de seguridad que cubra todas las rutas de ejecución posibles a través de la lógica, incluidos los rangos válidos y no válidos de todos los parámetros de entrada.

El desarrollo de todas las instrucciones Add-On de seguridad debe satisfacer la norma IEC 61508 – ‘Requisitos de prueba de módulo de software’, que proporciona requisitos detallados para la prueba de unidades.


Es necesario imprimir o ver el proyecto y comparar manualmente los ítems cargados, a saber, las configuraciones del controlador y las E/S de seguridad, los datos de seguridad, las definiciones de la instrucción Add-On de seguridad y la lógica del programa de la tarea de seguridad, para asegurarse de que se hayan descargado los componentes de seguridad adecuados, que hayan sido probados y que hayan sido conservados en el programa de aplicación de seguridad.

Consulte la descripción de un método de confirmación de un proyecto en Confirmar el proyecto en la página 55.

IMPORTANTE Si usted va a proteger una instrucción Add-On mediante la función de

protección de fuente de la aplicación Logix Designer, es necesario que

habilite la protección de fuente antes de generar la firma de instrucción.


Instrucciones Add-On de seguridad Apéndice B

Validar la seguridad de instrucciones Add-On

Es posible que sea necesario que un tercero realice una revisión independiente de la instrucción Add-On de seguridad antes de que dicha instrucción quede aprobada para ser usada. IEC 61508 SIL 3 requiere que un tercero independiente realice una validación.

Crear entrada de historial de firmas

El historial de firmas proporciona un registro para referencia futura. Una entrada de historial de firmas consta de la firma de la instrucción, del nombre del usuario, del valor del sello de hora y de una descripción definida por el usuario. Es posible almacenar hasta seis entradas de historial. Es necesario estar fuera de línea para crear una entrada de historial de firma.

Exportar e importar la instrucción Add-On de seguridad

Cuando vaya a exportar una instrucción Add-On de seguridad, seleccione la opción para incluir todas las instrucciones Add-On referenciadas y todos los tipos definidos por el usuario en el mismo archivo de exportación. Incluir las instrucciones Add-On referenciadas facilita la conservación de las firmas.

Al importar las instrucciones Add-On considere las pautas siguientes:• No es posible importar una instrucción Add-On de seguridad a un

proyecto estándar.• No es posible importar una instrucción Add-On de seguridad a un

proyecto de seguridad que tenga un bloqueo de seguridad o una firma de tarea de seguridad.

• No es posible importar una instrucción Add-On de seguridad mientras se está en línea.

• Si se importa una instrucción Add-On con una firma de instrucción en un proyecto donde las instrucciones Add-On referenciadas o los tipos definidos por el usuario no están disponibles, quizás sea necesario eliminar la firma.

Verificar firmas de instrucción Add-On de seguridad

Después de descargar el proyecto de aplicación que contiene la instrucción Add-On de seguridad importada, es necesario comparar el valor de la firma de instrucción, la fecha y el sello de hora, y los valores de firmas de instrucción de seguridad con los valores originales registrados antes de exportar la instrucción Add-On de seguridad. Si coinciden, la instrucción Add-On de seguridad es válida y usted puede continuar con la validación de su aplicación.

SUGERENCIA El informe de listado de firmas en la aplicación Logix Designer imprime la

firma de instrucción, el sello de hora y la firma de instrucción de seguridad.

Para imprimir el informe haga clic con el botón derecho del mouse en la

instrucción Add-On en Controller Organizer y seleccione Print>Signature

Listing.




Este paso consta de cualquier combinación de modo de marcha Run y de programación Program, ediciones de programa en línea o fuera de línea, cargas y descargas, y pruebas informales necesarias para que la aplicación funcione debidamente.


Realice una prueba de ingeniería de la aplicación, incluido el sistema de seguridad.

Vea Prueba de verificación de proyecto en la página 54 para obtener más información sobre los requisitos.

Validar la seguridad del proyecto

Es posible que sea necesario que un tercero independiente revise el sistema de seguridad antes de que éste quede aprobado para funcionar. IEC 61508 SIL 3 requiere que un tercero independiente realice una validación.

Recursos adicionales Para obtener más información sobre cómo usar las instrucciones Add-On, consulte estas publicaciones.


Logix5000 Controllers Add-On Instructions Programming Manual, publicación 1756-PM010

Proporciona información sobre cómo planificar, crear, usar, importar y exportar instrucciones Add-On en aplicaciones RSLogix 5000

Import/Export Project Components Programming Manual, publicación 1756-PM019

Contiene información detallada sobre cómo importar y exportar componentes del proyecto




Apéndice C

Tiempos de reacción


Para determinar el tiempo de reacción del sistema de cualquier cadena de control, es necesario sumar los tiempos de reacción de todos los componentes de la cadena de seguridad.

Tiempo de reacción del sistema = Tiempo de reacción de sensores + Tiempo de reacción del sistema Logix + Tiempo de reacción de accionadores

Figura 19 – Tiempo de reacción del sistema

Tiempo de reacción del sistema Logix

Las siguientes secciones proporcionan información acerca de cómo calcular el tiempo de reacción del sistema Logix de una cadena sencilla de entrada-lógica-salida y para una aplicación más compleja utilizando tags de seguridad producidos/consumidos en la cadena lógica.

Tema Página

Tiempo de reacción del sistema 79

Tiempo de reacción del sistema Logix 79



sensor


entrada

Tiempo de reacción de la

tarea de seguridad


salida

Tiempo de reacción de accionador

tiempo de reacción del sistema Logix

Retardo de dispositivo de

entrada

Límite de tiempo de reacción de conexión

de entrada

Período de tarea de seguridad+

Temporizador de vigilancia de tarea de seguridad

Límite de tiempo de reacción de conexión

de salida

Retardo de dispositivo de

salida


Apéndice C Tiempos de reacción

Cadena sencilla de entrada-lógica-salida

Figura 20 – Tiempo de reacción en el peor de los casos del sistema Logix de una entrada sencilla a lógica y a salida

El tiempo de reacción del sistema Logix para cualquier cadena sencilla de entrada-lógica-salida consta de los cinco componentes siguientes:

1. Tiempo de reacción del dispositivo de entrada de seguridad (más tiempo de retardo de entrada, si corresponde)

2. Límite de tiempo de reacción de conexión de entrada de seguridad(leído desde el cuadro de diálogo Module Properties en la aplicación Logix Designer, este valor es un múltiplo del RPI de la conexión del dispositivo de entrada de seguridad).

3. Período de la tarea de seguridad más temporizador de vigilancia de tarea de seguridad

4. Límite de tiempo de reacción de conexión de salida de seguridad(leído desde el cuadro de diálogo Module Properties en la aplicación Logix Designer, este valor es un múltiplo del período de la tarea de seguridad).

5. Tiempo de reacción del dispositivo de salida de seguridad

Para ayudar a determinar el tiempo de reacción de su lazo de control en particular, en la carpeta Tools del DVD del entorno Studio 5000 se incluye una hoja de cálculo en formato Microsoft Excel.

