sistemas dos controladores guardlogix 5580 e compact ... › idc › ...sistemas dos controladores...

Sistemas dos controladores GuardLogix 5580 e Compact GuardLogix 5380códigos de catálogo 1756-L81ES, 1756-L82ES, 1756-L83ES, 1756-L84ES, 1756-L8SP, 1756-L81ESK, 1756-L82ESK, 1756L83ESK, 1756-L84ESK, 1756-L8SPK, 5069-L306ERMS2, 5069-L306ERS2, 5069-L310ERMS2, 5069-L310ERS2, 5069L320ERMS2, 5069L320ERS2, 5069-L320ERS2K, 5069-L320ERMS2K, 5069-L330ERMS2, 5069-L330ERS2, 5069L330ERS2K, 5069-L330ERMS2K, 5069-L340ERMS2, 5069-L340ERS2, 5069-L350ERMS2, 5069-L350ERS2, 5069L350ERS2K, 5069-L350ERMS2K, 5069-L380ERMS2, 5069-L380ERS2, 5069-L3100ERMS2, 5069-L3100ERS2

Manual de referência de segurançaTradução das instruções originais

Informações Importantes ao Usuário

Leia este documento e os documentos listados na seção recursos adicionais sobre a instalação, configuração e operação deste equipamento antes de instalar, configurar, operar ou fazer a manutenção deste produto. Os usuários devem familiarizar-se com as instruções de instalação e fiação, bem como com os requisitos de todos os códigos, leis e normas aplicáveis.

As atividades que incluam a instalação, os ajustes, a colocação em funcionamento, o uso, a montagem, a desmontagem e a manutenção devem ser realizadas por uma equipe devidamente treinada de acordo com o código de prática aplicável.

Se este equipamento for usado de uma maneira não especificada pelo fabricante, a proteção fornecida pelos equipamentos pode ser prejudicada.

Em nenhum caso a Rockwell Automation, Inc. será responsável por danos indiretos ou resultantes do uso ou da aplicação deste equipamento.

Os exemplos e diagramas contidos neste manual destinam-se unicamente para finalidade ilustrativa. A Rockwell Automation, Inc. não se responsabiliza pelo uso real com base nos exemplos e diagramas, devido a variações e requisitos diversos associados a qualquer instalação específica.

Nenhuma responsabilidade de patente é presumida pela Rockwell Automation, Inc. com relação ao uso de informações, circuitos, ou softwares descritos neste manual.

A reprodução dos conteúdos deste manual, total ou parcial, sem uma permissão por escrito da Rockwell Automation, Inc., é proibida.

Ao longo do manual, sempre que necessário, serão usadas notas para alertá-lo sobre tópicos relacionados à segurança.

As etiquetas também podem estar sobre ou dentro do equipamento para fornecer as precauções específicas.

ADVERTÊNCIA: Identifica informações sobre práticas ou circunstâncias que podem causar uma explosão em um ambiente classificado, que pode levar a ferimentos pessoais ou morte, dano de propriedade ou perda econômica.

ATENÇÃO: Identifica informações sobre práticas ou circunstâncias que podem levar a ferimentos pessoais ou morte, prejuízos a propriedades ou perda econômica. As atenções ajudam a identificar e evitar um risco e reconhecer a consequência.

IMPORTANTE Identifica informações críticas para a aplicação bem-sucedida e entendimento do produto.

PERIGO DE CHOQUE: Pode haver etiquetas sobre ou dentro do equipamento, por exemplo, um inversor ou motor, para alertar pessoas de que pode estar presente uma tensão perigosa.

PERIGO DE QUEIMADURA: As etiquetas podem estar sobre ou dentro do equipamento, por exemplo, um inversor ou um motor, para alertar as pessoas que as superfícies podem alcançar temperaturas perigosas.

PERIGO DE FALHA DE ARCO ELÉTRICO: As etiquetas podem estar sobre ou dentro do equipamento, por exemplo, um centro de controle de motores, para alertar as pessoas sobre um potencial arco elétrico. Arco elétrico causará grave lesão ou morte. Vista o equipamento protetivo pessoal (PPE). Siga TODAS as especificações de regulamentação quanto a práticas de trabalho seguro e de equipamento de proteção individual (EPI).

Sumário

PrefácioResumo das alterações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Terminologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Recursos adicionais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Capítulo 1Conceito de nível de integridade de segurança (SIL)

Certificação SIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Testes de prova . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Arquitetura do GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Especificações do controlador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Tempo de reação do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Tempo de reação da tarefa de segurança . . . . . . . . . . . . . . . . . . . . . . . . . 13Período da tarefa de segurança e watchdog da tarefa de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Informações de contato se ocorrer uma falha do dispositivo . . . . . . . . . . . 14

Capítulo 2Sistema do controlador GuardLogix

Hardware do controlador GuardLogix 5580. . . . . . . . . . . . . . . . . . . . . . . . . 15Controlador primário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Parceiro de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16rack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Fonte de alimentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Hardware do controlador Compact GuardLogix 5380 . . . . . . . . . . . . . . . 17Fonte de alimentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Comunicação em rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Rede EtherNet/IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Rede de segurança DeviceNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Características gerais de programação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Capítulo 3E/S de segurança para o sistema de controle GuardLogix

Funções de segurança típicas dos dispositivos de E/S de segurança . . . . . 23Diagnósticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Dados de status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24indicadores de status. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Função atraso na energização ou atraso na desenergização . . . . . . . . . 24

Tempo de reação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Considerações de segurança para os dispositivos de E/S de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Propriedade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Assinatura de configuração de E/S de segurança . . . . . . . . . . . . . . . . . . 25Substituição de dispositivo de E/S de segurança . . . . . . . . . . . . . . . . . . 26

Capítulo 4CIP Safety e números da rede de segurança

Referência de nó exclusivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Números da rede de segurança (SNN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Sistema CIP Safety roteável . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Considerações sobre a atribuição de SNNs . . . . . . . . . . . . . . . . . . . . . . . . . . 30Como os SNNs chegam aos dispositivos de segurança . . . . . . . . . . . . . . . . 32Formatos de SNN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Publicação da Rockwell Automation 1756-RM012B-PT-P – Abril 2018 3

Sumário

Formato e atribuição de SNN com base na hora . . . . . . . . . . . . . . . . . . 33Formato e atribuição de SNN manual . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

SNNs para dispositivos na condição pronto para usar . . . . . . . . . . . . . . . . 35

Capítulo 5Características de tags de segurança, da tarefa de segurança e dos programas de segurança

Diferenciar entre padrão e segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37A tarefa de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Limitações da tarefa de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Detalhes de execução da tarefa de segurança . . . . . . . . . . . . . . . . . . . . . 39

Diferenças entre as aplicações de segurança SIL 2 e SIL 3 . . . . . . . . . . . . . 40Módulos de E/S de segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Uso de interfaces homem-máquina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Precauções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Acesso a sistemas relacionados à segurança . . . . . . . . . . . . . . . . . . . . . . . 43

Programa de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Rotinas de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Tags de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Tags padrão em rotinas de segurança (mapeamento de tags) . . . . . . . 46

Capítulo 6Desenvolvimento da aplicação de segurança

Hipóteses do conceito de segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Noções básicas do desenvolvimento e teste da aplicação. . . . . . . . . . . . . . . 48Comissionamento do ciclo de vida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Especificação da função de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Criação do projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Testar o programa aplicativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Geração da assinatura de segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Validar o projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Confirmar o projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Avaliação de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Travar o controlador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Download do programa aplicativo de segurança. . . . . . . . . . . . . . . . . . . . . . 56Upload do programa da aplicação de segurança . . . . . . . . . . . . . . . . . . . . . . 56Armazenar e carregar um projeto a partir de um cartão de memória. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Forçar os dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Inibição de um dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Edição on-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Editando sua aplicação de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Realização de edições off-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Execução de edições on-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Teste do impacto de modificação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Capítulo 7Monitorar o status e tratar falhas

Indicadores de status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Monitoração do status do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Dados CONNECTION_STATUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Diagnósticos de entrada e saída . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Status da conexão de dispositivo de E/S . . . . . . . . . . . . . . . . . . . . . . . . . 65Sistema desenergizar para desarmar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Instruções GSV e SSV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

4 Publicação da Rockwell Automation 1756-RM012B-PT-P – Abril 2018

Sumário

Falha de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Falhas irrecuperáveis do controlador . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Falhas de segurança irrecuperáveis na aplicação de segurança . . . . . . 66Falhas de segurança recuperáveis na aplicação de segurança . . . . . . . . 67Visualização de falhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Códigos de Falhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Falha do parceiro de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Apêndice AInstruções de segurança Instruções de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Apêndice BCriar e usar uma instrução add-on de segurança

Criar um projeto de teste de instrução add-on . . . . . . . . . . . . . . . . . . . . . . . 77Criar uma instrução add-on de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Gerar a assinatura de instrução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77A assinatura de instrução de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Teste de qualificação de instrução add-on SIL 2 ou SIL 3 . . . . . . . . . . . . . 78Instruções add-on de segurança validadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Criar uma entrada de histórico de assinatura. . . . . . . . . . . . . . . . . . . . . . . . . 78Exportar e importar instrução add-on de segurança . . . . . . . . . . . . . . . . . . 78Verificar assinaturas de instrução add-on de segurança. . . . . . . . . . . . . . . . 79Testar o programa aplicativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Validação de projeto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Avaliação de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Apêndice CTempos de reação Limite de tempo de reação de conexão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Especificar o intervalo do pacote requisitado (RPI) . . . . . . . . . . . . . . . 82Visualização do atraso máximo observado na rede . . . . . . . . . . . . . . . . 82

Tempo de reação do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Tempo de reação do sistema Logix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Cadeia entrada-lógica-saída simples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Cadeia de lógica usando tags de segurança produzidos/consumidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Fatores que afetam os componentes do tempo de reação do Logix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Configurar os ajustes de parâmetros do tempo de atraso do módulo de entrada Guard I/O. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Configurar ou visualizar a entrada e os limites de tempo de reação de conexão de segurança de saída . . . . . . . . . . . . . . . . . . . . . . 86Configuração do período da tarefa de segurança e watchdog. . . . . . . 88Acessar dados de tags produzidos/consumidos . . . . . . . . . . . . . . . . . . . 88

Apêndice DListas de verificação para as aplicações de segurança GuardLogix

Lista de verificação do sistema do controlador GuardLogix . . . . . . . . . . . 92Lista de verificação das entradas de segurança . . . . . . . . . . . . . . . . . . . . . . . . 93Lista de verificação para saídas de segurança . . . . . . . . . . . . . . . . . . . . . . . . . 94Lista de verificação para desenvolver um programa aplicativo de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95


Sumário

Apêndice EDados de segurança de sistemas GuardLogix

Vida útil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Dados de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Taxas de falha de produto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Apêndice FAplicação Studio 5000 Logix Designer, versão 31 ou posterior, instruçõesde aplicação de segurança

Sistema desenergizar para desarmar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Uso de dados de status de conexão para iniciar uma falha programaticamente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Glossário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111


Prefácio

Este manual descreve os sistemas do controlador GuardLogix® 5580 e Compact GuardLogix 5380, que são homologados e certificados para uso em aplicações de segurança como se detalha em Certificação SIL na página 9.

Utilize este manual para o desenvolvimento, operação e manutenção de um sistema de segurança baseado em controlador GuardLogix 5580 ou Compact GuardLogix 5380 que usa a aplicação Studio 5000 Logix Designer®. Leia e entenda os conceitos de segurança e os requisitos apresentados neste manual e familiarize-se com as normas aplicáveis (por exemplo IEC 61508, IEC 62061, IEC 61511 e ISO 13849-1) antes de operar um sistema de segurança baseado no controlador GuardLogix 5580 ou Compact GuardLogix 5380.

Resumo das alterações Este manual contém informações novas e atualizadas conforme indicado na tabela a seguir.

Terminologia Esta seção define os termos usados neste manual.

Nesta publicação, os termos ‘controlador GuardLogix’ ou ‘sistema GuardLogix’ aplicam-se aos controladores GuardLogix 5580 e Compact GuardLogix 5380, salvo indicação diferente.

E, também, o termo ‘SIL 2’ representa SIL 2, SIL CL2 e PLd, e ‘SIL 3’ representa SIL 3, SIL CL3 e PLe.

Para abreviações comuns e outras definições, consulte o Glossário na página 105.

Tópico Página

Terminologia 7

Recursos adicionais 8

Tópico Página

Texto do prefácio inicial atualizado 7

Texto Parceiro de segurança atualizado 16

Adicionada tabela importante na Hardware do controlador Compact GuardLogix 5380 seção

17

Seção Hipóteses do conceito de segurança atualizada 47

Atualizado o título da Tabela 9 72

Seção Taxas de falha de produto atualizada 98


Prefácio

Recursos adicionais Esses documentos contêm mais informações sobre produtos relacionados à Rockwell Automation.

É possível visualizar ou baixar publicações emhttp://www.rockwellautomation.com/global/literature-library/overview.page.

Para solicitar cópias impressas da documentação técnica, entre em contato com o distribuidor local AllenBradley ou o representante de vendas local da Rockwell Automation.

Recursos DescriçãoControlLogix 5580 and GuardLogix 5580 Controllers User Manual, publicação 1756-UM543

Fornece informações sobre como instalar, configurar, programar e usar os controladores ControlLogix® 5580 e os controladores GuardLogix 5580 nos projetos do Studio 5000 Logix Designer.

Controladores CompactLogix 5380 Manual do usuário, publicação 5069-UM001

Apresenta informações sobre como instalar, configurar, programar e usar os controladores CompactLogix™ 5380 e os controladores Compact GuardLogix 5380.

1756 ControlLogix GuardLogix Controllers Technical Data, publicação 1756-TD001

Lista as especificações do produto e as certificações dos controladores ControlLogix e GuardLogix.

CompactLogix 5380 Controllers Specifications, publicação 5069-TD002 Lista as especificações do produto e as certificações dos controladores CompactLogix 5380 e dos controladores Compact GuardLogix 5380.

Rack e fonte de alimentação ControlLogix, publicação 1756-IN005 Fornece informações sobre como instalar diversos racks e fontes de alimentação ControlLogix.Controladores Compact GuardLogix 5380 SIL 2 Instruções de instalação, publicação 5069-IN014

Fornece informações sobre como instalar os controladores CompactLogix 5380.

Replacement Guidelines: Logix5000 Controllers Reference Manual, publicação 1756-RM100

Fornece orientações sobre como substituir esses controladores:• Substitua um controlador ControlLogix 5560 ou 5570 por um controlador Controller ControlLogix

5580• Substitua um controlador CompactLogix 5370 L3 por um controlador CompactLogix 5380

Conjunto de instruções de segurança da aplicação GuardLogix Manual de referência, publicação 1756-RM095

Fornece informações sobre o conjunto de instruções para aplicações de segurança do GuardLogix.

Controladores GuardLogix 5580 Instruções de instalação, publicação 1756-IN048

Fornece informações sobre como instalar os controladores GuardLogix 5580.

Kinetix 5700 Safe Monitor Functions Safety Reference Manual, publicação 2198-RM001

Descreve as funções de parada integrada e as funções de monitoração de segurança com um controlador Logix5000 ™ e servo-drives Kinetix® 5700.

Compact 5000 Safety Sinking Input Module Installation Instructions, publicação 5069-IN020

Descreve como instalar o módulo 5069-IB8S.

Compact 5000 Configurable Safety Output Module Installation Instructions, publicação 5069-IN021

Descreve como instalar o módulo 5069-OBV8S.

Módulos de E/S digital série 5000 em sistemas de controle Logix5000 Manual do usuário, publicação 5000-UM004

Descreve como usar módulos de E/S digital e de segurança Compact 5000™, inclusive como usar alguns módulos em aplicações de segurança.

Módulos de segurança Guard I/O DeviceNet Manual do usuário, publicação 1791DS-UM001

Fornece informações sobre como usar os módulos de segurança Guard I/O™ DeviceNet.

Módulos de segurança EtherNet/IP Guard I/O Manual do usuário, publicação 1791ES-UM001

Fornece informações sobre como usar os módulos de segurança Guard I/O EtherNet/IP.

Módulos de segurança de E/S POINT Guard Manual do usuário e instalação, publicação 1734-UM013

Fornece informações sobre como instalar e usar os módulos POINT Guard I/O™.

