Allen-Bradley HMIs. Sistemas do controlador GuardLogix

Transcrição

1 Sistemas do controlador GuardLogix Códigos de catálogo 1756-L61S, 1756-L62S, 1756-L63S, 1768-L43S, 1768-L45S Manual de referência de segurança Allen-Bradley HMIs

2 Informações importantes do usuário Equipamento de estado sólido tem características operacionais diferentes das dos equipamentos eletromecânicos. Safety Guidelines for the Application, Installation and Maintenance of Solid State Controls (publicação SGI-1.1 disponível em seu representante Rockwell Automation local ou on-line em descrevem algumas diferenças importantes entre o equipamento de estado sólido e os dispositivos eletromecânicos com instalação física. Devido a essa diferença, e também devido aos vários usos de um equipamento de estado sólido, todas as pessoas responsáveis pela aplicação desse equipamento devem entender que qualquer aplicação intencional relacionada à aplicação desse equipamento é aceitável. Em nenhuma circunstância, a Rockwell Automation, Inc. será responsável por danos indiretos ou conseqüentes que resultam do uso ou da aplicação desse equipamento. Os exemplos e diagramas deste manual são incluídos apenas com finalidades ilustrativas. Devido às muitos variáveis e especificações associadas a qualquer instalação particular, a Rockwell Automation, Inc. não pode assumir responsabilidade pelo uso real baseado nos exemplos e diagramas. Nenhuma responsabilidade de patente é assumida pela Rockwell Automation, Inc. com respeito ao uso das informações, circuitos, equipamento ou software descrito neste manual. A reprodução do conteúdo deste manual, inteira ou parcial, sem a permissão por escrito da Rockwell Automation, Inc. é proibida. Em todo este manual, quando necessário, usamos observações para enfatizar considerações de segurança. ADVERTÊNCIA Identifica informações sobre práticas ou circunstâncias que podem causar uma explosão em um ambiente classificado, que pode levar a ferimentos pessoais ou morte, dano de propriedade ou perda econômica. IMPORTANTE Identifica informações críticas para a aplicação bem-sucedida e entendimento do produto. ATENÇÃO Identifica informações sobre práticas ou circunstâncias que podem levar a ferimentos pessoais ou morte, dano de propriedade ou perda financeira. Etiquetas ajudam a identificar e evitar um risco, bem como reconhecer as conseqüências. PERIGO DE CHOQUE As etiquetas podem estar sobre ou dentro do equipamento, por exemplo, um inversor ou um motor, para alertar as pessoas que pode haver tensão perigosa. PERIGO DE QUEIMADURA As etiquetas podem estar sobre ou dentro do equipamento, por exemplo, um inversor ou um motor, para alertar as pessoas que as superfícies podem alcançar temperaturas perigosas. Rockwell Automation, Allen-Bradley, TechConnect, ControlLogix, GuardLogix, CompactLogix, CompactBlock Guard I/O, ArmorBlock Guard I/O, Guard I/O, ControlFlash, Logix5000, SLC, RSLogix 5000, RSNetWorx para EtherNet/IP, RSNetWorx para DeviceNet, RSNetWorx para ControlNet, FactoryTalk Security, e RSLinx são marcas comerciais da Rockwell Automation, Inc. As marcas comerciais que não pertencem à Rockwell Automation são de propriedade de suas respectivas empresas.

3 Resumo de Alterações As informações abaixo resumem as mudanças deste manual deste a última publicação. Para ajudá-lo a encontrar informações novas e atualizadas nesta versão deste manual, incluímos barras de mudança conforme mostrado à direita deste parágrafo. Este manual abrange os controladores 1768 Compact GuardLogix, bem como os 1756 GuardLogix. Quando GuardLogix for usado sozinho nesta publicação, refere-se tanto ao controlador GuardLogix 1756 quanto ao Tópico Manual de usuário de controlador 1768 Compact GuardLogix e Instruções de instalação adicionada à lista de recursos adicionais Controladores 1768-L43S e 1768-L45S Compact GuardLogix e fontes de alimentação 1768 adicionadas à lista de componentes de sistema de GuardLogix Página Cartões CompactFlash 1784-CF64 e 1784-CF128 adicionados à 18 lista de componentes de sistema GuardLogix Adaptador 1734-AENT POINT I/O Ethernet adicionado à lista de 18 componentes apropriados para uso com o sistema GuardLogix Hardware do controlador 1768-L43S e 1768-L45S Compact 27 GuardLogix Informações sobre conformidade de EN50156 com as entradas ControlLogix SIL 2 Armazenamento e carregamento de um projeto de memória não 65 volátil Uso de instruções add-on de segurança 87 Dados PFD e PFH para controladores 1768-L43S e 1768-L45S 105 e 106 Intervalos de teste de prova de 20 anos para dados PFD 106 Terminologia atualizada para diferenciar assinatura de tarefa continuamente de segurança, instrução de assinatura, assinaturas de instrução de segurança Allen-Bradley HMIs 3Publicação 1756-RM093F-PT-P Janeiro

4 Resumo de Alterações 4 Publicação 1756-RM093F-PT-P Janeiro 2010

5 Sumário Prefácio Introdução Sobre esta publicação Quem deve usar esta publicação Noções básicas sobre terminologia Recursos adicionais Conceito de nível de integridade de segurança (SIL) Sistema do controlador GuardLogix Capítulo 1 Introdução Certificação SIL Testes de verificação funcional Arquitetura GuardLogix para aplicações SIL Componentes do sistema GuardLogix Certificações GuardLogix Especificações de PFD e de PFH do GuardLogix Distribuição e peso em conformidade com o nível de integridade de segurança (SIL) Tempo de reação do sistema Tempo de reação da tarefa de segurança Período da tarefa de segurança e watchdog da tarefa de segurança Informações de contato se ocorrer uma falha do equipamento Capítulo 2 Introdução Hardware do Controlador GuardLogix Controlador primário Parceiro de segurança Rack Fontes de alimentação Hardware do Controlador Compacto GuardLogix Protocolo CIP Safety E/S de segurança Pontes de comunicação Características gerais de programação E/S CIP Safety para o sistema de controle GuardLogix Capítulo 3 Introdução Características gerais Funções de segurança típicas dos módulos de E/S CIP Safety Diagnósticos Dados de status Indicadores de status Função atraso na energização ou atraso na desenergização Tempo de reação Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

6 Sumário Considerações de segurança para os módulos E/S CIP Safety Propriedade Assinatura da configuração da E/S de segurança Substituição do módulo de E/S CIP Safety e número da rede de segurança Características de tags de segurança, da tarefa de segurança e dos programas de segurança Desenvolvimento da aplicação de segurança Capítulo 4 Introdução O sistema de controle de CIP Safety roteável Referência de nó exclusivo Número da rede de segurança Considerações para atribuição do número da rede de segurança (SNN) Número de rede de segurança (SNN) para tags de segurança consumidos Número de segurança da rede (SNN) para módulos padrão Número da rede de segurança (SNN) para módulo de segurança com um proprietário de configuração diferente Número da rede de segurança (SNN) ao copiar um projeto de segurança Capítulo 5 Introdução Diferenças entre padrão e segurança Aplicações de segurança SIL Controle de segurança SIL 2 na tarefa de segurança Controle de segurança SIL 2 nas tarefas padrão (controladores GuardLogix 1756 apenas) Conformidade EN50156 com entradas de segurança SIL 2 do 1756 ControlLogix SIL 2 em configurações de canal duplo com os controladores 1756 GuardLogix Segurança SIL3 a tarefa de segurança Limitações da tarefa de segurança Detalhes de execução da tarefa de segurança Programas de segurança Rotinas de segurança Tags de segurança Tags padrão em rotinas de segurança (mapeamento de tags) Recursos adicionais Capítulo 6 Introdução Suposições do conceito de segurança Publicação 1756-RM093F-PT-P Janeiro 2010

7 Sumário Noções básicas do desenvolvimento e do teste de aplicativos Comissionamento do ciclo de vida Especificação da função de controle Criação do projeto Testar o programa aplicativo Geração da assinatura da tarefa de segurança Teste de verificação do projeto Confirmação do projeto Validação da segurança Travamento do controlador GuardLogix Descarregamento do programa aplicativo de segurança Carregamento do programa de segurança da aplicação Edição on-line Armazenamento e carregamento de um projeto de memória não volátil Force de dados Inibição de um módulo Edição de sua aplicação de segurança Realização de edições off-line Realização de edições on-line Edição do seu projeto Monitoração de status e manuseio de falhas Capítulo 7 Introdução Monitoração do status do sistema Dados CONNECTION_STATUS Condicionamento de linha de entrada e saída Status da conexão do módulo de E/S Sistema desenergizar para desarmar Uso de dados de status de conexão para iniciar uma falha através da lógica do programa Instruções GSV e SSV Falhas do sistema GuardLogix Falhas não recuperáveis do controlador Falhas de segurança irrecuperáveis Falhas recuperáveis Apêndice A Instruções de segurança Introdução Instruções da aplicação de segurança Forma de Metal Instruções de Aplicação de Segurança.. 83 Instruções de segurança Recursos adicionais Apêndice B Instruções add-on de segurança Introdução Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

8 Sumário Criação e uso de uma instrução add-on de segurança Criar um projeto de teste de instrução add-on Criar uma instrução add-on de segurança Gerar assinatura de instrução Descarregue e gere a assinatura de instrução de segurança Teste de qualificação de instrução Add-On SIL Confirmar o projeto Instruções Add-On de segurança validada Criar uma entrada de histórico de assinatura Exportar e importar a instrução Add-on de segurança Verificar assinaturas de instrução Add-On de segurança Testar o programa aplicativo Testar a verificação do projeto Projeto validado de segurança Recursos adicionais Apêndice C Tempos de reação Introdução Tempo de reação do sistema Tempo de reação do Sistema Logix Cadeia entrada-lógica-saída simples Cadeia de lógica usando tags de segurança produzidos/consumidos Fatores que afetam o tempo de reação do Logix Recursos adicionais Listas de verificação para as aplicações de segurança do GuardLogix Dados de probabilidade de falha sob solicitação (PFD) e de probabilidade de falha por hora (PFH) Apêndice D Introdução Lista de verificação para o sistema do controlador GuardLogix Lista de verificação para entradas de segurança Lista de verificação para saídas de segurança Lista de verificação para desenvolver um programa aplicativo de segurança Apêndice E Introdução Dados de segurança do controlador GuardLogix e Guard I/O Valores PFD Valores PFH Glossário Índice 8 Publicação 1756-RM093F-PT-P Janeiro 2010

9 Prefácio Introdução Tópico Página Sobre esta publicação 9 Quem deve usar esta publicação 9 Noções básicas sobre terminologia 10 Recursos adicionais 11 Sobre esta publicação Este manual pretende descrever o sistema do controlador GuardLogix, que é do tipo aprovado e certificado para uso em aplicações de segurança até e incluindo SIL 3 de acordo com IEC e IEC 62061, aplicações de segurança até e incluindo desempenho de nível PLe (Categoria 4) de acordo com ISO Esta publicação abrange os sistema de controlador 1756 e o 1768 GuardLogix. Quando os controladores GuardLogix são usados sozinhos nesta publicação, referem-se tanto ao controlador GuardLogix 1756 quanto ao As informações específicas para um tipo de controlador incluirá o código de catálogo 1756 ou Quem deve usar esta publicação Use este manual se você for o responsável pelo desenvolvimento, operação ou manutenção de um sistema de segurança com base no controlador GuardLogix. Você deve ler e entender os conceitos e requisitos de segurança apresentados neste manual antes de operar um sistema de segurança baseado em controlador GuardLogix. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

10 Prefácio Noções básicas sobre terminologia A tabela a seguir define os termos usados neste manual. Termos e definições Abreviação Termo por extenso Definição 1oo2 One Out of Two Identifica arquitetura do controlador eletrônico programável. CIP Common Industrial Protocol Um protocolo designado para aplicações de automação industrial. CIP Safety Protocolo industrial comum Versão classificada de CIP SIL 3. Segurança certificada DC Cobertura de diagnóstico A relação entre a taxa de falha detectada e a taxa de falha total. EN European Norm. A norma oficial européia. GSV Get System Value Uma instrução de lógica ladder que recupera informações de status do controlador especificado e as coloca em um tag de destino. PC Personal Computer Computador usado para fazer a interface e controlar um sistema Logix através do software de programação RSLogix PFD Probabilidade de falha sob solicitação A probabilidade média que um sistema tem de falhar ao executar sua função quando solicitado. PFH Probabilidade de falha por hora A probabilidade de um sistema ter uma falha perigosa por hora. PL Nível de desempenho Segurança classificada ISO SNN Número da rede de segurança Um número exclusivo que identifica uma seção de uma rede de segurança. SSV Set System Value Uma instrução de lógica ladder que define dados do sistema do controlador. -- Padrão Um objeto, tarefa, tag, programa ou componente em seu projeto que não está relacionado à segurança (ou seja, o controlador padrão refere-se genericamente a um controlador ControlLogix ou ao CompactLogix). 10 Publicação 1756-RM093F-PT-P Janeiro 2010

11 Prefácio Recursos adicionais A tabela abaixo fornece uma lista de publicações que contêm informações importantes sobre os sistemas de controlador GuardLogix. Recurso Descrição GuardLogix Controller Installation Instructions, Fornece informações sobre como instalar o controlador GuardLogix. publicação 1756-IN045 GuardLogix Controllers User Manual, publicação 1756-UM020 Configuração e programação do sistema GuardLogix. CompactLogix Controllers Installation Instructions, Fornece informações sobre como instalar o controlador Compact publicação 1768-IN004 GuardLogix Compact GuardLogix Controllers User Manual, Detalhes de como configurar, programar e operar um sistema publicação 1768-UM CompactLogix e fornece especificações técnicas. GuardLogix Safety Application Instruction Set Reference Fornece informações sobre o conjunto de instruções de aplicação Manual, publicação 1756-RM095 de segurança do GuardLogix. CompactBlock Guard I/O DeviceNet Safety Module Installation Fornece informações sobre como instalar módulos de segurança Instructions, publicação 1791DS-IN002 CompactBlock Guard I/O DeviceNet. Guard I/O DeviceNet Safety Modules User Manual, Fornece informações sobre o uso de módulos de segurança publicação 1791DS-UM001 Guard I/O DeviceNet. Guard I/O EtherNet/IP Safety Modules Installation Instructions, Fornece informações sobre a instalação de módulos de segurança publicação 1791ES-IN001 CompactBlock Guard I/O EtherNet/IP. Guard I/O EtherNet/IP Safety Modules User Manual, Fornece informações sobre o uso de módulos de segurança publicação 1791ES-UM001 Guard I/O EtherNet/IP. Using ControlLogix in SIL2 Applications Safety Reference Descreve as exigências para uso de controladores ControlLogix, Manual, publicação 1756-RM001 e tarefas padrão GuardLogix, em aplicações de controle de segurança SIL 2. Logix5000 General Instruction Set Reference Manual, Fornece informações sobre o conjunto de instruções do Logix5000. publicação 1756-RM003 Logix Common Procedures Programming Manual, publicação 1756-PM001 Logix5000 Controllers Add-On Instructions Programming Manual, publicação 1756-PM010 ControlLogix System User Manual, publicação 1756-UM001 DeviceNet Modules in Logix5000 Control Systems User Manual, publicação DNET-UM004 EtherNet/IP Modules in Logix5000 Control Systems User Manual, publicação ENET-UM001 ControlNet Modules in Logix5000 Control Systems User Manual, publicação CNET-UM001 Logix5000 Controllers Execution Time and Memory Use Reference Manual, publicação 1756-RM087 Logix Import Export Reference Manual, publicação 1756-RM084 Fornece informações sobre a programação dos controladores Logix5000, incluindo a gestão de arquivos de projetos, organização de tags, programação e testes de rotinas e manuseio de falhas. Fornece informações sobre a criação e o uso de instruções add-on padrão e de segurança em aplicações Logix. Fornece informações sobre o uso do ControlLogix em aplicações de segurança não relacionadas à segurança. Fornece informações sobre o uso do módulo 1756-DNB em um sistema de controle Logix5000. Fornece informações sobre o uso do módulo 1756-ENBT em um sistema de controle Logix5000. Fornece informações sobre o uso do módulo 1756-CNB em sistemas de controle Logix5000. Fornece informações sobre estimativa do tempo de execução e uso de memória pelas instruções. Fornece informações sobre como usar o utilitário de importação/ exportação do RSLogix É possível consultar ou fazer o download de publicações em Para solicitar cópias impressas da documentação técnica, entre em contato com seu distribuidor ou representante de vendas Rockwell Automation local. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

12 Prefácio Observações: 12 Publicação 1756-RM093F-PT-P Janeiro 2010

13 Capítulo 1 Conceito de nível de integridade de segurança (SIL) Introdução Este capítulo apresenta o conceito de SIL (Safety Integrity Level, nível de integridade da segurança) e como o Controlador GuardLogix atende às especificações da certificação SIL 3. Tópico Página Certificação SIL 3 13 Testes de verificação funcional 14 Arquitetura GuardLogix para aplicações SIL 3 15 Componentes do sistema GuardLogix 17 Certificações GuardLogix 19 Especificações de PFD e de PFH do GuardLogix 20 Distribuição e peso em conformidade com o nível de integridade 21 de segurança (SIL) Tempo de reação do sistema 22 Período da tarefa de segurança e watchdog da tarefa 23 de segurança Informações de contato se ocorrer uma falha do equipamento 23 Certificação SIL 3 Os sistemas controladores GuardLogix 1756 e 1768 são do tipo aprovados e certificados para uso em aplicações de segurança até e incluindo o SIL 3 segundo aplicações de segurança IEC e IEC 62061, e incluem Nível de Desempenho PLe (Categoria 4) segundo ISO Os requisitos de SIL são baseados em padrões vigentes no momento da certificação. IMPORTANTE Quando o controlador GuardLogix estiver no modo de operação ou de programação e a aplicação não tiver sido validada pelo usuário, ele será responsável pela manutenção das condições de segurança. Além disso, as tarefas padrão dentro dos controladores 1756 GuardLogix podem ser usadas em aplicações padrão ou em aplicações de segurança SIL-2 conforme descrito no Using ControlLogix in SIL 2 Applications Reference Manual, publicação 1756-RM001. Em ambos os casos, não use SIL-2 ou tarefas padrão e variáveis para construir malhas de segurança de um nível mais alto. A Tarefa de Segurança é a única tarefa certificada para aplicações SIL3. Atarefa padrão nos controladores 1768 Compact GuardLogix não pode ser usada nas aplicações de segurança SIL 2. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