1. Retardo del dispositivo de

entrada de seguridad

5. Retardo del dispositivo de salida

de seguridad

2. Límite de tiempo de reacción de la conexión de entrada de

seguridad

4. Límite de tiempo de reacción de la conexión de salida de seguridad

Red CIP Safety

Mód

ulo

de c

omun

icac

ión

Cont

rola

dor G

uard

Logi

x

3. Período de tarea de seguridad + Temporizador

de vigilancia de tarea de seguridad


Tiempos de reacción Apéndice C

Cadena lógica que utiliza tags de seguridad producidos/consumidos

Figura 21 – Tiempo de reacción del sistema Logix de una cadena entrada a lógica de-controlador A a lógica-controlador B a salida

El tiempo de reacción del sistema Logix de una cadena entrada a lógica del controlador A a lógica del controlador B a salida consta de los siguientes siete componentes:

1. Tiempo de reacción del dispositivo de entrada de seguridad (más tiempo de retardo de entrada, si corresponde)

2. Límite de tiempo de reacción de la conexión de entrada de seguridad

3. Período de la tarea de seguridad más temporizador de vigilancia de tarea de seguridad para el controlador A

4. Límite de tiempo de reacción de la conexión de seguridad de datos producidos/consumidos

5. Período de la tarea de seguridad más temporizador de vigilancia de tarea de seguridad para el controlador B


7. Tiempo de reacción del dispositivo de salida de seguridad

Para ayudar a determinar el tiempo de reacción de su lazo de control en particular, en la carpeta Tools del DVD del entorno Studio 5000 se incluye una hoja de cálculo en formato Microsoft Excel.

1. Retardo del dispositivo de entrada de seguridad

7. Retardo del dispositivo de salida

de seguridad

2. Límite de tiempo de reacción de la conexión de entrada de seguridad


Red CIP Safety

4. Límite de tiempo de reacción de la conexión de seguridad P/C

RedEtherNet

SwitchEthernet Red

EtherNet

Red CIP Safety

Con

trol

ador

Guar

dLog

ix A

Mód

ulo

Dev

iceN

et

Mód

ulo

Ethe

rNet

Mód

ulo

Dev

iceN

et

Mód

ulo

Ethe

rNet

Con

trol

ador

Guar

dLog

ix B

3. Período de tarea de seguridad + Temporizador


5. Período de la tarea de seguridad + temporizador




Factores que afectan los componentes del tiempo de reacción del sistema Logix

Los componentes del tiempo de reacción de Logix descritos en las secciones anteriores pueden verse influenciados por una serie de factores.

Las siguientes secciones describen cómo obtener acceso a datos o a valores de configuración de muchos de estos factores.

Cómo obtener acceso a los valores de configuración de tiempo de retardo del módulo de entrada Guard I/O

Siga estos pasos para configurar el tiempo de retardo del módulo de entrada en la aplicación Logix Designer.

1. En el árbol de configuración haga clic con el botón derecho del mouse en módulo Guard I/O y seleccione Properties.

2. Haga clic en la ficha Input Configuration.

Tabla 13 – Factores que afectan el tiempo de reacción del sistema Logix

Estos componentes de tiempo de reacción Son influenciados por los siguientes factores

Retardo de dispositivo de entrada Tiempo de reacción de dispositivo de entrada

Ajustes de retardo de activado a desactivado y desactivado a activado para cada canal de entrada, si corresponde

Límite de tiempo de reacción de la conexión de entrada de seguridad

Ajustes del dispositivo de entrada para:

• Intervalo solicitado entre paquetes (RPI)• Multiplicador de interrupciones• Multiplicador de retardo

Cantidad de tráfico de comunicación en la red

El entorno de compatibilidad electromagnética (EMC) del sistema

Período de la tarea de seguridad y temporizador de vigilancia de tarea de seguridad

Configuración del período de la tarea de seguridad

Configuración del temporizador de vigilancia de tarea de seguridad

Número y tiempo de ejecución de las instrucciones en la tarea de seguridad

Cualquier tarea de mayor prioridad que pueda impedir la ejecución de la tarea de seguridad

Límite de tiempo de reacción de la conexión de seguridad de datos producidos/consumidos

Configuración de tag consumido para:

• Intervalo entre paquetes solicitados (RPI)• Multiplicador de interrupciones• Multiplicador de retardo



Límite de tiempo de reacción de conexión de salida

Configuración del período de la tarea de seguridad

Configuraciones del dispositivo de salida para:

• Multiplicador de interrupciones• Multiplicador de retardo



Retardo del módulo de salida Tiempo de reacción del módulo de salida



3. Ajuste el tiempo de retardo de entrada según lo necesario para su aplicación.

Cómo obtener acceso al límite de tiempo de reacción de la conexión de seguridad de entrada y de salida

El límite de tiempo de reacción de la conexión es definido por estos tres valores:

Al ajustar estos valores se puede ajustar el límite de tiempo de reacción de la conexión. Para ver o configurar estos ajustes, siga estos pasos.

1. En el árbol de configuración haga clic con el botón derecho del mouse en dispositivo de E/S de seguridad y seleccione Properties.

2. Haga clic en la ficha Safety.

Valor Descripción

Intervalo solicitado entre paquetes (RPI)

El valor de frecuencia con el que se colocan los paquetes de entrada y de salida en el cable (la red).

Multiplicador de interrupciones El valor de Timeout Multiplier es esencialmente el número de reintentos antes de que se sobrepase el tiempo de espera.

Network Delay Multiplier El valor de Network Delay Multiplier tiene en cuenta los retardos conocidos en el cable. Cuando ocurren estos retardos pueden evitarse los tiempos de espera mediante este parámetro.



3. Haga clic en Advanced para abrir el cuadro de diálogo Advanced Connection Reaction Time Limit.

Configuración del período de la tarea de seguridad y el temporizador de vigilancia

La tarea de seguridad es una tarea periódica temporizada. Usted selecciona la prioridad de la tarea y el tiempo del temporizador de vigilancia en el cuadro de diálogo Task Properties – Safety Task en su proyecto Logix Designer.

Para obtener acceso a los valores de configuración del período de la tarea de seguridad y del tiempo del temporizador de vigilancia haga clic con el botón derecho del mouse en Safety Task y seleccione Properties.

La prioridad de la tarea de seguridad no afecta la seguridad, ya que el temporizador de vigilancia de tarea de seguridad monitorea si la tarea es interrumpida por una tarea de mayor prioridad.



Acceso a datos de tag producido/consumido

Para ver o configurar los datos de conexión de tag de seguridad, siga estos pasos.

1. En el árbol de configuración haga clic con el botón derecho del mouse en Controller Tags y seleccione Edit Tags.

2. En el Tag Editor haga clic con el botón derecho del mouse en el nombre del tag y seleccione Edit Properties.

3. Haga clic en Connection.

4. Haga clic en la ficha Safety.



5. Haga clic en Advanced para ver o editar los valores de configuración actuales.

Consulte el documento GuardLogix 5570 Controllers User Manual, publicación 1756-UM022 para obtener ,más información.






Apéndice D

Listas de verificación para aplicaciones de seguridad GuardLogix

Las listas de verificación de este apéndice son necesarias para planificar, programar y poner en marcha una aplicación GuardLogix con certificación SIL 3. Pueden utilizarse como guías de planificación, así como durante las pruebas de verificación del proyecto. Si se utilizan como guías de planificación, las listas de verificación se pueden guardar como registro del plan.

Las listas de verificación en las siguientes páginas proporcionan una muestra de las consideraciones de seguridad y no fueron concebidas como una lista exhaustiva de puntos a verificar. Su aplicación de seguridad en particular puede tener requisitos de seguridad adicionales, para los que hemos contemplado un espacio en las listas de verificación.