Servo-drives Kinetix 5500 Manual do usuário, publicação 2198-UM001 Fornece informações sobre como instalar e usar os servo-drives Kinetix 5500.Servo-drives Kinetix 5700 Manual do usuário, publicação 2198-UM002 Fornece informações sobre como instalar e usar os servo-drives Kinetix 5700.Inversor de frequência ajustável PowerFlex série 527 Manual do usuário, publicação 520-UM002

Fornece informações sobre como instalar e usar os drives PowerFlex® 527.

Manual de referência de instruções gerais dos controladores Logix5000 Manual de referência, publicação 1756-RM003

Apresenta informações sobre o conjunto de instruções do Logix5000, como instruções gerais, de controle de movimento e de processo.

Logix Common Procedures Programming Manual, publicação 1756-PM001

Fornece informações sobre a programação de controladores Logix5000, incluindo como gerenciar os arquivos dos projetos, organizar os tags, programar e testar rotinas e manusear falhas.

Logix5000 Controllers Add-On Instructions Programming Manual,publicação 1756-PM010

Fornece informações sobre a criar e usar instruções add-on padrão e de segurança em aplicações Logix.

DeviceNet Modules in Logix5000 Control Systems User Manual, publicação DNET-UM004

Fornece informações sobre como usar o módulo 1756-DNB em um sistema de controle Logix5000.

Configuração de rede EtherNet/IP Manual do usuário, publicação ENET-UM001 Fornece informações sobre como usar o módulo 1756-ENBT em um sistema de controle Logix5000.ControlNet Modules in Logix5000 Control Systems User Manual, publicação CNET-UM001

Fornece informações sobre como usar o módulo 1756-CNB em sistemas de controle Logix5000.

Logix5000 Controllers Execution Time and Memory Use Reference Manual, publicação 1756-RM087

Fornece informações sobre como estimar o tempo de execução e uso de memória pelas instruções.

Logix Import Export Reference Manual, publicação 1756-RM084 Apresenta informações sobre como usar o software utilitário de importação/exportação do Studio 5000 Logix Designer.

Orientação sobre fiação de automação industrial e aterramento, publicação 1770-4.1

Fornece orientações gerais para instalar um sistema industrial Rockwell Automation®.

Site de certificações de produto, http://www.rockwellautomation.com/global/certification/overview.page.

Fornece declarações de conformidade, certificados e outros detalhes de certificação.


http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1756-um543_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/5069-um001_-pt-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/1756-td001_-en-p.pdf


http://literature.rockwellautomation.com/idc/groups/literature/documents/in/1756-in005_-pt-p.pdf


http://literature.rockwellautomation.com/idc/groups/literature/documents/rm/1756-rm100_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/rm/1756-rm095_-pt-p.pdf




http://literature.rockwellautomation.com/idc/groups/literature/documents/in/5069-in020_-en-p.pdf



http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1791ds-um001_-pt-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/1791es-um001_-pt-p.pdf




http://literature.rockwellautomation.com/idc/groups/literature/documents/um/520-um002_-pt-e.pdf


http://literature.rockwellautomation.com/idc/groups/literature/documents/pm/1756-pm001_-en-e.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/pm/1756-pm010_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/dnet-um004_-en-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/enet-um001_-pt-p.pdf

http://literature.rockwellautomation.com/idc/groups/literature/documents/um/cnet-um001_-en-p.pdf




http://www.rockwellautomation.com/global/certification/overview.page


http://www.rockwellautomation.com/global/literature-library/overview.page

Capítulo 1

Conceito de nível de integridade de segurança (SIL)

Certificação SIL Esta seção fornece o SIL, as certificações e o nível de desempenho para os controladores.

A TÜV Rheinland aprovou os sistemas dos controladores GuardLogix 5580 e Compact GuardLogix 5380 para serem usados em aplicações relacionadas à segurança em que o estado desenergizado é considerado o estado seguro.

Todos os exemplos de E/S incluídos neste manual são baseados em atingir a desenergização como o estado seguro típico da máquina para sistemas de segurança e parada emergencial da máquina (ESD) típicos.

Tópico Página

Certificação SIL 9

Testes de prova 10

Arquitetura do GuardLogix 11

Especificações do controlador 13

Tempo de reação do sistema 13

Informações de contato se ocorrer uma falha do dispositivo 14

Sistema do controlador IEC 61508 IEC 62061 ISO 13849-1

Homologado e certificado para uso em aplicações de segurança até e inclusive:

Adequado para uso em aplicações de segurança até e inclusive:

Adequado para uso em aplicações de segurança até e inclusive:

Sistemas do controlador GuardLogix 5580

SIL 2(2)

SIL 3(3)

(2) Controlador primário usado sem um parceiro de segurança.(3) Controlador primário usado com um parceiro de segurança.

SIL CL2(2)

SIL CL3(3)Nível de desempenho PLd (Cat. 3)(2)

Nível de desempenho PLe (Cat. 4)(3)

Sistemas do controlador Compact GuardLogix 5380 SIL 2(1)

(1) Códigos de catálogo do controlador Compact GuardLogix 5380 com um ‘2’ no final, por exemplo, 5069-L3xxxxxS2, são usados em aplicações de segurança até e incluindo SIL 2.

SIL 2 SIL CL2 Nível de desempenho PLd (Cat. 3)

IMPORTANTE No restante desta publicação:• SIL 2 representa SIL 2, SIL CL2 e nível de desempenho PLd • SIL 3 representa SIL 3, SIL CL3, e nível de desempenho PLe


Capítulo 1 Conceito de nível de integridade de segurança (SIL)

Ao aplicar a segurança funcional, restrinja o acesso a pessoal autorizado, qualificado, treinado e experiente.

Use a aplicação Studio 5000 Logix Designer, para criar programas para os controladores GuardLogix 5580 e Compact GuardLogix 5380. Somente a tarefa de segurança, tarefas não padronizadas podem ser usadas para funções de segurança.

Testes de prova A IEC 61508 exige que você execute vários testes de prova do equipamento usado no sistema. Os testes de prova são executados em horas definidas pelo usuário. Por exemplo, os testes de prova podem ser anuais, a cada 15 anos ou qualquer outro intervalo de tempo apropriado.

Os controladores GuardLogix 5580 e Compact GuardLogix 5380 têm vida útil de 20 anos e não requerem teste de prova. Outros componentes do sistema como dispositivos E/S de segurança, sensores e atuadores podem ter vidas úteis diferentes.

IMPORTANTE Como usuário do sistema, você é responsável pelo seguinte:• Configuração, classificação de SIL e validação de sensores ou atuadores

conectados ao sistema GuardLogix• Gestão do projeto e testes funcionais• Controle de acesso ao sistema de segurança, incluindo o manuseio de senhas• Programar o programa aplicativo e as configurações dos dispositivos de

acordo com as informações deste manual de referência de segurança e destas publicações:- ControlLogix 5580 and GuardLogix 5580 Controllers User Manual,

publicação 1756-UM543- Controladores CompactLogix 5380 Manual do usuário,

publicação 5069-UM001

IMPORTANTE Suas aplicações específicas determinam o intervalo de tempo da vida útil.

10 Publicação da Rockwell Automation 1756-RM012B-PT-P - Abril 2018



Conceito de nível de integridade de segurança (SIL) Capítulo 1

Arquitetura do GuardLogix

Esta seção fornece exemplos de sistemas SIL 2 e SIL 3 incluindo:• a função de segurança geral• a parte do GuardLogix da função de segurança geral• Como outros dispositivos (por exemplo, IHM) estão conectados, mesmo

operando fora da função

Figura 1 - Exemplo de sistema SIL 3-

OK

Logix55L8SP™

NET

LINK

RUN

REM

RUN PROG

FORCE SD OK

Logix5584ES™ DC INPUT

5069-OBV8S

COUNTER

5069-HSC2xOB4

DC INPUT

5069-IB16

DC OUTPUT

5069-OB165069-IB8S

OUTPUT

Compact 5000™ I/O

SA P

ower

MO

D P

ower

Sensor

Atuador

Tela IHM

Switch Stratix® 5400

Software de programação

Para rede Ethernet em toda a fábrica

Atuador

Sensor

Módulo de E/S de segurança em rede Ethernet

Sistema de segurança

Controlador GuardLogix 5580

5069-AEN2TRMódulo de E/S do Compact 5000Módulo de E/S de segurança do Compact 5000

Módulo de E/S de segurança em rede Ethernet

Publicação da Rockwell Automation 1756-RM012B-PT-P - Abril 2018 11


Figura 2 - Exemplo de sistema SIL 2

5069-OBV8S

COUNTER

5069-HSC2xOB4

SIL2 CPU

5069-L3100ERMS2

Compact GuardLogix

DC INPUT

5069-IB16

DC OUTPUT

5069-OB165069-IB8S

OUTPUT

5069-OBV8S

COUNTER

5069-HSC2xOB4

DC INPUT

5069-IB16

DC OUTPUT

5069-OB165069-IB8S

OUTPUT

Compact I/O™

Atuador

Sensor5069-AEN2TRMódulo de E/S do Compact 5000Módulo de E/S de segurança do Compact 5000

Controlador Compact GuardLogix 5380Módulo de E/S do Compact 5000Módulo de E/S de segurança do Compact 5000

Tela IHM

Switch Stratix 5400

Software de programaçãoPara rede Ethernet em toda a fábrica

Sistema de segurança


Conceito de nível de integridade de segurança (SIL) Capítulo 1

Especificações do controlador

Estas publicações listam as especificações e as certificações de agência dos produtos:

• ControlLogix Controllers Technical Data, publicação 1756-TD001.• CompactLogix 5380 Controllers Specifications Technical Data,

publicação 5069-TD002.

As certificações de agência também estão marcadas nos rótulos do produto.

Consulte http://www.rockwellautomation.com/rockwellautomation/certification/overview.page para ver as declarações de conformidade, certificados e outros detalhes de certificação.

Tempo de reação do sistema

O tempo de reação do sistema é o tempo de pior caso de um evento relacionado à segurança como uma entrada no sistema ou como uma falha dentro do sistema até o momento em que o sistema entra no estado seguro.

Esta definição de pior caso inclui os efeitos de comunicações assíncronas e diversas falhas potenciais que ocorrem no sistema. Os tempos de reação reais podem ser mais baixos.

Cada um dos tempos de reação depende de fatores como o tipo do dispositivo de E/S e das instruções usadas no programa.

Tempo de reação da tarefa de segurança

O tempo de reação da tarefa de segurança é o pior caso de atraso de qualquer alteração na entrada apresentada ao controlador até o produtor da saída definir a saída processada. Use esta equação para determinar o tempo de reação da tarefa de segurança:

Tempo de reação da tarefa de segurança = (período da tarefa de segurança + watchdog da tarefa de segurança) × 1.01

O multiplicador é para o desvio potencial do relógio.

IMPORTANTE Para mais informações sobre o cálculo do tempo, consulte o Apêndice C na página 81.

Tempo de reação do sensor

Tempo de reação da entrada


Tempo de reação da saída

Tempo de reação do atuador







Período da tarefa de segurança e watchdog da tarefa de segurança

O período da tarefa de segurança é o intervalo em que a tarefa de segurança é executada.

O tempo do watchdog da tarefa de segurança é o tempo máximo permitido para o processamento da tarefa de segurança. Se o tempo para processar uma tarefa de segurança exceder o tempo de watchdog da tarefa de segurança, ocorre uma falha de segurança irrecuperável no controlador, o que resulta em uma transição para o estado seguro (desligado).

Você define o watchdog da tarefa de segurança que deve ser menor ou igual ao período da tarefa de segurança.

O tempo do watchdog da tarefa de segurança é definido na janela de propriedades da tarefa da aplicação Studio 5000 Logix Designer. Esse valor pode ser modificado on-line independentemente do modo do controlador, mas não pode ser alterado quando o controlador estiver com travamento de segurança ou se uma assinatura de segurança for criada.

Informações de contato se ocorrer uma falha do dispositivo

Se ocorrer uma falha em qualquer dispositivo de segurança, entre em contato com o representante de vendas local da Rockwell Automation ou distribuidor local Allen-Bradley para iniciar as seguintes ações:

• Devolva o dispositivo para a Rockwell Automation para que a falha seja armazenada no código de catálogo afetado e a falha seja registrada.

• Solicite uma análise da falha (se necessário) para tentar determinar sua causa.


Capítulo 2

Sistema do controlador GuardLogix

Para obter informações sobre certificado de segurança, consulte http://www.rockwellautomation.com/global/certification/safety.page. Utilize os filtros para pesquisar seus produtos.

Consulte Recursos adicionais na página 8 para ter informações de instalação dos controladores GuardLogix 5580 e Compact GuardLogix 5380.

Hardware do controlador GuardLogix 5580

O controlador GuardLogix consiste em um controlador primário (ControlLogix 558xS), que pode ser usado sozinho em aplicações SIL 2 e um parceiro de segurança (ControlLogix 558SP), adicionado para criar um controlador apto para aplicações SIL 3.

Tanto o Controlador Primário quanto o Parceiro de Segurança executam testes de diagnóstico funcional de energização e de tempo de execução de todos os componentes de segurança no controlador.

• Controlador primário usado sem um parceiro de segurança até SIL 2.• Controlador primário usado com um parceiro de segurança até SIL 3.

Para obter a lista atualizada das séries certificadas do controlador GuardLogix e de dispositivos de E/S de segurança e revisões de firmware, consulte os certificados de segurança em http://www.rockwellautomation.com/global/certification/safety.page.

As revisões de firmware estão disponíveis no website de suporte Centro de Compatibilidade de Produto e Download (PCDC) da Rockwell Automation em http://www.rockwellautomation.com/global/support/pcdc.page.

Você pode preencher os slots de um rack de sistema SIL 2 e SIL 3 não utilizados pelo sistema GuardLogix SIL 2 e SIL 3 com outros módulos ControlLogix (1756) certificados para baixa tensão e diretivas de EMC.

Para localizar os certificados dos controladores e módulos de E/S, consulte http://www.rockwellautomation.com/global/certification/overview.page.

Tópico Página

Hardware do controlador GuardLogix 5580 15

Hardware do controlador Compact GuardLogix 5380 17

Comunicação em rede 18

Características gerais de programação 22

Controlador Código de catálogoControlador GuardLogix 5580 1756-L81ES, 1756-L82ES, 1756-L83ES, 1756-L84ES, 1756-L8SP, 1756-L81ESK,

1756-L82ESK, 1756-L83ESK, 1756-L84ESK, 1756-L8SPK


http://www.rockwellautomation.com/global/certification/safety.page



http://www.rockwellautomation.com/global/support/pcdc.page


Capítulo 2 Sistema do controlador GuardLogix

Controlador primário

O controlador principal é o processador que executa as funções de controle padrão e de segurança e que se comunica com o parceiro de segurança para executar funções de segurança no sistema de controle GuardLogix. O controlador principal consiste em um controlador central, uma interface de E/S e uma memória.

Parceiro de segurança

Para atender os requisitos de SIL 3, um parceiro de segurança ControlLogix 558SP deve ser instalado no slot imediatamente à direita do controlador primário. O parceiro de segurança é um coprocessador que fornece arquitetura 1oo2 para funções de segurança no sistema. O sistema 1oo2 não opera degradado. Se os dois processadores discordarem ou não puderem se comunicar entre si, o resultado será uma falha grave irrecuperável do controlador. Para obter informações sobre como reagir a essa situação, consulte o artigo 63983 na Rockwell Automation® Knowledgebase.

Não instale um parceiro de segurança para requisitos de SIL 2.

O controlador primário configura o parceiro de segurança. É necessário apenas um download do programa de usuário para o controlador primário. O controlador primário controla o modo de operação do parceiro de segurança.

Rack

O rack fornece as conexões físicas entre os módulos e o sistema 1756 GuardLogix. Qualquer falha, apesar de pouco provável, seria detectada como uma falha por um ou mais componentes ativos do sistema. Por isso, o rack não é relevante para a discussão da segurança.

Fonte de alimentação

Nenhuma outra configuração ou fiação é necessária para a operação em SIL 2 ou SIL 3 das fontes de alimentação ControlLogix. Qualquer falha seria detectada como uma falha por um ou mais componentes ativos do sistema GuardLogix. Por isso, a fonte de alimentação não é relevante para a discussão da segurança.


https://rockwellautomation.custhelp.com/app/answers/detail/a_id/63983

Sistema do controlador GuardLogix Capítulo 2

Hardware do controlador Compact GuardLogix 5380

O controlador Compact GuardLogix 5380 é um controlador para SIL 2 que executa funções de controle padrão e de segurança para funções relacionadas à segurança no sistema de controle Compact GuardLogix.