14 Capítulo 1 Conceito de nível de integridade de segurança (SIL) O software de programação RSLogix 5000 é necessário para criar programas para controladores GuardLogix 1756 e O TÜV Rheinland aprovou os sistemas do controlador GuardLogix para uso em aplicações relacionadas à segurança, até o SIL 3 nas quais o estado desenergizado é considerado como o estado seguro. Todos os exemplos relacionados à E/S incluídos neste manual são baseados em atingir a desenergização como o estado seguro para sistemas ESD (Machine Safety and Emergency Shutdown, segurança da máquina e encerramento de emergência) típicos. IMPORTANTE O usuário do sistema é responsável: pela configuração, classificação de SIL e validação de sensores ou atuadores conectados ao sistema GuardLogix. pela gestão do projeto e testes funcionais. pelo controle de acesso ao sistema de segurança, incluindo o manuseio de senhas. pela programação do software de aplicação e das configurações do equipamento de acordo com as informações deste manual de referência de segurança e do GuardLogix Controllers User Manual, publicação 1756-UM020, ou do 1768 Compact GuardLogix Controllers User Manual, publicação 1768-UM002. Ao aplicar a Segurança Funcional, restrinja o acesso ao pessoal autorizado, qualificado, treinado e experiente. A função de trava de segurança, com senhas, é fornecida no software RSLogix Para obter informações sobre o uso da funcionalidade da trava de segurança, consulte o GuardLogix Controllers User Manual, publicação 1756-UM020 ou o GuardLogix Controllers User Manual, publicação 1768-UM002. Testes de verificação funcional O IEC exige que o usuário execute vários testes de verificação funcional do equipamento usado no sistema. Os testes de verificação funcional são executados em horas definidas pelo usuário. Por exemplo, os intervalos dos testes de verificação funcional podem ocorrer uma vez por ano, uma vez a cada quinze anos ou qualquer outro intervalo apropriado. Os controladores GuardLogix têm um intervalo de teste de verificação funcional de até 20 anos. Outros componentes do sistema como Módulos de Segurança E/S, sensores, e atuadores podem ter um intervalo de teste de verificação funcional menor. O controlador deve ser incluído no teste de verificação funcional dos outros componentes no sistema de segurança. IMPORTANTE Suas aplicações específicas determinam o intervalo do teste de verificação funcional. No entanto, esse intervalo está relacionado principalmente aos módulos de E/S de segurança e à instrumentação de campo. 14 Publicação 1756-RM093F-PT-P Janeiro 2010

15 Conceito de nível de integridade de segurança (SIL) Capítulo 1 Para obter mais informações sobre as especificações de um teste de verificação funcional, consulte Teste de verificação do projeto nas páginas 61 e 62. Arquitetura GuardLogix para aplicações SIL 3 A ilustração a seguir mostra uma função SIL típica, incluindo: a função de segurança geral a parte do GuardLogix da função de segurança geral como outros dispositivos (por exemplo, a IHM) estão conectados ao serem operados fora da função. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

16 Capítulo 1 Conceito de nível de integridade de segurança (SIL) Para Ethernet em toda a fábrica Função SIL típica Software de programação IHM acesso somente leitura aos tags de segurança Chave Função de segurança geral Sistema GuardLogix SIL 3 Módulo de E/S CIP Safety 1756-L6xS 1756-LSP 1756-ENBT 1756-DNB Rede DeviceNet Safety Atuador Sensor Módulo de E/S CIP Safety em rede Ethernet Módulo de E/S CIP Safety Atuador Sensor CIP Safety Módulo de E/S CIP Safety em rede Ethernet Controlador GuardLogix compacto com módulo 1768-ENBT Atuador Sensor Sistema GuardLogix SIL 3 compacto 16 Publicação 1756-RM093F-PT-P Janeiro 2010

17 Conceito de nível de integridade de segurança (SIL) Capítulo 1 Componentes do sistema GuardLogix As tabelas nesta seção relacionam os componentes GuardLogix certificados por SIL 3 para os sistemas 1756 e 1768 e os componentes não certificados por SIL 3 que podem ser usados com os sistemas GuardLogix SIL 3. Componentes GuardLogix certificados para SIL-3 Tipo de Dispositivo Cód. Cat. Descrição 1756 Controlador primário (ControlLogix556xS) Parceiro de Segurança 1756 (ControlLogix55SP) Controlador GuardLogix Compacto 1768 (CompactLogix4xS) Módulos de E/S CIP Safety em redes DeviceNet Módulos de E/S CIP Safety em redes EtherNet/IP 1756-L61S 1756-L62S 1756-L62S 1756-LSP Para obter as listas mais atuais das séries e das revisões de firmware do controlador GuardLogix e dos módulos certificados de E/S CIP Safety, consulte products/certification/safety/. As revisões de firmware estão disponíveis no endereço ControlFlash/. Controlador com 2 MB padrão, 1 MB de memória de segurança Controlador com 4 MB padrão, 1 MB de memória de segurança Controlador com 8 MB padrão, 3,75 MB de memória de segurança Parceiro de Segurança Documentação relacionada (1) Instruções de instalação 1756-IN045 Manual do usuário 1756-UM L43S Controlador com suporte para dois módulos IN UM L45S Controlador com suporte para quatro módulos 1768 Para obter uma lista mais atualizada das séries e revisões de firmware, consulte o certificado de segurança em (1) Essas publicações estão disponíveis no site da Rockwell Automation em DS-IN DS-IN DS-IN ES-IN DS-UM ES-UM001 Componentes adequados para utilização com os sistemas de segurança do controlador GuardLogix 1768 compacto Tipo de dispositivo Cód. cat. Descrição Fonte de Alimentação Módulos de comunicação 1768-PA3 Fonte de alimentação, CA não aplicável 1768-PB3 Fonte de alimentação, CC não aplicável Série (1) Versão (1) não aplicável não aplicável Documentação relacionada (2) Instruções de instalação 1768-IN001 Manual do usuário Não disponível 1768-ENBT Módulo Ponte EtherNet/IP A IN002 ENET-UM AENT Módulo adaptador POINT I/O Ethernet A IN UM AENTR Módulo adaptador POINT I/O A IN040 Não disponível. Ethernet 1768-CNB Módulo ponte ControlNet A IN006 CNET-UM001 Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

18 Capítulo 1 Conceito de nível de integridade de segurança (SIL) Componentes adequados para utilização com os sistemas de segurança do controlador GuardLogix 1768 compacto Tipo de dispositivo Cód. cat. Descrição Software de Programação Cartões CompactFlash 9324-xxxx Software RSLogix 5000 não aplicável 1784-CF64 Cartão CompactFlash de 64MB não aplicável 1784-CF64 Cartão CompactFlash de 128 MB não aplicável Série (1) Versão (1) 18 não aplicável Consulte a ajuda on-line não aplicável não aplicável (1) Esta versão ou posterior (2) Essas publicações estão disponíveis na Rockwell Automation, visite Documentação relacionada (2) Instruções de instalação não aplicável não aplicável Componentes adequados para utilização com os sistemas de segurança do controlador GuardLogix 1756 Tipo de dispositivo Cód. cat. Descrição Rack Fonte de Alimentação Módulos de Comunicação Software de Programação Cartões CompactFlash 1756-A4, A7, A10, A13, A17 Série (2) Versão (2) Rack B não aplicável 1756-PA72 Fonte de alimentação, CA C não aplicável 1756-PB72 Fonte de alimentação, CC C não aplicável 1756-PA75 Fonte de alimentação, CA B não aplicável 1756-PB75 Fonte de alimentação, CC B não aplicável 1756-PA75R (1) 1756-PB75R 1756-ENBT 1756-EN2T 1756-EN2F 1734-AENT Fonte de alimentação redundante, CA Fonte de alimentação redundante, CC Módulo Ponte EtherNet/IP POINT I/O Módulo adaptador Ethernet A A A A A não aplicável não aplicável 3,6 2,005 2,005 Manual do usuário não disponível não disponível Documentação relacionada (4) Instruções de instalação 1756-IN IN IN IN IN IN606 Manual do usuário Não disponível. ENET-UM001 A IN UM DNB Módulo Ponte DeviceNet A IN566 DNET-UM CN2 Módulo ponte ControlNet A IN602 CNET-UM CN2R Módulo ponte ControlNet, mídia redundante 9324-xxxx Software RSLogix 5000 não aplicável 1784-CF CF64 Cartão CompactFlash de 64MB Cartão CompactFlash de 128 MB A IN602 CNET-UM001 não aplicável não aplicável 14 (3) não aplicável Consulte a ajuda on-line não aplicável não aplicável não aplicável não aplicável não disponível não disponível (1) Um adaptador de rack de fonte de alimentação redundante 1756-PSCA ou 1756-PSCAR é necessário para uso com fontes de alimentação redundante. (2) Esta versão ou posterior. (3) Software RSLogix 5000, versão 15, não suporta controladores de segurança GuardLogix. (4) Essas publicações estão disponíveis no site da Rockwell Automation em 18 Publicação 1756-RM093F-PT-P Janeiro 2010

19 Conceito de nível de integridade de segurança (SIL) Capítulo 1 Os slots de um rack de sistema SIL 3 não usados pelo sistema SIL podem ser preenchidos por outros módulos ControlLogix (1756) certificados para baixa tensão e diretivas EMC. Os slots de expansão de um barramento de sistema SIL 3 não usados pelo sistema SIL 1768 podem ser preenchidos por outros módulos CompactLogix (1768) certificados para baixa tensão e diretivas EMC. Para obter os certificados de Controle programável família de produtos ControlLogix e Controle programável família de produtos CompactLogix, consulte Certificações GuardLogix Esta tabela contém as principais certificações da GuardLogix. Para obter uma lista completa das certificações de segurança atuais e seus produtos relacionados, consulte certification/safety/index.html. Código do catálogo UL L61S,1756-L62S, 1756-L63S X X X X X X X X 1768-L43S, 1768-L45S X X X X X X X X UL 1998 ANSI RIA NFPA 79 ISO :2006 (PLe) IEC (SIL 3) IEC IEC62061 Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

20 Capítulo 1 Conceito de nível de integridade de segurança (SIL) Normalmente, a documentação do usuário do GuardLogix lista as certificações em que os produtos estão aprovados. Se um produto tiver conseguido uma certificação da agência, ele é marcado como tal na rotulação do produto. As certificações do produto são listadas na tabela de especificações do produto, conforme mostrado no exemplo abaixo Certificação Segurança Funcional (1) c-ul-us CSA FM Descrição Certificado por TÜV: capacidade de SIL 1 a 3, segundo IEC 61508, e PLe/Cat. 4 segundo ISO Certificado por UL: capacidade de SIL 3, consulte UL File E Controle de Equipamento Industrial Listado UL, certificado para EUA e Canadá. Consulte UL arquivo E UL Listado para Classe I, Divisão 2 Grupo A, B, C, D Locais de risco, certificado para EUA e Canadá. Consulte UL arquivo E Processo Certificado CSA de Controle de Equipamento. Consulte o arquivo CSA LR54689C. Processo Certificado CSA de Controle de Equipamento para Classe I, Divisão 2 Grupo A, B, C, D. Locais de risco. Equipamento Aprovado pela FM para uso em Locais de risco Classe I Divisão 2 Grupo A, B, C, D. CE Diretriz EMC 2004/108/EC da União Europeia, compatível com: EN ; Emissões Industriais EN ; Especificações Industriais Meas./Control/Lab EN ; Imunidade Industrial EN954-2 Controladores Programáveis (Cláusula 8, Zona A & B) C-Tick Lei Australiana de Radiocomunicações, compatível com: AS/NZS CISPR 11; Emissões Industriais (1) Quando utilizado com as versões de software especificadas e conforme descrito no GuardLogix Controller Systems Safety Reference Manual, publicação 1756-RM093. Consulte a Certificação do Produto no link para obter as Declarações de Conformidade, os Certificados e outros detalhes de certificação. Especificações de PFD e de PFH do GuardLogix Os sistemas de segurança podem ser classificados como sistemas que funcionam no modo de poucas solicitações ou no modo contínuo/de muitas solicitações. O IEC quantifica essa classificação determinando que a frequência das demandas pelo funcionamento do sistema de segurança não é maior do que uma vez por ano no modo de poucas solicitações ou é maior do que uma vez por ano no modo contínuo/de muitas solicitações. O valor do Safety Integrity Level (SIL) de um sistema de segurança de poucas solicitações está diretamente relacionado às faixas de ordem de grandeza da probabilidade média de falha relacionada à execução satisfatória da função de segurança sob solicitação ou, simplesmente, à probabilidade de falha sob solicitação (PFD). O valor de SIL para um sistema de segurança de modo contínuo/de muitas solicitações está diretamente relacionado à probabilidade da ocorrência de uma falha perigosa por hora (PFH). 20 Publicação 1756-RM093F-PT-P Janeiro 2010

21 Conceito de nível de integridade de segurança (SIL) Capítulo 1 Os valores de PFD e PFH estão associados a cada um dos três principais elementos que constituem o sistema relacionado à segurança (os sensores, o elemento de lógica e atuadores). Dentro do elemento de lógica, você também encontra elementos de entrada, do processador e de saída. Para obter os valores de PFD e PFH e os intervalos do teste (prova) de verificação funcional dos módulos de E/S CIP Safety, consulte Apêndice E, Dados de probabilidade de falha sob solicitação (PFD) e de probabilidade de falha por hora (PFH). 1791DS-IB12 Exemplo de PFH Sensor Controlador GuardLogix MALHA DS-IB4XOX4 Atuador Sensor MALHA 2 Atuador Sensor 1791DS-IB8XOB8 Para determinar o PFH do elemento lógico de cada malha de segurança no exemplo de sistema simples mostrado no Exemplo de PFH, some os valores de PFH de cada componente na malha. A tabela Equações de PFH por malha de segurança fornece um exemplo simplificado de cálculos de valor de PFH para cada malha de segurança mostrada na ilustração Exemplo PFH. Equações de PFH por malha de segurança Para esta malha Some os valores PFH destes componentes PFH total da malha 1 = 1791DS-IB12 + controlador GuardLogix DS-IB4XOX4 PFH total da malha 2 = 1791DS-IB8XOB8 + controlador GuardLogix DS-IB4XOX4 Ao calcular os valores de PFH, você deve considerar os requisitos específicos da sua aplicação, incluindo os intervalos de teste. Distribuição e peso em conformidade com o nível de integridade de segurança (SIL) O controlador GuardLogix e o sistema de E/S podem ser considerados, de forma conservadora, responsáveis por 10% da carga de confiabilidade. Um sistema SIL 3 pode precisar incorporar várias entradas para sensores críticos e dispositivos de entrada, além de saídas duplas conectadas em série a atuadores duplos dependentes de avaliações de SIL para o sistema relacionado à segurança. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

22 Capítulo 1 Conceito de nível de integridade de segurança (SIL) Carga de Confiabilidade 10% do PFD +V 40% do PFD Sensor Sensor Módulo de entrada Controlador Módulo de saída Atuador Atuador 50% do PFD Tempo de reação do sistema O tempo de reação do sistema é a quantidade de tempo desde um evento relacionado à segurança como uma entrada no sistema até as saídas correspondentes ao estado seguro serem definidas pelo sistema. As falhas no sistema também devem ter um efeito no tempo de reação do sistema. O tempo de reação do sistema é a soma dos seguintes tempos de reação: Tempo de reação do sensor Tempo de reação da entrada Tempo de reação da tarefa de segurança Tempo de reação da saída Tempo de reação do atuador Cada um dos tempos de reação listados acima é dependente de forma variável do tipo de módulo de E/S e das instruções usadas no programa. Tempo de reação da tarefa de segurança O Tempo de Reação da Tarefa de Segurança é o pior caso de atraso de qualquer alteração na entrada apresentada ao controlador até que a saída processada seja definida pelo produtor da saída. É inferior ou igual à soma do Período da Tarefa de Segurança e do Watchdog da Tarefa de Segurança. 22 Publicação 1756-RM093F-PT-P Janeiro 2010

23 Conceito de nível de integridade de segurança (SIL) Capítulo 1 Período da tarefa de segurança e watchdog da tarefa de segurança O período da tarefa de segurança é o intervalo no qual a tarefa de segurança é executada. O tempo do Watchdog da Tarefa de Segurança é o tempo máximo permitido para o processamento da Tarefa de Segurança. Se o tempo de processamento da tarefa de segurança ultrapassar o tempo do watchdog da tarefa de segurança, uma falha de segurança não recuperável ocorrerá no controlador e as saídas serão transicionadas para o estado seguro (desligado) automaticamente. Você define o watchdog da tarefa de segurança que deve ser menor ou igual ao período da tarefa de segurança. O tempo do Watchdog da Tarefa de Segurança é definido na janela de propriedades do software RSLogix Esse valor pode ser modificado on-line independentemente do modo do controlador, mas não pode ser alterado quando o controlador estiver travado por segurança ou uma vez que uma assinatura de segurança for criada. Informações de contato se ocorrer uma falha do equipamento Se ocorrer uma falha em qualquer dispositivo certificado por SIL 3, entre em contato com o distribuidor local da Rockwell Automation. Por meio desse contato, você pode: devolver o dispositivo para a Rockwell Automation para que a falha seja apropriadamente armazenada no código de catálogo afetado e registrada. solicitar uma análise da falha (se necessário) para tentar determinar a causa da falha. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

24 Capítulo 1 Conceito de nível de integridade de segurança (SIL) Observações: 24 Publicação 1756-RM093F-PT-P Janeiro 2010

25 Capítulo 2 Sistema do controlador GuardLogix Introdução Tópico Página Hardware do Controlador GuardLogix Hardware do Controlador Compacto GuardLogix Protocolo CIP Safety 27 E/S de segurança 27 Pontes de comunicação 28 Características gerais de programação 30 Para obter uma lista resumida dos componentes adequados para o uso no Nível de Integridade de Segurança (SIL) 3, consulte a tabela na página 17. Para obter informações detalhadas e atualizadas consulte o endereço safety/. Ao instalar um controlador GuardLogix, siga as informações em GuardLogix Controllers Installation Instructions, publicação 1756-IN045, ou CompactLogix Controllers Installation Instructions, publicação 1768-IN004. Hardware do Controlador GuardLogix 1756 O controlador GuardLogix consiste em um controlador principal, código de catálogo 1756-L61S, 1756-L62S, ou 1756-L63S e um parceiro de segurança, código de catálogo 1756-LSP. Esses dois módulos trabalham em uma arquitetura 1oo2 para criar o controlador capacitado para SIL 3. Eles serão descritos nas próximas seções. Tanto o Controlador Primário quanto o Parceiro de Segurança executam testes de diagnóstico funcional de energização e de tempo de execução de todos os componentes de segurança no controlador. Ambos possuem indicadores do status. Para obter detalhes sobre a operação do indicador de status, consulte o GuardLogix Controllers User Manual, publicação 1756-UM020. IMPORTANTE Os indicadores de Status não são indicadores confiáveis para funções de segurança. Eles devem ser usados apenas para diagnósticos gerais durante o comissionamento ou a solução de problemas. Não tente usar os indicadores de status para determinar o status de operação. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

26 Capítulo 2 Sistema do controlador GuardLogix Controlador primário O controlador principal é o processador que executa as funções de controle padrão e de segurança e que se comunica com o parceiro de segurança para executar funções de segurança no sistema de controle GuardLogix. O controlador principal consiste em um processador central, uma interface de E/S e uma memória. Parceiro de segurança Para satisfazer os requisitos de SIL 3, um parceiro de segurança, número de catálogo 1756-LSP, deve ser instalado no slot imediatamente à direita do controlador principal. O Parceiro de Segurança é um coprocessador que fornece redundância para funções de segurança no sistema. O Parceiro de Segurança é configurado pelo Controlador Primário. É necessário apenas um download do programa de usuário para o controlador primário. O modo de funcionamento do Parceiro de Segurança é controlado pelo Controlador Primário. Rack O rack 1756-Axx fornece as conexões físicas entre os módulos e o sistema GuardLogix Qualquer falha, apesar de pouco provável, seria detectada como uma falha por um ou mais componentes ativos do sistema. Por isso, o rack não é relevante para a discussão da segurança. Fontes de alimentação Essas fontes de alimentação ControlLogix são adequadas para uso em aplicações SIL 3. Fonte de alimentação de CA 1756-PA72 Fonte de alimentação de CA 1756-PA75 Fonte de alimentação de CC 1756-PB72 Fonte de alimentação de CC 1756-PB75 Fonte de alimentação de CA (redundante) 1756-PA75R Fonte de alimentação de CC (redundante) 1756-PB75R Adaptador de rack de fonte de alimentação redundante 1756-PSCA ou 1756-PSCA2 (necessário para uso com fontes de alimentação redundantes) 26 Publicação 1756-RM093F-PT-P Janeiro 2010