Tema Página

Listas de verificación para el sistema controlador GuardLogix 88

Lista de verificación para entradas de seguridad 89

Lista de verificación para salidas de seguridad 90

Lista de verificación para el desarrollo de un programa de aplicación de seguridad

91

SUGERENCIA Haga copias de las listas de verificación y guarde estas páginas para uso

futuro.


Apéndice D Listas de verificación para aplicaciones de seguridad GuardLogix

Listas de verificación para el sistema controlador GuardLogixLista de verificación para el sistema GuardLogix

Empresa

Ubicación

Definición de la función de seguridad

Número Requisitos del sistemaCompletada Comentario

Sí No

1 ¿Está usando solo los componentes listados en Componentes GuardLogix con certificación SIL 3 en la página 16 y en el sitio http://www.rockwellautomation.com/products/certification/safety/ con la versión de firmware correspondiente?

2 ¿Ha calculado el tiempo de respuesta de seguridad del sistema para cada cadena de seguridad?

3 ¿Incluye el tiempo de respuesta del sistema tanto el tiempo del temporizador de vigilancia del programa de tarea de seguridad (temporizador de vigilancia de software) como la velocidad/el período de la tarea de seguridad?

4 ¿Está el tiempo de respuesta del sistema en la proporción adecuada con respecto al tiempo de tolerancia del proceso?

5 ¿Se han calculado los valores de probabilidad (PFD/PFH), según la configuración del sistema?

6 ¿Ha realizado usted todas las pruebas de verificación del proyecto correspondientes?

7 ¿Ha determinado usted cómo manejará los fallos su sistema?

8 ¿Tiene cada red del sistema de seguridad un SNN único?

9 ¿Está configurado cada dispositivo CIP Safety con el SNN correcto?

10 ¿Ha generado usted una firma de tarea de seguridad?

11 ¿Ha cargado y grabado la firma de tarea de seguridad para compararla posteriormente?

12 Después de una descarga, ¿ha verificado que la firma de la tarea seguridad del controlador coincida con la firma de tarea de seguridad registrada?

13 ¿Ha dispuesto usted un mecanismo alternativo para preservar la integridad de seguridad del sistema al realizar ediciones en línea?

14 ¿Ha tenido usted en cuenta las listas de verificación para utilizar las entradas y las salidas SIL que aparecen en las páginas 89 y 90?



Listas de verificación para aplicaciones de seguridad GuardLogix Apéndice D

Lista de verificación para entradas de seguridad

Para la programación o puesta en marcha, es posible llenar una lista de verificación individual para cada canal de entrada SIL de un sistema. Este método constituye la única forma de asegurarse de que los requisitos se implementen total y claramente. Esta lista de verificación también se puede utilizar como documentación de la conexión del cableado externo al programa de aplicación.

Lista de verificación para entradas del sistema GuardLogix

Empresa

Ubicación


Canales de entrada SIL

Número Requisitos del dispositivo de entradaCompletada

ComentarioSí No

1 ¿Ha seguido usted las instrucciones de instalación y las precauciones de conformidad con los estándares de seguridad aplicables?

2 ¿Ha realizado pruebas de verificación del proyecto en el sistema y en los dispositivos?

3 ¿Se ejecutan las funciones de control, de diagnóstico y de alarma en secuencia en la lógica de la aplicación?

4 ¿Ha cargado y comparado usted la configuración de cada dispositivo con la configuración enviada por la herramienta de configuración?

5 ¿Están los dispositivos cableados de conformidad con PLe/Cat. 4 según ISO 13849-1?(1)

6 ¿Ha verificado usted que las especificaciones eléctricas del sensor y de la entrada sean compatibles?

(1) Para obtener información acerca de cómo cablear su dispositivo de E/S CIP Safety, consulte en la documentación del producto la sección que trata el dispositivo específico.



Lista de verificación para salidas de seguridad

Para programar o poner en marcha, es posible llenar una lista de verificación de requisitos individuales para cada canal de salida SIL de un sistema. Este método constituye la única forma de asegurarse de que los requisitos se implementen total y claramente. Esta lista de verificación también se puede utilizar como documentación de la conexión del cableado externo al programa de aplicación.

Lista de verificación de salidas para el sistema GuardLogix

Empresa

Ubicación


Canales de salida SIL

Número Requisitos del dispositivo de salidaCompletada

ComentarioSí No

1 ¿Ha seguido usted las instrucciones de instalación y las precauciones de conformidad con los estándares de seguridad aplicables?

2 ¿Ha realizado usted pruebas de verificación del proyecto en los dispositivos?

3 ¿Ha cargado y comparado usted la configuración de cada dispositivo con la configuración enviada por la herramienta de configuración?

4 ¿Ha verificado usted que las salidas de prueba no estén siendo utilizadas como salidas de seguridad?

5 ¿Están los dispositivos cableados de conformidad con PLe/Cat. 4 según ISO 13849-1?(1)

6 ¿Ha verificado que las especificaciones eléctricas del accionador y de la salida son compatibles?

(1) Para obtener información acerca de cómo cablear su dispositivo de E/S de seguridad, consulte en la documentación del producto la sección que trata el dispositivo específico.


Listas de verificación para aplicaciones de seguridad GuardLogix Apéndice D

Lista de verificación para el desarrollo de un programa de aplicación de seguridad

Utilice la siguiente lista de verificación para ayudar a mantener la seguridad al crear o al modificar un programa de aplicación de seguridad.

Lista de verificación para el desarrollo de un programa de aplicación GuardLogix

Empresa

Ubicación

Definición del proyecto

Número Requisitos del programa de aplicaciónCompletada

ComentarioSí No

1 ¿Utiliza usted la versión 21 o superior de la aplicación Logix Designer, la herramienta de programación del sistema GuardLogix?

2 ¿Se siguieron las pautas de programación que aparecen en el Capítulo 6 durante la creación del programa de aplicación de seguridad?

3 ¿Contiene el programa de aplicación de seguridad solo lógica de escalera de relés?

4 ¿Contiene el programa de aplicación de seguridad solo las instrucciones que aparecen en el Apéndice A como adecuadas para la programación de una aplicación de seguridad?

5 ¿Distingue el programa de aplicación de seguridad claramente entre tags de seguridad y tags estándar?

6 ¿Se utilizan solo tags de seguridad para las rutinas de seguridad?

7 ¿Ha verificado usted que las rutinas de seguridad no intenten leer tags estándar o escribir a ellos?

8 ¿Ha verificado usted que ningún tag de seguridad esté vinculado mediante alias a tags estándar, y viceversa?

9 ¿Está cada tag de salida de seguridad configurado correctamente y conectado a un canal de salida física?

10 ¿Ha verificado usted que todos los tags asignados hayan sido condicionados en la lógica de la aplicación de seguridad?

11 ¿Ha definido usted los parámetros de proceso monitoreados por las rutinas de fallo?

12 ¿Ha sellado usted alguna instrucción Add-On de seguridad con una firma de instrucción y registrado la firma de la instrucción de seguridad?

13 ¿Ha revisado el programa un revisor de seguridad independiente (si corresponde)?

14 ¿Ha sido documentada y firmada la revisión?



Notas:


Apéndice E

Datos de seguridad de sistemas GuardLogix

Los siguientes ejemplos muestran los valores de probabilidad de fallo a demanda (PFD) y de probabilidad de fallo por hora (PFH) para los sistemas GuardLogix 1oo2 SIL 3 que utilizan los módulos Guard I/O.