Para obter a lista atualizada das séries certificadas do controlador GuardLogix e de dispositivos de E/S de segurança e revisões de firmware, consulte os certificados de segurança em http://www.rockwellautomation.com/global/certification/safety.page.

As revisões de firmware estão disponíveis no website de suporte Centro de compatibilidade de produto e download (PCDC) da Rockwell Automation em http://www.rockwellautomation.com/global/support/pcdc.page.

Os slots de expansão do barramento do sistema podem ser preenchidos com módulos de expansão E/S Compact 5000 certificados para baixa tensão e diretivas de EMC e de acordo com as instruções listadas em Fonte de alimentação.

Para localizar os certificados dos controladores e módulos de E/S, consulte http://www.rockwellautomation.com/global/certification/overview.page.

Controlador Código de catálogoControlador Compact GuardLogix 5380 5069-L306ERMS2, 5069-L306ERS2, 5069-L310ERMS2, 5069-L310ERS2,

5069L320ERMS2, 5069L320ERS2, 5069-L320ERS2K, 5069-L320ERMS2K, 5069-L330ERMS2, 5069-L330ERS2, 5069L330ERS2K, 5069-L330ERMS2K, 5069-L340ERMS2, 5069-L340ERS2, 5069-L350ERMS2, 5069-L350ERS2, 5069L350ERS2K, 5069-L350ERMS2K, 5069-L380ERMS2, 5069-L380ERS2, 5069-L3100ERMS2, 5069-L3100ERS2

IMPORTANTE Este equipamento é fornecido como tipo aberto para uso em ambiente interno. Deve ser instalado dentro de um gabinete projetado apropriadamente para operar nas condições ambientais presentes e para evitar ferimentos pessoais resultantes do acesso a partes móveis.O gabinete deve ter propriedades à prova de fogo para impedir ou minimizar as chamas, de acordo com a classificação de 5VA, ou ser aprovado para a aplicação se não for metálico. O interior do gabinete só pode ser acessado com o uso de uma ferramenta.Para obter mais informações sobre graus de proteção do gabinete específico necessários para atender determinadas certificações de segurança do produto, consulte Controladores Compact GuardLogix 5380 SIL 2 Instruções de instalação, publicação 5069-IN014.








Fonte de alimentação

Para aplicações de segurança funcional, são necessárias fontes de alimentação listadas como tensão extrabaixa de segurança/tensão extrabaixa protegida para a alimentação do módulo (MP) e a alimentação do sensor/atuador (SA).

Considere o seguinte ao escolher uma fonte de alimentação:• A alimentação MP do controlador Compact GuardLogix 5380 deve ser

energizada por uma fonte de alimentação listada como tensão extrabaixa de segurança/tensão extrabaixa protegida de 24 Vcc.

• Todas as E/S de segurança locais de 24 Vcc devem ser energizadas por uma fontes de alimentação listadas como fonte de alimentação listada como tensão extrabaixa de segurança/tensão extrabaixa protegida.

• Se o conector de alimentação SA do controlador Compact GuardLogix 5380 é utilizado, deve ser energizado por uma fonte de alimentação listada como tensão extrabaixa de segurança/tensão extrabaixa protegida de 24 Vcc.

• Se forem utilizadas E/S locais de 120/240 Vca no rack do controlador Compact GuardLogix 5380, sua alimentação SA das E/S de 120/240 Vca deve estar conectada ao módulo com código de catálogo 5069-FPD.

• Se alguma E/S padrão é utilizada sem ser energizada por fonte de alimentação listada como tensão extrabaixa de segurança/tensão extrabaixa protegida, a alimentação da E/S deve estar conectada a um módulo código de catálogo 5069-FPD.

Comunicação em rede Esta seção fornece exemplos de configurações de comunicação em rede.

Rede EtherNet/IP

O controlador GuardLogix 5580 se conecta diretamente a uma rede EtherNet/IP através da porta Ethernet integrada e suporta velocidades de rede de 10/100/1000 MBps. Não é necessário um módulo de comunicação Ethernet separado, mas pode ser usado no rack local.

Entre em contato com o representante de vendas local da Rockwell Automation ou com o distribuidor local Allen-Bradley para obter outros módulos de interface de comunicação disponíveis para uso no sistema GuardLogix 5580.

A comunicação de segurança ponto a ponto entre os controladores GuardLogix é possível pela rede EtherNet/IP. Os controladores GuardLogix podem controlar e trocar dados de segurança com dispositivos de E/S de segurança em uma rede EtherNet/IP, através de portas Ethernet ou bridges EtherNet/IP integradas.

IMPORTANTE Para obter mais informações sobre como tirar proveito da plataforma 5069 quando houver um Controlador CompactLogix ou Compact GuardLogix, consulte o Controladores CompactLogix 5380 Manual do usuário, publicação 5069-UM001.




Figura 3 - Comunicação ponto a ponto do GuardLogix 5580 através de rede EtherNet/IP

EIP

Mod

EIP

Net

Setu

p

GPS

Tim

eCD

3

1

4

2 Out

1

2

Spee

d

Dup

lex

PRP

DLR Po

E

Alarms PSU

1 2 3 4 5 6 7 8 9 10 11 12 25 26

13

2198541 10/100/1000 PoE+

100/1000 SFP 100/1000 SFP+

GPS ANT. DIG.TimeCode ANA.TimeCode

Console Alarm

TOD

4212027161 25

OUT

IN

OUT

IN

28

272421 22 232017 18 1916 82514131

ExpressSetup

Disp.Mode

527

OK

Logix55L8SP™

NET

LINK

RUN

REM

RUN PROG

FORCE SD OK


OK

Logix55L8SP™

NET

LINK

RUN

REM

RUN PROG

FORCE SD OK


5069-OBV8S

COUNTER

5069-HSC2xOB4

DC INPUT

5069-IB16

DC OUTPUT

5069-OB165069-IB8S

OUTPUT

5069-OBV8S

COUNTER

5069-HSC2xOB4

DC INPUT

5069-IB16

DC OUTPUT

5069-OB165069-IB8S

OUTPUT

Compact 5000™ I/O

SA P

ower

MO

D P

ower

Compact I/O™

MODNET

MODNET

MODNET

MODNET

2

1

1

14

I/O

I/O6

5 10

2

1

2

1

2

1

1I/O-A

6

5 10

1I/O-B

6

5 10

1I/O-A

6 1I/O-B

6

5 10 5 10

UFB UFB-A UFB-B UFB-A UFB-B

D+D-

D+D-

D+D-

MF-A MF-B MF-A MF-B

D+D-

MBRK+

-

MODNET

2

1

1I/O-A

6 1I/O-B

6

5 10 5 10

UFB-A UFB-B

D+D-

MF-A MF-B

D+D-

5700 5700 5700 5700 5700

5069-AEN2TRMódulo de E/S de segurança do Compact 5000Módulo de E/S do Compact 5000

Switch Stratix 5410

Inversor de frequência PowerFlex 527

(CIP Safety™ ativado)

Inversores de frequência Kinetix 5700(com funções de monitor de segurança)

Módulo 1732ES ArmorBlock® Guard I/O

Adaptador 1734 POINT I/O™Módulos 1734 POINT Guard I/OMódulos 1734 POINT I/O

Controlador GuardLogix 5580Parceiro de segurança GuardLogix 1756-L8SP

5069-AENTRMódulo de E/S de segurança do Compact 5000Módulo de E/S do Compact 5000

Controlador A Controlador B

Controlador GuardLogix 5580Parceiro de segurança GuardLogix 1756-L8SP

DICA A comunicação de segurança ponto a ponto entre dois controladores GuardLogix 5580 no mesmo rack também é possível por meio do backplane.

OK

Logix55L8SP™

NET

LINK

RUN

REMRUN PROG

FORCE SD OK


NET

LINK

RUN

REMRUN PROG

FORCE SD OK

Logix5584ES™DC INPUT

Backplane

1756-L81ES

SIL 2SIL 3

1756-L82ES1756-L8SP



Os controladores Compact GuardLogix 5380 conectam-se diretamente à rede EtherNet/IP através das portas Ethernet integradas. Elas também suportam velocidades de rede de 10/100/1000 Mbps. Não e utilizado um módulo de comunicação Ethernet local.

Figura 4 - Comunicação ponto a ponto do Compact GuardLogix 5380 através de rede EtherNet/IP

EIP

Mod

EIP

Net

Setu

p

GPS

Tim

eCD

3

1

4

2 Out

1

2

Spee

d

Dup

lex

PRP

DLR Po

E

Alarms PSU

1 2 3 4 5 6 7 8 9 10 11 12 25 26

13

2198541 10/100/1000 PoE+

100/1000 SFP 100/1000 SFP+

GPS ANT. DIG.TimeCode ANA.TimeCode

Console Alarm

TOD

4212027161 25

OUT

IN

OUT

IN

28

272421 22 232017 18 1916 82514131

ExpressSetup

Disp.Mode

527

5069-OBV8S

COUNTER

5069-HSC2xOB4

SIL2 CPU

5069-L3100ERMS2

Compact GuardLogix

DC INPUT

5069-IB16

DC OUTPUT

5069-OB165069-IB8S

OUTPUT

5069-OBV8S

COUNTER

5069-HSC2xOB4

SIL2 CPU

5069-L3100ERMS2

Compact GuardLogix

DC INPUT

5069-IB16

DC OUTPUT

5069-OB165069-IB8S

OUTPUT

5069-OBV8S

COUNTER

5069-HSC2xOB4

DC INPUT

5069-IB16

DC OUTPUT

5069-OB165069-IB8S

OUTPUT

5069-OBV8S

COUNTER

5069-HSC2xOB4

DC INPUT

5069-IB16

DC OUTPUT

5069-OB165069-IB8S

OUTPUT

Compact 5000™ I/O

SA P

ower

MO

D P

ower

Compact I/O™

MODNET

MODNET

MODNET

MODNET

2

1

1

14

I/O

I/O6

5 10

2

1

2

1

2

1

1I/O-A

6

5 10

1I/O-B

6

5 10

1I/O-A

6 1I/O-B

6

5 10 5 10

UFB UFB-A UFB-B UFB-A UFB-B

D+D-

D+D-

D+D-

MF-A MF-B MF-A MF-B

D+D-

MBRK+

-

MODNET

2

1

1I/O-A

6 1I/O-B

6

5 10 5 10

UFB-A UFB-B

D+D-

MF-A MF-B

D+D-

5700 5700 5700 5700 5700

5069-AEN2TRMódulo de E/S de segurança do Compact 5000Módulo de E/S do Compact 5000

Switch Stratix 5410

Inversor de frequência PowerFlex 527

(CIP Safety ativado)Inversores Kinetix 5700

(Com funções do monitor de segurança)

Módulo 1732ES ArmorBlock Guard I/O

Adaptador 1734 POINT I/OMódulos 1734 POINT Guard I/OMódulos 1734 POINT I/O


Controlador Compact GuardLogix 5380Módulo de E/S de segurança do Compact 5000Módulo de E/S do Compact 5000

5069-AENTRMódulo de E/S de segurança do Compact 5000Módulo de E/S do Compact 5000

Controlador A Controlador B



Rede de segurança DeviceNet

As bridges DeviceNet permitem que o controlador GuardLogix controle e troque os dados de segurança com os módulos de E/S de segurança em uma rede DeviceNet.

Figura 5 - Comunicação do GuardLogix 5580 através de uma bridge DeviceNet

Os controladores Compact GuardLogix 5380 podem se comunicar com dispositivos de segurança em uma rede DeviceNet através de um dispositivo de conexão 1788-EN2DNR de EtherNet/IP para DeviceNet.

Figura 6 - Controlador Compact GuardLogix 5380 com uma rede DeviceNet

OK

Logix55L8SP™

NET

LINK

RUN

REMRUN PROG

FORCE SD OK


1732DS-IB8X0BV4

NODE ADR

X10OUT

IN

FE

I 7 07

I 6 06

I 5 05

I 4 04

I 3 03

I 2 02

I 1 01

I 0 O0

Lock ModuleNetwork

PWR

X1

1732DS-IB8X0BV4

NODE ADR

X10OUT

IN

FE

I 7 07

I 6 06

I 5 05

I 4 04

I 3 03

I 2 02

I 1 01

I 0 O0

Lock ModuleNetwork

PWR

X1

VOGO GO T0 T0T1 T1 T0 T1 T2 T3

VO 0 1 2 3 4 5 6 7 V1G1 G1 G1 G1G1 G1 G1 G1 G1 G1

V1 0 0e 1 1e 2 2e 3 3eIN OUT111

1020

2131

3040

CompactBlock8 Inputs - 8 Outputs 24VDC

1791DS-IB8XOB8

MS NS LOCK 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7IN

PWROUTPWR


VO 0 1 2 3 4 5 6 7 V1G1 G1 G1 G1G1 G1 G1 G1 G1 G1

V1 0 0e 1 1e 2 2e 3 3eIN OUT111

1020

2131

3040


1791DS-IB8XOB8

MS NS LOCK 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7IN

PWROUTPWR

Módulo ArmorBlock™ Guard I/O 1791DS

Rede DeviceNet

Módulo 1732DS ArmorBlock Guard I/O


Módulo 1791DS CompactBlock Guard I/O

Controlador GuardLogix 5580Parceiro de segurança GuardLogix 1756-L8SPBridge DeviceNet do ControlLogix

1732DS-IB8X0BV4

NODE ADR

X10OUT

IN

FE

I 7 07

I 6 06

I 5 05

I 4 04

I 3 03

I 2 02

I 1 01

I 0 O0

Lock ModuleNetwork

PWR

X1

1732DS-IB8X0BV4

NODE ADR

X10OUT

IN

FE

I 7 07

I 6 06

I 5 05

I 4 04

I 3 03

I 2 02

I 1 01

I 0 O0

Lock ModuleNetwork

PWR

X1


VO 0 1 2 3 4 5 6 7 V1G1 G1 G1 G1G1 G1 G1 G1 G1 G1

V1 0 0e 1 1e 2 2e 3 3eIN OUT111

1020

2131

3040


1791DS-IB8XOB8

MS NS LOCK 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7IN

PWROUTPWR


VO 0 1 2 3 4 5 6 7 V1G1 G1 G1 G1G1 G1 G1 G1 G1 G1

V1 0 0e 1 1e 2 2e 3 3eIN OUT111

1020

2131

3040


1791DS-IB8XOB8

MS NS LOCK 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7IN

PWROUTPWR

5069-OBV8S

COUNTER

5069-HSC2xOB4

SIL2 CPU

5069-L3100ERMS2

Compact GuardLogix

DC INPUT

5069-IB16

DC OUTPUT

5069-OB165069-IB8S

OUTPUT


Rede DeviceNet

Rede EtherNet/IP

Dispositivo de conexão Ethernet para DeviceNet 1788







Características gerais de programação

Use a aplicação Studio 5000 Logix Designer para programar os controladores de segurança GuardLogix.

Use a aplicação Studio 5000 Logix Designer para definir a localização, propriedade e configuração dos dispositivos de E/S e controladores assim como para criar, testar e depurar a lógica do programa. Apenas o diagrama de lógica ladder tem suporte na tarefa de segurança GuardLogix.

Consulte o Apêndice A na página 69 para informações sobre o conjunto de instruções de lógica disponíveis para os projetos de segurança.

IMPORTANTE Quando o controlador GuardLogix estiver em modo de execução ou de programa, e o programa de aplicação não tiver sido validado, você é responsável por manter as condições de segurança.


Capítulo 3

E/S de segurança para o sistema de controle GuardLogix

Antes de operar um sistema de segurança GuardLogix com dispositivos de E/S de segurança, primeiramente leia, entenda e siga todas as informações de segurança na documentação de produto para esses produtos.

Os dispositivos de E/S de segurança podem ser conectados a dispositivos de entrada e saída de segurança, como sensores e atuadores. O controlador GuardLogix monitora e controla os dispositivos. Para dados de segurança, a comunicação E/S é feita por meio de conexões de segurança usando o protocolo CIP Safety; a lógica de segurança é processada no controlador GuardLogix.