27 Sistema do controlador GuardLogix Capítulo 2 Nenhuma outra configuração ou fiação é necessária para a operação do SIL 3 das fontes de alimentação ControlLogix. Qualquer falha seria detectada como uma falha por um ou mais componentes ativos do sistema GuardLogix. Por isso, a fonte de alimentação não é relevante para a discussão da segurança. Hardware do Controlador Compacto GuardLogix 1768 Os Controladores 1768 GuardLogix Compactos combinam controladores primários e de parceiros de segurança em um único pacote de hardware para o controlador capacitado SIL-3. Os controladores GuardLogix Compactos apresentam backplanes 1768 e 1769 para suportar os módulos de E/S Controlador Máximo de módulos 1768 (local) 1768-L43S L45S 4 30 Máximo de módulos de E/S 1769 (local e remoto) O Controlador Compacto GuardLogix 1768 possui uma fonte de alimentação 1768-PA3 ou 1768-PB3. A terminação 1769-ECR também é necessária. Protocolo CIP Safety A comunicação relacionada à segurança entre controladores GuardLogix ocorre por meio de tags de segurança produzidos e consumidos. Esses tags de segurança usam o protocolo CIP Safety, que é designado para preservar a integridade dos dados durante a comunicação. Para obter mais informações sobre tags de segurança, consulte Capítulo 5, Características de tags de segurança, da tarefa de segurança e dos programas de segurança. E/S de segurança Para obter mais importações sobre os módulos E/S CIP Safety para utilização com os controladores GuardLogix, consulte Capítulo 3. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

28 Capítulo 2 Sistema do controlador GuardLogix Pontes de comunicação Os seguintes módulos de interface de comunicação estão disponíveis para facilitar a comunicação sobre redes Ethernet/IP, DeviceNet e ControlNet por meio do protocolo CIP Safety. Sistema GuardLogix Módulos de comunicação 1756 Módulo ponte 1756-ENBT, 1756-EN2T ou 1756-EN2F EtherNet/IP Adaptador 1734-AENT POINT I/O Ethernet Módulo ponte 1756-DNB DeviceNet Módulo ponte 1756-CN2 ControlNet Módulo ponte redundante 1756-CN2R ControlNet ENBT Adaptador 1734-AENT POINT I/O Ethernet 1768-CNB 1768-CNBR IMPORTANTE Devido ao projeto do sistema de controle CIP Safety, os dispositivos de ponte de CIP Safety, como os listados na tabela, não precisam ser certificados para SIL 3. Rede EtherNet/IP A Comunicação de segurança peer-to-peer entre controladores GuardLogix é possível por meio da rede EtherNet/IP com o uso de módulos de ponte 1756-ENBT, 1756-EN2T ou 1768-ENBT. Um módulo de ponte EtherNet/IP permite que o controlador GuardLogix controle e troque dados de segurança com os módulos E/S CIP Safety em uma rede EtherNet/IP. Comunicação peer to peer por meio dos módulos 1756-ENBT e da rede EtherNet/IP Chave EtherNet Rede EtherNet/IP Rede EtherNet/IP 1768-PB ENBT 1768-L43S 1769-ECR Módulo de E/S CIP Safety Módulo de E/S CIP Safety 1756-L62S 1756-LSP 1756-DNB 1756-ENBT Controlador B Controlador A Módulo de E/S CIP Safety Módulo de E/S CIP Safety Rede DeviceNet 28 Publicação 1756-RM093F-PT-P Janeiro 2010

29 Sistema do controlador GuardLogix Capítulo 2 DICA A comunicação de segurança peer-to-peer entre dois controladores GuardLogix 1756 no mesmo rack também é possível por meio do backplane. Backplane Rede DeviceNet Safety O módulo ponte 1756-DNB DeviceNet permite que o controlador GuardLogix 1756 controle e troque dados de segurança com módulos de E/S CIP Safety em uma rede DeviceNet. Comunicação DeviceNet através de um módulo 1756-DNB 1756-L62S 1756-LSP 1756-DNB 1756-L62S 1756-LSP 1756-L62S 1756-LSP Rede DeviceNet Módulo de E/S CIP Safety Módulo de E/S CIP Safety Rede ControlNet O módulo 1756-CN2 ou 1768-CNB permite que o controlador GuardLogix produza e consuma tags de segurança nas redes ControlNet para outros processadores GuardLogix ou redes de E/S remota CIP Safety. Rede ControlNet Controlador A 1768-PB CNB 1768-L43S 1769-IA ECR 1756-OB IB DNB 1756-CN2 Controlador B Módulo de E/S CIP Safety Rede DeviceNet Módulo de E/S CIP Safety Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

30 Capítulo 2 Sistema do controlador GuardLogix Características gerais de programação O software de programação do controlador GuardLogix é o software RSLogix O software RSLogix 5000 é usado para definir o local, a propriedade e a configuração de módulos de E/S e de controladores. O software também é usado para criar, testar e depurar a lógica da aplicação. Inicialmente, apenas a lógica ladder de relé tem suporte na Tarefa de Segurança GuardLogix. Consulte o Apêndice A para obter informações sobre o conjunto de instruções lógicas disponíveis sobre os aplicativos de segurança. O pessoal autorizado pode alterar um programa da aplicação, mas apenas usando um dos processadores descritos em Edição on-line na página Publicação 1756-RM093F-PT-P Janeiro 2010

31 Capítulo 3 E/S CIP Safety para o sistema de controle GuardLogix Introdução Tópico Página Características gerais 31 Funções de segurança típicas dos módulos de E/S CIP Safety 31 Tempo de reação 32 Considerações de segurança para os módulos E/S CIP Safety 33 Características gerais Antes de operar um sistema de segurança GuardLogix que contém um módulo E/S CIP Safety, você deve ler, compreender e seguir as informações de instalação, de operação e de segurança fornecidas nas publicações listadas nas tabelas Componentes GuardLogix certificados para SIL-3 da página 17. Os módulos de E/S CIP Safety podem ser conectados a dispositivos de entrada e de saída de segurança, permitindo que esses dispositivos sejam monitorados e controlados pelo controlador GuardLogix. Para dados de segurança, a comunicação E/S é feita por meio de conexões seguras usando o protocolo CIP Safety;a lógica de segurança é processada no controlador GuardLogix. Funções de segurança típicas dos módulos de E/S CIP Safety A seguir, o estado seguro pelos módulos de E/S CIP Safety: Saídas de segurança: OFF Dados de entrada de segurança para o controlador: OFF Rede CIP Safety Status da segurança Saída de segurança, desenergizada Dados de entrada de segurança Os módulos de E/S CIP Safety devem ser usados por aplicações que estiverem no estado seguro quando a saída de segurança for desenergizada. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

32 Capítulo 3 E/S CIP Safety para o sistema de controle GuardLogix Diagnósticos Os módulos de E/S CIP Safety executam autodiagnósticos quando a alimentação é ligada e periodicamente durante a operação. Caso um diagnóstico de falha seja detectado, os dados de entrada de segurança (para o controlador) e as saídas de segurança serão definidas para o estado seguro (OFF). Dados de status Além de dados de entrada e de saída de segurança, alguns módulos de E/S CIP Safety apresentam dados de status para monitorar os circuitos de E/S. Consulte sua documentação de módulo de produto das capacidades específicas do produto. Indicadores de status Os módulos de E/S CIP Safety possuem indicadores de status. Para obter detalhes sobre a operação dos indicadores de status, consulte a documentação do produto do módulo específico. Função atraso na energização ou atraso na desenergização Alguns módulos de E/S CIP Safety podem suportar funções de atraso na energização e de atraso na desenergização para sinais de entrada. Dependendo da sua aplicação, você pode precisar incluir o atraso na desenergização, atraso na desenergização ou ambos quando calcular o tempo de reação do sistema. Consulte o Apêndice C para obter informações sobre o tempo de reação do sistema. Tempo de reação O tempo de reação da entrada é o período desde quando o sinal muda em um terminal de entrada até quando os dados de segurança são enviados para o controlador GuardLogix. O tempo de reação da saída é o período desde que os dados de segurança são recebidos do controlador GuardLogix até o terminal de saída mudar de estado. 32 Publicação 1756-RM093F-PT-P Janeiro 2010

33 E/S CIP Safety para o sistema de controle GuardLogix Capítulo 3 Para obter informações sobre como determinar os tempos de reação de entrada e de saída, consulte a documentação do produto do seu módulo de E/S CIP Safety específico. Consulte o Apêndice C para obter informações sobre o tempo de reação do sistema. Considerações de segurança para os módulos E/S CIP Safety Você deve comissionar todos os dispositivos com um nó ou endereço IPe taxa de comunicação, se necessário, antes de sua instalação na rede de segurança. Propriedade Cada módulo de E/S CIP Safety em um sistema GuardLogix é de propriedade de um controlador GuardLogix. Os múltiplos controladores GuardLogix e os módulos de E/S CIP Safety podem ser usados sem restrições em racks ou em redes, conforme necessário. Quando um controlador é proprietário de um módulo de E/S, ele armazena os dados de configuração do módulo, conforme definido pelo usuário. Isto controla a forma como o módulo funciona no sistema. Do ponto de vista de controle, os módulos de saída de segurança podem ser controlados somente por um controlador. Cada módulo de segurança de entrada também é de propriedade de um único controlador; entretanto, os dados de entrada de segurança podem ser compartilhados (consumidos) por vários controladores GuardLogix. Assinatura da configuração da E/S de segurança A assinatura de configuração define a configuração do módulo. Ela pode ser lida e monitorada. A assinatura de configuração é usada para identificar exclusivamente a configuração de um módulo. Ao usar um controlador GuardLogix, você não precisará monitorar esta assinatura. Ela é monitorada automaticamente pelo controlador GuardLogix. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

34 Capítulo 3 E/S CIP Safety para o sistema de controle GuardLogix Substituição do módulo de E/S A substituição dos dispositivos de segurança exige que o dispositivo de substituição seja configurado adequadamente e que a operação do dispositivo de substituição seja verificada pelo usuário. ATENÇÃO Durante a substituição do teste funcional de um módulo, a segurança do sistema não deve depender de nenhuma parte do módulo afetado. Duas opções para a substituição do módulo E/S estão disponíveis na trava de Segurança na caixa de diálogo das Propriedades do Controlador no software RSLogix 5000: Configurar somente quando não houver nenhuma assinatura de segurança Configurar sempre Opções de substituição de segurança de E/S 34 Publicação 1756-RM093F-PT-P Janeiro 2010

35 E/S CIP Safety para o sistema de controle GuardLogix Capítulo 3 Configurar somente quando não houver nenhuma assinatura de segurança Esta configuração instrui o controlador GuardLogix a configurar um módulo de segurança somente quando a tarefa de segurança não tiver uma assinatura de tarefa de segurança e o módulo de substituição estiver em uma condição padrão, ou seja, o número da rede de segurança não existe na substituição do módulo de segurança. Se tarefa de segurança tiver uma assinatura de tarefa de segurança, o controlador GuardLogix configurará apenas a substituição do módulo E/S CIP Safety se o módulo já tiver o número correto da rede de segurança, a chave eletrônica do módulo estiver correta e o nó ou endereço de IP estiver correto. Configurar sempre O controlador GuardLogix sempre tentará configurar um módulo de E/S CIP Safety de substituição se ele estiver em uma condição padrão, ou seja, em que o número da rede de segurança não existe no módulo de segurança de substituição e o número do nó e a codificação do módulo de E/S corresponda à configuração do controlador. ATENÇÃO Habilite o recurso Configurar sempre apenas se todo o sistema de controle CIP Safety roteável for responsável por manter o comportamento do SIL 3 durante a substituição e o teste funcional de um módulo. Se outras partes do sistema de controle CIP Safety estiverem sendo responsáveis por manter o SIL 3, verifique se o recurso Configurar sempre do controlador foi desabilitado. É sua responsabilidade implementar um processo para garantir que a funcionalidade de segurança apropriada seja mantida durante a substituição do dispositivo. ATENÇÃO Não coloque módulos na condição padrão em nenhuma rede CIP Safety quando a opção Configurar sempre estiver habilitada, exceto durante o procedimento de substituição do módulo no GuardLogix Controllers User Manual, publicação 1756-UM020, ou 1768 Compact GuardLogix Controllers User Manual, publicação em 1768-UM002. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

36 Capítulo 3 E/S CIP Safety para o sistema de controle GuardLogix Observações: 36 Publicação 1756-RM093F-PT-P Janeiro 2010

37 Capítulo 4 CIP Safety e número da rede de segurança Introdução Para entender os requisitos de segurança de um sistema de controle CIP Safety, incluindo o SNN (número da rede de segurança), você deve primeiro compreender como as comunicações são roteáveis nos sistemas de controle CIP. Tópico Página O sistema de controle de CIP Safety roteável 37 Considerações para atribuição do número da rede de segurança 40 (SNN) O sistema de controle de CIP Safety roteável O sistema de controle CIP Safety representa um conjunto de dispositivos CIP Safety interconectados. O sistema roteável representa a extensão potencial do roteamento incorreto de pacotes de um originador para um alvo dentro do sistema de controle CIP Safety. O sistema é isolado de forma que não haja outras conexões no sistema. Por exemplo, como o sistema abaixo não pode ser interconectado com outro sistema CIP Safety através de um backbone de Ethernet maior em toda a fábrica, ele ilustra a extensão de um sistema CIP Safety roteável. Exemplo de sistema CIP Safety Roteador / Firewall (1) Chave Chave 1756-L62S 1756-LSP 1756-DNB 1756-ENBT 1768-PB ENBT 1768-ENBT 1768-L43S 1769-ECR 1756-OB IB DNB 1756-ENBT SmartGuard E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety (1) O roteador ou o firewall é ajustado para limitar o tráfego. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

38 Capítulo 4 CIP Safety e número da rede de segurança Referência de nó exclusivo O protocolo CIP Safety é um protocolo de segurança de nó final a nó final. O protocolo CIP Safety permite o roteamento de mensagens de Segurança CIP pelos dispositivos CIP Safety através de pontes, chaves e roteadores não certificados. Para impedir que erros em pontes, chaves ou roteadores não certificados se tornem perigosos, cada nó final em um sistema de controle CIP Safety roteável deve ter uma referência de nó exclusiva. A referência de nó exclusiva é uma combinação de um SNN e do Endereço de Nó. Número da rede de segurança O Número da Rede de Segurança (SNN) é atribuído por um software ou pelo usuário. Cada rede CIP Safety que consiste de nós de E/S de segurança deve ter pelo menos um SNN exclusivo. Cada rack ControlBus que contenha um ou mais dispositivo de segurança deve ter pelo menos um SNN exclusivo. Os números da rede de segurança atribuídos a cada rede de segurança ou sub-rede da rede devem ser exclusivos. DICA Mais de um SNN pode ser atribuído a uma sub-rede CIP Safety ou a um rack ControlBus que contém mais de um dispositivo de segurança. Entretanto, para simplificar, recomendamos que cada subrede CIP Safety tenha somente um SNN exclusivo. Este também é o caso de cada rack ControlBus. Exemplo CIP Safety com mais de um SNN Roteador/ Firewall Chave Chave 1756-L62S 1756-LSP 1756-DNB 1756-ENBT 1768-PB ENBT 1768-ENBT 1768-L43S 1769-ECR 1756-OB IB DNB SNN_1 SNN_3 SNN_ ENBT SmartGuard E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety E/S CIP Safety SNN_2 SNN_4 SNN_6 E/S CIP Safety SNN_7 38 Publicação 1756-RM093F-PT-P Janeiro 2010

39 CIP Safety e número da rede de segurança Capítulo 4 Cada dispositivo CIP Safety deve ser configurado com um SNN. Qualquer dispositivo que originar uma conexão de segurança com outro dispositivo de segurança deverá ser configurado com o SNN do dispositivo alvo. Se o sistema CIP Safety estiver no processo de inicialização antes do teste de segurança funcional do sistema, o dispositivo originário poderá ser usado para definir a referência de nó exclusivo no dispositivo. O SNN usado pelo sistema é um número hexadecimal de seis bytes. O SNN pode ser definido e exibido em um destes dois formatos: baseado em tempo ou manual. Quando o formato baseado em tempo for selecionado, o SNN representará uma data e hora localizadas. Quando o formato manual for selecionado, o SNN representará um tipo de rede e um valor decimal de 1 a Formatos de SNN A atribuição de um SNN baseado em tempo é automática durante a criação de um novo projeto do Controlador de Segurança GuardLogix e a adição de novos Módulos de E/S de segurança. A manipulação de um SNN é obrigatória nas seguintes situações: Se tags de segurança consumidos forem usados. Se o projeto for consumir dados de entrada de segurança de um módulo cuja configuração é de propriedade de outro dispositivo de segurança. Se um projeto de segurança for copiado para uma instalação de hardware diferente dentro do mesmo sistema CIP Safety roteável. IMPORTANTE Se você atribuir um SNN manualmente, certifique-se de que a expansão do sistema não resulte na duplicação das combinações de SNN e do endereço de nó. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

40 Capítulo 4 CIP Safety e número da rede de segurança Considerações para atribuição do número da rede de segurança (SNN) A atribuição do SNN é dependente de fatores que incluem a configuração do controlador ou do módulo de E/S CIP Safety. Número de rede de segurança (SNN) para tags de segurança consumidos Quando um controlador de segurança que contém tags de segurança produzidos é adicionado à árvore de Configuração de E/S, o SNN do controlador de produção deve ser inserido. O SNN pode ser copiado do projeto do controlador de produção e colado no novo controlador que estiver sendo adicionado à árvore de Configuração de E/S. Consulte o GuardLogix Controllers User Manual, publicação 1756-UM020 ou o 1768 Compact GuardLogix Controllers User Manual, publicação 1768-UM002, para obter informações sobre como copiar e colar um SNN. Número de segurança da rede (SNN) para módulos padrão Os módulos de E/S CIP Safety padrão não têm um SNN. O SNN é definido quando uma configuração é enviada para o módulo pelo controlador GuardLogix que possui o módulo. IMPORTANTE Para adicionar um módulo de E/S CIP Safety a um sistema GuardLogix configurado (o SNN está presente no controlador GuardLogix), a substituição do módulo CIP Safety deve ter o SNN correto aplicado antes de ser adicionada à rede CIP Safety. Número da rede de segurança (SNN) para módulo de segurança com um proprietário de configuração diferente Quando um módulo de E/S CIP Safety pertencer a um controlador GuardLogix diferente (controlador B) e for adicionado a outro projeto GuardLogix (projeto do controlador A), o software RSLogix 5000 atribuirá o SNN baseado no projeto atual. Como o projeto atual (projeto do controlador A) não é o proprietário real da configuração, você precisa copiar o SNN original (projeto do controlador B) na configuração do projeto do controlador A. É mais fácil fazer isso com os comandos copiar e colar. O resultado é que o módulo de E/S CIP Safety produzirá dados para os dois controladores GuardLogix ao mesmo tempo. Você pode fazer isso em no máximo 16 controladores. 40 Publicação 1756-RM093F-PT-P Janeiro 2010