El tiempo de misión de los controladores GuardLogix y los módulos Guard I/O es 20 años.

Valores de probabilidad de fallo a demanda (PFD)

Tabla 14 – PFD calculado por intervalo de prueba de calidad

Tema Página

Valores de probabilidad de fallo a demanda (PFD) 93

Valores de probabilidad de fallo por hora (PFH) 94

N.° de cat. DescripciónPFD calculada

2 años(17,520 horas)




1756-L7xS y 1756-L7SP Controlador GuardLogix 5.7E-06 1.5E-05 3.5E-05 8.9E-05

1756-L73SXT y 1756-L7SPXT Controlador GuardLogix XT 5.7E-06 1.5E-05 3.5E-05 8.9E-05

1791DS-IB12 Módulo de entrada de 12 puntos CIP Safety 4.73E-07 1.18E-06 2.35E-06 4.71E-06(2)

1791DS-IB16 Módulo de entrada de 16 puntos CIP Safety 4.11E-06 1.03E-05 2.06E-05 4.11E-05

1791DS-IB8XOB8 Módulo de 8 puntos de entrada y 8 puntos de salida CIP Safety

4.73E-07 1.18E-06 2.35E-06 4.71E-06(2)

1791DS-IB4XOW4 Módulo de 4 puntos de entrada y 4 puntos de salida de relé CIP Safety

2.21E-05 7.05E-05 1.92E-04 5.88E-04(2)

1791DS-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety

4.16E-06 1.04E-05 2.08E-05 4.16E-05

1732DS-IB8XOBV4

1732DS-IB8 Módulo de entrada de 8 puntos CIP Safety 4.11E-06 1.03E-05 2.06E-05 4.11E-05

1791ES-IB16 Módulo de entrada de 16 puntos CIP Safety 4.13E-06 1.03E-05 2.06E-05 —

1791ES-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety

4.17E-06 1.04E-05 2.09E-05 —

1734-IB8S, serie A Módulo de entrada de 8 puntos CIP Safety 4.23E-06 1.06E-05 2.11E-05 4.23-05

1734-IB8S, serie B(1) Módulo de entrada de 8 puntos CIP Safety 4.36E-06 1.09E-05 2.18E-05 4.36E-05

1734-OB8S, serie A Módulo de salida de 8 puntos CIP Safety 4.27E-06 1.07E-05 2.13E-05 4.27E-05

1734-OB8S, serie B Módulo de salida de 8 puntos CIP Safety 4.32E-06 1.08E-05 2.16E-05 4.32E-05

1734-IE4S Módulo de entrada analógica de 4 puntos CIP Safety, operación de un solo canal

4.7E-07 1.2E-06 2.4E-06 4.8E-06

1734-IE4S Módulo de entrada analógica de 4 puntos CIP Safety, operación de dos canales

3.2E-07 8.1E-07 1.6E-06 3.3E-06

(1) Este dato es para la operación de un solo canal.

(2) Los datos de probabilidad de fallo a demanda (PFD) de 20 años para este producto se aplican solo a productos

con código de fecha de fabricación de 2009/01/01 (1º de enero de 2009) o posterior. El código de fecha se

encuentra en la etiqueta del producto.


Apéndice E Datos de seguridad de sistemas GuardLogix

Valores de probabilidad de fallo por hora (PFH)

Los datos a continuación se aplican a intervalos de prueba de calidad de hasta 20 años.

Tabla 15 – Cálculo de probabilidad de fallo por hora

N.° de cat. Descripción PFH (1/hora)

1756-L7xS y 1756-L7SP Controlador GuardLogix 1.2E-09

1756-L7xSXT y 1756-L7SPXT Controlador GuardLogix XT 1.2E-09

1791DS-IB12 Módulo de entrada de 12 puntos CIP Safety 5.77E-11(1)

1791DS-IB16 Módulo de entrada de 16 puntos CIP Safety 4.96E-10

1791DS-IB8XOB8 Módulo de 8 puntos de entrada y 8 puntos de salida CIP Safety 5.77E-11(1)

1791DS-IB4XOW4 Módulo de 4 puntos de entrada y 4 puntos de salida de relé CIP Safety 9.03E-09(1)

1791DS-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety 5.02E-10

1732DS-IB8XOBV4

1732DS-IB8 Módulo de entrada de 8 puntos CIP Safety 4.96E-10

1791ES-IB16 Módulo de entrada de 16 puntos CIP Safety 4.98E-10

1791ES-IB8XOBV4 Módulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety 5.04E-10

1734-IB8S, serie A Módulo de entrada de 8 puntos CIP Safety 5.10E-10

1734-IB8S, serie B Módulo de entrada de 8 puntos CIP Safety 5.27E-10

1734-OB8S, serie A Módulo de salida de 8 puntos CIP Safety 5.14E-10

1734-OB8S, serie B Módulo de salida de 8 puntos CIP Safety 5.20E-10

1734-IE4S Módulo de entrada analógica de 4 puntos CIP Safety, operación de un solo canal Módulo de entrada analógica de 4 puntos CIP Safety, operación de dos canales

5.6E-11

3.9E-11

(1) Los datos de probabilidad de fallo por hora (PFH) para este producto se aplican solo a productos con código de fecha de fabricación de 2009/01/01 (1º de enero de 2009) o posterior. El código de fecha se

encuentra en la etiqueta del producto.


Apéndice F

Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad

Sistema de desenergizar para activar

Cuando se usan las instrucciones del software RSLogix 5000, versión 14, instrucciones de aplicación de seguridad, todas las entradas y todas las salidas se establecen en cero cuando se detecta un fallo. Como resultado, toda entrada monitoreada por una de las instrucciones de entradas diversas (Entradas diversas o Estación de mando a dos manos) debe tener entradas normalmente cerradas condicionadas por una lógica similar a la lógica en el renglón 4 del Ejemplo de lógica de escalera 2 y Ejemplo de lógica de escalera 3 en las páginas 98 y 99. La lógica exacta requerida depende de la aplicación y del dispositivo de entrada. Sin embargo, la lógica debe crear un estado de seguridad de 1 para la entrada normalmente cerrada de las instrucciones de entradas diversas.

Use los datos de estado de conexión para iniciar un fallo como parte de la programación

Los siguientes diagramas proporcionan ejemplos de la lógica de aplicación requerida para enclavar y restablecer fallos de E/S. Los ejemplos muestran la lógica necesaria para módulos de entrada solamente y para módulos combinados de entrada y salida. Los ejemplos usan la función Combined Status de los módulos de E/S, la cual presenta el estado de todos los canales de entrada en una variable booleana. Otra variable booleana representa el estado de todos los canales de salida. Este enfoque reduce la cantidad de lógica de condicionamiento de E/S requerida, y fuerza la lógica a desactivar todos los canales de entrada o de salida del módulo afectado.

Use el Diagrama de flujo de enclavamiento y de restablecimiento de fallo de entrada en la página 96 para determinar qué renglones de lógica se requieren para diferentes situaciones de la aplicación. El Ejemplo de lógica de escalera 1 muestra la lógica que sobrescribe las variables de tags de entrada actuales mientras exista una condición de fallo. Si se requiere el estado de entrada para la resolución de problemas mientras el fallo de entrada está enclavado, use la lógica mostrada en el Ejemplo de lógica de escalera 2. Esta lógica usa tags internos que representan las entradas que se van a usar en la lógica de la aplicación. Mientras el fallo de entrada esté enclavado, los tags internos se establecen en su estado de seguridad. Mientras el fallo de entrada no esté enclavado, los valores de entrada actuales se copian a los tags internos.