Funções de segurança típicas dos dispositivos de E/S de segurança

O que vem a seguir é tratado como estado seguro pelos dispositivos de E/S de segurança:

• Saída de segurança: desligada • Dados de entrada de segurança para o controlador: desligados

Use os dispositivos de E/S de segurança para aplicações que estiverem no estado seguro quando a saída de segurança desliga.

Diagnósticos

Os dispositivos de E/S de segurança executam autodiagnósticos quando a alimentação é ligada e periodicamente durante a operação. Caso um diagnóstico de falha seja detectado, os dados de entrada de segurança (para o controlador) e as saídas de segurança serão definidas para o estado seguro (desligadas).

Tópico Página

Funções de segurança típicas dos dispositivos de E/S de segurança 23

Tempo de reação 24

Considerações de segurança para os dispositivos de E/S de segurança 25

Rede de segurança

status de segurança

Saída de segurança, desenergizada

Dados de entrada de segurança


Capítulo 3 E/S de segurança para o sistema de controle GuardLogix

Dados de status

Além de dados de entrada e de saída de segurança, os dispositivos de E/S de segurança suportam dados de status para monitorar a integridade dos dispositivos e dos circuitos de E/S. Consulte a documentação de produto do seu dispositivo para obter as capacidades específicas do produto.

Indicadores de status

Os dispositivos de E/S de segurança possuem indicadores de status. Para obter detalhes sobre a operação dos indicadores de status, consulte a documentação de produto do dispositivo específico.

Função atraso na energização ou atraso na desenergização

Alguns dispositivos de E/S de segurança podem suportar funções de atraso na energização e de atraso na desenergização para sinais de entrada. Em algumas aplicações, é necessário incluir atraso na energização ou atraso na desenergização ou ambos para calcular o tempo de reação do sistema.

Por exemplo, o filtro de atraso de 1 para 0 ajuda a filtrar o ruído que afeta o nível lógico da entrada.

Consulte o Apêndice C na página 81 para obter informações sobre o tempo de reação do sistema.

Tempo de reação O tempo de reação da entrada é o período desde quando o sinal muda em um terminal de entrada até quando os dados de segurança são enviados para o controlador GuardLogix.

O tempo de reação da saída é o período desde quando os dados de segurança são recebidos do controlador GuardLogix até o terminal de saída mudar de estado.

Para obter informações sobre como determinar os tempos de reação de entrada e de saída, consulte a documentação de produto do seu dispositivo de E/S de segurança específico.

Consulte o Apêndice C na página 81 para obter informações sobre como calcular tempo de reação do sistema.


E/S de segurança para o sistema de controle GuardLogix Capítulo 3

Considerações de segurança para os dispositivos de E/S de segurança

Você deve comissionar todos os dispositivos com um nó ou endereço IPe taxa de comunicação, se necessário, antes de sua instalação na rede de segurança.

Propriedade

Um controlador GuardLogix possui cada dispositivo de E/S de segurança em um sistema GuardLogix. Diversos controladores GuardLogix e diversos dispositivos de E/S de segurança podem ser usados sem restrições em racks ou em redes, conforme necessário. Quando um controlador possui um dispositivo de E/S, ele armazena os dados de configuração que você define para esse dispositivo. Essa configuração controla a forma como os dispositivos funciona no sistema.

Do ponto de vista do controle, um controlador controla os dispositivos de saída de segurança. Um controlador também possui cada dispositivo de entrada de segurança. No entanto, os dados de entrada de segurança podem ser compartilhados (consumidos) por vários controladores GuardLogix.

Assinatura de configuração de E/S de segurança

A assinatura de configuração é calculada a partir da configuração do dispositivo de E/S de segurança. A assinatura de configuração é usada para verificar se o dispositivo está configurado como esperado pela aplicação de segurança. Ao usar um controlador GuardLogix, não é necessário monitorar esta assinatura. O controlador GuardLogix monitora a assinatura automaticamente. Se a assinatura de configuração mudar inesperadamente, a conexão de segurança entre o controlador e o módulo de E/S é interrompida, o que faz com que o módulo de E/S entre em seu estado seguro.

IMPORTANTE As assinaturas de configuração de E/S de segurança aplicam-se a módulos de segurança individuais. Isso é diferente da assinatura de segurança do controlador, que se aplica a toda a parte de segurança do controlador.



Ao usar um módulo de terceiros, se você se conectar a um dispositivo de E/S de segurança sem uma assinatura de configuração, será necessário verificar se existe uma configuração válida no dispositivo de E/S de segurança.

Substituição de dispositivo de E/S de segurança

A substituição de dispositivos de segurança exige que o dispositivo de substituição seja configurado corretamente e que a operação do dispositivo de substituição seja verificada.

Duas opções para a substituição do dispositivo de E/S estão disponíveis na guia Safety da caixa de diálogo Controller Properties na aplicação Studio 5000 Logix Designer:

• Configurar somente quando não houver nenhuma assinatura de segurança• Configure sempre

IMPORTANTE Os módulos de E/S de segurança da Rockwell Automation geralmente usam a assinatura de configuração e não permitem que seu sistema seja executado sem assinatura de configuração.

ATENÇÃO: Durante a substituição do teste funcional de um dispositivo, a segurança do sistema não deve depender de nenhuma parte do dispositivo afetado.


E/S de segurança para o sistema de controle GuardLogix Capítulo 3

Figura 7 - Opções de substituição de E/S de segurança

Configurar somente quando não houver nenhuma assinatura de segurança

Esse ajuste de parâmetro instrui o controlador GuardLogix a configurar um dispositivo de segurança quando a tarefa de segurança não possui uma assinatura de segurança e o dispositivo de substituição não está na condição pronto para usar sem número da rede de segurança.

Se o controlador tem uma assinatura de segurança, o controlador GuardLogix configura automaticamente o dispositivos de E/S de segurança se todas as condições seguintes forem verdadeiras:

• O dispositivo já tem o número de rede de segurança correto.• A codificação eletrônica do dispositivo está correta.• O nó ou endereço IP está correto.

Para definir o número da rede de segurança (SNN) apropriado quando existe uma assinatura de segurança do controlador, uma ação manual é necessária para fazer o download do SNN. Conecte-se ao controlador GuardLogix ou CompactGuardLogix com a aplicação Studio 5000 Logix Designer, em seguida abra a caixa de diálogo Properties, guia General, e clique no botão “…” ao lado de Safety Network Number. Use o botão Set para digitar o SNN para o módulo. Após a ação manual, o download do restante da configuração é automático.

Para obter informações detalhadas, consulte o procedimento ‘Substituir dispositivo de E/S de segurança’ no manual do usuário do controlador:

• ControlLogix 5580 and GuardLogix 5580 Controllers User Manual, publicação 1756-UM543

• Controladores CompactLogix 5380 Manual do usuário, publicação 5069-UM001





Configure sempre

O controlador GuardLogix tentará configurar o dispositivo de E/S de segurança de substituição se o dispositivo estiver na condição pronto para usar (quando não há nenhum número da rede de segurança no dispositivo de segurança de substituição e a codificação do dispositivo de E/S e do número do nó corresponde à configuração do controlador).

ATENÇÃO: Ative o recurso Configure Always somente se todo o sistema de controle de segurança roteável não for responsável por manter o comportamento de SIL 2 ou SIL 3 durante a substituição e o teste funcional do dispositivo. Consulte Sistema CIP Safety roteável na página 30.Se outras partes do sistema de controle de segurança estiverem sendo usadas para manter SIL 2 ou SIL 3, certifique-se de que o recurso Configure Always do controlador esteja desativado.É sua responsabilidade implantar um processo para garantir que a funcionalidade de segurança apropriada seja mantida durante a substituição de dispositivo.

ATENÇÃO: Siga o procedimento de substituição de dispositivo do manual do usuário para colocar um dispositivo na condição pronto para usar em uma rede de segurança quando o recurso Configure Always estiver ativado:• ControlLogix 5580 and GuardLogix 5580 Controllers User Manual,

publicação 1756-UM543 • Controladores CompactLogix 5380 Manual do usuário, publicação 5069-UM001




Capítulo 4

CIP Safety e números da rede de segurança

Referência de nó exclusivo

Os sistemas de controle CIP Safety são compostos de dispositivos CIP Safety interconectados por redes de comunicação. Essas redes consistem em dispositivos (switches, bridges, adaptadores e assim por diante) que podem não ter certificação SIL 2 ou SIL 3. Portanto, os dispositivos CIP Safety devem ser inerentemente protegidos dos erros de transmissão da rede.

O protocolo CIP Safety é um protocolo de segurança de nó final a nó final. Esta configuração permite o roteamento de mensagens CIP Safety de e para dispositivos CIP Safety através de bridges, switches e roteadores não certificados.

Um elemento-chave do protocolo CIP Safety é o conceito de uma referência de nó exclusivo (também chamada de ID de nó exclusivo ou UNID). Cada dispositivo CIP Safety deve ter um valor UNID atribuído a cada porta apta para CIP Safety.

Números da rede de segurança (SNN)

As comunicações dentro de um sistema de controle percorrem sub-redes interconectadas através de componentes de bridge ou roteamento. Exemplos de sub-rede:

• O backplane de um rack• Um banco de módulos de E/S• Uma sub-rede Ethernet dentro de uma rede local

Em vez de criar um UNID diretamente para cada dispositivo CIP Safety (que pode estar propenso a erros em um sistema grande), cada sub-rede recebe um número da rede de segurança (SNN) exclusivo e o UNID é criado a partir do SNN + endereço do nó.

Tópico Página

Referência de nó exclusivo 29

Números da rede de segurança (SNN) 29

Sistema CIP Safety roteável 30

Considerações sobre a atribuição de SNNs 30

Como os SNNs chegam aos dispositivos de segurança 32

Formatos de SNN 33

SNNs para dispositivos na condição pronto para usar 35

IMPORTANTE É sua responsabilidade assegurar que todas as UNIDs sejam verdadeiramente exclusivas dentro do escopo de todos os dispositivos que tenham possibilidade de comunicar-se entre si.


Capítulo 4 CIP Safety e números da rede de segurança

Sistema CIP Safety roteável

O exemplo de sistema na Figura 8 não está interconectado com outro sistema CIP Safety através de uma grande estrutura de Ethernet em toda a fábrica. Dessa forma, a Figura 8 ilustra a extensão de um sistema CIP Safety roteável.

Figura 8 - Exemplo de sistema de segurança

Neste exemplo: • Para uma porta de backplane, um SNN é atribuído ao backplane e o

endereço do nó é o número do slot do dispositivo.• Para uma porta Ethernet, um SNN é atribuído à rede EtherNet/IP e o

endereço do nó é o endereço IP do dispositivo.• A 5069-L320ERS2 está no modo Dual-IP e está conectada a duas redes

EtherNet/IP separadas. Elas não devem compartilhar os valores de SNN porque as switches podem rotear os pacotes incorretamente entre as mesmas.

Considerações sobre a atribuição de SNNs

Ao criar projetos de controlador, a aplicação Studio 5000 Logix Designer gera automaticamente um valor de SNN sempre que reconhece uma nova sub-rede contendo dispositivos CIP Safety:

• Cada porta apta para CIP Safety no controlador recebe um SNN.• Se uma bridge ou dispositivo adaptador está em uma árvore de E/S e um

dispositivo CIP Safety filho é adicionado, a sub-rede criada pela bridge ou adaptador recebe um SNN.

Se todo o sistema CIP Safety consiste em um projeto de controlador, esses valores de SNN gerados automaticamente são suficientes.

Se houver vários controladores que devem interagir ou acessar a mesma E/S de segurança, o designer do sistema CIP Safety deve coordenar os valores de SNN entre os arquivos de projeto separados. A aplicação Studio 5000 Logix Designer permite acesso para copiar/colar nas atribuições de SNN para ativar essa coordenação.

1769

-L36

ERM

S

5069

-OBV

8S

Switch Switch

5069

-L32

0ERS

2

1732DS-IB6

1732ES-IB16

1732DS-IBSXOBV4

1791ES-IB16

1756

-L71

S

1756

-DNB

1756

-L7S

P

1756

-EN2

T

1756

-L84

ES

1756

-L81

ES


CIP Safety e números da rede de segurança Capítulo 4

Você também pode optar por mapear todo o sistema roteável (talvez para toda a fábrica) e atribuir manualmente os valores SNN a cada sub-rede. A aplicação Studio 5000 Logix Designer possui um método de entrada manual para atribuir valores de SNN e permitir essa metodologia de design.

A Figura 9 mostra um exemplo de como os SNNs podem ser atribuídos a sub-redes.

Figura 9 - Exemplo de atribuição de SNN

A Figura 10 na página 32 mostra como os exemplos anteriores estão relacionados à árvore de E/S do organizador do controlador Compact GuardLogix 5380 (código de catálogo 5069-L320ERS2).

1769

-L36

ERM

S

5069

-OBV

8S

Switch Switch

5069

-L32

0E, R

S2

1732DS-IB6

1732ES-IB16

1732DS-IBSXOBV4

1791ES-IB16

1756

-L71

S

1756

-DNB

1756

-L7S

P

1756

-EN2

T

1756

-L84

ES

1756

-L81

ES

SNN_1

Backplane do 1756:

SNN_2

SNN_3

SNN_5

Backplane do 5069:SNN_4

Sub-rede

Tipo Linha Atribuição de SNN

SNN_1 EtherNet/IP Porta Ethernet do 1769-L36ERMS, 1791ES-IB16, 5069-L320ERS2, porta Ethernet A1 (a Figura 10 mostra a atribuição do SNN 0004_0000_0001 a esta porta), 1756-EN2T e porta Ethernet 1756-L84ES

SNN_2 Backplane Nenhuma 1756-L71S, porta de backplane 1756-L84ES e porta de backplane 1756-L81ESSNN_3 DeviceNet 1732DS-IB6, 1732DS-IBSXOBV4SNN_4 Backplane Nenhuma Backplane 5069-L320ERS2 (Figura 10 mostra a atribuição do SNN 0001_0000_0004 a esta porta) e 5069-OBV8S

SNN_5 EtherNet/IP Porta Ethernet A2 5069-L320ERS2 (Figura 10 mostra a atribuição do SNN 0004_0000_0005 a esta porta) e 1732ES-IB16 e porta Ethernet 1756-L81ES.



Figura 10 - Organizador do controlador

O perfil de configuração para cada dispositivo CIP Safety na árvore de E/S inclui um parâmetro para o valor de SNN que o controlador usa quando abre a conexão CIP Safety para esse dispositivo. Este parâmetro adota automaticamente o valor de SNN já estabelecido pelos SNNs conhecidos do projeto:

• Os dispositivos de segurança (incluindo controladores de segurança) filhos diretos de um controlador GuardLogix adotam o SNN que corresponde ao controlador para a porta usada para conectar ao módulo de segurança.– Os dispositivos de segurança diretamente sob a porta do backplane

adotam o SNN da porta do backplane do controlador GuardLogix.– Dispositivos de segurança diretamente sob uma porta Ethernet adotam

o SNN da porta Ethernet do controlador GuardLogix.• Os dispositivos de segurança (incluindo controladores de segurança) em

uma sub-rede remota adotam o valor do SNN que já está atribuído a essa sub-rede ou um novo SNN é gerado para o primeiro dispositivo CIP Safety nessa sub-rede.

Recomendamos que você atribua cada SNN de controlador ao SNN já estabelecido para a sub-rede. Assim, a aplicação Studio 5000 Logix Designer poderá atribuir o SNN correto a cada módulo de E/S de segurança e controlador de segurança adicionado no projeto.

Como os SNNs chegam aos dispositivos de segurança

A maioria dos módulos de E/S CIP Safety (no estado padrão de fábrica) aceita um SNN atribuído pelo controlador que possui esse módulo. O valor de SNN que a aplicação Studio 5000 Logix Designer adota automaticamente para a conexão desse módulo é aceito quando o controlador abre a conexão inicial para o módulo.

Alguns dispositivos, como outro controlador de segurança na árvore de E/S, recebem sua configuração de SNN de uma estação de trabalho de programação. Para esses dispositivos, configure manualmente a conexão para usar o mesmo SNN programado nesse dispositivo se a aplicação Studio 5000 Logix Designer não atribuiu automaticamente o SNN correto.

SNN_4

SNN_1

SNN_5

IMPORTANTE Os módulos de E/S CIP Safety retêm sua UNID (SNN + nó) depois de atribuídos e devem ser redefinidos antes de poderem ser reutilizados com outro valor.