41 CIP Safety e número da rede de segurança Capítulo 4 Consulte o GuardLogix Controllers User Manual, publicação 1756-UM020 ou o 1768 Compact GuardLogix Controllers User Manual, publicação 1768-UM002, para obter informações sobre como alterar, copiar e colar um SNN. Número da rede de segurança (SNN) ao copiar um projeto de segurança ATENÇÃO Se um projeto de segurança for copiado para uso em outro projeto com um hardware diferente ou em um local físico diferente e o novo projeto estiver dentro do mesmo sistema CIP Safety roteável, todos os SNNs deverão ser alterados no segundo sistema. Os valores do SNN não devem ser repetidos. Consulte o GuardLogix Controllers User Manual, publicação 1756-UM020 ou o 1768 Compact GuardLogix Controllers User Manual, publicação 1768-UM002, para obter informações sobre como alterar um SNN. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

42 Capítulo 4 CIP Safety e número da rede de segurança Observações: 42 Publicação 1756-RM093F-PT-P Janeiro 2010

43 Capítulo 5 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Introdução Este capítulo explica como usar os componentes padrão e de segurança do sistema GuardLogix. Tópico Página Diferenças entre padrão e segurança 43 Aplicações de segurança SIL 2 44 Segurança SIL3 a tarefa de segurança 50 Programas de segurança 52 Rotinas de segurança 52 Tags de segurança 53 Recursos adicionais 55 Diferenças entre padrão e segurança Por ser um controlador da série Logix, tanto os componentes padrão (não relacionados à segurança) quanto os relacionados à segurança podem ser usados no sistema de controle GuardLogix. É possível desempenhar um controle de automação padrão das tarefas padrão dentro de um projeto GuardLogix. Os controladores 1756 GuardLogix oferecem a mesma funcionalidade que os outros controladores da série 1756 ControlLogix. O controlador 1768 Compact GuardLogix oferece a mesma funcionalidade que outros controladores 1768-L4x CompactLogix. O que diferencia os controladores GuardLogix 1756 e 1768 dos controladores padrão é que eles oferecem uma tarefa de segurança com capacidade SIL 3. No entanto, é necessária uma distinção lógica e visível entre as partes padrão e as partes relacionadas à segurança da aplicação. O software RSLogix 5000 oferece essa diferenciação por meio da tarefa de segurança, dos programas de segurança, das rotinas de segurança, das tags de segurança e dos módulos de E/S de segurança. É possível implementar os níveis SIL 2 e SIL 3 do controle de segurança com a tarefa de segurança do controlador GuardLogix. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

44 Capítulo 5 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Aplicações de segurança SIL 2 É possível realizar o controle de segurança SIL 2 usando a tarefa de segurança dos controladores 1756 ou 1768 GuardLogix. Como os controladores 1756 GuardLogix fazem parte da série de controladores ControlLogix, você pode realizar o controle de segurança SIL 2 com um controlador 1756 GuardLogix usando tarefas padrão ou tarefas de segurança. Esse recurso oferece opções de controle de segurança únicas e versáteis, visto que a maior parte das aplicações tem uma porcentagem mais alta de funções de segurança da SIL 2 do que funções de segurança da SIL 3. Controle de segurança SIL 2 na tarefa de segurança As tarefas de segurança GuardLogix 1756 e 1768 podem ser usadas para fornecer as funções SIL 2 e SIL 3. Se as funções de segurança SIL 3 precisarem ser realizadas ao mesmo tempo em que as funções de segurança SIL 2, você deve preencher as exigências definidas nas seções Segurança SIL3 a tarefa de segurança, Programas de segurança e Rotinas de segurança deste capítulo, bem como as exigências da SIL 2 listadas nesta seção. Lógica de segurança SIL 2 De uma perspectiva de controle de segurança GuardLogix, a maior diferença entre os dispositivos de segurança classificados para SIL 2 e SIL 3 é que o SIL 2 geralmente é um canal simples, enquanto o SIL 3 normalmente é um canal duplo. Ao usar a E/S de segurança classificada exigida na tarefa de segurança, a segurança SIL 2 pode ser de canal simples, reduzindo a complexidade do sistema. IMPORTANTE Se uma combinação de funções de segurança SIL 2 e SIL 3 forem usadas ao mesmo tempo dentro de uma tarefa de segurança, deve-se evitar que os sinais de entrada SIL 2 controlem diretamente as funções de segurança SIL 3. Isso pode ser feito com o uso de programas específicos de tarefa ou rotina de segurança para separar as funções de segurança SIL 2 e SIL 3. Dentro da tarefa de segurança, o software RSLogix 5000 possui um conjunto de instruções de lógica ladder relacionadas à segurança. Além dessas instruções de lógica ladder de segurança, os controladores GuardLogix possuem uma aplicação específica de instruções de segurança com classificação SIL 3. Todas essas instruções de lógica podem ser usadas nas funções de segurança em Cat 1 a 4 e SIL 1 a Publicação 1756-RM093F-PT-P Janeiro 2010

45 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Capítulo 5 Apensa para a segurança SIL 2, não é exigida uma assinatura de tarefa de segurança. Entretanto, se qualquer função de segurança SIL 3 for usada dentro da tarefa de segurança, uma assinatura de tarefa de segurança será exigida. O travamento de segurança da tarefa de segurança depois que o teste for concluído é recomendado para aplicações SIL 2. O travamento da tarefa de segurança possibilita os recursos de segurança adicionais. Além disso, pode-se utilizar a proteção de fonte de rotina do FactoryTalk Security e do RSLogix 5000 para limitar o acesso à lógica relacionada à segurança. Para obter maiores informações sobre como gerar uma assinatura de tarefa de segurança e como efetuar o travamento de segurança da tarefa de segurança, consulte o GuardLogix Controllers User Manual, publicação 1756-UM020 ou o Compact GuardLogix Controllers User Manual, publicação 1768-UM002. Entradas de segurança SIL 2 Os módulos de entrada de segurança CompactBlock Guard I/O (série 1791) e ArmorBlock Guard I/O (série 1732) são compatíveis com os circuitos de entrada de segurança SIL 2 de canal simples. Visto que esses modelos também estão classificados para operação SIL 3, a mistura de circuitos SIL 2 e SIL 3 no mesmo módulo é permitida desde que você siga essas orientações. Esses dois exemplos mostram como ligar os circuitos de segurança SIL 2 aos módulos de entrada de segurança Guard I/O. Esses exemplos são úteis em fontes de testes incorporadas (T0 Tx) que estão incluídas em todos os módulos de entrada de segurança 1791 e Fiação de entrada I0 I1 T0 T1 As entradas do grupo de módulos Guard I/O são em pares para facilitar as funções de segurança Cat 3, Cat 4, e SIL 3. Para utilizar as funções de segurança Cat 1, Cat 2 e SIL 2, as entradas do módulo ainda devem ser utilizadas em pares conforme ilustrado. Duas funções de segurança SIL 2 são mostradas conectadas às entradas I0 e I1 usando fontes de teste T0 e T1, respectivamente. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

46 Capítulo 5 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Fiação de entrada em pares I0 I1 T0 T1 Para as funções de segurança Cat 1, Cat 2, e SIL 2, os módulos de segurança Guard I/O necessitam de configurações específicas dentro do projeto GuardLogix. Neste exemplo, as entradas 0, 1, 6, 7, 8, 9, 10 e 11 fazem parte de uma função de segurança CAT 1, 2 ou SIL 2. As entradas 2 e 3, bem como a 4 e 5, fazem parte da função de segurança CAT 3, CAT 4 ou SIL 3. Configuração de entrada Campo Tipo Tempo de discrepância Modo ponto Teste de fonte Tempo de atraso na entrada Valor Simples Não disponível Teste de pulso de segurança Defina os valores com base em como o dispositivo de campo está fisicamente conectado ao módulo. Para garantir que a fonte de teste esteja habilitada corretamente, abra e visualize os ajustes de parâmetros na guia Test Output. Entrada de usuário baseada nas características do dispositivo de campo. 46 Publicação 1756-RM093F-PT-P Janeiro 2010

47 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Capítulo 5 IMPORTANTE Os testes de saída de pulso integrados (T0 Tx) são normalmente usados com dispositivos de campo que têm contatos mecânicos. Se for utilizado um dispositivo de segurança com saídas eletrônicas (alimentação de entradas de segurança), ele deve ter classificações de segurança apropriadas. IMPORTANTE Se você estiver usando as instruções da aplicação de segurança GuardLogix, certifique-se de configurar os módulos de entrada de segurança como simples, e não equivalente nem complementar. Essas instruções oferecem a funcionalidade de duplo canal necessária para as funções de segurança PLd (Cat. 3) ou PLe (Cat. 4). Consulte o GuardLogix Safety Application Instruction Set Reference Manual, publicação 1756-RM095 Controle de segurança SIL 2 nas tarefas padrão (controladores GuardLogix 1756 apenas) Devido à qualidade e à quantidade de diagnósticos inseridos na série de controladores 1756 ControlLogix, é possível aplicar as funções de segurança SIL 2 de dentro das tarefas padrão. Isso também ocorre com os controladores 1756 GuardLogix. Para executar o controle de segurança SIL 2 dentro de uma tarefa padrão GuardLogix, é necessário obedecer às exigências definidas do Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicação 1756-RM001. IMPORTANTE É possível usar a tarefa padrão em um controlador 1768 Compact GuardLogix para as aplicações de segurança SIL-2. Conformidade EN50156 com entradas de segurança SIL 2 do 1756 ControlLogix SIL 2 em configurações de canal duplo com os controladores 1756 GuardLogix A configuração de canal duplo é necessária para a conformidade em determinadas aplicações relacionadas à segurança, incluindo as funções de segurança relacionadas ao queimador. Esses exemplos fornecem orientações para satisfazer as exigências EN50156 SIL 2 de canal duplo. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

48 Capítulo 5 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Entradas de canal duplo SIL 2 (lado padrão de controladores 1756 GuardLogix) Você deve implementar uma separação limpa e facilmente identificável entre os canais de entrada e respeitar todas as especificações SIL 2 existentes conforme definidas em Using ControlLogix in SIL 2 Applications, publicação 1756-RM001. Canal A Canal B Ch0+ Ch0+ Ch0+ Ch Transmissor de tensão A + - Transmissor de tensão B Dados de entrada SIL 2 Mantenha os dados de entrada do canal A e do canal B separados o tempo todo. Este exemplo ilustra um método para separar os dados do canal A e do canal B em sua aplicação. Todos os processamentos de lógica que precisarem ocorrer deverão seguir as orientações ControlLogix SIL 2. IMPORTANTE Não execute funções específicas de segurança dentro nessas rotinas. A avaliação de segurança deve ser manuseada dentro das tarefas de segurança do 1756 GuardLogix. Transferência de dados SIL 2 para uma tarefa de segurança Para transferir dados de segurança do canal A e do canal B para a tarefa de segurança GuardLogix, use a funcionalidade de mapeamento do tag de segurança no software RSLogix Os nomes dos tags usados aqui são apenas para exemplos. 48 Publicação 1756-RM093F-PT-P Janeiro 2010

49 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Capítulo 5 Implemente e siga as nomenclaturas apropriadas para sua aplicação. DICA Para usar a função de mapeamento de um tag de segurança, escolha Map Safety Tags no menu Logic no software RSLogix Funções de segurança na tarefa de segurança do 1756 GuardLogix Siga essas orientações de uso das funções de segurança SIL 2 e SIL 3 nas tarefas de segurança: IMPORTANTE Não use dados SIL 2 para controlar diretamente uma saída SIL 3. Todas as instruções da aplicação de segurança disponíveis podem ser usadas. Os módulos de entrada de segurança SIL 3 (ou seja, módulos Guard I/O) podem ser usados com a configuração de canal simples para as funções de segurança SIL 2. É recomendado o uso da assinatura da tarefa de segurança e do travamento de segurança da aplicação. Saídas de SIL 2 Siga essas orientações para as saídas SIL 2: Os módulos de saída Guard I/O usados nas saídas de segurança SIL 2 devem ser configurados para operação de canal duplo. Todos os módulos de saída Guard I/O são aprovados para uso em aplicações SIL DS-IB8XOBV4 1791DS-IB8XOBV4, 1791ES-IB8XOBV4 1791DS-IB4XOW4 1791DS-IB8XOB OB8S IMPORTANTE Não utilize módulos de saída Flex ou 1756 em aplicações EN SIL 2. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

50 Capítulo 5 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Segurança SIL3 a tarefa de segurança A criação de um projeto GuardLogix cria automaticamente uma única tarefa de segurança. A Tarefa de Segurança apresenta estas características adicionais: Os controladores GuardLogix são os únicos compatíveis com a tarefa de segurança. A tarefa de segurança não pode ser removida. Os controladores GuardLogix suportam uma única tarefa de segurança. Dentro da tarefa de segurança, você pode agendar vários programas de segurança formados por várias rotinas de segurança. Você não pode agendar ou executar rotinas padrão de dentro da Tarefa de Segurança. A tarefa de segurança é uma tarefa periódica com watchdog e prioridade de tarefa selecionável pelo usuário. Em muitos casos, ela é a prioridade do controlador e o watchdog do programa definido pelo usuário deve ser configurado para acomodar flutuações na execução da tarefa de segurança. Limitações da tarefa de segurança Especifique o Período da Tarefa de Segurança e o Watchdog da Tarefa de Segurança. O Período da Tarefa de Segurança é o período no qual a Tarefa de Segurança é executada. O Watchdog da Tarefa de Segurança é o tempo máximo permitido desde o início da execução programada da Tarefa de Segurança até sua conclusão. Para obter mais informações sobre o watchdog da tarefa de segurança, consulte o Apêndice C, Tempos de reação. O período da tarefa de segurança é limitado a um máximo de 100 ms e não pode ser modificado on-line. Certifique-se de que a tarefa de segurança tem tempo suficiente para ser concluída antes de ser desarmada novamente. O Tempo-limite do Watchdog da Tarefa de Segurança, uma falha de segurança não recuperável no controlador GuardLogix, ocorre se a Tarefa de Segurança for acionada enquanto ainda estiver sendo executada do acionador anterior. Consulte o Capítulo 7, Monitoração de status e manuseio de falhas, para obter mais informações. 50 Publicação 1756-RM093F-PT-P Janeiro 2010

51 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Capítulo 5 Detalhes de execução da tarefa de segurança A tarefa de segurança é executada da mesma maneira que as tarefas periódicas padrão, com estas exceções: A Tarefa de Segurança não é iniciada até que o Controlador Primário e o Parceiro de Segurança estabeleçam sua parceria de controle e sincronizem o Tempo de Sistema (CST). No entanto, tarefas padrão começam a ser executada logo que o controlador é transicionado para o modo de operação. Embora a faixa configurável do intervalo do pacote requisitado (RPI) para as entradas de segurança e os tags de segurança consumidos sejam de 1 a 100 ms, os tags de entrada de segurança e os tags de segurança consumidos são atualizados apenas no início da execução da tarefa de segurança. Isto significa que mesmo que o RPI da E/S seja mais rápido que o período da tarefa de segurança, os dados não mudarão durante a execução da tarefa de segurança. Os dados são lidos somente uma vez no início da execução da tarefa de segurança. Os valores de entrada de segurança são congelados no início da execução da Tarefa de Segurança. Como resultado, as instruções relacionadas ao temporizador, como TON e TOF, não serão atualizadas durante uma única execução da tarefa de segurança. Elas manterão o tempo correto de execução de uma tarefa para a outra, mas o tempo acumulado não será alterado durante a execução da tarefa. ATENÇÃO Este comportamento difere da execução da tarefa Logix padrão, mas é semelhante ao comportamento do CLP ou do SLC. Para os tags padrão que são mapeados em tags de segurança, os valores dos tags padrão serão copiados para a memória de segurança no início da tarefa de segurança e não mudarão durante a execução da tarefa de segurança. Os valores dos tags de saída de segurança (saída e produzido) são atualizados na conclusão da execução da tarefa de segurança Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

52 Capítulo 5 Características de tags de segurança, da tarefa de segurança e dos programas de segurança A tarefa de segurança reage às mudanças de modo (por exemplo, operação para programa ou programa para operação) em intervalos temporizados. Como resultado, a Tarefa de Segurança pode levar mais de um período de tarefa, mas sempre menos do que dois, para fazer uma transição de modo. IMPORTANTE Enquanto estiver sem o travamento de segurança e sem assinatura de segurança, o controlador impedirá o acesso de gravação simultâneo à memória de segurança pela tarefa de segurança e pelos comandos de comunicação. Como resultado, a tarefa de segurança pode ser retida até a conclusão da atualização da comunicação. O tempo necessário para a atualização varia de acordo com o tamanho do tag. Por isso, pode ocorrer a conexão de segurança e/ou os tempos-limites de watchdog de segurança. (Por exemplo, se você fizer edições on-line quando a taxa da Tarefa de Segurança estiver definida para 1 ms, pode ocorrer um tempo-limite de watchdog de segurança.) Para compensar o tempo retido devido a uma atualização de comunicação, adicione 2 ms ao tempo de watchdog de segurança. Quando o controlador estiver com travamento de segurança ou houver uma assinatura de tarefa de segurança, a situação descrita nesta observação não poderá ocorrer. Programas de segurança Um programa de segurança tem todos os atributos de um programa padrão, exceto pelo fato de que ele só pode ser programado na tarefa de segurança. Um programa de segurança também pode definir tags de segurança com escopo de programa. Um programa de segurança pode ser programado ou não programado. Um programa de segurança pode conter apenas componentes de segurança. Todas as rotinas em um programa de segurança são rotinas de segurança. Um programa de segurança não pode conter rotinas padrão ou tags padrão. Rotinas de segurança As rotinas de segurança têm todos os atributos das rotinas padrão, mas não podem ocorrer apenas em programas de segurança. Uma rotina de segurança pode ser designada como a rotina principal. Outra rotina de segurança pode ser designada como a rotina de falha. Apenas instruções certificadas pela segurança podem ser usadas em rotinas de segurança. 52 Publicação 1756-RM093F-PT-P Janeiro 2010

53 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Capítulo 5 Para obter uma lista de instruções de segurança, consulte o Apêndice A. ATENÇÃO Para preservar a conformidade com SIL 3, certifique-se de que a lógica de segurança não tente ler nem gravar tags padrão. Tags de segurança O Sistema de Controle GuardLogix suporta o uso de tags padrão e de segurança no mesmo projeto. No entanto, o software de programação diferencia os tags padrão dos tags de segurança de forma operacional. Os Tags de segurança têm todos os atributos de tags padrão além dos mecanismos necessários para fornecer integridade de dados SIL 3. Tipos de dados válidos para tags de segurança AUX_VALVE_CONTROL DIVERSE_INPUT MUTING_FOUR_SENSOR_BIDIR BOOL EIGHT_POS_MODE_SELECTOR MUTING_TWO_SENSOR_ASYM CAM_PROFILE EMERGENCY_STOP MUTING_TWO_SENSOR_SYM CAMSHAFT_MONITOR ENABLE_PENDANT MOTION_INSTRUCTION CB_CONTINUOUS_MODE EXT_ROUTINE_CONTROL PHASE CB_CRANKSHAFT_POS_MONITOR EXT_ROUTINE_PARAMETERS PHASE_INSTRUCTION CB_INCH_MODE FBD_BIT_FIELD_DISTRIBUTE REDUNDANT_INPUT CB_SINGLE_STROKE_MODE FBD_CONVERT REDUNDANT_OUTPUT CONFIGURABLE_ROUT FBD_COUNTER SAFETY_MAT CONNECTION_STATUS FBD_LOGICAL SERIAL_PORT_CONTROL CONTROL FBD_MASK_EQUAL SFC_ACTION COUNTER FBD_MASKED_MOVE SFC_STEP DCI_MONITOR FBD_TIMER SFC_STOP DCI_START FIVE_POS_MODE_SELECTOR SINT DCI_STOP INT STRING DCI_STOP_TEST LIGHT_CURTAIN THRS_ENHANCED DCI_STOP_TEST_LOCK MAIN_VALVE_CONTROL Timer DCI_STOP_TEST_MUTE MANUAL_VALVE_CONTROL TWO_HAND_RUN_STATION DINT IMPORTANTE Alternar entre tags de segurança e tags padrão é proibido em aplicações de segurança. Os tags classificados como tags de segurança são tags do controlador ou do programa de segurança. Os tags de segurança do controlador podem ser lidos pela lógica padrão e de segurança ou por outros dispositivos de comunicação, mas só podem ser gravados pela lógica de segurança ou outro controlador de segurança GuardLogix. Os tags de segurança do programa são Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