Use el Diagrama de flujo de restablecimiento y enclavamiento de fallo de salida para determinar qué renglones se requieren de la lógica de aplicación en el Ejemplo de lógica de escalera 3 en la página 99.

Tema Página

Sistema de desenergizar para activar 95

Use los datos de estado de conexión para iniciar un fallo como parte de la programación 95


Apéndice F Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad

Figura 22 – Diagrama de flujo de enclavamiento y de restablecimiento de fallo de entrada

Inicio

¿Requiere la función de seguridad acción del operad. tras fallo de entrada de

seguridad?

Escriba lógica p/enclavar fallo entrada. (Renglón 0 de ej.)

Escriba lógica p/establecer entradas a estado seguridad (Renglones 2 y 3 de ej.)

¿Se usan entradas para controlar instruc. de aplicación de seguridad?

¿Puede usarse Circuit Reset como acción del operador?

¿Se requiere info. de fallo de entrada para diagnóstico?

Seleccione Manual Reset para la instrucción de

aplicación de seguridad.

No

Sí

No

Sí

Escriba lógica p/enclavar fallo entrada. (Renglón 0 de ej.)

Escriba lógica p/desenclavar fallo entrada (Renglón 1 de ej.)

¿Se usan entradas en instrucción con entradas diversas?

(DIN o THRS)

No

Sí

Sí

No

Escriba lógica p/establecer valor de estado seguridad cuando una entrada tiene un fallo. (Renglón 4 de ej.)

Fin

Sí

No


Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad Apéndice F

Figura 23 – Ejemplo de lógica de escalera 1

0 /Node30:I.InputStatus

LNode30InputsFaulted

/Node31:I.CombinedStatus


1FaultReset

ONSInputFaultResetOneShot Node30:I.InputStatus

UNode30InputsFaulted

Node31:I.CombinedStatusU

Node31InputsFaulted

2Node30InputsFaulted

UNode30:I.Pt00Data

UNode30:I.Pt01Data

UNode30:I.Pt07Data


UNode31:I.Pt00Data

UNode31:I.Pt01Data


LNode30:I.Pt01Data

LNode30:I.Pt03Data

UNode31:I.Pt11Data

El nodo 30 es un módulo combinado de 8 puntos de entrada y 8 puntos de salida.El nodo 31 es un módulo de 12 puntos de entrada.Si el estado de la entrada no es OK, enclave la indicación de entradas en fallo.

Si se detecta el flanco ascendente de la señal de restablecimiento de fallo y el estado de la entrada es OK, desenclave la indicación de entradas en fallo.

Si las entradas tienen un fallo, sobrescriba los tags de entrada con los valores de estado de seguridad.

Si las entradas tienen un fallo, sobrescriba los tags de entrada con los valores de estado de seguridad.

Si la indicación de entradas en fallo es verdadera, establezca los valores de entradas diversas en su estado de seguridad (1).




0 /

/

/

Node30:I.InputStatusL

Node30InputsFaulted

/Node31:I.CombinedStatus


1FaultReset

ONSInputFaultResetOneShot Node30:I.InputStatus

UNode30InputsFaulted

Node31:I.CombinedStatusU

Node31InputsFaulted

2Node30InputsFaulted Node30:I.Pt00Data Node30Input00

Node30Input01

Node30Input07

Node30:I.Pt01Data

Node30:I.Pt07Data



LNode31Input01

LNode31Input03

Node31:I.Pt00Data Node31Input00

Node31Input01

Node31Input11

Node31:I.Pt01Data

Node31:I.Pt11Data

El nodo 30 es un módulo combinado de 8 puntos de entrada y 8 puntos de salida.El nodo 31 es un módulo de 12 puntos de entrada.Si el estado de la entrada no es OK, enclave la indicación de entradas en fallo.


Si las entradas no tienen un fallo, escriba los valores de tags de entrada a las representaciones internas de las entradas.

Si las entradas no tienen un fallo, escriba los valores de tags de entrada a las representaciones internas de las entradas.

Si la indicación de entradas en fallo es verdadera, establezca las representaciones internas de las entradas diversas en su estado de seguridad (1).


Software RSLogix 5000, versión 14 y posteriores; instrucciones de aplicaciones de seguridad Apéndice F

Figura 25 – Diagrama de flujo de restablecimiento y enclavamiento de fallo de salida


ss

Inicio

¿Requiere la función de seguridad acción del operad. tras fallo de salida de

seguridad?

Escriba lógica p/enclavar fallo de salida (Renglón 0 de ej.)

¿Se requiere info. de fallo de salida para diagnóstico?

No

Sí

Sí

NoEscriba lógica p/establecer salidas a estado seguridad (Renglones 2 de ej.)

Escriba lógica p/desenclavar fallo de salida (Renglón 1 de ej.)

Escriba lógica p/enclavar fallo de salida (Renglón 0 de ej.)

Fin

0 /

/

Node30:I.OutputStatusL

Node30OutputsFaulted

1FaultReset

ONSInputFaultResetOneShot Node30:I.OutputStatus

UNode30OutputsFaulted

2Node30OutputsFaulted RedundantOutputTag.O1 Node30:O.Pt00Data

Node30:O.Pt01DataRedundantOutputTag.O2

El nodo 30 es un módulo combinado de 8 puntos de entrada y 8 puntos de salida.Si el estado de la salida no es OK, enclave la indicación de salida en fallo.




Notas:


Apéndice G

Uso de módulos 1794 FLEX I/O y entradas y salidas 1756 SIL 2 con controladores 1756 GuardLogix en cumplimiento de la normativa EN 50156

Se requiere una configuración de doble canal para cumplir con la normativa en ciertas aplicaciones relacionadas con la seguridad, incluidas funciones de seguridad relacionadas con quemadores. Estos ejemplos proporcionan pautas para cumplir con los requisitos de doble canal SIL 2 de EN50156 con intervalos de prueba de calidad de 1 y 2 años.

Entradas de doble canal SIL 2 (lado estándar de los controladores GuardLogix)

Es necesario implementar una separación clara y fácilmente identificable entre ambos canales de entrada y cumplir con todos los requisitos SIL 2 existentes según lo definido en el documento Using ControlLogix in SIL 2 Applications, publicación 1756-RM001.

Figura 27 – Ejemplo de entradas de doble canal SIL 2 F

Tema Página

Entradas de doble canal SIL 2 (lado estándar de los controladores GuardLogix) 101

Salidas SIL 2 usando los módulos de salida Guard I/O SIL 3 103

Salidas SIL 2 usando módulos de salida 1756 o 1794 SIL 2 103

Funciones de seguridad dentro de la tarea de seguridad 1756 GuardLogix 104

Canal A Canal B

Cn0+ Cn0+

Cn0- Cn0-

Transmisor de voltaje A

Transmisor de voltaje B

+

+

-

-



Apéndice G Uso de módulos 1794 FLEX I/O y entradas y salidas 1756 SIL 2 con controladores 1756 GuardLogix en cumplimiento de la normativa EN 50156

Datos de entrada SIL 2

Siempre mantenga los datos de entrada del canal A y del canal B separados. Este ejemplo ilustra un método para separar los datos del canal A y del canal B en su aplicación.