Formatos de SNN Os SNNs usados pelo sistema consistem em números hexadecimais de 6 bytes. Os SNNs podem ser definidos e visualizados em um destes dois formatos:

• Com base no tempo• Manual

Formato e atribuição de SNN com base na hora

Quando o formato baseado em tempo for selecionado, o SNN representará uma data e hora localizadas.

Figura 11 - Formatos de SNN

A atribuição de SNNs com base na hora é automática ao criar um projeto de controlador de segurança GuardLogix ou ao adicionar o EtherNet/IP alterando o modo IP (somente no Compact GuardLogix 5380) ou o tipo de controlador. Os SNNs com base no tempo gerado pelo software são sempre exclusivos para o projeto, sejam gerados pela criação do projeto ou pela alteração do modo de IP. Os dispositivos criados diretamente sob a porta do controlador assumem o mesmo SNN que a porta no controlador.

Os novos dispositivos de E/S CIP Safety adicionados às portas sob um adaptador (diferentemente do próprio controlador) seguem regras semelhantes.

• Se nenhum outro dispositivo sob a porta usar um SNN, um SNN com base na hora será atribuído automaticamente.

• Caso contrário, o dispositivo recebe o mesmo SNN que o primeiro dispositivo na ordem de endereços com um SNN.

IMPORTANTE Se tiver um diagrama da rede para sua aplicação (por exemplo, Figura 9), você deve editar os SNNs do controlador para corresponder ao diagrama da rede. Recomendamos editar os SNNs antes de adicionar dispositivos na configuração de E/S no organizador do controlador.



Formato e atribuição de SNN manual

Quando o formato manual for selecionado, o SNN representa um tipo de rede e deve ter um valor decimal de 1 a 9999.

Figura 12 - Formatos de SNN

A manipulação de um SNN é obrigatória nas seguintes situações:• Para assegurar que todas as portas do controlador de segurança na mesma

sub-rede tenham o mesmo SNN em todos os projetos.• Ao copiar projetos de segurança.

ATENÇÃO: Se um projeto de segurança for copiado em outro projeto com um hardware diferente ou em um local físico diferente e o novo projeto estiver dentro do mesmo sistema de segurança roteável, todos os SNNs deverão ser alterados no segundo sistema. Os valores de SNN não podem ser repetidos.Consulte os seguintes manuais do usuário para obter informações sobre como alterar o SNN:• ControlLogix 5580 and GuardLogix 5580 Controllers User Manual,

publicação 1756UM543 • Manual do usuário dos controladores CompactLogix 5380, publicação

5069UM001

IMPORTANTE Se um SNN for atribuído manualmente, certifique-se de que a expansão do sistema não resulte em duplicação de combinações de SNN e referência exclusiva de nó.Uma advertência será exibida se o seu projeto contiver combinações de SNN e referência exclusiva de nó duplicadas. Ainda é possível verificar o projeto, mas recomendamos que as combinações duplicadas sejam solucionadas.No entanto, pode haver dispositivos de segurança na rede de segurança roteável que tenham o mesmo SNN e endereço do nó e não estejam no projeto. Nesse caso, esses dispositivos de segurança são desconhecidos para a aplicação Studio 5000 Logix Designer e a advertência não será exibida.Se houver referências de nó exclusivas duplicadas, como usuário do sistema, você é responsável por assegurar que isso não resulta em uma condição insegura.





SNNs para dispositivos na condição pronto para usar

Os dispositivos de E/S CIP Safety na condição pronto para usar não possuem um SNN. O SNN é definido quando uma configuração é enviada ao dispositivo pelo controlador GuardLogix que possui o dispositivo.

IMPORTANTE Para adicionar um dispositivo de E/S CIP Safety a um sistema GuardLogix configurado (o SNN está presente no controlador GuardLogix), o dispositivo CIP Safety de substituição deve ter o SNN correto aplicado antes de ser adicionado à rede CIP Safety.Para obter informações detalhadas, consulte o procedimento ‘Substituir dispositivo de E/S de segurança’ no manual do usuário do controlador:• ControlLogix 5580 and GuardLogix 5580 Controllers User Manual,

publicação 1756-UM543 • Controladores CompactLogix 5380 Manual do usuário,






Observações:


Capítulo 5

Características de tags de segurança, da tarefa de segurança e dos programas de segurança

Diferenciar entre padrão e segurança

Por se tratar de um controlador Logix os componentes padrão (não relacionados à segurança) e os componentes relacionados à segurança podem ser usados no sistema de controle GuardLogix.

É possível desempenhar um controle de automação padrão das tarefas padrão dentro de um projeto GuardLogix. Os controladores GuardLogix 5580 e os controladores Compact GuardLogix 5380 dispõe das mesmas funcionalidades de outros controladores. O que diferencia esses controladores dos controladores-padrão é que também fornecem tarefa de segurança apta para SIL 2 ou SIL 3.

No entanto, é necessária uma distinção lógica e visível entre as partes padrão e as partes relacionadas à segurança da aplicação. A aplicação Studio 5000 Logix Designer fornece a diferenciação através da tarefa de segurança, programas de segurança, rotinas de segurança, tags de segurança e dispositivos de E/S de segurança.

• Os controladores GuardLogix 5580 suportam ambos os níveis de controle de segurança SIL 2 e SIL 3 com a tarefa de segurança. Consulte Certificação SIL na página 9.

• Os controladores Compact GuardLogix 5380 suportam o nível SIL 2 de controle de segurança com a tarefa de segurança. Consulte Certificação SIL na página 9.

Tópico Página

Diferenciar entre padrão e segurança 37

A tarefa de segurança 38

Diferenças entre as aplicações de segurança SIL 2 e SIL 3 40

Uso de interfaces homem-máquina 42

Programa de segurança 44

Rotinas de segurança 44

Tags de segurança 45


Capítulo 5 Características de tags de segurança, da tarefa de segurança e dos programas de segurança

A tarefa de segurança

A criação de um projeto GuardLogix gera automaticamente uma tarefa de segurança. A tarefa de segurança apresenta estas características adicionais:

• Os controladores GuardLogix são os únicos compatíveis com a tarefa de segurança.

• A tarefa de segurança não pode ser removida.• Os controladores GuardLogix suportam uma tarefa de segurança.• Dentro da tarefa de segurança, podem-se usar vários programas de

segurança compostos por várias rotinas de segurança.• Não é possível agendar ou executar rotinas padrão de dentro da tarefa de

segurança.

A tarefa de segurança é uma tarefa periódica, e é necessário configurar o período e a prioridade da tarefa de segurança. A tarefa de segurança pode ser interrompida de acordo com as mesmas regras das tarefas padrão (inclusive as interrupções pela tarefa de movimento, que sempre tem prioridade mais alta do que a tarefa do usuário).

A configuração de tarefa de segurança com uma prioridade mais alta (número mais baixo) pode reduzir as flutuações no tempo de execução, o que pode permitir um ajuste mais baixo de parâmetro para o watchdog da tarefa de segurança, melhorando o tempo de reação do sistema de segurança.

Limitações da tarefa de segurança

Especifique o período da tarefa de segurança e o watchdog da tarefa de segurança. O período da tarefa de segurança é o intervalo de tempo entre execuções sucessivas da tarefa de segurança. O watchdog da tarefa de segurança é o tempo máximo permitido desde o início da execução programada da tarefa de segurança até sua conclusão.

Para obter mais informações sobre o watchdog da tarefa de segurança, consulte o Apêndice C na página 81.

O período máximo pode ser de 500 ms e não pode ser modificado on-line. Certifique-se de que a tarefa de segurança tem tempo suficiente para ser concluída antes de ser desarmada novamente. Tempo-limite de watchdog da tarefa de segurança: ocorre uma falha de segurança irrecuperável no controlador GuardLogix se a tarefa de segurança não terminar antes que o watchdog expire.

Para obter mais informações, consulte o Capítulo 7 na página 63.

IMPORTANTE Somente as instruções listadas no Apêndice A na página 69 podem ser usadas na tarefa de segurança.

IMPORTANTE Grandes quantidades de tags de segurança mapeados ou grandes quantidades que os dados de tags de segurança produzem/consomem podem causar flutuações no tempo de varredura da tarefa de segurança do controlador.


Características de tags de segurança, da tarefa de segurança e dos programas de segurança Capítulo 5

Detalhes de execução da tarefa de segurança

A tarefa de segurança é executada da mesma maneira que as tarefas periódicas padrão, com as seguintes exceções:

• Os tags de entrada de segurança e os tags consumidos de segurança são atualizados apenas no início da execução da tarefa de segurança. Esse processo significa que, embora o RPI da E/S possa ser mais rápido que o período da tarefa de segurança, os dados no tag de entrada de segurança são atualizados apenas uma vez no início de cada execução da tarefa de segurança. A entrada de segurança e os pacotes consumidos que chegam após o início da tarefa de segurança são armazenados em buffer até a próxima execução da tarefa de segurança.

• O tempo é congelado no início da execução da tarefa de segurança. Como resultado, as instruções relacionadas ao temporizador, como TON e TOF, não são atualizadas durante uma execução da tarefa de segurança. Elas manterão o tempo correto de execução de uma tarefa para a outra, mas o tempo acumulado não é alterado durante a execução da tarefa.

• Para tags padrão mapeados para tags de segurança, os valores de tag padrão são copiados para os tags de segurança no início da tarefa de segurança.– O tag padrão está livre para continuar mudando.

– O código do usuário pode alterar o tag de segurança dentro da tarefa de segurança, mas a alteração não é refletida de volta ao tag padrão.

• Os valores do tag de saída de segurança podem ser alterados durante a varredura da tarefa de segurança pelo código da aplicação de segurança do usuário; o valor final é transmitido aos módulos de segurança no final da verificação da tarefa de segurança. Da mesma forma, os valores de segurança produzidos são transmitidos para os controladores de segurança consumidores no final das tarefas de segurança.

ATENÇÃO: O comportamento é diferente da execução de tarefa Logix padrão.

IMPORTANTE A adição de mais tags mapeados pode aumentar o tempo de varredura.



Diferenças entre as aplicações de segurança SIL 2 e SIL 3

A apreciação de risco determina se uma função de segurança requer SIL 2 ou SIL 3. Por exemplo, uma máquina possui diversas funções de segurança em que o risco de segurança máximo requer SIL 2. Nesse caso, é aceitável um controlador apto para SIL 2. Outra máquina possui diversas funções de segurança em que ao menos um risco requer SIL 3. Nesse caso, é necessário um controlador apto para SIL 3.

Como aborda esta publicação, um controlador GuardLogix 5580 SIL 2 requer apenas o controlador primário e um controlador GuardLogix 5580 SIL 3 requer o controlador primário e o parceiro de segurança.

Independentemente do uso de uma solução SIL 2 ou SIL 3, uma assinatura de segurança é necessária para qualquer nível de integridade da segurança. Consulte Geração da assinatura de segurança na página 52 para obter informações adicionais.

Módulos de E/S de segurança

Uma diferença entre os níveis de integridade de segurança é que dispositivos de E/S de canal único são suficientes para SIL 2 e dispositivos de E/S de canal duplo são normalmente necessários para SIL 3.

IMPORTANTE Enquanto estiver sem o travamento de segurança e sem assinatura de segurança, o controlador ajuda a impedir o acesso de gravação simultâneo à memória de segurança pela tarefa de segurança e pelos comandos de comunicação. Como resultado, a tarefa de segurança pode ser retida até a conclusão da atualização da comunicação. O tempo necessário para a atualização varia de acordo com o tamanho do tag. Por isso, pode ocorrer a conexão de segurança e os tempos-limites de watchdog de segurança. (Por exemplo, se você fizer edições on-line quando a taxa da Tarefa de Segurança estiver definida para 1 ms, pode ocorrer um tempo-limite de watchdog de segurança.)Para compensar o tempo de retenção para atualizar a comunicação o tempo de watchdog de segurança deve ser alongado.Dependendo da edição, a tarefa de segurança pode não ter tempo suficiente para completar a operação e o tempo-limite de watchdog expira.Quando o controlador estiver com travamento de segurança ou houver uma assinatura de segurança, a situação descrita nesta observação não poderá ocorrer.

IMPORTANTE Se estiver operando acima de 55 °C (131 °F) em uma aplicação SIL 2, módulos maiores que 6,2 W não devem ser instalados em slots próximos ao controlador.

IMPORTANTE A tarefa de segurança pode conter várias instruções de segurança. Para uma função específica ser SIL 3, toda a cadeia de dispositivos e a programação do sensor para o atuador deve ser SIL 3. Tenha cuidado para não usar um sinal de entrada SIL 2 para uma função de segurança que exija SIL 3.



Do ponto de vista da arquitetura de segurança, usar canal único significa que a tolerância a falhas em hardware (HFT) é zero. Quando a HFT é zero, há orientações indicando que as falhas devem ser detectadas e a função de segurança deve ser levada a um estado seguro dentro do tempo de segurança do processo. Uma exceção se aplica se a taxa de teste de diagnóstico é 100 vezes a taxa de demanda. Se estiver usando módulos de E/S de segurança em aplicações SIL 2 de canal único, é necessário considerar o seguinte:

• O canal de entrada ou de saída deve ser configurado para teste de pulso de segurança.

• O tempo de segurança do processo é superior a 600 ms (o intervalo típico de teste de pulso de E/S de segurança) ou a taxa de demanda deve ser menor que uma demanda por minuto (por exemplo, uma por hora).

Os módulos de entrada de segurança CompactBlock Guard I/O (série 1791), ArmorBlock Guard I/O (série 1732), POINT Guard I/O (série 1734) e Compact 5000 Safety I/O (série 5069) suportam circuitos de entrada de segurança de canal único para SIL 2 (consulte as considerações acima) e de canal duplo para SIL 3. Como esses módulos têm as duas classificações, SIL 2 e SIL 3, é possível misturar circuitos SIL 2 e SIL 3 no mesmo módulo.

A Figura 13 mostra como conectar circuitos de segurança SIL 2 ao módulo de entrada de segurança de Guard I/O.

Figura 13 - Exemplo de fiação de entrada

Se você tiver circuitos de segurança SIL 2, é possível adicionar um segundo mostrado na Figura 14.

Figura 14 - Exemplo de fiação de entrada aos pares

IMPORTANTE A origem do teste deve ser configurada como teste de pulso.

I0 I1 T0 T1

I0 I1 T0 T1



Um diagramas de fiação SIL 3 típico é mostrado na Figura 15.

Figura 15 - Diagrama de fiação SIL 3

Uso de interfaces homem-máquina

Siga estas precauções e orientações para usar os dispositivos IHM em sistemas GuardLogix com classificação SIL.

Precauções

Você deve adotar precauções e implantar técnicas específicas em dispositivos IHM. Estas precauções incluem, mas não estão restritas ao seguinte:

• Acesso e segurança limitados• Especificações, teste e validação• Restrições de dados e acessos• Limites de dados e parâmetros

Para mais informações de como os dispositivos IHM se encaixam em uma malha SIL típica, consulte Arquitetura do GuardLogix na página 11.

Use técnicas de som no software de aplicação no IHM e controlador.

IMPORTANTE Estes diagramas da fiação são exemplos das configurações possíveis da fiação. Dependendo do seu dispositivo de E/S e da configuração do sistema, também são possíveis outras configurações.

IMPORTANTE Os testes de saída de pulso integrados (T0 a Tx) são normalmente usados com dispositivos de campo que têm contatos mecânicos. Se for utilizado um dispositivo de segurança com saídas eletrônicas (para alimentar as entradas de segurança), ele deve ter classificações de segurança apropriadas.

I0 I1 T0 T1



Acesso a sistemas relacionados à segurança

As funções relacionadas à IHM consistem em duas atividades principais: leitura e gravação de dados.

Leitura dos parâmetros em sistemas relacionados à segurança

A leitura de dados não é restrita porque a leitura não afeta o comportamento do sistema de segurança. Entretanto, o número, frequência e dimensões dos dados sendo lidos podem afetar a disponibilidade do controlador. Para evitar desarmes por ruídos relacionados à segurança, use boas práticas de comunicação para limitar o impacto do processamento de comunicação no controlador. Não configure as taxas de leitura à taxa mais rápida possível.

Mudança de parâmetros em sistemas com classificação SIL

Uma mudança de parâmetros em uma malha relacionada à segurança através de um dispositivo externo (ou seja, fora da malha de segurança) (por exemplo, um IHM) é permitida apenas com as seguintes restrições:

• Apenas pessoal (operadores) autorizado e com treinamento especial pode mudar os parâmetros em sistemas relacionados à segurança através de IHMs.