54 Capítulo 5 Características de tags de segurança, da tarefa de segurança e dos programas de segurança acessíveis apenas pelas rotinas de segurança locais. Essas rotinas residem dentro do programa de segurança. Os tags associados à E/S de segurança e os dados de segurança produzidos ou consumidos devem ser tags de segurança com escopo de controlador. IMPORTANTE Qualquer tag de segurança do controlador pode ser lido por qualquer rotina padrão, mas a taxa de atualização é baseada na execução da tarefa de segurança. Isso significa que os tags de segurança são atualizados na taxa periódica da tarefa de segurança, que é diferente do comportamento do tag padrão. Tags padrão em rotinas de segurança (mapeamento de tags) Os tags padrão com escopo de controlador podem ser mapeados em tags de segurança, fornecendo um mecanismo de sincronização de ações padrão e de segurança. ATENÇÃO Ao usar dados padrão em uma rotina de segurança, você será responsável por fornecer uma forma confiável de garantir que os dados estejam sendo usados de forma adequada. O uso de dados padrão em um tag de segurança não os transforma em dados de segurança. Você não deve controlar uma saída de segurança com dados do tag padrão. Este exemplo ilustra como qualificar os dados padrão com os dados de segurança. Qualificação dos dados padrão com dados de segurança MappedBooleanTag Node30ComboModule:I.Pt07Data Node30ComboModule:O.Pt03Data LatchOneShot ONS Node30ComboModule:O.Pt03Data Qualificador de entrada de segurança para tag mapeado Trave o circuito para impedir uma reinicialização automática se a entrada padrão (MappedTag) falhar em um estado parado no 1. Saída de Segurança 54 Publicação 1756-RM093F-PT-P Janeiro 2010

55 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Capítulo 5 Recursos adicionais Recurso Logix5000 Controllers Design Considerations Reference Manual, publicação 1756-RM094 GuardLogix Controllers User Manual, publicação 1756-UM Compact GuardLogix Controllers User Manual, publicação 1768-UM020 Descrição Fornece informações sobre a gestão de tarefas e sobre os efeitos da execução da tarefa e da temporização dos dados do usuário. Contém informações sobre o mapeamento de tags Contém informações sobre o mapeamento de tags Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

56 Capítulo 5 Características de tags de segurança, da tarefa de segurança e dos programas de segurança Observações: 56 Publicação 1756-RM093F-PT-P Janeiro 2010

57 Capítulo 6 Desenvolvimento da aplicação de segurança Introdução Tópico Página Suposições do conceito de segurança 57 Noções básicas do desenvolvimento e do teste de 57 aplicativos Comissionamento do ciclo de vida 58 Descarregamento do programa aplicativo de segurança 64 Carregamento do programa de segurança da aplicação 65 Edição on-line 65 Armazenamento e carregamento de um projeto de 65 memória não volátil Force de dados 66 Inibição de um módulo 67 Edição de sua aplicação de segurança 67 Suposições do conceito de segurança O conceito de segurança parte do princípio de que: se você é responsável pela criação, operação e manutenção da aplicação, você está qualificado, treinado e tem experiência em sistemas de segurança. você aplica a lógica corretamente, o que significa que erros de programação podem ser detectados. Os erros de programação podem ser detectados, pois as regras de especificações, programação e nomeação são seguidas àrisca. você executa uma análise crítica da aplicação e usa todas as medidas possíveis para detectar uma falha. você confirma todos os downloads de aplicações através de uma verificação manual da assinatura da tarefa de segurança. você executa um teste funcional completo de todo o sistema antes da primeira partida operacional de um sistema de segurança. Noções básicas do desenvolvimento e do teste de aplicativos O programa da aplicação para o sistema SIL 3 pretendido deve ser desenvolvido pelo integrador de sistema ou por um usuário treinado e familiarizado em aplicações de segurança. O desenvolvedor deve seguir as boas práticas de projeto. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

58 Capítulo 6 Desenvolvimento da aplicação de segurança Use as especificações funcionais, incluindo fluxogramas, diagramas de temporização e controle sequencial. Execute uma revisão do programa. Faça a validação do programa. Comissionamento do ciclo de vida O fluxograma abaixo mostra as etapas necessárias para o comissionamento de um sistema GuardLogix. Os itens em negrito serão explicados nas próximas seções. Comissionamento do sistema Especificação da função de controle Criar projeto on-line Criar projeto off-line Anexar ao controlador e descarregar Testar o programa aplicativo Gerar assinatura da tarefa de segurança Fazer as modificações necessárias Teste de verificação do projeto Testes anteriores? Não Excluir a assinatura de tarefa de segurança Sim Confirmar o projeto Registrar a assinatura de tarefa de segurança Preencher a lista de verificação no Apêndice D Validação de segurança (revisão independente) Projeto válido? Não Sim Travar o controlador/fim 58 Publicação 1756-RM093F-PT-P Janeiro 2010

59 Desenvolvimento da aplicação de segurança Capítulo 6 Especificação da função de controle Você deve criar uma especificação para a função de controle. Use essa especificação para verificar se a lógica do programa está correta e se atende completamente aos requisitos funcionais e de controle de segurança do aplicativo. A especificação pode ser apresentada em vários formatos dependendo da aplicação. No entanto, ela deve ser uma descrição detalhada que inclua (se aplicável): sequência de operações fluxogramas e diagramas de temporização tabelas sequenciais descrição do programa roteiro do programa descrições escritas das etapas com condições e atuadores das etapas a ser controlados Isso inclui: definições de entrada. definições de saída. diagramas e referências da fiação de E/S. teoria da operação. matriz ou tabela de condições em etapas e os atuadores a serem controlados, incluindo os diagramas de sequência e de temporização. definição das condições marginais, por exemplo, modos de operação e PARADA DE EMERGÊNCIA. A parte de E/S da especificação deve conter a análise de circuitos de campo, ou seja, o tipo de sensores e de atuadores. Sensores (Digitais ou Analógicos) Sinal na operação padrão (princípio atual inativo para sensores digitais, sensores desligados (OFF) indicam que não há sinal) Determinação de redundância necessária para níveis de SIL Monitoração e visualização de discrepâncias, incluindo sua lógica de diagnóstico Atuadores Posição e ativação na operação padrão (normalmente OFF) Reação/posicionamento de segurança quando estiver alternando para OFF ou em falha de alimentação. Monitoração e visualização de discrepâncias, incluindo sua lógica de diagnóstico Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

60 Capítulo 6 Desenvolvimento da aplicação de segurança Criação do projeto A lógica e as instruções usadas durante a programação do aplicativo devem ser: fáceis de compreender. fáceis de rastrear. fáceis de mudar. fáceis de testar. Toda as lógicas devem ser revisadas e testadas. Mantenha a lógica relacionada à segurança e a lógica padrão separadas. Rotulação do Programa O programa da aplicação é claramente identificado por um dos seguintes itens: Nome Data Revisão Qualquer outra identificação do usuário Testar o programa aplicativo Esta etapa consiste em qualquer combinação de modos de execução e de programa, edições on-line ou off-line, carregamentos e descarregamentos e testes adicionais necessários para que o aplicativo seja executado corretamente. Geração da assinatura da tarefa de segurança A assinatura da tarefa de segurança identifica exclusivamente cada projeto, incluindo sua lógica, dados e tags. A assinatura da tarefa de segurança é composta de um ID (número de identificação), data e hora. Você pode gerar a assinatura da tarefa de segurança se todas as condições a seguir forem verdadeiras: O software RSLogix 5000 estiver on-line com o controlador. O controlador estiver no modo de programação. O controlador não estiver travado para segurança. O controlador não tiver regras de segurança ou edições de segurança on-line pendentes. O status da Tarefa de Segurança estiver OK. 60 Publicação 1756-RM093F-PT-P Janeiro 2010

61 Desenvolvimento da aplicação de segurança Capítulo 6 Após a conclusão do teste do programa da aplicação, gere a assinatura da tarefa de segurança. O software de programação carrega automaticamente a assinatura da tarefa segurança depois que ela é gerada. IMPORTANTE Para verificar a integridade de cada download, registre manualmente a assinatura da tarefa de segurança após a criação inicial e verifique a assinatura da tarefa de segurança após cada download para garantir que ela corresponda à original. Você poderá excluir a assinatura da tarefa de segurança apenas quando o controlador GuardLogix estiver sem travamento de segurança e, caso esteja on-line a chave seletora esteja na posição REM ou PROG. Quando houver uma assinatura de tarefa de segurança, as ações a seguir não serão permitidas na tarefa de segurança: Programação ou edição on-line ou off-line de componentes de segurança Forçando a E/S da Segurança Manipulação de dados (exceto através da lógica da rotina ou de outro controlador GuardLogix) Teste de verificação do projeto Para verificar se o programa aplicativo segue as especificações, gere um conjunto de testes apropriados que sobre a aplicação. Os testes devem ser arquivados e retidos como especificação do teste. Você deve incluir vários testes para provar a validade dos cálculos (fórmulas) usados na lógica do aplicativo. Testes de intervalos equivalentes são aceitos. Esses são testes dentro dos intervalos de valor definidos, nos limites, ou em intervalos de valores inválidos. O número necessário de testes depende das fórmulas usadas e deve conter pares de valores críticos. A simulação ativa com origens (dispositivos de campo) também deve ser incluída, pois é a única forma de verificar se os sensores e os atuadores do sistema estão conectados corretamente. Verifique a operação das funções programadas manipulando manualmente os sensores e atuadores. Você também deve incluir testes para verificar a reação a falhas de fiação e a falhas na comunicação da rede. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

62 Capítulo 6 Desenvolvimento da aplicação de segurança A verificação do projeto inclui testes de verificação funcional de rotinas de falha, canais de entrada e de saída, para garantir que o sistema de segurança funcione corretamente. Para executar um teste de verificação funcional no controlador GuardLogix, você deve executar um teste completo da aplicação. Você deve alternar cada sensor e atuador envolvido na função de segurança. Da perspectiva de um controlador, isto significa alternar o ponto de E/S que vai para o controlador, não necessariamente os ativadores reais. Certifique-se de testar todas as funções de encerramento, pois estas funções geralmente não são exercidas durante a operação normal. Além disso, esteja ciente que um teste de verificação funcional é válido somente para a aplicação testada especificamente. Se o controlador for movido para outra aplicação, você também deve executar a partida e o teste de verificação funcional no controlador no contexto de sua nova aplicação. Consulte Testes de verificação funcional na página 14 para obter mais informações. Confirmação do projeto Você deve imprimir ou exibir o projeto e comparar manualmente as configurações do controlador e da E/S de segurança carregadas, os dados de segurança e a lógica de programação da tarefa de segurança para garantir que os componentes de segurança corretos foram descarregados, testados e retidos no programa de segurança da aplicação. Caso o programa da aplicação contenha uma instrução add-on de segurança que esteja travada com uma assinatura da instrução, você também deve comparar a instrução de assinatura, a data/ hora e a assinatura da instrução de segurança com os valores registrados quando a instrução add-on foi lacrada. Consulte Apêndice B, Instruções add-on de segurança para obter informações sobre como criar e usar as instruções add-on de segurança nas aplicações SIL 3. As etapas abaixo ilustram um método de confirmação do projeto: 1. Com o controlador no modo de programa, salve o projeto. 2. Responda Sim no prompt Carregar valores de tag. 3. Com o software RSLogix 5000 off-line, salve o projeto com um novo nome, como Offlineprojectname.ACD, onde projectname é o nome de seu projeto. Este é o novo arquivo de projeto mestre testado. 62 Publicação 1756-RM093F-PT-P Janeiro 2010

63 Desenvolvimento da aplicação de segurança Capítulo 6 4. Feche o projeto. 5. Remova o arquivo do projeto original deste diretório. É possível excluir este arquivo ou armazená-lo em um local de arquivamento. Essa etapa é necessária porque se o software RSLogix 5000 encontrar o projectname.acd neste diretório, ele irá correlacioná-lo ao projeto do controlador e não realizará o carregamento real. 6. Com o controlador ainda no modo de programa, carregue o projeto do controlador. 7. Salve o projeto carregado como Onlineprojectname.ACD, onde projectname é o nome do projeto. 8. Responda Sim no prompt Carregar valores de tag. 9. Selecione outra instância do software RSLogix 5000 e abra o projeto chamado Offlineprojectname.ACD. 10. Use as duas instâncias do software RSLogix 5000 para comparar: Todas as propriedades do controlador GuardLogix e dos módulos de E/S CIP Safety Todas as propriedades na tarefa de segurança, programas de segurança e rotinas de segurança Toda a lógica nas rotinas de segurança. DICA O software RSLogix 5000 apresenta um utilitário Program Compare que pode ser útil na identificação de componentes de segurança alterados, mas ele não deve ser usado no lugar de uma comparação manual. (Compare o offlineprojectname.acd ao onlineprojectname.acd.) Validação da segurança Uma revisão independente, feita por terceiros, do sistema de segurança pode ser necessária para que o sistema seja considerado aprovado para operação. Uma certificação de terceiros independente é solicitada para a IEC SIL 3. Travamento do controlador GuardLogix O sistema do controlador GuardLogix pode estar com travamento de segurança para proteger os componentes do controle de segurança contra modificação. A função de travamento de segurança é aplicada apenas aos componentes de segurança tais Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

64 Capítulo 6 Desenvolvimento da aplicação de segurança como, tarefa de segurança, programas de segurança, rotinas de segurança, tags de segurança, instruções add-on de segurança, E/S de segurança e assinatura de tarefa de segurança. No entanto, sozinho, o recurso de travamento para segurança não satisfaz aos requisitos do SIL 3. Nenhum aspecto de segurança pode ser modificado enquanto o controlador estiver no estado travado para segurança. Quando o controlador está nesse estado, as seguintes ações não são permitidas na Tarefa de Segurança: Programação ou edição on-line ou off-line Forçando a E/S da Segurança A manipulação de dados (exceto através da lógica da rotina ou de outro controlador GuardLogix) Criação ou edição das instruções add-on de segurança Criação ou exclusão da assinatura da tarefa de segurança O estado padrão do controlador está sem o travamento de segurança. Você pode colocar a aplicação de segurança em um estado de travamento de segurança independentemente de o controlador estar on-line ou off-line e independentemente de você ter a fonte original do programa. No entanto, nenhuma regra ou edição de segurança on-line pode estar presente. Os status de com ou sem travamento de segurança não pode ser modificado quando a chave seletora está na posição RUN. Para fornecer uma camada de proteção adicional, senhas separadas podem ser usadas para travá-lo ou destravar a segurança do controlador. As senhas são opcionais. Descarregamento do programa aplicativo de segurança Após o descarregamento, é necessário fazer um teste completo na aplicação, a menos que exista uma assinatura da tarefa de segurança. IMPORTANTE Para verificar a integridade de cada download, você deve registrar manualmente a assinatura da tarefa de segurança após a criação inicial e verificar a assinatura da tarefa de segurança após cada download para garantir que ela corresponda à original. 64 Publicação 1756-RM093F-PT-P Janeiro 2010

65 Desenvolvimento da aplicação de segurança Capítulo 6 Os downloads para um controlador GuardLogix com travamento de segurança são permitidos somente se a assinatura da tarefa de segurança, a série de hardware e a versão do sistema operacional do projeto off-line coincidirem com os contidos no controlador GuardLogix alvo e se o status da tarefa de segurança estiver OK. IMPORTANTE Se a assinatura da tarefa de segurança não corresponder e o controlador estiver com travamento de segurança, você deverá desbloquear o controlador para descarregá-lo. Descarregar o controlador exclui a assinatura da tarefa de segurança. Como resultado, você deverá validar novamente o aplicativo. Carregamento do programa de segurança da aplicação Se o controlador GuardLogix contiver uma assinatura de tarefa de segurança, a assinatura será carregada com o projeto. Isso significa que as mudanças nos dados de segurança off-line serão sobrescritas como resultado do carregamento. Edição on-line Se não houver assinatura de tarefa de segurança e o controlador estiver com travamento de segurança, você poderá executar edições on-line em suas rotinas de segurança. DICA Não é possível editar as instruções add-on de segurança ou padrão on-line. Não podem haver edições pendentes quando o controlador estiver com travamento de segurança ou quando houver uma assinatura de tarefa de segurança. Edições on-line poderão existir quando o controlador estiver travado para segurança. No entanto, elas não poderão ser montadas ou canceladas. DICA As edições on-line em rotinas padrão não são afetadas pelo estado travado ou não travado de segurança. Consulte na página 67 para obter mais informações sobre como fazer edições no programa da aplicação. Armazenamento e carregamento de um projeto de memória não volátil Na versão 18 ou posterior, os controladores GuardLogix são compatíveis com atualizações de firmware e armazenamento e recuperação do programa do usuário usando um cartão CompactFlash. Em um sistema 1756 GuardLogix, apenas o controlador primário usa um cartão CompactFlash para a memória não volátil. Durante o armazenamento de um projeto de aplicação de segurança em um cartão CompactFlash, a Rockwell Automation recomenda que você selecione Remote Program como o modo Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

66 Capítulo 6 Desenvolvimento da aplicação de segurança Load, ou seja, o modo do controlador deve entrar seguindo a carga. Antes da operação real da máquina, é necessário a intervenção do operador para ligar a máquina. Só é possível iniciar a carga a partir de uma memória não volátil: se o tipo de controlador especificado pelo projeto armazenado na memória não volátil corresponder ao tipo de controlador. se as revisões principais ou secundárias do projeto em uma memória não volátil corresponderem às revisões principais ou secundárias do seu controlador. se o controlador não estiver no modo de operação. Carregar um projeto em um controlador com travamento de segurança só é permitido quando a assinatura da tarefa de segurança armazenada no projeto na memória não volátil corresponder ao projeto no controlador. Se as assinaturas não corresponderem ou se o controlador estiver com travamento de segurança sem uma assinatura de tarefa de segurança, será preciso primeiro destravar o controlador antes de tentar atualizar o controlador usando a memória não volátil. IMPORTANTE Se você destravar o controlador e iniciar uma carga de uma memória não volátil, o estado do travamento de segurança, as senhas e a assinatura da tarefa de segurança utilizarão os valores contidos na memória não volátil quando o carregamento for concluído. Force de dados Todos os dados contidos em um tag de segurança consumido ou produzido de E/S, incluindo CONNECTION_STATUS, podem ser forçados enquanto o projeto estiver sem o travamento de segurança e não houver assinatura da tarefa de segurança. No entanto, os forces devem ser desinstalados, não apenas desabilitados, em todos os tags de segurança para que o projeto de segurança possa ficar com travamento de segurança ou uma assinatura de segurança possa ser gerada. Você não pode forçar tags de segurança enquanto o projeto estiver como travamento de segurança ou quando houver uma assinatura da tarefa de segurança. DICA Você pode instalar e desinstalar regras em tags padrão independentemente do estado travado ou não travado para segurança. 66 Publicação 1756-RM093F-PT-P Janeiro 2010