Siga todas las reglas para los módulos de E/S 1756 y 1794 FLEX™ según lo indicado en el documento Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicación 1756-RM001.

Transferencia de datos SIL 2 a la tarea de seguridad

Para transferir datos de seguridad SIL 2 del canal A y del canal B a la tarea de seguridad GuardLogix, use la función de asignación de tags de seguridad de la aplicación Logix Designer. Los nombres de tags usados aquí tienen fines de ejemplo. Implemente y siga las convenciones de asignación de nombres apropiadas para su aplicación.

IMPORTANTE No realice funciones específicas de seguridad dentro de estas rutinas. La

evaluación de seguridad debe manejarse dentro de la tarea de seguridad

1756 GuardLogix.

SUGERENCIA Para usar la función de asignación de tags de seguridad, seleccione

Map Safety Tags del menú Logic de la aplicación Logix Designer.



Uso de módulos 1794 FLEX I/O y entradas y salidas 1756 SIL 2 con controladores 1756 GuardLogix en cumplimiento de la normativa EN 50156 Apéndice G

Salidas SIL 2 usando los módulos de salida Guard I/O SIL 3

Siga estas pautas para las salidas SIL 2.

• Los módulos de salida Guard I/O usados para salidas de seguridad SIL 2 deben configurarse para operación de doble canal.

• Todos los módulos de salida Guard I/O están aprobados para ser usados en aplicaciones SIL 2.– 1732DS-IB8XOBV4– 1791ES-IB8XOBV4– 1791DS-IB8XOBV4, 1791ES-IB8XOBV4– 1791DS-IB4XOW4– 1791DS-IB8XOB8– 1734-OB8S

Salidas SIL 2 usando módulos de salida 1756 o 1794 SIL 2

Cuando use estos módulos de salida con clasificación SIL 2 debe configurar sus salidas de seguridad SIL 2 como tags de seguridad producidos GuardLogix para cumplir con los requisitos de doble canal de la normativa EN 50156.

Genere tags de seguridad producidos con las salidas SIL 2 que requiera su aplicación. Los tags de seguridad producidos/consumidos GuardLogix requieren que el primer miembro se asigne para diagnósticos. El primer miembro de una conexión de seguridad de datos producidos/consumidos debe ser un tipo de datos llamado CONNECTION_STATUS. Este ejemplo muestra un tag SIL 2 con dos miembros INT y dos miembros BOOL. Use estos tags de seguridad SIL 2 para controlar las salidas 1756 o 1794 SIL 2 directamente.

Siga todas las reglas para los módulos de E/S 1756 y 1794 FLEX según lo indicado en el documento Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicación 1756-RM001.

SUGERENCIA En este ejemplo no se muestra un consumidor de tag producido. El estado de

conexión muestra un fallo si usted no configura un consumidor. Sin embargo,

en este tipo de configuración no es necesario que usted monitoree el estado de

conexión del tag producido, por lo tanto el fallo no es motivo de preocupación.



Apéndice G Uso de módulos 1794 FLEX I/O y entradas y salidas 1756 SIL 2 con controladores 1756 GuardLogix en cumplimiento de la normativa EN 50156

Funciones de seguridad dentro de la tarea de seguridad 1756 GuardLogix

Siga estas pautas para usar las funciones de seguridad SIL 2 y SIL 3 dentro de la tarea de seguridad:

• Pueden usarse todas las instrucciones de aplicaciones de seguridad disponibles.

• Los módulos de entrada de seguridad CL3 (por ejemplo, módulos Guard I/O) pueden usarse con configuraciones de un solo canal para las funciones de seguridad SIL 2.

• Se recomienda usar la firma de tarea de seguridad y realizar un bloqueo de seguridad de la aplicación.

IMPORTANTE No se deben usar datos SIL 2 para controlar una salida SIL 3

directamente.


Glosario

En este manual se utilizan los siguientes términos y las siguientes abreviaturas. Para obtener definiciones de términos no listados aquí consulte el documento de Allen-Bradley Industrial Automation Glossary, publicación AG-7.1.

Asociación Para que se establezca una asociación deben estar presentes el controlador primario y el homólogo de seguridad; el hardware y el firmware deben ser compatibles.

Cancelar ediciones Acción realizada para rechazar cualquier edición en línea que no haya sido ensamblada.

Componente de seguridad Cualquier objeto, tarea, programa, rutina, tag o módulo que esté marcado como ítem relacionado con la seguridad.

Componente estándar Todo objeto, tarea, tag, programa, etc., que no está marcado como ítem relacionado con la seguridad.

Conexión válida La conexión de seguridad está abierta y activa, y no tiene errores.

Controlador estándar En este documento, un controlador estándar se refiere en términos genéricos a un controlador ControlLogix.

Controlador primario Procesador en un controlador con dos procesadores que realiza la funcionalidad de controlador estándar y que se comunica con el homólogo de seguridad para realizar funciones relacionadas con la seguridad.

Direccionamiento simbólico Método de direccionamiento que proporciona una interpretación ASCII del nombre del tag.

Edición pendiente Cambio a una rutina que se ha realizado en la aplicación Logix Designer, pero que todavía no ha sido comunicado al controlador mediante la aceptación de la edición.

En línea Situación en la que usted está monitoreando o modificando el programa en el controlador

Ensamblar ediciones Se ensamblan ediciones cuando se ha editado en línea el programa del controlador y se desea que estas ediciones sean permanentes, ya que es posible hacer pruebas, deshacer pruebas o anular ediciones.

Fallo no recuperable de controlador Fallo que fuerza la finalización de todo procesamiento y precisa la desconexión y la conexión de la alimentación al controlador. El programa de usuario no se conserva, y es necesario volver a descargarlo.

Fallo no recuperable de seguridad Fallo que, a pesar de que haya sido manejado adecuadamente por los mecanismos de manejo de fallos proporcionados por el controlador de seguridad e implementado por el usuario, termina todo el procesamiento de la tarea de seguridad y precisa una acción externa del usuario para reiniciar la tarea de seguridad.

Fallo recuperable Fallo que, cuando está adecuadamente manejado mediante la implementación de mecanismos de manejo de fallos proporcionados por el controlador, no fuerza la terminación de la ejecución de la lógica del usuario.


http://literature.rockwellautomation.com/idc/groups/literature/documents/qr/ag-qr071_-en-p.pdf

Glosario

Firma de configuración Número único que identifica la configuración de un dispositivo. La firma de configuración está compuesta de un número de identificación o ID, una fecha y una hora.

Firma de instrucción La firma de instrucción está compuesta por un número de identificación y un sello de fecha/hora que identifica el contenido de la definición de la instrucción Add-On en un momento dado.

Firma de instrucción de seguridad La firma de instrucción de seguridad es un número de identificación que identifica las características de ejecución de la instrucción Add-On de seguridad. Se utiliza para verificar la integridad de la instrucción Add-On de seguridad durante las descargas al controlador.

Firma de tarea de seguridad Un valor, calculado por firmware, que representa de forma única la lógica y la configuración del sistema de seguridad. Se utiliza para verificar la integridad del programa de aplicación de seguridad durante las descargas al controlador.

Homólogo de seguridad Procesador en un controlador con dos procesadores que funciona con el controlador primario para realizar funciones relacionadas con la seguridad.