• O operador que faz mudanças em um sistema relacionado à segurança através de uma IHM é responsável pelo efeito destas mudanças na malha de segurança.

• Deve-se documentar claramente as variáveis que serão modificadas.• Deve-se usar um procedimento de operador claro, abrangente e explícito

para fazer as mudanças relacionadas à segurança através de um IHM.• As mudanças serão aceitas em um sistema relacionado à segurança apenas se

a seguinte sequência de eventos ocorrer:a. O novo valor do parâmetro deve ser enviado duas vezes para dois tags

diferentes; ou seja, ambos os valores não devem ser gravados com um comando.

b. Os dois tags padrão que recebem o valor do parâmetro da IHM devem ser mapeados em dois tags de segurança.

c. O código relacionado à segurança executado no controlador deve verificar ambos os tags de segurança quanto à equivalência e assegurar que estão dentro da faixa (verificações de limite).

d. Ambas as novas variáveis devem ser lidas e exibidas no dispositivo IHM (a tela IHM deve ler os tags de segurança que receberam os valores dos tags mapeados dos tags padrão).

e. Os operadores treinados devem verificar visualmente que as variáveis são iguais e estão com o valor correto.

f. Operadores treinados devem reconhecer manualmente que os valores estão corretos na tela IHM que envia um comando para a lógica de segurança, o que permite que os novos valores sejam usados na função de segurança.

Em cada caso, o operador deve confirmar a validade da mudança antes que sejam aceitas e aplicadas na malha de segurança.



• Teste todas as mudanças como parte do procedimento de avaliação de segurança.

• Documente suficientemente todas as mudanças relacionadas à segurança feitas através da IHM, incluindo o seguinte:– Autorização– Análise de impacto– Execução– Informações de teste– Informações de revisão

• As alterações de segurança do processo no sistema relacionado à segurança devem atender aos requisitos da IEC 61511.

• As alterações de segurança da máquina no sistema relacionado à segurança devem atender aos requisitos da IEC 62061.

• O programador deve seguir as mesmas técnicas e procedimentos de desenvolvimento seguros usados para outro desenvolvimento de software de aplicação, incluindo a verificação e testes da interface do operador e seu acesso a outras partes do programa. No software de aplicação do controlador, crie uma tabela que seja acessível pela IHM e limite o acesso apenas a pontos de dados necessários.

• Similarmente ao programa do controlador, o software de IHM é protegido e mantido para compatibilidade com nível SIL após o sistema ser validado e testado.

Programa de segurança Um programa de segurança tem atributos de um programa padrão, exceto pelo fato de que só pode ser programado na tarefa de segurança. Um programa de segurança também pode definir tags de segurança com escopo de programa. Um programa de segurança pode ser escalonado ou não escalonado.

Um programa de segurança pode conter apenas componentes de segurança. Todas as rotinas em um programa de segurança são rotinas de segurança. Um programa de segurança não pode conter rotinas padrão ou tags padrão.

Rotinas de segurança As rotinas de segurança possuem os atributos das rotinas padrão, exceto pelo fato de que elas podem existir apenas em programas de segurança, não podem ler ou gravar tags padrão e só podem ser feitas em lógica ladder. Uma rotina de segurança deve ser designada como a rotina principal em cada programa de segurança. Outra rotina de segurança pode ser designada como a rotina de falha para esse programa de segurança. Apenas instruções certificadas para segurança podem ser usadas em rotinas de segurança.

Para obter uma lista de instruções de segurança, consulte o Apêndice A na página 69.



Tags de segurança O Sistema de Controle GuardLogix suporta o uso de tags padrão e de segurança no mesmo projeto. No entanto, o software de programação diferencia os tags padrão dos tags de segurança de forma operacional.

Os tags de segurança possuem os atributos dos tags padrão acrescentado os mecanismos que proporcionam a integridade dos dados para o nível de integridade de segurança (SIL 2 ou SIL 3) configurado.

Os tags de segurança podem ser compostos do seguinte:• Todos os tipos de dados primitivos (por exemplo, BOOL, SINT, INT,

DINT, LINT, REAL)• Tipos predefinidos são utilizados em instruções de aplicação de segurança• Tipos de dados ou vetores definidos pelo usuário compostos por dois tipos

de dados acima

A aplicação Studio 5000 Logix Designer ajuda a impedir a criação direta de tags inválidos em um programa de segurança. Se tags inválidos forem importados, eles não podem ser verificados.

Os tags classificados como tags de segurança são tags do controlador ou do programa de segurança. A lógica padrão ou de segurança ou outros dispositivos de comunicação podem ler tags de segurança com escopo de controlador, mas somente a lógica de segurança ou outro controlador de segurança GuardLogix por meio de uma tag consumida pode gravar os tags de segurança com escopo de controlador. Os tags de segurança com escopo do programa são acessíveis apenas pelas rotinas de segurança locais. Essas rotinas residem no programa de segurança.

Os tags associados à E/S de segurança e os dados de segurança produzidos ou consumidos devem ser tags de segurança com escopo de controlador.

IMPORTANTE Alternar entre tags de segurança e tags padrão é proibido em aplicações de segurança.

IMPORTANTE Os tags de entrada de segurança e os tags de segurança consumidos podem ser lidos por qualquer rotina padrão, mas a taxa de atualização baseia-se na execução da tarefa de segurança. Esses tags são atualizados no início da execução da tarefa de segurança, o que difere do comportamento do tag padrão.



Tags padrão em rotinas de segurança (mapeamento de tags)

Os tags padrão com escopo de controlador podem ser mapeados em tags de segurança, fornecendo um mecanismo de sincronização de ações padrão e de segurança.

ATENÇÃO: Ao usar dados padrão em uma rotina de segurança, você será responsável por fornecer meios mais confiáveis de assegurar que os dados sejam usados de forma adequada. O uso de dados padrão em um tag de segurança não os transforma em dados de segurança. Você não deve controlar uma saída de segurança com dados do tag padrão.Este exemplo ilustra como qualificar os dados padrão com os dados de segurança.

Figura 16 - Qualificação dos dados padrão com dados de segurança

ONSMappedBooleanTag LatchOneShot

Node30ComboModule:O.Pt03Data

Node30ComboModule:I.Pt07Data Node30ComboModule:O.Pt03Data

Trave o circuito para ajudar a impedir a reinicialização automática se a entrada padrão (tag mapeado) falhar em um estado ‘parado no 1’.

Qualificador de entrada de segurança para tag mapeado

saída de segurança


Capítulo 6

Desenvolvimento da aplicação de segurança

Hipóteses do conceito de segurança

O conceito de segurança considera os seguintes requisitos:• Se você é responsável pela criação, operação e manutenção da aplicação, está

qualificado, treinado e tem experiência em sistemas de segurança.• Você aplica a lógica corretamente, o que significa que os erros de

programação podem ser detectados pelo cumprimento rigoroso das especificações. Regras de programação e de nomenclatura podem detectar erros de programação.

• Você executa uma análise crítica da aplicação e usa todas as medidas possíveis para detectar uma falha.

• Todos os downloads de aplicações são confirmados através de uma verificação manual da assinatura de segurança.

• Você executa um teste funcional completo de todo o sistema antes da primeira partida operacional de um sistema de segurança. Esse teste inclui, mas não se limita ao seguinte:– Validação da funcionalidade geral das funções de segurança

implementadas, incluindo a configuração de E/S realizada por Add-on Profiles (AOP), além dos limites dos dispositivos individuais (testes de limite).

– Verificação de que as versões corretas de software são usadas.

Tópico Página

Hipóteses do conceito de segurança 47

Noções básicas do desenvolvimento e teste da aplicação 48

Comissionamento do ciclo de vida 50

Download do programa aplicativo de segurança 56

Upload do programa da aplicação de segurança 56

Armazenar e carregar um projeto a partir de um cartão de memória 57

Forçar os dados 57

Inibição de um dispositivo 58

Edição on-line 58

Editando sua aplicação de segurança 59


Capítulo 6 Desenvolvimento da aplicação de segurança

Noções básicas do desenvolvimento e teste da aplicação

Recomendamos que um integrador de sistemas ou um usuário treinado e experiente em aplicações de segurança desenvolva o programa aplicativo para o sistema SIL 2 ou SIL 3 pretendido. O desenvolvedor deve seguir as boas práticas de projeto.

• Use as especificações funcionais, incluindo fluxogramas, diagramas de temporização e gráficos sequenciais.

• Faça uma revisão da lógica da tarefa de segurança.• Faça a validação da aplicação.

Tabela 1 - Efeito dos modos do controlador na execução de segurança

Modo de controlador

Comportamento do controlador

Programa • Conexões de entrada e saída de segurança são estabelecidas e mantidas:– Os tags de entrada de segurança são atualizados para refletir os valores de entrada de segurança.

• A lógica da tarefa de segurança não está sendo varrida.

Teste • Conexões de entrada e saída de segurança são estabelecidas e mantidas:– Os tags de entrada de segurança são atualizados para refletir os valores de entrada de segurança.

• A lógica da tarefa de segurança está sendo varrida.

Run • Conexões de entrada e saída de segurança são estabelecidas e mantidas:– Os tags de entrada de segurança são atualizados para refletir os valores de entrada de segurança.– O controlador envia “executar” pacotes de saída de segurança.

• A lógica da tarefa de segurança está sendo varrida.• Toda a lógica de processo de tarefa de segurança, faz a comparação cruzada das saídas lógicas. Saídas de lógica são gravadas nas saídas de segurança.

Tabela 2 - Status de aplicação de segurança

Status da tarefa de segurança

Segurança(1)

(até e incluindo)Comportamento do controlador

DestravadoSem assinatura

Somente para fins de desenvolvimento

• E/S de segurança forçadas podem estar presentes.• E/S de segurança forçadas podem ser modificadas.• É permitida a edição on-line de segurança.• A memória de segurança é isolada, mas não é protegida (leitura/gravação).

TravadoSem assinatura

Somente para fins de desenvolvimento

• Não são permitidas E/S de segurança forçadas (as E/S de segurança forçadas devem ser removidas antes que seja possível travar).

• Não é permitida a edição on-line da tarefa de segurança.• A memória de segurança é protegida (apenas leitura).

DestravadoCom assinatura

SIL 3/nível de desempenho e/Cat. 4Controle confiável

• Não são permitidas E/S de segurança forçadas. (AsE/S de segurança forçadas devem ser removidas antes que seja possível gerar uma assinatura.)

• Não é permitida a edição on-line da tarefa de segurança.• A memória de segurança é protegida (apenas leitura).• A assinatura de segurança permite a recuperação de uma falha irrecuperável sem fazer novo download.• A assinatura de segurança não é protegida e qualquer um com acesso ao controlador pode excluí-la.

TravadoCom assinatura

SIL 3/nível de desempenho e/Cat. 4Controle confiável

• Não são permitidas E/S de segurança forçadas.• Não é permitida a edição on-line da tarefa de segurança.• A memória de segurança é protegida (apenas leitura).• A assinatura de segurança permite a recuperação de uma falha irrecuperável sem fazer novo download.• A assinatura da de segurança é protegida. Você deve inserir a senha para destravar o controlador antes de poder excluir

a assinatura de segurança.

(1) Para atingir este nível, você deve seguir os requisitos de segurança definidos neste manual de referência de segurança.


Desenvolvimento da aplicação de segurança Capítulo 6

O ambiente do Studio 5000® é um pacote de ferramentas certificadas como uma ferramenta off-line de acordo com a cláusula 7.4.4 da IEC 61508-3. Ao desenvolver sua aplicação de segurança, considere o seguinte:

IMPORTANTE • A aplicação Studio 5000 Logix Designer está certificada conforme a cláusula 7.4.4 da IEC 61508-3, edição 2, e pode ser usada durante o ciclo de vida de codificação de aplicações baseadas no GuardLogix e também como auxílio nas fases do ciclo de vida de teste do módulo, teste de integração e teste de validação. Em consequência, não é necessária nenhuma justificativa adicional para o seu uso durante essas fases do ciclo de vida. Se, no entanto, outras ferramentas forem usadas, isoladamente ou com a aplicação Studio 5000 Logix Designer, pode ser necessária justificativa adicional para essas outras ferramentas. É de sua responsabilidade verificar se outras ferramentas off-line usadas durante todas as fases do ciclo de vida são selecionadas como uma parte coerente das atividades de desenvolvimento de software.

• É de sua responsabilidade efetuar uma avaliação para determinar o nível de confiança depositado na aplicação Studio 5000 Logix Designer e os possíveis mecanismos de falha que podem afetar o software executável quando a aplicação Studio 5000 Logix Designer é usada de uma maneira diferente da especificada na documentação do produto.

• Verifique se toda as informações de programação e configuração inseridas na aplicação Studio 5000 Logix Designer e baixadas no controlador atendem aos requisitos da sua aplicação. Consulte Confirmar o projeto na página 54 para obter mais informações.

• Conforme exigido pelo nível de integridade de segurança, o software ou a representação do projeto deve corresponder às características da aplicação.

• Conforme exigido pelo nível de integridade de segurança, o software ou a representação do projeto deve ser compatível com os recursos suportados na aplicação Studio 5000 Logix Designer e nos controladores GuardLogix. É de sua responsabilidade verificar se o software e a representação do projeto desejados são suportados na aplicação Studio 5000 Logix Designer e nos controladores GuardLogix.Por exemplo, se o projeto for representado em formato de fluxograma, é sua responsabilidade converter esse projeto em um diagrama de lógica ladder.

• O uso de ferramentas de terceiros ou desenvolvidas internamente de geração automática da lógica a ser importada na aplicação Studio 5000 Logix Designer para compilação e download em um controlador GuardLogix, requer a avaliação de sua adequação no ponto do ciclo de desenvolvimento em que ele é selecionado.



Comissionamento do ciclo de vida

O fluxograma mostra as etapas necessárias ao comissionamento de um sistema GuardLogix. Consulte os links para ter explicação sobre esses tópicos.

Figura 17 - Comissionamento do sistema

Especificação da função de segurança na página 51

Criação do projeto na página 52On-line

Criação do projeto na página 52 Off-line

Anexe ao controlador e descarregue

Testar o programa aplicativo na página 52

Geração da assinatura de segurança na página 52

Registrar assinatura de segurança

Validar o projeto na página 53

Avaliação de segurança na página 55

Travar o controlador na página 55

Fazer as modificaçõesnecessárias

Excluir assinatura de segurançaValidaçãobem-sucedida?

Projeto validado?

Não

Sim

Não

Sim

Preencha a lista de verificação no Apêndice D

Confirmar o projeto



Especificação da função de segurança

Crie uma especificação para a sua função de segurança. Use esta especificação para verificar se a lógica do programa aborda correta e totalmente os requisitos funcionais e de controle de segurança da sua aplicação. Em algumas aplicações, a especificação pode ser apresentada em vários formatos. No entanto, a especificação deve ser uma descrição detalhada que inclua o seguinte (se aplicável):

• Sequência de operações• Fluxogramas e diagramas de temporização• Gráficos sequenciais• Descrição do programa• Cópia impressa do programa• Descrições escritas das etapas com as condições das etapas e atuadores a

serem controlados, incluindo o seguinte:– Definições de entrada– Definições de saída– Esquemas elétricos e referências de E/S– Teoria da operação

• Matriz ou tabela de condições em etapas e os atuadores a serem controlados, incluindo os diagramas de sequência e de temporização

• Definição das condições marginais, por exemplo, modos de operação e PARADA DE EMERGÊNCIA

A parte de E/S da especificação deve conter a análise de circuitos de campo, ou seja, o tipo de sensores e de atuadores.

• Sensores (Digitais ou Analógicos)– Sinal na operação padrão (princípio atual inativo para sensores digitais,

sensores desligados (OFF) indicam que não há sinal)– Determinação das redundâncias necessárias para os níveis de

integridade de segurança– Monitoração e visualização de discrepâncias, incluindo sua lógica de

diagnóstico• Atuadores

– Posição e ativação na operação padrão (normalmente ON)– Reação/posicionamento de segurança quando estiver alternando para

OFF ou em falha de alimentação– Monitoração e visualização de discrepâncias, incluindo sua lógica de

diagnóstico



Criação do projeto

A lógica e as instruções usadas durante a programação do programa aplicativo devem ser:

• Fáceis de compreender• Fáceis de rastrear• Fáceis de mudar• Fáceis de testar

Revisar e testar toda a lógica. Mantenha a lógica relacionada à segurança e a lógica padrão separadas.