67 Desenvolvimento da aplicação de segurança Capítulo 6 Inibição de um módulo Você não pode inibir ou desinibir módulos de E/S de segurança ou controladores de produção se a aplicação estiver com travamento de segurança ou se houver uma assinatura da tarefa de segurança. Siga estas etapas para inibir um módulo de E/S de segurança. 1. No software RSLogix 5000, clique com o botão direito do mouse e selecione Properties. 2. Na caixa de diálogo Module Properties, selecione a guia Connection. 3. Marque Inhibit Connection e clique em Apply. O módulo é inibido sempre que a caixa de verificação estiver marcada. Se um módulo de comunicação for inibido, todos os módulos a jusante também serão inibidos. Edição de sua aplicação de segurança As regras a seguir aplicam-se à alteração de sua aplicação de segurança no software RSLogix 5000: Apenas pessoal autorizado e treinado pode editar o programa. Essas pessoas devem usar métodos de supervisão disponíveis, por exemplo, usar a chave seletora do controlador e proteções de senha no software. Quando pessoal especialmente treinado e autorizado faz edições no programa, eles assumirão a responsabilidade da segurança central enquanto as alterações estiverem em andamento. Esse pessoal também deve manter a operação segura do aplicativo. Quando estiver editando on-line, você deverá usar um mecanismo de proteção alternativo para manter a segurança do sistema. Você deve documentar todas as edições no programa suficientemente, incluindo: autorização. análise de impacto. execução. informações de teste. informações de revisão. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

68 Capítulo 6 Desenvolvimento da aplicação de segurança Se as edições on-line existirem apenas nas rotinas padrão, essas edições não precisarão ser validadas antes de retornarem à operação normal. Você deve garantir que as alterações na rotina padrão, relacionadas à temporização e ao mapeamento de tags, sejam aceitas para a aplicação de segurança. Você pode editar a parte lógica do programa enquanto estiver on-line ou off-line, conforme descrito nas próximas seções. Realização de edições off-line Quando as edições off-line são feitas apenas em elementos do programa padrão e a assinatura de segurança encontra correspondência logo após um descarregamento, você pode reiniciar a operação. Quando as edições off-line afetam o programa de segurança, você deve revalidar toda a aplicação antes de reiniciar a operação. O fluxograma na página 69 ilustra o processo da edição off-line. Realização de edições on-line Se as edições on-line afetarem o programa de segurança, você deverá revalidar toda a aplicação antes de retomar a operação. O fluxograma na página 69 ilustra o processo da edição on-line. DICA Limite as edições on-line a modificações pequenas no programa, como mudanças no ponto de definição ou adições, exclusões e modificações na lógica. As edições on-line são afetadas pelos recursos de travamento de segurança e de assinatura de tarefa de segurança do controlador GuardLogix. Consulte Geração da assinatura da tarefa de segurança na página 60 e Travamento do controlador GuardLogix na página 63 para obter mais informações. Para obter informações detalhadas sobre como editar a lógica ladder no software RSLogix 5000 enquanto estiver on-line, consulte Logix5000 Controllers Quick Start, publicação 1756-QS Publicação 1756-RM093F-PT-P Janeiro 2010

69 Desenvolvimento da aplicação de segurança Capítulo 6 Edição do seu projeto Processo de edição on-line e off-line Edição Off-line Edição On-line Abra o Projeto Anexe ao Controlador Não Alguma Alteração de Segurança? Sim Destravar o Controlador Alguma Alteração de Segurança? Sim Não Faça as modificações desejadas na lógica padrão Faça as modificações desejadas na lógica padrão Anexe ao Controlador e Descarregar Exclua a assinatura de aplicação de segurança Faça as Modificações Desejadas na Lógica de Segurança Destravar o controlador Exclua assinatura de aplicação de segurança Faça as Modificações Desejadas Teste o Programa Aplicativo Teste o Programa Aplicativo Anexe ao Controlador e Descarregar Teste o Programa Aplicativo FIM Confirme o Projeto Gere a assinatura de segurança Teste de Verificação do Projeto Faça modificações necessárias Passaram nos testes? Sim Confirme o Projeto Não Exclua assinatura de aplicação de segurança FIM Registre a assinatura de aplicação de segurança Validação de Segurança (Revisão Independente) Projeto Validado? Não Sim Trave o controlador FIM Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

70 Capítulo 6 Desenvolvimento da aplicação de segurança Observações: 70 Publicação 1756-RM093F-PT-P Janeiro 2010

71 Capítulo 7 Monitoração de status e manuseio de falhas Introdução A arquitetura GuardLogix fornece a você várias maneiras de detectar e reagir contra falhas no sistema. A primeira maneira que você pode manusear as falhas é garantir que preencheu as listas de verificação de sua aplicação (consulte o Apêndice D). Tópico Página Monitoração do status do sistema 71 Falhas do sistema GuardLogix 78 Monitoração do status do sistema Para monitorar o status do sistema, você pode exibir o status das conexões dos tags de segurança. Você também pode determinar o status operacional interrogando vários objetos de dispositivo. É sua responsabilidade determinar quais dados são mais apropriados para iniciar uma sequência de encerramento. Dados CONNECTION_STATUS O primeiro membro da estrutura de tag associado aos dados de entrada de segurança e aos dados de tag de segurança produzidos/consumidos contém o status da conexão. Esse membro é um tipo de dados predefinido chamado CONNECTION_STATUS. Allen-Bradley HMIs 71Publicação 1756-RM093F-PT-P Janeiro

72 Capítulo 7 Monitoração de status e manuseio de falhas O tipo de dados CONNECTION_STATUS contém os bits de status RunMode e ConnectionFaulted. A tabela a seguir descreve as combinações dos estados RunMode e ConnectionFaulted. Status da conexão de segurança Status RunMode Status Connection Faulted Operação de conexão de segurança 1 = Execução 0 = Válido Os dados estão sendo controlados ativamente pelo dispositivo de produção. O dispositivo de produção está no modo Run. 0 = Inativo 0 = Válido A conexão está ativa e o dispositivo de produção está no estado inativo. Os dados de segurança são redefinidos como zero. 0 = Inativo 1 = Com Falha A conexão de segurança contém falhas. O estado do dispositivo de produção é desconhecido. Os dados de segurança são redefinidos como zero. 1 1 Estado inválido. ATENÇÃO As conexões de E/S e as conexões produzidas/consumidas não podem ser configuradas para falhar o controlador se uma conexão for perdida e se o sistema transicionar para o estado seguro. Por isso, se precisar detectar uma falha no módulo para garantir que o sistema mantenha o SIL 3, você deve monitorar os bits CONNECTION_STATUS de E/S de Segurança e iniciar a falha através da lógica do programa. Condicionamento de linha de entrada e saída Os módulos de E/S fornecem recursos de teste de pulsos e de recursos de monitoração. Se o módulo detecta uma falha, ele define a entrada ou saída com problema como estado de segurança e reporta a falha ao controlador. A indicação de falha é feita através do status da entrada ou da saída e é mantida por um período configurável após a reparação da falha. IMPORTANTE Você é responsável por fornecer a lógica da aplicação para travar estas falhas de E/S e certificar-se de que o sistema é reiniciado adequadamente. Status da conexão do módulo de E/S A parte do protocolo de segurança do sistema operacional do controlador fornece o status para cada módulo de E/S no sistema de segurança. Se uma falha da conexão de entrada é detectada, o sistema operacional define todas as entradas associadas como 72 Publicação 1756-RM093F-PT-P Janeiro 2010

73 Monitoração de status e manuseio de falhas Capítulo 7 estado desenergizado (segurança) e o status da saída associada como falha. Se uma falha de conexão de saída for detectada, o sistema operacional define o status da saída associada como falha. O módulo de saída desenergiza as saídas. IMPORTANTE Você é responsável pelo fornecimento da lógica da aplicação para travar essas falhas de E/S e certificar-se de que o sistema seja reiniciado adequadamente. Sistema desenergizar para desarmar Os controladores GuardLogix são parte de um sistema desenergizar para desarmar, o que significa que zero é o estado seguro. Todas as entradas e saídas são definidas como zero quando uma falha é detectada. Como resultado, qualquer entrada que seja monitorada por uma das diferentes instruções de entrada (entradas diferentes ou estação de operação bimanual) deve ter entrada normalmente fechada condicionada por uma lógica similar à lógica na linha 4 da Exemplo 2 da lógica ladder e Exemplo 3 da lógica ladder nas páginas 76 e 77. A lógica exata necessária depende tanto das aplicações quanto do módulo de entrada. Porém, a lógica deve criar um estado seguro de 1 para a entrada normalmente fechada das diversas instruções de entrada. Uso de dados de status de conexão para iniciar uma falha através da lógica do programa Os diagramas a seguir fornecem exemplos da lógica da aplicação necessária para travar e reinicializar as falhas da E/S. Os exemplos mostram a lógica necessária para os módulos de entrada apenas, assim como os módulos combinados de entrada e saída. Os exemplos usam um recurso de módulos de E/S chamado status combinado que apresenta o status de todos os canais de entrada em uma única variável booleana. Uma outra variável booleana representa o status de todos os canais de saída. Esta abordagem reduz a quantidade de lógica de condicionamento de E/S necessária e força o encerramento de todos os canais de entrada ou saída do módulo afetado. Use o Travamento da falha de entrada e fluxograma de reset na página 74 para determinar quais linhas de lógica são necessárias para as situações de diferentes aplicações. O Exemplo 1 da lógica ladder mostra a lógica que substitui as variáveis de tag de entrada real enquanto existir uma condição de falha. Se um estado de entrada real é necessário para solução de problemas enquanto uma falha de entrada é travada, use a lógica mostrada em Exemplo 2 da lógica ladder. Esta lógica usa tags internos que representam as entradas que serão usadas nesta lógica da Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

74 Capítulo 7 Monitoração de status e manuseio de falhas aplicação. Enquanto a falha de entrada estiver travada, os tags internos são definidos para o estado de segurança. Enquanto a falha da entrada não for travada, os valores reais de entrada são copiados para os tags internos. Use o Travamento da falha de saída e fluxograma de reset para determinar quais linhas da lógica da aplicação no Exemplo 3 da lógica ladder na página 77 são necessárias. Travamento da falha de entrada e fluxograma de reset Partida Esta função de segurança precisa da intervenção do operador depois de uma falha de entrada de segurança? Não Sim Não As entradas são usadas para acionar as instruções da aplicação de segurança? Sim O circuito de reset pode ser usado para intervenção do operador? Sim Certifique-se de selecionar Manual Reset para a instrução da aplicação de segurança. Não Escreva a lógica para travar a falha da entrada. (linha 0 do exemplo) Sim As informações de falha de entrada necessárias para fins de diagnósticos? Escreva a lógica para configurar as entradas para o estado de segurança. (Linhas 2 e 3 do exemplo) Escreva a lógica para eliminar o travamento da falha da entrada. (linha 1 do exemplo) Escreva a lógica para travar a falha da entrada. (linha 0 do exemplo) Não Não Todas as entradas são usadas em uma instrução com diversas entradas? (DIN ou THRS) Sim Escreva a lógica para definir o valor do estado seguro quando a entrada apresentar uma falha. (linha 4 do exemplo) Concluído 74 Publicação 1756-RM093F-PT-P Janeiro 2010

75 Monitoração de status e manuseio de falhas Capítulo 7 Exemplo 1 da lógica ladder O nó 30 é um módulo combinado com 8 pontos de entrada/8 pontos de saída. O nó 31 é um módulo de entrada com 12 pontos Se o status da entrada não estiver OK, retenha as indicações das entradas com falhas. Node30:I.InputStatus 0 / Node31:I.CombinedStatus / Node30InputsFaulted L Node31InputsFaulted L Se a borda de subida do sinal de reset da falha for detectada e o status de entrada estiver OK, não retenha a indicação das entradas com falha. 1 FaultReset InputFaultResetOneShot ONS Node30:I.InputStatus Node30InputsFaulted U Node31:I.CombinedStatus Node31InputsFaulted U Se as entradas estiverem com falha, substitua os tags de entrada com os valores do estado de segurança. 2 Node30InputsFaulted Node30:I.Pt00Data U Node30:I.Pt01Data U Node30:I.Pt07Data U 3 Se as entradas estiverem com falha, substitua os tags de entrada com os valores do estado de segurança. Node31InputsFaulted Node31:I.Pt00Data U Node31:I.Pt01Data U Node31:I.Pt11Data U Se a indicação das entradas com falha for verdadeira, defina os valores da entrada Diverse para o estado de segurança (1). 4 Node30InputsFaulted Node30:I.Pt01Data L Node30:I.Pt03Data L Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

76 Capítulo 7 Monitoração de status e manuseio de falhas Exemplo 2 da lógica ladder O nó 30 é um módulo combinado com 8 pontos de entrada/8 pontos de saída. O nó 31 é um módulo de entrada com 12 pontos Se o status da entrada não estiver OK, retenha as indicações das entradas com falhas. Node30:I.InputStatus 0 / Node31:I.CombinedStatus / Node30InputsFaulted L Node31InputsFaulted L Se a borda de subida do sinal de reset da falha for detectada e o status de entrada estiver OK, não retenha a indicação das entradas com falha. 1 FaultReset InputFaultResetOneShot ONS Node30:I.InputStatus Node30InputsFaulted U Node31:I.CombinedStatus Node31InputsFaulted U Se as entradas não estiverem com falha, escreva os valores do tag de entrada para as representações internas das entradas. 2 Node30InputsFaulted Node30:I.Pt00Data Node30Input00 / Node30:I.Pt01Data Node30Input01 Node30:I.Pt07Data Node30Input07 3 Se as entradas não estiverem com falha, escreva os valores do tag de entrada para as representações internas das entradas. Node31InputsFaulted Node31:I.Pt00Data Node31Input00 / Node31:I.Pt01Data Node31Input01 Node31:I.Pt11Data Node31Input11 4 Se a indicação das entradas com falha for verdadeira, defina as representações internas das entradas Diverse para o estado de segurança (1). Node30InputsFaulted Node31Input01 L Node31Input03 L 76 Publicação 1756-RM093F-PT-P Janeiro 2010

77 Monitoração de status e manuseio de falhas Capítulo 7 Partida Travamento da falha de saída e fluxograma de reset Esta função de segurança precisa da intervenção do operador depois de uma falha de saída de segurança? Não Sim Escreva a lógica para travar a falha da saída. (linha 0 do exemplo) Sim As informações de falha de saída necessárias para fins de diagnósticos? Escreva a lógica para configurar as saídas para um estado de segurança. (linha 2 do exemplo) Escreva a lógica para não travar a falha da saída (linha 1 do exemplo) Escreva a lógica para travar a falha da saída. (linha 0 do exemplo) Não Concluído Exemplo 3 da lógica ladder O nó 30 é um módulo combinado com 8 pontos de entrada/8 pontos de saída. Se o status da saída não estiver OK, retenha as indicações das saídas com falhas. Node30:I.OutputStatus 0 / Node30OutputsFaulted L Se a borda de subida do sinal de reset da falha for detectada e o status de entrada estiver OK, não retenha a indicação das entradas com falha. 1 FaultReset InputFaultResetOneShot ONS Node30:I.OutputStatus Node30OutputsFaulted U 2 Node30OutputsFaulted RedundantOutputTag.O1 Node30:O.Pt00Data / RedundantOutputTag.O2 Node30:O.Pt01Data Instruções GSV e SSV As instruções GSV e SSV permitem que você obtenha (GSV) e defina (SSV) dados do sistema do controlador armazenados em objetos de dispositivo. Quando você insere uma instrução GSV/SSV, o software de programação exibe as classes de objeto Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

78 Capítulo 7 Monitoração de status e manuseio de falhas válidas, os nomes de objeto e os nomes de atributo para cada instrução. Há restrições em relação ao uso das instruções GSV e SSV com componentes de segurança. IMPORTANTE A Tarefa de Segurança não pode executar uma operação GSV ou SSV nos atributos padrão. Os atributos dos objetos de segurança que podem ser gravados pela tarefa padrão são apenas para finalidades de diagnóstico. Eles não afetam a execução da Tarefa de Segurança. Recursos adicionais Recurso GuardLogix Controllers User Manual, publicação 1756-UM Compact GuardLogix Controllers User Manual, publicação 1768-UM020 Logix5000 Controllers General Instructions Reference Manual, publicação 1756-RM003 Descrição Fornece informações sobre quais atributos de segurança são acessíveis através das instruções GSV e SSV Contém mais informação sobre o uso das instruções GSV e SSV Falhas do sistema GuardLogix Há três categorias de falhas no sistema GuardLogix: falhas irrecuperáveis do controlador falhas de segurança irrecuperáveis falhas recuperáveis Consulte o GuardLogix Controllers User Manual, publicação 1756-UM020, ou o 1768 Compact GuardLogix Controllers User Manual, publicação 1768-UM002, para obter informações sobre como alterar um SNN. 78 Publicação 1756-RM093F-PT-P Janeiro 2010

79 Monitoração de status e manuseio de falhas Capítulo 7 Falhas não recuperáveis do controlador Uma falha do controlador irrecuperável ocorre se o diagnóstico interno do controlador falhar. A associação é perdida quando uma falha não recuperável do controlador ocorre no controlador principal ou no parceiro de segurança, fazendo com que o outro gere uma falha de tempo-limite de watchdog não recuperável. A execução da tarefa padrão e da Tarefa de Segurança é encerrada e a E/S de segurança é transicionada para o estado seguro. A recuperação de uma falha do controlador não recuperável requer que o programa aplicativo seja descarregado. Falhas de segurança irrecuperáveis Se houver uma falha de segurança não recuperável, o controlador registra a falha no manipulador de falhas com escopo de controlador e encerra a Tarefa de Segurança, incluindo a E/S e a lógica de segurança. Para se recuperar de uma falha de segurança irrecuperável, a memória de segurança é inicializada novamente na assinatura da tarefa de segurança (acontece automaticamente quando você remove a falha) ou, se não houver assinatura de tarefa de segurança, através de um download explícito do projeto de segurança. Você pode cancelar a falha de segurança apagando a entrada do log de falhas através do manipulador de falhas de segurança com escopo de controlador. Isso permite que as tarefas padrão continuem a ser executadas. ATENÇÃO O cancelamento da falha de segurança não a apaga! Se você cancelar a falha de segurança, é sua responsabilidade provar que, mesmo assim, consegue manter o SIL 3. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