Instrucción Add-On Instrucción que usted crea como adición al conjunto de instrucciones Logix. Una vez definida, una instrucción Add-On puede usarse como cualquier otra instrucción Logix, y puede utilizarse en varios proyectos. Una instrucción Add-On se compone de parámetros, tags locales, rutina lógica y rutinas de modo de escán opcionales.

Instrucción Add-On de seguridad Instrucción Add-On que puede usar instrucciones de aplicaciones de seguridad. Además de la firma de instrucción usada para instrucciones Add-On de gran integridad, las instrucciones Add-On de seguridad cuentan con una firma de instrucción de seguridad SIL 3 para uso en funciones relacionadas con la seguridad.

Instrucciones de aplicacionesde seguridad

Son instrucciones de seguridad que proporcionan la funcionalidad relacionada con la seguridad. Han recibido la certificación SIL 3 para ser usadas en rutinas de seguridad.

Intervalo solicitado entre paquetes(RPI)

Al comunicarse a través de una red, este valor es el período máximo de tiempo entre las subsiguientes producciones de datos de entrada.

Multiplicador de interrupciones Este valor determina el número de mensajes que se pueden perder antes de declarar un error de conexión.

Número de red de seguridad (SNN) Identifica de forma única una red entre todas las redes del sistema de seguridad. El usuario final es responsable de asignar un número único a cada red de seguridad o subred de seguridad dentro de un sistema. El número de red de seguridad es parte del identificador único de nodo (UNID).

Período de tarea de seguridad Período en que se ejecuta la tarea de seguridad.

Programa de seguridad Un programa de seguridad tiene todos los atributos de un programa estándar, con la excepción de que se puede priorizar solo en una tarea de seguridad. El programa de seguridad consta de cero o más rutinas de seguridad. No puede contener rutinas estándar ni tags estándar.


Glosario

Protocolo CIP Safety Método de comunicación en red diseñado y certificado para el transporte de datos con gran integridad.

Rutina Conjunto de instrucciones lógicas en un lenguaje de programación como, por ejemplo, diagrama de lógica de escalera. Las rutinas proporcionan código ejecutable para el proyecto de un controlador. Cada programa tiene una rutina principal. También se pueden especificar rutinas opcionales.

Rutina de seguridad Una rutina de seguridad tiene todos los atributos de una rutina estándar, con la excepción de que es válida solo en un programa de seguridad y que consta de una o más instrucciones apropiadas para aplicaciones de seguridad. (Vea el Apéndice A para obtener una lista de instrucciones de aplicación de seguridad y de instrucciones Logix estándar que pueden usarse en la lógica de la rutina de seguridad).

Safety I/O Safety I/O tiene la mayoría de los atributos de las E/S estándar, con la excepción de que incorporan mecanismos con certificación SIL 3 para integridad de los datos.

Superposición Sucede cuando una tarea (periódica o de evento) se activa sin que la misma haya terminado de ejecutarse tras la activación anterior.

Tags de seguridad Un tag de seguridad tiene todos los atributos de un tag estándar, con excepción de que el controlador GuardLogix proporciona mecanismos con certificación SIL 3 para ayudar a proteger la integridad de los datos asociados. Pueden estar restringidos al programa o restringidos al controlador.

Tarea Mecanismo de priorización para ejecutar un programa. Una tarea proporciona la información de priorización y secuenciamiento para uno o más programas que se ejecutan con base en un criterio determinado. Una vez que se activa una tarea, todos los programas asignados (programados) a la tarea se ejecutan en el orden en el cual se muestran en el organizador del controlador.

Tarea de seguridad Una tarea de seguridad tiene todos los atributos de una tarea estándar, con la excepción de que es válida solo en un controlador GuardLogix y de que solamente puede priorizar programas de seguridad. Puede existir una sola tarea de seguridad en un controlador GuardLogix. La tarea de seguridad tiene que ser una tarea periódica/temporizada.

Tarea periódica Tarea activada por el sistema operativo a intervalos repetitivos. Cuando termina el tiempo, la tarea se activa y se ejecutan sus programas. Los datos y las salidas establecidos por los programas en la tarea conservan sus valores hasta la siguiente ejecución de la tarea o hasta que otra tarea los modifica. Las tareas periódicas siempre interrumpen la tarea continua.

Temporizador de vigilancia de tareade seguridad

Tiempo máximo permitido desde el inicio de la ejecución de la tarea de seguridad hasta que la misma se completa. Al excederse el periodo del temporizador de vigilancia de tarea de seguridad se activa un fallo no recuperable de seguridad.

Tiempo de reacción de latarea de seguridad

Suma del período de la tarea de seguridad más el periodo del temporizador de vigilancia de tarea de seguridad. Este tiempo representa el retardo en el peor de los casos, desde el momento en que ocurre cualquier cambio de entrada presentado al controlador GuardLogix, hasta el momento en que la salida procesada está disponible para la conexión productora.


Glosario

Tiempo de reacción del sistema El tiempo transcurrido, en el peor de los casos, desde que se produce un evento relacionado con la seguridad como entrada al sistema o como fallo dentro del sistema, hasta el momento en que el sistema queda en estado seguro. El tiempo de reacción del sistema incluye los tiempos de reacción de los sensores y de los activadores y el tiempo de reacción del controlador.


Índice

Números1734-AENT 17, 23

1756-A10 17

1756-A13 17

1756-A17 17

1756-A4 17

1756-A5XT 17

1756-A7 17

1756-A7XT 17

1756-CN2 17, 23

1756-CN2R 17, 23

1756-CN2RXT 17, 23

1756-DNB 17, 23

1756-EN2F 17, 23

1756-EN2T 17, 23

1756-EN2TR 23

1756-EN2TXT 17, 23

1756-EN3TR 23

1756-ENBT 17, 23

1756-PB72 17

1756-PB75 17

1768-CNB 23

1768-CNBR 23

1768-ENBT 23

1784-CF128 17

1784-SD1 17

1784-SD2 17

Aasignación de tags 47

asociacióndefinición 105

Bbloqueo de seguridad 56

contraseñas 56operaciones restringidas 56predeterminado 56

Ccalificación de datos estándar 47

cambio del programa de aplicación 59

carga de confiabilidad 19

certificación de nivel de integridad de seguri-dad (SIL) 3

componentes de Logix 16responsabilidades del usuario 14TÜV Rheinland 14

certificación de nivel de integridad de seguri-dad 3 (SIL 3) 9, 13, 76

certificaciones 18

chasisdescripción general del hardware 22números de catálogo 17

cobertura de diagnósticodefinición 10

componentes de Logixcon certificación SIL 3 16

componentes XT 17

comunicación de igual a igual 23

concepto de seguridadsuposiciones 49

conformidades y certificaciones de seguridad 18

CONNECTION_STATUStipo de datos 63

controlador primariodefinición 105descripción general del hardware 22

DDeviceNet Safety

descripción general de la comunicación 24

Eedición en línea 57, 60

ediciones fuera de línea 60

ediciones pendientes 57

en líneadefinición 105

EN50156 101

EN954-1CAT 4 9, 13

entorno Studio 5000 17

estado de conexión 64

EtherNet/IPdescripción general de la comunicación 23

Ffallos

anulación 66fallos no recuperables de controlador 66fallos no recuperables de seguridad 66recuperables 67, 105