Etiquetagem do programa

Use estes rótulos para identificar o programa com clareza:• Nome• Data• Revisão• Qualquer outra identificação útil

Testar o programa aplicativo

Esta etapa consiste na combinação dos modos de execução e de programação, edições on-line ou off-line, uploads e downloads e testes informais necessários para que o aplicativo funcione corretamente na preparação para o teste de validação do projeto.

Geração da assinatura de segurança

A assinatura de segurança se aplica a toda a parte de segurança do controlador e identifica exclusivamente cada projeto, incluindo sua lógica, dados e configuração. A assinatura de segurança é composta de um ID (número de identificação), data e hora.

ATENÇÃO: A assinatura de segurança é necessária para que o controlador opere nos níveis SIL 2 ou SIL 3. Só é possível operar sem uma assinatura de segurança durante desenvolvimento.

IMPORTANTE Uma das seguintes edições da aplicação Studio 5000 Logix Designer deve estar presente para gerar uma assinatura de segurança: Professional, Full, Lite Edition ou um 9324-RLDGLXE GuardLogix Editor separado.



Você pode gerar a assinatura de segurança se todas as condições a seguir forem verdadeiras:

• A aplicação Studio 5000 Logix Designer está on-line com o controlador.• O controlador estiver no modo de programação.• O controlador não estiver travado para segurança.• O controlador não tiver regras de segurança ou edições de segurança on-

line pendentes.• O status da Tarefa de Segurança estiver OK.

Após a conclusão dos testes do programa aplicativo, a assinatura de segurança deve ser gerada. O software de programação carrega automaticamente a assinatura de segurança depois que ela é gerada.

Você pode excluir a assinatura de segurança apenas quando o controlador GuardLogix está sem travamento de segurança e, caso esteja on-line, a chave seletora deverá estar na posição REM ou PROG. Quando Protect Signature, no modo de operação, estiver marcada o controlador não permite excluir a assinatura de segurança no modo de operação.

Não é possível atualizar o firmware quando existir uma assinatura de segurança.

Quando houver uma assinatura de segurança, as ações a seguir não serão permitidas na tarefa de segurança:

• Programação ou edição on-line ou off-line de componentes de segurança• Forçar a E/S de segurança• Manipulação de dados de componentes de segurança (exceto pela lógica da

rotina ou por outro controlador GuardLogix)

Validar o projeto

Para verificar se o programa aplicativo segue as especificações, deve-se gerar um conjunto de casos de testes apropriados que cubram a aplicação. Os testes devem ser arquivados e retidos como especificação do teste.

Você deve incluir vários testes para provar a validade dos cálculos (fórmulas) usados na lógica do aplicativo. Testes de intervalos equivalentes são aceitos. Esses são testes dentro dos intervalos de valor definidos, nos limites, ou em intervalos de valores inválidos. O número necessário de casos de teste depende das fórmulas usadas e deve conter pares de valores críticos.

IMPORTANTE Quando a aplicação de segurança tiver sido validada, pode haver ocasiões que exijam um novo download (como ao editar a aplicação padrão), mesmo que a aplicação de segurança não tenha sido alterada.Para verificar se a aplicação de segurança correta foi baixada, registre manualmente a assinatura de segurança após a criação inicial e verifique a assinatura de segurança após cada download para garantir que corresponda à original.



A simulação ativa com origens (dispositivos de campo) também deve ser incluída, pois é a única forma de verificar se os sensores e os atuadores do sistema estão conectados corretamente. Verifique a operação das funções programadas manipulando manualmente os sensores e atuadores.

Você também deve incluir testes para verificar a reação a falhas de fiação e a falhas na comunicação da rede.

A validação do projeto inclui testes de rotinas de falha e dos canais de entrada e de saída para garantir que o sistema de segurança funciona corretamente.

Para executar um teste de validação do projeto no controlador GuardLogix, você deve executar um teste completo da sua aplicação. Você deve alternar cada sensor e atuador envolvido em cada função de segurança. Certifique-se de testar todas as funções de encerramento, porque estas funções geralmente não são exercidas durante a operação normal.

Além disso, saiba que um teste de validação do projeto é válido somente para a aplicação especificamente testada. Se a aplicação de segurança for movida para outra instalação, você deverá executar a inicialização e a validação do projeto na aplicação de segurança no contexto dos novos sensores, atuadores, fiação, redes e equipamentos físicos do sistema de controle.

Confirmar o projeto

Deve-se imprimir ou visualizar o projeto e comparar as configurações do controlador e de E/S de segurança carregadas, os dados de segurança e a lógica de programação da tarefa de segurança para garantir que os componentes de segurança corretos foram descarregados, testados e retidos no programa aplicativo de segurança.

Caso o programa da aplicação contenha uma instrução add-on de segurança que esteja travada com uma assinatura da instrução, você também deve comparar a instrução de assinatura, a data/hora e a assinatura da instrução de segurança com os valores registrados quando a instrução add-on foi lacrada.

Consulte o Apêndice B na página 75 para obter informações sobre a criação e uso de instruções add-on de segurança para aplicações SIL 3.

As etapas a seguir ilustram um método de confirmação do projeto.

1. Salve o projeto, enquanto está on-line com o controlador e com o controlador no modo de programa.

2. Responda ‘Sim’ no prompt Carregar valores de tag.

3. Com a aplicação Studio 5000 Logix Designer off-line, salve o projeto com um novo nome, como Offlineprojectname.ACD, onde 'projectname 'é o nome de seu projeto. Este arquivo é o arquivo do novo projeto mestre testado.

4. Feche o projeto.



5. Remova o arquivo do projeto original do diretório atual. É possível excluir este arquivo ou armazená-lo em um local de arquivamento. Essa etapa é necessária porque, se a aplicação Studio 5000 Logix Designer encontrar o projectname.ACD neste diretório, ela correlaciona o mesmo ao projeto do controlador e não realiza o carregamento real.

6. Com o controlador ainda no modo de programa, carregue o projeto do controlador.

7. Salve o projeto carregado como ‘Onlineprojectname.ACD’, onde projectname é o nome do projeto.

8. Responda ‘Sim’ no prompt Carregar valores de tag.

9. Use o software utilitário Program Compare do Studio 5000 Logix Designer para fazer estas comparações:• Compare todas as propriedades do controlador GuardLogix e dos

dispositivos de E/S CIP Safety.• Compare todas as propriedades da tarefa de segurança, programas de

segurança e rotinas de segurança.• Compare toda a lógica nas rotinas de segurança.

10. Verifique se toda a configuração do controlador e E/S atende aos requisitos da especificação de sua aplicação.

Avaliação de segurança

Uma revisão independente, feita por terceiros, do sistema de segurança pode ser necessária para que o sistema seja considerado aprovado para operação. Uma certificação independente, feita por terceiros, pode ser necessária para os níveis SIL 2 e SIL 3 da IEC 61508.

Travar o controlador

Recomendamos travar por segurança o controlador GuardLogix para ajudar proteger os componentes de controle de segurança contra modificação. No entanto, o travamento de segurança não é um requisito para SIL 2 ou SIL 3. O recurso de travamento de segurança é aplicável somente a componentes de segurança, como a tarefa de segurança, programas de segurança, rotinas de segurança, tags de segurança, instruções add-on de segurança, E/S de segurança, e assinatura de segurança. No entanto, o travamento de segurança isoladamente não satisfaz os requisitos de SIL 2 ou SIL 3.

Nenhum aspecto de segurança pode ser modificado enquanto o controlador estiver no estado travado para segurança. Quando o controlador está nesse estado, as seguintes ações não são permitidas na Tarefa de Segurança:

• Atualize o firmware.• Programação ou edição on-line ou off-line• Forçar a E/S de segurança• Manipulação de dados de componentes de segurança (exceto pela lógica da

rotina ou por outro controlador GuardLogix)• Criação ou edição das instruções add-on de segurança• Criação ou exclusão da assinatura de segurança



O estado padrão do controlador está sem o travamento de segurança. É possível colocar a aplicação de segurança em um estado travado para segurança independentemente de estar on-line, off-line ou dispor da origem do programa original. No entanto, não pode haver nenhuma força ou edição de segurança pendente. Os status de com ou sem travamento de segurança não pode ser modificado quando a chave seletora está na posição RUN.

Para fornecer uma camada de proteção adicional, senhas separadas podem ser usadas para travar ou destravar por segurança o controlador. Senhas são opcionais.

Para ter mais informações sobre o recurso de trava de segurança, consulte o manual do usuário do controlador:



Download do programa aplicativo de segurança

Após o download, é necessário fazer um teste na aplicação, a menos que exista uma assinatura de segurança.

São permitidos downloads em um controlador GuardLogix com travamento de segurança somente se a assinatura de segurança e a versão do firmware do projeto off-line corresponderem ao que está no controlador-alvo GuardLogix e o status da tarefa de segurança do controlador é OK.

Upload do programa da aplicação de segurança

Se o controlador GuardLogix contiver uma assinatura de segurança, a assinatura de segurança será carregada em um projeto salvo on-line. Em consequência, todos os valores de tag de segurança off-line são atualizados para os valores do instantâneo salvos no momento em que a assinatura foi gerada. Nesse caso, a opção de carregar os valores de tag afeta apenas os valores de tag padrão.

IMPORTANTE Se existir uma assinatura de segurança e o controlador estiver travado por segurança somente projetos com uma assinatura de segurança correspondente podem ser baixados no controlador.

IMPORTANTE Para verificar se a aplicação de segurança correta foi baixada ou restaurada a partir de um cartão de memória, verifique manualmente se a assinatura de segurança corresponde à assinatura original na documentação de segurança.

IMPORTANTE Se a assinatura de segurança não corresponder e o controlador estiver com travamento de segurança, você deve destravar o controlador para fazer o download. Neste caso, o download para o controlador exclui a assinatura de segurança. Como resultado, você deverá validar novamente a aplicação.





Armazenar e carregar um projeto a partir de um cartão de memória

Os controladores GuardLogix e Compact GuardLogix suportam atualizações de firmware e armazenamento e recuperação de programas do usuário com um cartão de memória. Em um sistema GuardLogix, apenas o controlador primário utiliza um cartão de memória.

Durante o armazenamento de um projeto de segurança em um cartão de memória, recomendamos selecionar Remote Program como o modo de carregamento, ou seja, o modo em que o controlador deve entrar após a carga. Antes da operação real da máquina, é necessário a intervenção do operador para ligar a máquina.

Só é possível iniciar a carga a partir de um cartão de memória nas seguintes condições:

• Se o tipo de controlador especificado pelo projeto armazenado no cartão de memória corresponder ao tipo de seu controlador.

• Se as revisões principais e secundárias do projeto no cartão de memória correspondem às revisões principais e secundárias do seu controlador.

• Se o controlador não estiver no modo de operação.

Carregar um projeto em um controlador com travamento de segurança só é permitido quando a assinatura de segurança armazenada no projeto no cartão de memória corresponder ao projeto no controlador. Se as assinaturas não corresponderem ou se o controlador estiver com travamento de segurança sem uma assinatura de segurança, será preciso primeiro destravar o controlador antes de tentar atualizar o controlador usando o cartão de memória.

Forçar os dados Todos os dados contidos em um tag de segurança consumido ou produzido de E/S, incluindo CONNECTION_STATUS, podem ser forçados enquanto o projeto estiver sem o travamento de segurança e não houver assinatura de segurança. No entanto, as forças devem ser removidas, não apenas desabilitadas, em todos os tags de segurança para que o projeto de segurança possa ter travamento de segurança ou uma assinatura de segurança possa ser gerada. Não é possível forçar tags de segurança enquanto o projeto estiver como travamento de segurança ou quando houver uma assinatura de segurança.

IMPORTANTE Uma diferença de revisão ajuda a impedir apenas cargas iniciadas pelo usuário. As cargas iniciadas pelo controlador substituem o firmware no controlador pelo conteúdo do cartão de memória.

IMPORTANTE Se destravar o controlador e iniciar uma carga a partir de cartão de memória, o estado do travamento de segurança, as senhas e a assinatura de segurança são definidos conforme os valores contidos no cartão de memória quando o carregamento terminar.

DICA Você pode instalar e remover forças em tags padrão independentemente do estado de travado por segurança ou não.



Inibição de um dispositivo Você não pode inibir ou desinibir os dispositivos de E/S de segurança ou os controladores produtores se o programa aplicativo estiver com travamento de segurança ou se existir uma assinatura de segurança. Siga estas etapas para inibir um dispositivo de E/S de segurança.

1. Na aplicação Studio 5000 Logix Designer, clique com o botão direito no dispositivo e escolha Properties.

2. Na caixa de diálogo Module Properties, clique na guia Connection.

3. Marque Inhibit Connection e clique em Apply.

O dispositivo é inibido sempre que a caixa de seleção estiver marcada. Se um dispositivo de comunicação for inibido, todos os dispositivos a jusante também serão inibidos.

Edição on-line A edição on-line de lógica padrão não é afetada pelo estado seguro.

A edição on-line de lógica de segurança somente pode ser feita quando o controlador estiver sem travamento de segurança e sem assinatura. Siga essas orientações para fazer a edição on-line da lógica de segurança:

• Se o controlador estiver travado com edições de segurança, é necessário destravá-lo para montar ou cancelar edições.

• Para rotinas de segurança, o controlador não pode ser travado quando há uma edição pendente, mas pode ser travado quando há uma edição de teste.

• Ao alterar os parâmetros de configuração de instrução de uma instrução de segurança existente, é necessário fazer a transição do controlador para o modo de programa e voltar ao modo de execução antes que as alterações entrem em vigor.

Não é possível editar as instruções add-on de segurança ou padrão on-line.

DICA As edições on-line em rotinas padrão não são afetadas pelo estado travado ou não travadode segurança.

ATENÇÃO: Efetuar uma alteração on-line (de lógica, dados ou configuração) pode afetar a função de segurança do sistema se a modificação for feita durante a execução do programa aplicativo. As modificações on-line devem ser feitas somente se absolutamente necessárias. Se a alteração não for feita corretamente, pode interromper o programa aplicativo. Portanto, antes de efetuar uma alteração on-line, medidas de segurança alternativas devem ser aplicadas durante a atualização.



Editando sua aplicação de segurança

As regras a seguir aplicam-se à alteração do programa aplicativo de segurança na aplicação Studio 5000 Logix Designer:

• Apenas pessoal autorizado e treinado pode editar o programa. Esse pessoal deve usar todos os métodos de supervisão disponíveis, por exemplo, usar a chave seletora do controlador e proteções de senha no software.

• Quando pessoal especialmente treinado e autorizado faz edições no programa, eles assumirão a responsabilidade da segurança central enquanto as alterações estiverem em andamento. Esse pessoal também deve manter a operação segura do aplicativo.

• Quando estiver editando on-line, deve ser usado um mecanismo de proteção alternativo para manter a segurança do sistema.

• Você deve documentar suficientemente todas as edições no programa, incluindo o seguinte:– Autorização– Análise de impacto– Execução– Informações de teste– Informações de revisão

• Se as edições on-line existirem apenas nas rotinas padrão, essas edições não precisarão ser validadas antes de retornarem à operação normal.

• Assegure que as alterações na rotina-padrão, relacionadas à temporização e ao mapeamento de tags, sejam aceitáveis para a sua aplicação de segurança.

• Você pode editar a parte lógica do programa enquanto estiver on-line ou off-line, conforme descrito nas próximas seções.

Realização de edições off-line

Quando as edições off-line são feitas apenas em elementos do programa padrão e a assinatura de segurança encontra correspondência logo após um download, você pode retomar a operação.

Quando edições off-line afetam o programa de segurança, devem-se revalidar todos os elementos afetados da aplicação, conforme determinado pela análise de impacto, antes de retomar a operação.

A Figura 18 na página 61 ilustra o processo de edição off-line.

Execução de edições on-line

Se edições off-line afetam o programa de segurança, devem-se revalidar todos os elementos afetados da aplicação, conforme determinado pela análise de impacto, antes de retomar a operação. A Figura 18 na página 61 mostra o processo de edição on-line.

Os recursos de travamento de segurança e assinatura de segurança do controlador GuardLogix afetam as edições on-line.

DICA Limite as edições on-line a modificações pequenas no programa, como mudanças no ponto de definição ou pequenas adições de lógica, exclusões e modificações na lógica.