80 Capítulo 7 Monitoração de status e manuseio de falhas Falhas recuperáveis As falhas do controlador causadas por erros de programação do usuário em um programa de segurança disparam o controlador para processar a lógica contida no manipulador de falhas do programa de segurança. O manipulador de falhas do programa de segurança fornece ao aplicativo a oportunidade de resolver a condição de falha e se recuperar. ATENÇÃO Você deve fornecer prova para o órgão de certificação que a recuperação automática contra falhas recuperáveis mantém o SIL 3. Quando um manipulador de falhas do programa de segurança não existir ou a falha não for recuperada por ele, o controlador processará a lógica no manipulador de falhas com escopo do controlador, terminando a execução da lógica do programa de segurança e deixando as conexões de E/S ativas, mas ociosas. IMPORTANTE Quando a execução de uma lógica do programa de segurança for terminada devido a uma falha recuperável não manipulada pelo manipulador de falhas do programa de segurança, as conexões de E/S de segurança serão fechadas e reabertas para uma nova inicialização das conexões de segurança. Se a lógica do usuário for terminada como resultado de uma falha recuperável que não é recuperada, as saídas de segurança são colocadas no estado seguro e o produtor dos tags consumidos de segurança ordena aos consumidores que os coloquem em um estado seguro. DICA Quando usar uma E/S de segurança para aplicações padrão, a E/S de segurança será comandada ao estado seguro se a lógica do usuário for determinada como um resultado de uma falha recuperável que não é recuperada. Se uma falha de segurança recuperável é cancelada no manipulador de falhas com escopo de controlador, apenas as tarefas padrão são mantidas em execução. Se a falha não for cancelada, as tarefas padrão também serão encerradas. ATENÇÃO O cancelamento da falha de segurança não a apaga! Se você cancelar a falha de segurança, é sua responsabilidade provar que, mesmo assim, consegue manter o SIL Publicação 1756-RM093F-PT-P Janeiro 2010

81 Apêndice A Instruções de segurança Introdução Tópico Página Instruções da aplicação de segurança 81 Forma de Metal Instruções de Aplicação de 83 Segurança Instruções de segurança 84 Recursos adicionais 85 Para mais informações, consulte nossa certificação de segurança em safety/. Instruções da aplicação de segurança RSLogix 5000, Versão 17 ou posterior, Instruções da aplicação de segurança Mnemônico Nome Finalidade Certificação CROUT Saída redundante Controla e monitora saídas redundantes. BG configurável TÜV DCS Entrada de canal Monitora os dispositivos de segurança de entrada dupla, cuja principal BG duplo Parada finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch. TÜV DCST Entrada de canal Monitora os dispositivos de segurança de entrada dupla, cuja principal BG duplo Parada com finalidade é permitir uma função de parada, como parada de teste emergência, cortina de luz ou switch. Inclui a capacidade adicional TÜV de inicializar uma função de teste no dispositivo de parada. DCSTL DCSTM DCM DCSRT Entrada de canal duplo Parada com teste e trava Entrada de canal duplo Parada com teste e muting. Entrada de canal duplo Monitoração Entrada de canal duplo Partida Monitora os dispositivos de segurança de entrada dupla, cuja principal finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch. Inclui a capacidade adicional de inicializar um teste de funcional de dispositivo de parada e pode monitorar um sinal de realimentação de um dispositivo de segurança e acionar uma solicitação de trava para um dispositivo de segurança. Monitora os dispositivos de segurança de entrada dupla, cuja principal finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch. Inclui a capacidade adicional de inicializar um teste funcional do dispositivo de parada e a habilidade de colocar em muting o dispositivo de segurança. Monitora os dispositivos de entrada dupla. Energiza os dispositivos de segurança, cuja função principal é dar a partida no equipamento de forma segura, por exemplo, uma habilitação pendente. SMAT Tapete de segurança Indica se o tapete de segurança está ocupado ou não. TÜV Allen-Bradley HMIs BG TÜV TÜV BG TÜV BG TÜV Publicação 1756-RM093F-PT-P Janeiro

82 Apêndice A Instruções de segurança Mnemônico Nome Finalidade Certificação THRSe TSAM TSSM FSBM Estação de operação bimanual Avançada Sensor duplo de muting assimétrico Sensor duplo de muting simétrico Sensor quádruplo bidirecional de muting Monitora duas entradas de segurança diferentes, uma de um botão pulsador direito e uma de um botão pulsador esquerdo, para controlar uma saída simples. Recursos configuráveis de tempo de discrepância canal a canal e capacidade aprimorada para o bypass de uma operação de estação bimanual. Possibilita desabilitação temporária automática da função de proteção de uma cortina de luz, usando dois sensores muting dispostos assimetricamente. Possibilita desabilitação temporária automática da função de proteção de uma cortina de luz, usando dois sensores muting dispostos simetricamente. Possibilita desabilitação temporária automática da função de proteção de uma cortina de luz, usando quatro sensores dispostos em sequência antes e depois do campo de detecção da cortina de luz. BG TÜV TÜV TÜV TÜV RSLogix 5000, Versão 14 ou posterior, Descrições das instruções da aplicação de segurança Mnemônico Nome Finalidade Certificação ENPEN Habilitação pendente Monitora duas entradas de segurança para controlar uma única saída TÜV e tem um valor de tempo-limite inconsistente de entradas de 3 s. ESTOP Parada de Emergência Monitora duas entradas de segurança para controlar uma única saída TÜV e tem um valor de tempo-limite inconsistente de entradas de 500 ms. RIN Redundant Input Monitora duas entradas de segurança para controlar uma única saída TÜV e tem um valor de tempo-limite inconsistente de entradas de 500 ms. ROUT Saída Redundante Monitora o estado de uma entrada para controlar e monitorar duas TÜV saídas. DIN Entrada Diversa Monitora duas entradas de segurança diferentes para controlar uma única saída e tem um valor de tempo-limite inconsistente de entradas de 500 ms. TÜV FPMS THRS Modo Seletor de 5 Posições Estação de Operação Bimanual Monitora cinco entradas de segurança para controlar uma das cinco saídas correspondentes à entrada ativa. Monitora duas entradas de segurança diferentes, uma de um botão pulsador direito e uma de um botão pulsador esquerdo, para controlar uma saída simples. LC Cortina de Luz Monitora duas entradas de segurança de uma Cortina de Luz para controlar uma única saída. TÜV TÜV TÜV 82 Publicação 1756-RM093F-PT-P Janeiro 2010

83 Instruções de segurança Apêndice A Forma de Metal Instruções de Aplicação de Segurança Essas instruções estão disponíveis no software RSLogix 5000, versão 17 ou posterior. Mnemônico Nome Finalidade Certificação CBCM Modo Contínuo de Freio de Embreagem Usado para aplicações de prensa onde se deseja a operação contínua. BG TÜV CBIM Modo de avanço lento Usado para aplicações de prensa onde pequenos ajustes ao dispositivo BG de Freio de corrediço são necessários, bem como a configuração da prensa. Embreagem TÜV CBSSM Modo de Alimentação Simples do Freio da Embreagem Usado em aplicações de prensa de ciclo-simples. BG TÜV CPM Monitor da Posição Virabrequim. Usado para determinar a posição do dispositivo corrediço da prensa. BG TÜV CSM Monitorar Eixo de cames Monitora o movimento de partida, parada e execução na operação de um eixo de cames. BG TÜV EPMS Modo Seletor Monitora oito entradas de segurança para controlar uma das oito saídas BG de 8-Posições correspondentes à entrada ativa. TÜV AVC Controle de Válvula Controla uma válvula auxiliar que é usada em conjunto com uma válvula TÜV Auxiliar principal. MVC Controle de Válvula Principal Controla e monitora uma válvula principal. BG TÜV MMVC Controle de Manutenção de Válvula Manual Usada para impulsionar manualmente uma válvula durante operações de manutenção. BG TÜV Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

84 Apêndice A Instruções de segurança Instruções de segurança Rotinas na tarefa de segurança podem usar essas instruções de segurança de lógica ladder. Instruções de segurança de lógica ladder, software RSLogix 5000, versão 14 e posterior Tipo Mnemônico Nome Finalidade Bit Temporizador Comparação Mover Lógica XIC Verifique se estiver Habilitar saídas quando um bit estiver configurado Fechada XIO Verifique se estiver Habilitar saídas quando um bit for apagado Aberta OTE Energizar Saída Habilitar um bit OTL Energizar saída com Habilitar um bit (retenção) retenção OTU Desenergizador de Apagar bit (retenção) saída com retenção ONS Monoestável Acionar um evento para que ocorra uma vez OSR OSF Monoestável Ascendente Monoestável Descendente Acionar um evento para que ocorra uma vez no momento falso para verdadeiro (crescente) da alteração de estado Acionar um evento para que ocorra uma vez no momento verdadeiro para falso (decrescente) da alteração de estado TON Temporizador de Por quanto tempo o temporizador é habilitado energização TOF Temporizador de Por quanto tempo o temporizador é desabilitado desenergização RTO Temporizador retentivo Tempo acumulado ligado CTU Contagem progressiva Contagem progressiva CTD Contagem regressiva Contagem regressiva RES Reinicializar Reinicializar um temporizador ou contador EQU Corresponde a Testar se dois valores são iguais GEQ Maior ou Igual a Testar se um valor é maior do que ou igual a um segundo valor GRT Maior que Testar se um valor é maior que um segundo valor LEQ Menor ou Igual a Testar se um valor é menor que ou igual a um segundo valor LES Menor que Testar se um valor é menor que um segundo valor MEQ Comparação Passar a origem e comparar valores por meio de uma máscara e testar se eles Mascarada para são iguais Igualdade NEQ Não é Igual a Testar se um valor é diferente de um segundo valor LIM Teste de Limite Testar se um valor está em uma faixa especificada CLR Apagar Apagar um valor COP (1) Copiar Copiar um valor MOV Mover Copiar um valor MVM Mover mascarado Copiar uma parte específica de um número inteiro AND Bitwise AND Executar a operação AND bit a bit NOT Bitwise NOT Executar a operação NOT bit a bit OR Bitwise OR Executar a operação OR bit a bit XOR Bitwise Exclusive OR Executar a operação OR exclusiva bit a bit 84 Publicação 1756-RM093F-PT-P Janeiro 2010

85 Instruções de segurança Apêndice A Instruções de segurança de lógica ladder, software RSLogix 5000, versão 14 e posterior Tipo Mnemônico Nome Finalidade Controle de Programa Matemática/ Computação E/S JMP Saltar para registro Pular uma seção de lógica que nem sempre precisa ser executada (pula para a instrução da etiqueta mencionada) LBL Etiqueta Rotular uma instrução para que ela possa ser mencionada por uma instrução JMP JSR Saltar para sub-rotina Pular para uma rotina separada RET Retorno Retornar os resultados de uma sub-rotina SBR Sub-rotina Passar dados para uma sub-rotina TND Fim Temporário Marcar um fim temporário que encerre a execução da rotina MCR Reset de Controle Desabilitar todas as linhas em uma seção de lógica Mestre AFI Instrução Sempre Falsa Desabilitar uma linha NOP Sem Operação Inserir um espaço reservado na lógica ADD Adicionar Somar dois valores SUB Subtrair Subtrair dois valores MUL Multiplicar Multiplicar dois valores DIV Dividir Dividir dois valores MOD Módulo Determinar o restante depois que um valor for dividido por um segundo valor SQR Raiz Quadrada Calcular a raiz quadrada de um valor NEG Negar Pegar o sinal oposto de um valor ABS Valor Absoluto Pegar o valor absoluto de um valor GSV (2) Obter Valor do Sistema Obter informações de status do controlador SSV (2) Definir Valor do Configurar informações de status do controlador Sistema (1) O operando de comprimento deve ser uma constante quando a instrução COP for usada em uma rotina de segurança. Os comprimentos da origem e do destino devem ser os mesmos. (2) Consulte o GuardLogix Controllers User Manual, publicação 1756-UM020, para considerações especiais quando usar as instruções GSV e SSV. Recursos adicionais Recurso GuardLogix Safety Application Instruction Set Reference Manual, publicação 1756-RM095 Logix5000 Controllers General Instructions Reference Manual, publicação 1756-RM003 Descrição Fornece mais informações sobre as instruções da aplicação de segurança Contém informações detalhadas sobre o conjunto de instruções Logix Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

86 Apêndice A Instruções de segurança Observações: 86 Publicação 1756-RM093F-PT-P Janeiro 2010

87 Apêndice B Instruções add-on de segurança Introdução Tópico Página Criação e uso de uma instrução add-on de 87 segurança Recursos adicionais 92 Com o software RSLogix 5000, versão 18 e posterior, é possível criar instruções de segurança add-on. As instruções de segurança add-on permitem que você sintetize a lógica de segurança geralmente usada em uma única instrução, transformando-a em modular e mais fácil de ser reutilizada. As instruções add-on de segurança usam a assinatura de instrução de alta integridade de instruções add-on e também uma assinatura de instrução de segurança SIL 3 para uso em funções relacionadas à segurança até SIL 3 inclusive. Criação e uso de uma instrução add-on de segurança O fluxograma na página 88 mostra as etapas necessárias para a criação de uma instrução add-on de segurança e depois o uso dessa instrução em um programa de aplicação de segurança SIL 3. Os itens sombreados são etapas únicas para as instruções add-on. Os itens em negrito estão explicados nas próximas seções do fluxograma. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

88 Apêndice B Instruções add-on de segurança Fluxograma para criação e uso de instruções add-on de segurança Criar uma instrução add-on de segurança Usar uma instrução add-on de segurança Modificar uma instrução add-on de segurança (off-line) Criar um projeto de teste de instrução add-on Criar instrução add-on de segurança Criar ou abrir um projeto Importar instrução add-on de segurança Gerar assinatura de instrução Criar/modificar aplicação Criar/modificar programa de teste Descarregar Modificar instrução add-on de segurança Descarregar (Gerar assinatura de instrução de segurança) Verificar assinaturas de instrução add-on de segurança Excluir assinatura de instrução Alterar modo de operação Retornar ao projeto de teste original Não Instrução de assinatura válida? Sim Ficar off-line Executar teste de qualificação de instrução add-on SIL3 Retornar ao projeto de teste original Não Assinatura de instrução de segurança válida? Sim Excluir a assinatura de tarefa de segurança, caso exista Não Todos os testes passaram? Testar o programa aplicativo Sim Confirmar projeto Alterar modo para programa Validar segurança de instrução add-on Criar assinatura de tarefa de segurança Criar entrada de histórico de assinatura (off-line) Registrar Assinatura de Instrução, Data/Hora e Assinatura de Instrução de Segurança Exportar instrução add-on de segurança Fazer modificações necessárias Excluir assinatura de tarefa de segurança Não Confirmar projeto Alterar Modo de Operação Teste de verificação do projeto Instrução add-on de segurança disponível para uso Sim Mudanças para a instrução add-on são necessárias? Não Todos os testes passaram? Sim Registrar assinatura de tarefa de segurança Projeto validado de segurança Não Projeto validado? Sim Concluído 88 Publicação 1756-RM093F-PT-P Janeiro 2010

89 Instruções add-on de segurança Apêndice B Criar um projeto de teste de instrução add-on É necessário criar um único teste de projeto, especificamente para criar e testar a instrução add-on de segurança. Este projeto deve ser separado e específico para minimizar consequências inesperadas. Siga as orientações para projetos descritas em Criação do projeto na página 60. Criar uma instrução add-on de segurança Para obter orientações sobre como criar instruções add-on, consulte o Logix5000 Controllers Add-On Instruction Programming Manual, publicação 1756-PM010. Gerar assinatura de instrução A assinatura da instrução permite que você determine rapidamente se a instrução foi alterada. Cada Instrução Add-On tem a capacidade de ter a sua própria assinatura. A assinatura de instrução é solicitada quando uma Instrução Add-On for usada em funções relacionadas à segurança e podem ser solicitadas para indústrias regulamentadas. Use-a quando sua aplicação precisar de um nível mais alto de integridade. A assinatura de instrução consiste em um número ID e um registro de data e hora que identifica o conteúdo da Instrução Add-On em um tempo determinado. Uma vez gerada, a assinatura de instrução trava a Instrução Add-On, evitando que ela seja editada enquanto a assinatura estiver acionada. Isso inclui comentários de linha, descrições de tag e qualquer documentação de instrução que seja criada. Quando a instrução está travada, você pode realizar apenas estas ações: Copiar a assinatura de instrução Criar ou copiar uma entrada de histórico de assinatura Criar exemplos de Instrução Add-On Baixar a instrução Remover a assinatura de instrução Imprimir relatórios Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

90 Apêndice B Instruções add-on de segurança Quando uma assinatura de instrução é gerada, o software RSLogix 5000 mostra a definição da instrução com o ícone do selo. IMPORTANTE Caso pretenda proteger sua Instrução Add-On usando a função de proteção de fonte no software RSLogix 5000, você deve ativar a proteção de fonte antes de gerar a assinatura de instrução. Descarregue e gere a assinatura de instrução de segurança Quando uma Instrução Add-On de segurança travada é descarregada pela primeira vez, uma assinatura de instrução de segurança SIL 3 é gerada automaticamente. A assinatura da instrução de segurança é um número de ID que identifica as características de execução da Instrução Add-On de segurança. Teste de qualificação de instrução Add-On SIL 3 O teste da Instrução Add-On de Segurança SIL 3 deve ser feito em uma aplicação dedicada em separado para garantir que influências indesejáveis sejam minimizadas. O desenvolvedor deve acompanhar um teste bem-projetado e realizar um teste de unidade de Instrução Add-On de segurança que exercite todos os caminhos de execução possíveis por meio da lógica, incluindo as faixas válidas e inválidas de todos os parâmetros de entrada. O desenvolvimento de todas as Instruções Add-On de segurança deve cumprir as Exigências para teste de módulo de software IEC 61508, que fornece as exigências detalhadas para o teste de unidade. Confirmar o projeto Você deve imprimir ou exibir o projeto e comparar manualmente as configurações de E/S e do controlador de segurança carregadas, os dados de segurança, definições de Instrução Add-On e a lógica do programa de segurança para garantir que os componentes de segurança corretos foram baixados, testados e retidos no programa aplicativo de segurança. Consulte Criação do projeto na página 60 para uma descrição de um método para confirmar um projeto. 90 Publicação 1756-RM093F-PT-P Janeiro 2010

91 Instruções add-on de segurança Apêndice B Instruções Add-On de segurança validada Uma revisão de terceiros independentes da instrução de segurança add-on pode ser solicitada antes que a instrução seja aprovada para o uso. Uma validação de terceiros independentes é solicitada para a SIL 3 IEC Criar uma entrada de histórico de assinatura O histórico de assinatura fornece um registro para referência futura. Uma entrada de histórico de assinatura consiste na instrução de assinatura, no nome do usuário, o valor do registro de data e hora e uma descrição definida pelo usuário. Até seis entradas de histórico podem ser armazenadas. Você deve estar off-line para criar uma entrada de histórico de assinatura. DICA O relatório de listagem de assinatura no software RSLogix 5000 imprime as instruções de assinatura, o registro de data e hora e a assinatura da instrução de segurança. Imprima o relatório clicando com o botão direito do mouse em Add-On Instruction no organizador do controlador escolhendo Print>Signature Listing. Exportar e importar a instrução Add-on de segurança Quando exportar uma Instrução Add-On de segurança, escolha a opção para incluir todas as Instruções Add-On e os Tipos definidos pelo usuário referenciados no mesmo arquivo para exportação. Ao incluir as Instruções Add-On referenciadas, será mais fácil preservar as assinaturas. Quando importar Instruções Add-On, considere essas orientações. Não se pode importar uma Instrução Add-On de segurança para um projeto padrão. Não se pode importar uma Instrução Add-On de segurança para um projeto de segurança que tem trava de segurança ou que tenha uma assinatura de tarefa de segurança. Não se pode importar uma Instrução Add-On de segurança enquanto estiver on-line. Caso importe uma Instrução Add-On com uma assinatura de instrução para um projeto quando Instruções Add-On ou Tipos Definidos pelo Usuário referenciado não estiverem disponíveis, é preciso remover a assinatura. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