fallos de hardwarerecuperación 66

fallos no recuperables de controlador 66, 105

fallos no recuperables de seguridad 66, 105

reinicio de la tarea de seguridad 66fallos recuperables 67, 105

firma de configuración 29

firma de instrucción 75

definición 106firma de instrucción de seguridad 76

definición 106firma de tarea de seguridad

definición 106eliminación 54generación 53operaciones restringidas 54

forzado 58

fuentes de alimentación eléctrica 17

descripción general del hardware 22función de control

especificación 52


Índice

funciones de seguridadCIP Safety I/O 27salida de seguridad 28

funciones de seguridad relacionadas con quemadores 101

Hhistorial de firmas 77

homólogo de seguridaddefinición 106descripción general del hardware 22lugar 22

IIEC 61508

certificación de nivel de integridad de seguri-dad 3 (SIL 3) 9, 13, 76

inhibición de un módulo 58

instalación de un controlador 21

instrucción Add-Oncertificar 73firma de instrucción 75firma de instrucción de seguridad 76

instrucción SSV (establecer valor del sistema) 65

instrucciones de aplicaciones de seguridaddefinición 106

instrucciones de seguridad de lógica de escalera 70

instrucciones GSV 65

interfaceuso y aplicación de HMI 43–45

interfaces de máquina-operadoruso y aplicación 43–45

intervalo solicitado entre paquetesdefinición 106rango 42

ISO 13849-1 9, 13

Llista de verificación

desarrollo de programa 91entradas SIL 3 89salidas SIL 3 90sistema controlador GuardLogix 25, 88

Mmódulo de interface de comunicaciones

EtherNet/IPdescripción general del hardware 23

módulo de interface de escáner DeviceNetdescripción general del hardware 23

módulo puente ControlNetdescripción general del hardware 23

módulos de comunicacióndescripción general del hardware 23números de catálogo 17

módulos de E/Sreemplazo 29–31

módulos Guard I/Oaplicaciones SIL 2 103

multiplicador de interrupciones 82

definición 106

Nnivel de integridad de seguridad (SIL)

distribución y peso de conformidad 19ejemplo de función 16política 13–20

nivel de rendimientodefinición 10

nociones básicas para el desarrollo de aplicaciones 50

normativa europeadefinición 10

número de red de seguridad 34

asignación manual 34definición 106módulos tal como vienen de fábrica 36tags de seguridad consumidos 35

Oobtener valor del sistema (GSV)

definición 10

Pperíodo de tarea de seguridad 20

definición 106descripción general 20limitaciones 41

PLe 9, 13

probabilidad de fallo a demanda (PFD) 18–19

definición 10probabilidad de fallo por hora (PFH) 18–19

definición 10proceso para poner en servicio 51

programacarga 57ciclo de vida de edición 61descargar 57edición en línea 60edición fuera de línea 60identificación 53lista de verificación 91verificación 54

programa de aplicacióncambio 59véase programa

programa de seguridad 45

definición 106propiedad 29

protocolo CIP Safetydefinición 107descripción general 22sistema encaminable 33

protocolo de control e informacióndefinición 10

proyectoconfirmación 55

prueba de verificación del proyecto 54, 78

pruebas de calidad 14


Índice

Rreferencia única de nodo

definido 34revisiones de firmware 17

rutina de seguridad 45

definición 107

SSIL 2

EN50156 101software

cambio del programa de aplicación 59software RSLogix 5000 17

superposicióndefinición 107

Ttags

datos de seguridad producidos/consumidos 46

Safety I/O 46vea también tags de seguridad

tags de seguridad 46

definición 107tipos de datos válidos 46

tags de seguridad consumidosnúmero de red de seguridad 35

tarea de seguridaddefinición 107descripción general 41ejecución 42prioridad 84tiempo de reacción 20, 107tiempo del temporizador de vigilancia 84

tarea periódicadefinición 107

tarjeta de memoria 17

tarjeta Secure Digital (SD) 17

temporizador de vigilancia de tarea de seguridad 20

definición 107descripción general 20establecimiento 20interrupción 41modificación 20

terminología 10

tiempo de reaccióncálculo para el sistema 79sistema 19, 108tarea de seguridad 20

tiempo de reacción del sistema 19

cálculo 79tiempo de reacción del sistema Logix

cálculo 80tiempo de retardo de salida 28

tiempo del temporizador de vigilancia 84


Índice


Publicación 1756-RM099B-ES-P – Noviembre 2014 Copyright © 2014 Rockwell Automation, Inc. Todos los derechos reservados. Impreso en EE.UU.

Asistencia técnica de Rockwell Automation

Rockwell Automation proporciona información técnica a través de Internet para ayudarle a utilizar sus productos. En http://www.rockwellautomation.com/support podrá encontrar notas técnicas y de aplicación, ejemplos de códigos y vínculos a service packs de software. También puede visitar nuestro Centro Asistencia Técnica en https://rockwellautomation.custhelp.com/ donde encontrará actualizaciones de software, chats y foros de soporte técnico, información técnica, preguntas frecuentes, y donde podrá inscribirse para recibir actualizaciones de productos y notificaciones.

Además, ofrecemos múltiples programas de asistencia para la instalación, configuración y resolución de problemas. Para obtener más información comuníquese con su distribuidor regional o con el representante de Rockwell Automation, o visite http://www.rockwellautomation.com/services/online-phone.

Asistencia para la instalación

Si se presenta un problema durante las 24 horas posteriores a la instalación, revise la información proporcionada en este manual. También puede llamar a un número especial de asistencia técnica para obtener ayuda inicial para poner en servicio el producto.

Devolución de productos nuevos

Rockwell Automation prueba todos sus productos antes de que salgan de la fábrica para ayudar a garantizar su perfecto funcionamiento. No obstante, si su producto no funcionara y necesitara devolverlo, siga estos procedimientos.

Comentarios sobre la documentación

Sus comentarios nos ayudan a atender mejor sus necesidades de documentación. Si tiene sugerencias sobre cómo mejorar este documento, llene este formulario, publicación RA-DU002, disponible en http://www.rockwellautomation.com/literature/.

Estados Unidos o Canadá 1.440.646.3434

Fuera de los Estados Unidos o Canadá

Utilice el Worldwide Locator en http://www.rockwellautomation.com/rockwellautomation/support/overview.page, o comuníquese con el representante local de Rockwell Automation.

En los Estados Unidos Póngase en contacto con su distribuidor. Deberá proporcionar al distribuidor un número de caso de asistencia técnica al cliente (llame al número de teléfono anterior para obtener uno) a fin de completar el proceso de devolución.

Desde fuera de los Estados Unidos Comuníquese con su representante regional de Rockwell Automation para obtener información sobre el procedimiento de devolución.

Rockwell Automation publica información medioambiental actualizada sobre sus productos en su sitio web en

http://www.rockwellautomation.com/rockwellautomation/about-us/sustainability-ethics/product-environmental-compliance.page.

http://www.rockwellautomation.com/rockwellautomation/distributor-locator/sales-locator.page

http://www.rockwellautomation.com/rockwellautomation/about-us/sustainability-ethics/product-environmental-compliance.page

http://www.rockwellautomation.com/support

https://rockwellautomation.custhelp.com/

http://www.rockwellautomation.com/services/online-phone

http://literature.rockwellautomation.com/idc/groups/literature/documents/du/ra-du002_-en-e.pdf



Sistemas controladores GuardLogix 5570 - Literature...

Documents

Transcript of Sistemas controladores GuardLogix 5570 - Literature...