92 Apêndice B Instruções add-on de segurança Verificar assinaturas de instrução Add-On de segurança Depois de descarregar o projeto de aplicação contendo a Instrução Add-On de segurança importada, deve compara o valor da instrução de assinatura, a data e o registro de data e hora e os valores da assinatura da instrução de segurança com os valores originais que registrou anteriormente para exportar a Instrução Add-On de segurança. Se forem correspondentes, a Instrução Add-On de segurança é válida e é possível continuar com a validação de sua aplicação. Testar o programa aplicativo Esta etapa consiste em uma combinação de modo de Operação e modo de Programa, edições de programa on-line ou off-line, carregar e descarregar, e testes informais que são exigidos para executar a aplicação adequadamente. Testar a verificação do projeto Realizar um teste de engenharia da aplicação, incluindo o sistema de segurança. Consulte Testes de verificação funcional na página 14 e Teste de verificação do projeto na página 61 para mais informações sobre as especificações. Projeto validado de segurança Uma revisão independente, feita por terceiros, do sistema de segurança pode ser necessária para que o sistema seja considerado aprovado para operação. Uma validação de terceiros independentes é solicitada para a SIL 3 IEC Recursos adicionais Recurso Logix5000 Controllers Add-On Instructions Programming Manual, publicação 1756-PM010 Import/Export Project Components Programming Manual, publicação 1756-PM019 Descrição Fornece informação sobre planejamento, criação, uso, importação e exportação de Instruções Add-On em aplicações RSLogix Contém informação detalhada sobre importação e exportação. 92 Publicação 1756-RM093F-PT-P Janeiro 2010

93 Apêndice C Tempos de reação Introdução Tópico Página Tempo de reação do sistema 93 Tempo de reação do Sistema Logix 93 Tempo de reação do sistema Para determinar o tempo de reação do sistema de qualquer cadeia de controle, você deve somar os tempos de reação de todos os componentes da cadeia de segurança. Tempo de Reação do Sistema = Tempo de Reação do Sensor + Tempo de Reação do Sistema Logix + Tempo de Reação do Atuador Tempo de reação do sistema Tempo de reação do sistema Tempo de reação do sensor Tempo de reação da entrada Tempo de reação da tarefa de segurança Tempo de reação da saída Tempo de reação do atuador Tempo de reação do sistema Logix Módulo de entrada Conexão de entrada Lógica Conexão de saída Módulo de saída Tempo de reação do Sistema Logix As próximas seções fornecem informações sobre como calcular o Tempo de Reação do Sistema Logix para uma cadeia entrada-lógica-saída simples e para uma aplicação mais complexa que use tags de segurança produzidos/consumidos na cadeia lógica. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

94 Apêndice C Tempos de reação Cadeia entrada-lógica-saída simples Tempo de reação do sistema Logix para cadeia entrada-lógica-saída simples 3 Lógica Controlador GuardLogix Módulo de comunicação 1 Módulo de entrada de segurança 2 Conexão de entrada de segurança Rede CIP Safety 4 Conexão de saída de segurança 5 Módulo de saída de segurança O tempo de reação do sistema Logix para qualquer cadeia entrada-lógica-saída contém os seguintes cinco componentes: 1. Tempo de Atraso do Módulo de Entrada 2. Tempo de transferência dos dados de entrada através da conexão de entrada 3. Tempo de processamento do controlador (Lógica) 4. Tempo de transferência dos dados de saída através da conexão de saída 5. Tempo de Atraso do Módulo de Saída Para ajudá-lo a determinar o tempo de reação da malha de controle determinada, uma planilha do Microsoft Excel está disponível na pasta Tools do CD do software RSLogix Publicação 1756-RM093F-PT-P Janeiro 2010

95 Tempos de reação Apêndice C Cadeia de lógica usando tags de segurança produzidos/ consumidos Tempo de reação do sistema Logix para a cadeia controlador de entrada a lógica-controlador B lógica-saída 4 Conexão de segurança produzida/consumida Rede Ethernet Switch EtherNet Rede Ethernet 3 Lógica 5 Lógica Controlador GuardLogix Módulo DeviceNet Módulo EtherNet Controlador GuardLogix Módulo DeviceNet Módulo EtherNet 1 Módulo de entrada de segurança 2 Conexão de entrada de segurança Rede CIP Safety Rede CIP Safety 6 Conexão de saída de segurança 7 Módulo de saída de segurança O Tempo de Reação do Sistema Logix para qualquer cadeia controlador de entrada A lógica-controlador B lógica-saída consiste nos sete componentes a seguir: 1. *Tempo de atraso do módulo de entrada 2. Tempo de transferência dos dados de entrada através da conexão de entrada 3. Tempo de processamento do controlador (lógica) 4. Tempo de transferência de dados produzidos/consumidos através da conexão produzida/consumida 5. Tempo de processamento do controlador (lógica) 6. Tempo de transferência dos dados de saída através da conexão de saída 7. Tempo de atraso do módulo de saída Para ajudá-lo a determinar o tempo de reação da malha de controle determinada, uma planilha do Microsoft Excel está disponível na pasta Tools do CD do software RSLogix Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

96 Apêndice C Tempos de reação Fatores que afetam o tempo de reação do Logix Os componentes do tempo de reação do Logix descritos nas seções anteriores podem ser influenciados por vários fatores. Fatores que afetam o tempo de reação do sistema logix Estes somponentes do tempo de reação Tempo de Atraso do Módulo de Entrada Tempo de transferência dos dados de entrada através da conexão de entrada Tempo de processamento do controlador Tempo de transferência de dados de tag produzidos/consumidos através da conexão produzida/consumida Tempo de transferência dos dados de saída através da conexão de saída Tempo de Atraso do Módulo de Saída São influenciados pelos fatores a seguir Configurações do Atraso do Ponto de Entrada Tipo do módulo de entrada Configurações do módulo de entrada para: (1) RPI multiplicador de tempo-limite multiplicador de atraso A quantidade do tráfego de comunicação da rede A ambiente EMC do sistema Configuração do Período da Tarefa de Segurança Configuração do Watchdog da Tarefa de Segurança O número e o tempo de execução das instruções na Tarefa de Segurança Quaisquer tarefas de prioridade maior que podem ser antecipar a execução da Tarefa de Segurança Configurações de tag consumido para: (2) RPI multiplicador de tempo-limite multiplicador de atraso A quantidade do tráfego de comunicação da rede A ambiente EMC do sistema Configuração do Período da Tarefa de Segurança Configuração do módulo de saída para: multiplicador de tempo-limite multiplicador de atraso A quantidade do tráfego de comunicação da rede A ambiente EMC do sistema Tipo do módulo de saída (1) Essas configurações estão disponíveis no software RSLogix 5000 pressionando-se o botão Advanced na guia Safety da caixa de diálogo Module Properties. (2) Essas configurações estão disponíveis no software RSLogix 5000 pressionando-se o botão Advanced na guia Safety da caixa de diálogo Consumed Tag Safety Data. 96 Publicação 1756-RM093F-PT-P Janeiro 2010

97 Tempos de reação Apêndice C Recursos adicionais Recurso GuardLogix Controllers User Manual, publicação 1756-UM Compact GuardLogix Controllers User Manual, publicação 1768-UM020 Descrição Contém informações sobre a configuração dos tempos de atraso e limites do tempo de reação para a conexão de entrada, tarefa de segurança e conexão de saída. Consulte a documentação do produto de seu módulo específico para tempos de reação associados aos módulos de E/S CIP Safety. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

98 Apêndice C Tempos de reação Observações: 98 Publicação 1756-RM093F-PT-P Janeiro 2010

99 Apêndice D Listas de verificação para as aplicações de segurança do GuardLogix Introdução As listas de verificação deste apêndice são necessárias para planejar, programar e iniciar uma aplicação GuardLogix certificada para SIL 3. Elas podem ser usadas como guias de planejamento e também durante os testes de verificação funcional. Se usadas como guias de planejamento, as listas de verificação podem ser salvas como um registro do plano. As listas de verificação incluídas nas próximas páginas fornecem um exemplo de considerações de segurança e não têm intenção de serem uma lista completa de itens a serem verificados. A sua aplicação de segurança específica pode ter especificações de segurança adicionais, para os quais fornecemos espaço nas listas de verificação. Tópico Página Lista de verificação para o sistema do controlador 100 GuardLogix Lista de verificação para entradas de segurança 101 Lista de verificação para saídas de segurança 102 Lista de verificação para desenvolver um programa 103 aplicativo de segurança DICA Faça cópias das listas de verificação e guarde estas páginas para o futuro. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

100 Apêndice D Listas de verificação para as aplicações de segurança do GuardLogix Lista de verificação para o sistema do controlador GuardLogix Empresa Planta Definição da função de segurança Número Especificações do sistema Lista de verificação para o sistema GuardLogix 1 Você está usando somente componentes listados em Componentes GuardLogix certificados para SIL-3 na página 17 e o site com a versão do firmware correspondente? 2 Você calculou o tempo de resposta de segurança do sistema para cada cadeia de segurança? 3 O tempo de resposta do sistema inclui o tempo do software de watchdog do programa da tarefa de segurança definido pelo usuário (watchdog do software) e o período/taxa da tarefa de segurança? 4 O tempo de resposta do sistema tem uma relação adequada com o tempo de tolerância do processo? 5 Os valores de probabilidade (PFD/PFH) foram calculados de acordo com a configuração do sistema? 6 Você executou todos os testes de verificação funcional apropriados? 7 Você determinou a forma como o sistema lidará com as falhas? 8 Cada rede no sistema de segurança possui um SNN exclusivo? 9 Todos os dispositivos CIP Safety estão configurado com o SNN correto? 10 Você gerou uma assinatura tarefa de segurança? 11 Você carregou e registrou a assinatura de tarefa de segurança para comparação futura? 12 Depois de um download, você verificou se a assinatura da tarefa de segurança no controlador corresponde à assinatura de tarefa de segurança registrada? 13 Você tem um mecanismo alternativo para preservar a integridade da segurança do sistema quando estiver fazendo edições on-line? 14 Você levou em consideração as listas de verificação para usar as entradas e saídas SIL listadas nas páginas 101 e 102? Satisfeito Sim Não Comentário 100 Publicação 1756-RM093F-PT-P Janeiro 2010

101 Listas de verificação para as aplicações de segurança do GuardLogix Apêndice D Lista de verificação para entradas de segurança Para programação ou partida, uma lista de verificação individual pode ser preenchida para cada canal de entrada SIL em um sistema. Essa é a única forma de garantir que os requisitos estão completamente e claramente implementados. Essa lista de verificação também pode ser usada como documentação sobre a conexão de fiação externa para o programa aplicativo. Empresa Planta Definição da função de segurança Canais de entrada SIL Número Especificações do módulo de entrada Lista de verificação para o sistema GuardLogix 1 Você seguiu as instruções de instalação e as precauções de forma a ficar em conformidade com os padrões de segurança aplicáveis? 2 Você executou testes de verificação funcional no sistema e nos módulos? 3 As funções de controle, diagnóstico e de alarme são executadas em seqüência na lógica do aplicativo? 4 Você carregou e comparou a configuração de cada módulo com a configuração enviada pela ferramenta de configuração? 5 Os módulos conectados estão em conformidade com PLe/Cat. 4 de acordo com ISO ? (1) 6 Você verificou se as especificações elétricas do sensor e da entrada são compatíveis? Satisfeito Sim Não Comentário (1) Para obter informações sobre a fiação no módulo de E/S CIP Safety, consulte a documentação do produto para seu módulo específico. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

102 Apêndice D Listas de verificação para as aplicações de segurança do GuardLogix Lista de verificação para saídas de segurança Para programação ou partida, uma lista de verificação de especificações individuais deve ser preenchida para cada canal de saída SIL em um sistema. Essa é a única forma de garantir que os requisitos estão completamente e claramente implementados. Essa lista de verificação também pode ser usada como documentação sobre a conexão de fiação externa para o programa aplicativo. Lista de verificação de saída para o sistema GuardLogix Empresa Local Definição da função de segurança Canais de saída SIL Número Especificações do módulo de saída Satisfeito Sim Não 1 Você seguiu as instruções de instalação e as precauções de forma a ficar em conformidade com os padrões de segurança aplicáveis? 2 Você executou testes de verificação funcional nos módulos? 3 Você carregou e comparou a configuração de cada módulo com a configuração enviada pela ferramenta de configuração? 4 Você verificou se as saídas do teste não são usadas como saídas de segurança? 5 Os módulos conectados estão em conformidade com PLe/Cat. 4 de acordo com ISO ? (1) 6 Você verificou se as especificações elétricas da saída e do atuador são compatíveis? Comentário (1) Para obter informações sobre a fiação no módulo de E/S CIP Safety, consulte a documentação do produto para seu módulo específico. 102 Publicação 1756-RM093F-PT-P Janeiro 2010

103 Listas de verificação para as aplicações de segurança do GuardLogix Apêndice D Lista de verificação para desenvolver um programa aplicativo de segurança Use a próxima lista de verificação para ajudar a manter a segurança durante a criação ou modificação de um programa aplicativo de segurança. Lista de verificação para o desenvolvimento do programa aplicativo do GuardLogix Empresa Planta Definição do projeto Número Especificações do programa aplicativo Satisfeito Sim Não 1 Você está usando a versão 14, versão 16 ou posterior do software RSLogix 5000 (1), o software de programação do sistema GuardLogix? 2 As orientações de programação no Capítulo 6 foram seguidas durante a criação do programa aplicativo de segurança? 3 O programa aplicativo de segurança contém lógica ladder? 4 O programa aplicativo de segurança contém apenas as instruções listadas no Apêndice A conforme adequadas para a programação da aplicação de segurança? 5 O programa aplicativo de segurança diferencia claramente os tags de segurança e padrão? 6 Apenas tags de segurança estão sendo usados para rotinas de segurança? 7 Você verificou se as rotinas de segurança não tentam ler ou gravar nos tags padrão? 8 Você verificou se nenhum tag de segurança é chamado como tag padrão e vice-versa? 9 Todos os tags de saída de segurança estão configurados corretamente e conectados a um canal de saída físico? 10 Você verificou se todos os tags mapeados foram condicionados na lógica de aplicação de segurança? 11 Você definiu os parâmetros do processo que são monitorados pelas rotinas de falha? 12 Todas as instruções add-on de segurança estão travadas com uma assinatura de instrução e a assinatura de instrução de segurança está registrada? 13 O programa foi revisado por um editor de segurança independente (se necessário)? 14 A revisão foi documentada e assinada? Comentário (1) O software RSLogix 5000, versão 18 ou posterior, é compatível com os controladores 1768 Compact GuardLogix. Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

104 Apêndice D Listas de verificação para as aplicações de segurança do GuardLogix Observações: 104 Publicação 1756-RM093F-PT-P Janeiro 2010

105 Apêndice E Dados de probabilidade de falha sob solicitação (PFD) e de probabilidade de falha por hora (PFH) Introdução Tópico Página Dados de segurança do controlador GuardLogix e Guard I/O 105 Valores PFD 106 Valores PFH 106 Os exemplos a seguir mostram os valores de probabilidade de falha sob solicitação (PFD) e a probabilidade de falha por hora (PFH) para sistemas GuardLogix 1oo2 SIL 3. Dados de segurança do controlador GuardLogix e Guard I/O Todos os exemplos usam os seguintes dados. Especificações de segurança do controlador GuardLogix Atributo Controladores 1756 GuardLogix Tolerância à falha de hardware 1 1 Fração de falha de segurança 99,1% 99,0% Intervalo de teste de funcionamento (T1) 20 anos 20 anos Controladores 1768 Compact GuardLogix Allen-Bradley HMIs Publicação 1756-RM093F-PT-P Janeiro

106 Apêndice E Dados de probabilidade de falha sob solicitação (PFD) e de probabilidade de falha por hora (PFH) Valores PFD Cód. cat. Descrição PFD calculado por teste de intervalo de funcionamento 2 anos ( horas) 5 anos ( horas) PFD calculado 10 anos ( horas) 5.5E anos ( horas) 1.2E L6xS e Controlador GuardLogix 1756-LSP não aplicável 1768-L43S, Controlador Compact GuardLogix 1.1E E E E L45S 1791DS-IB12 Módulo de entrada de 12 pontos CIP Safety 1.754E E E E-06 (1) 1791DS-IB16 Módulo de entrada de 16 pontos CIP Safety 1.70E E E E DS-IB8XOB8 Módulo de entrada com 8 pontos/saída com 1.755E E E-06 8 pontos CIP Safety 6.013E-06 (1) 1791DS-IB4XOW4 Módulo de entrada com 4 pontos/saída a relé 4.151E E E-04 com 4 pontos CIP Safety 7.684E-04 (1) 1791DS-IB8XOBV4 Módulo de entrada com 8 pontos/saída com 1.75E E E E DS-IB8XOBV4 1732DS-IB8 4 bipolares CIP Safety Módulo de entrada de 8 pontos CIP Safety 1.70E E E E IB16 Módulo de entrada de 16 pontos CIP Safety 1.65E E E E ES-IB8XOBV4 Módulo de entrada com 8 pontos/saída com 1.70E E E E-05 4 bipolares CIP Safety 1734-IB8S Módulo de entrada de 8 pontos CIP Safety 1.17E E E E OB8S Módulo de entrada de 8 pontos CIP Safety 1.21E E E E-05 (1) Os dados PFD de 20 anos para este produto são aplicados apenas aos produtos com data de fabricação código 2009/01/01 (1º de janeiro de 2009) ou posterior. Consulte a etiqueta do produto para a data do código. Valores PFH Os dados abaixo aplicam-se à prova de intervalos de teste superiores a 20 anos inclusive. Cálculos PFH Cód. cat. Descrição PFH (1/hora) 1756-L6xS e 1756-LSP Controlador GuardLogix 2.0E L43S e 1768-L45S Controlador Compact GuardLogix 2.0E DS-IB12 Módulo de entrada de 12 pontos CIP Safety 6.84E-11 (1) 1791DS-IB16 Módulo de entrada de 16 pontos CIP Safety 1.94E DS-IB8XOB8 Módulo de entrada com 8 pontos/saída com 8 pontos CIP Safety 6.84E-11 (1) 1791DS-IB4XOW4 Módulo de entrada com 4 pontos/saída a relé com 4 pontos CIP Safety 4.072E-09 (1) 1791DS-IB8XOBV4 Módulo de entrada com 8 pontos/saída com 4 bipolares CIP Safety 2.00E DS-IB8XOBV4 1732DS-IB8 Módulo de entrada de 8 pontos CIP Safety 1.94E ES-IB16 Módulo de entrada de 16 pontos CIP Safety 1.89E ES-IB8XOBV4 Módulo de entrada com 8 pontos/saída com 4 bipolares CIP Safety 1.94E IB8S Módulo de entrada de 8 pontos CIP Safety 1.34E OB8S Módulo de entrada de 8 pontos CIP Safety 1.38E-10 (1) Os dados PFD de anos para este produto são aplicados apenas aos produtos com data de fabricação código 2009/01/01 (1º de janeiro de 2009) ou posterior. Consulte a etiqueta do produto para a data do código. 106 Publicação 1756-RM093F-PT-P Janeiro 2010