Consulte Geração da assinatura de segurança na página 52 e Travar o controlador na página 55 para obter mais informações.

Para obter informações detalhadas sobre como editar a lógica ladder na aplicação Studio 5000 Logix Designer enquanto estiver on-line, consulte Logix5000 Controllers Quick Start, publicação 1756-QS001.

Teste do impacto de modificação

Qualquer modificação, aprimoramento ou adaptação do seu software validado deve ser planejada e analisada para qualquer impacto ao sistema de segurança funcional. Todas as fases apropriadas do ciclo de vida de segurança do software precisam ser realizadas como indicar a análise de impacto.

No mínimo, as seguintes ações devem ser realizadas:• Testes funcionais de todo o software afetado.• Documentar todas as modificações das especificações do software.• Documentar todos os resultados dos testes.

Para obter informações detalhadas, consulte a IEC 61508-3, seção 7.8 Modificação de software.


http://literature.rockwellautomation.com/idc/groups/literature/documents/qs/1756-qs001_-en-p.pdf


Figura 18 - Processo de edição on-line e off-line

Gerar assinatura de segurança

Registrar assinatura daaplicação de segurança

Teste de impacto de modificação

Avaliação de segurança

Trave o controlador

Fazer as modificaçõesnecessárias

Excluir assinatura daaplicação de segurança

Passaramnos testes?

Projetovalidado?

Não

Sim

Não

Sim

Edição On-line

Anexe ao controlador


Fazer as modificaçõesdesejadas na lógica padrão

Alguma alteraçãode segurança?

Sim

Não


Fazer as modificaçõesdesejadas na lógica de

Edição off-line

Abra o projeto

Alguma alteraçãode segurança?

Sim

Não


Fazer as modificaçõesdesejadas na lógica

de segurança

Anexe ao controlador e descarregue

Fazer as modificaçõesdesejadas na lógica padrão

Anexe ao controladore descarregue

Destrave o controlador

Destrave o controlador

FIM

FIM

FIM



Compare o valor da assinatura de segurança on-line com o

valor documentado para verificar se a aplicação de

segurança não foi afetada.

Compare o valor da assinatura de segurança on-line com o

valor documentado para verificar se a aplicação de

segurança não foi afetada.

Institua mecanismosde proteção alternativos

Confirmar o projetoIMPORTANTE Uma das seguintes edições da aplicação Studio 5000 Logix Designer deve estar presente para gerar alterações de segurança: Professional, Full, Lite Edition ou um 9324-RLDGLXE GuardLogix Editor separado.



Observações:


Capítulo 7

Monitorar o status e tratar falhas

A arquitetura GuardLogix fornece a você várias maneiras de detectar e reagir contra falhas no sistema. A primeira maneira de tratar falhas é verificar se as listas de verificação de sua aplicação foram preenchidas (consulte o Apêndice D na página 91).

Indicadores de status Para obter detalhes sobre a operação dos indicadores de status, consulte o manual do usuário do controlador:



Monitoração do status do sistema

Pode-se visualizar o status de conexões de tag de segurança. Você também pode determinar o status operacional interrogando vários objetos de dispositivo. É sua responsabilidade determinar quais dados são mais apropriados para iniciar uma sequência de encerramento.

Dados CONNECTION_STATUS

O primeiro membro da estrutura do tag associado aos dados de entrada de segurança e aos dados do tag de segurança produzido/consumido contém o status da conexão. Esse membro é um tipo de dados predefinido chamado CONNECTION_STATUS.

Tópico Página

Indicadores de status 63

Monitoração do status do sistema 63

Falha de segurança 66

Falha do parceiro de segurança 68

IMPORTANTE Os indicadores de Status não são indicadores confiáveis para funções de segurança. Use-os apenas para diagnóstico geral durante o comissionamento ou localização de falhas. Não tente usar os indicadores de status para determinar o status de operação.




Capítulo 7 Monitorar o status e tratar falhas

Figura 19 - Caixa de diálogo de tipo de dados

Os dois primeiros bits do tipo de dados CONNECTION_STATUS contêm os bits de status RunMode e ConnectionFaulted de um dispositivo. A Tabela 3 descreve as combinações dos estados RunMode e ConnectionFaulted.

Diagnósticos de entrada e saída

Os módulos Guard I/O fornecem teste de pulsos e recursos de monitoração. Se o módulo detecta uma falha, ele configura a entrada ou saída com problema em seu estado seguro e reporta a falha ao controlador. A indicação de falha é feita através do status da entrada ou da saída e é mantida por um período configurável após a reparação da falha.

Tabela 3 - Status de conexão de segurança

Status RunMode

Status ConnectionFaulted Operação de conexão de segurança

1 = Run 0 = Válida O dispositivo produtor está controlando ativamente os dados. no modo de operação.

0 = Idle 0 = Válida Conexão ativa e dispositivo em produção no estado Inativo. Os dados de segurança são redefinidos para estado seguro.

0 = Idle 1 = Faulted Conexão de segurança apresenta falha. Estado do dispositivo em produção desconhecido. Os dados de segurança são redefinidos para estado seguro.

1 1 Estado inválido.

ATENÇÃO: As conexões de E/S de segurança e as conexões produzidas/consumidas não podem ser configuradas automaticamente para falhar o controlador se uma conexão for perdida e se o sistema transicionar para o estado seguro. Por isso, se precisar detectar uma falha no dispositivo para garantir que o sistema mantenha o nível SIL requerido, devem-se monitorar os bits CONNECTION_STATUS de E/S de segurança e iniciar a falha através da lógica do programa.

IMPORTANTE É sua responsabilidade fornecer a lógica da aplicação para travar estas falhas de E/S e verificar se o sistema é reiniciado adequadamente.


Monitorar o status e tratar falhas Capítulo 7

Status da conexão de dispositivo de E/S

O protocolo CIP Safety permite que os destinatários dos dados de E/S determinem o status desses dados:

• O controlador detecta falhas de conexão de entrada, o que configura todos os dados de entrada no estado seguro e o status de entrada associado como com falha.

• O dispositivo de saída detecta falhas na conexão de saída responsável pela desenergização de suas saídas.

• Geralmente, o controlador de segurança também possui conexões de entrada dos dispositivos de saída; o controlador de segurança determina o status dessas conexões de entrada, no entanto, o status da conexão de entrada não é o mecanismo principal para desenergizar as saídas.

Sistema desenergizar para desarmar

Os controladores GuardLogix são parte de um sistema “desenergizar para desarmar”, o que significa que zero é o estado seguro. Algumas, mas não todas, falhas do dispositivo de E/S de segurança fazem com que todas as entradas ou saídas de dispositivos sejam configuradas no estado seguro. As falhas associadas a um canal de entrada específico fazem com que esse canal específico seja configurado para estado seguro; por exemplo, uma falha de teste de pulso que seja específica para o canal 0 faz com que os dados de entrada do canal 0 sejam configurados para o estado seguro. Se a falha for geral para o dispositivo e não para um canal específico, o bit de status combinado exibe o status de falha e todos os dados do dispositivo são configurados para o estado seguro.

Para ter informações sobre como usar as Instruções de Aplicação de Segurança GuardLogix, consulte Apêndice F na página 99 e o Conjunto de instruções de segurança da aplicação GuardLogix Manual de referência, publicação 1756-RM095.

Instruções GSV e SSV

As instruções GSV e SSV permitem obter (GSV) e definir (SSV) dados do sistema do controlador armazenados em objetos de dispositivo. Quando você insere uma instrução GSV/SSV, o software de programação exibe as classes de objeto válidas, os nomes de objeto e os nomes de atributo para cada instrução. Há restrições em relação ao uso das instruções GSV e SSV com componentes de segurança.

IMPORTANTE É sua responsabilidade que a lógica da aplicação trave estas falhas de E/S e verificar se o sistema é reiniciado adequadamente.

IMPORTANTE A Tarefa de Segurança não pode executar uma operação GSV ou SSV nos atributos padrão.Os atributos dos objetos de segurança que a tarefa padrão pode gravar têm somente a finalidade de diagnóstico. Eles não afetam a execução da Tarefa de Segurança.




Para ter mais informações sobre quais atributos de segurança podem ser acessados através de instruções GSV e SSV, consulte o manual do usuário do seu controlador:



Para obter informações gerais sobre o uso de instruções GSV e SSV, consulte Manual de referência de instruções gerais dos controladores Logix5000 Manual de referência, publicação 1756-RM003.

Falha de segurança As falhas dos sistemas GuardLogix 5580 e Compact GuardLogix® 5380 podem ser:• Falhas recuperáveis do controlador• falhas não recuperáveis do controlador• Falhas de segurança irrecuperáveis na aplicação de segurança• Falhas de segurança recuperáveis na aplicação de segurança

Falhas irrecuperáveis do controlador

Essas falhas ocorrem quando o diagnóstico interno do controlador descobre a falha. Se ocorrer uma falha irrecuperável do controlador, a execução da tarefa padrão e de segurança para e as conexões de saída cessam. Os dispositivos de E/S de segurança reagem à perda de dados de entrada transacionando para o estado seguro. A recuperação requer que você faça download do programa aplicativo novamente.

Falhas de segurança irrecuperáveis na aplicação de segurança

Se ocorrer uma falha de segurança irrecuperável na aplicação de segurança, a lógica e o protocolo de segurança são finalizados. As falhas no watchdog da tarefa de segurança e na parceria de controle são desta categoria.

Quando a tarefa de segurança encontrar uma falha de segurança irrecuperável, também é registrada uma falha padrão grave recuperável e o controlador continua a executar o manipulador de falhas do controlador, se o mesmo existir. Se o manipulador de falhas do controlador tratar esta falha, as tarefas padrão continuam a ser executadas, mesmo que a tarefa de segurança permaneça com falha..

ATENÇÃO: Cancelar uma falha de segurança não a apaga. Se você substituir uma falha de segurança é sua responsabilidade provar de que o funcionamento de seu sistema ainda é seguro.Você deve fornecer prova para sua certificadora que seu sistema pode continuar a operar com segurança após uma substituição de uma falha de segurança.





Monitorar o status e tratar falhas Capítulo 7

Se houver uma assinatura de tarefa de segurança, é possível apagar a falha para ativar a execução da tarefa de segurança. Se não existir uma assinatura de tarefa de segurança, a assinatura de segurança não pode ser executada novamente até se fazer novo download de toda a aplicação.

Falhas de segurança recuperáveis na aplicação de segurança

Se ocorrer uma falha recuperável em um programa de segurança, o sistema pode interromper a execução da tarefa de segurança, dependendo se o manipulador de falhas do programa no programa de segurança (se existir) tratar a falha.

Quando uma falha recuperável é apagada de forma programática, a tarefa de segurança continua sem interrupção.

Quando uma falha recuperável não for removida na aplicação de segurança de forma programática, ocorre uma falha de segurança recuperável tipo 14, código 2. A execução da tarefa de segurança é interrompida e as conexões do protocolo de segurança são fechadas e reabertas para reiniciá-las. Saídas de segurança são colocadas no estado seguro e o produtor de tags consumidos de segurança comanda os consumidores para colocá-los em um estado seguro, também.

Se a tarefa de segurança recuperável não for tratada, também é registrada uma falha padrão grave recuperável e o controlador continua a executar o manipulador de falhas do controlador, se o mesmo existir. Se o manipulador de falhas do controlador tratar esta falha, as tarefas padrão continuam a ser executadas, mesmo que a tarefa de segurança permaneça com falha.

A ocorrência de falhas recuperáveis é uma indicação de que o código do programa aplicativo não se protege de valores de dados ou condições inválidos. Considere modificar o programa aplicativo para eliminar essas falhas, em vez de tratá-las no tempo de execução.

Visualização de falhas

A caixa de diálogo Recent Faults na guia Major Faults na caixa de diálogo Controller Properties contém duas subguias, uma para falhas padrão e outra para falhas de segurança.

A exibição de status no controlador também mostra códigos de falha com uma breve mensagem de status. Para obter mais informações sobre os indicadores de status, consulte:



ATENÇÃO: Cancelar uma falha de segurança não a apaga. Se você substituir uma falha de segurança é sua responsabilidade provar de que o funcionamento de seu sistema ainda é seguro.Você deve fornecer prova para sua certificadora que seu sistema pode continuar a operar com segurança após uma substituição de uma falha de segurança.





Códigos de Falhas

A Tabela 4 mostra os códigos de falha específicos dos controladores GuardLogix 5580 and Compact GuardLogix® 5380. O tipo e o código correspondem ao tipo e ao código exibidos na guia Major Faults da caixa de diálogo Controller Properties e no objeto PROGRAM, atributo MAJORFAULTRECORD (ou MINORFAULTRECORD).

O Logix5000 Controllers Major and Minor Faults Programming Manual, publicação 1756-PM014, contém descrições dos códigos de falha comuns aos controladores Logix.

Falha do parceiro de segurança

O parceiro de segurança tem um indicador de status OK.

Se a configuração do nível de integridade de segurança está definida como SIL 2 e um parceiro de segurança está instalado no slot ao lado da segurança primária, ocorrem as seguintes ações:

• No parceiro de segurança, o indicador de status OK pisca em vermelho.• O controlador registra uma falha de advertência tipo 14, código 12,

indicando que o controlador está configurado para SIL 2 e há um parceiro de segurança.

• A aplicação Studio 5000 Logix Designer recusa-se a fazer o download de um programa aplicativo SIL 2.

Tabela 4 - Falhas graves de segurança (Tipo 14)

Código Causa Status Ação Corretiva

01

Watchdog da tarefa expirado. A tarefa do usuário não foi concluída em um período especificado. Um erro do programa causou um ciclo infinito, o programa é complexo demais para ser executado com a rapidez especificada ou tarefas de maior prioridade ou de segundo plano impedem que esta tarefa seja concluída.

Irrecuperável Apague a falha.Se existir uma assinatura de tarefa de segurança, a memória de segurança é reiniciada e a tarefa começa a ser executada.Se não existir uma assinatura de tarefa de segurança, é necessário fazer download novamente do programa para permitir a execução da tarefa de segurança.Se a aplicação permitir, aumente o tempo de watchdog.

02 Existe um erro em uma rotina da tarefa de segurança. Recuperável Corrija o erro na lógica do programa do usuário.

07 A tarefa de segurança está inoperante.Essa falha ocorre quando a lógica de segurança é inválida ou não está presente.

Irrecuperável Apague a falha.Se existir uma assinatura de tarefa de segurança, a memória de segurança é reinicializada por meio da assinatura e a tarefa de segurança começa a ser executada.Caso contrário, é necessário fazer download novamente do programa para permitir a execução da tarefa de segurança.



Apêndice A

Instruções de segurança

Consulte nossa lista de certificados de segurança e liberação de revisões emhttp://www.rockwellautomation.com/global/certificação/safety.page para obter as informações mais recentes sobre instruções certificadas.

Instruções de segurança As tabelas a seguir listam as instruções de aplicação de segurança certificadas para uso nas aplicações SIL 2 e SIL 3.

ATENÇÃO: Essas instruções de segurança são as únicas que podem ser usadas nas tarefas de segurança em aplicações SIL 2 ou SIL 3.

Tabela 5 - Instruções gerais de aplicação de segurança

Mnemônico Nome FinalidadeCROUT Saída Redundante Configurável Controla e monitora saídas redundantes.DCA Entrada de canal duplo – Analógica

(versão de número inteiro)Monitora dois valores analógicos para desvio e tolerância de faixa.

DCAF Entrada de canal duplo – Analógica (versão de ponto flutuante)

SDCD Entrada de canal duplo – Parada Monitora os dispositivos de segurança de entrada dupla, cuja principal finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch.

DCST Entrada de canal duplo – Parada com teste

Monitora os dispositivos de segurança de entrada dupla, cuja principal finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch. Inclui a capacidade adicional de iniciar uma função de teste no dispositivo de parada.

DCSTL Entrada de canal duplo – Parada com teste e trava

Monitora os dispositivos de segurança de entrada dupla, cuja principal finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch. Inclui a capacidade adicional de iniciar uma função de teste no dispositivo de parada. Ela pode monitorar um sinal de realimentação de um dispositivo de segurança e emitir uma solicitação de travamento para um dispositivo de segurança.

DCSTM Entrada de canal duplo – Parada com teste e muting.

Monitora os dispositivos de segurança de entrada dupla, cuja principal finalidade é permitir uma função de parada, como parada de emergência, cortina de luz ou switch. Inclui a capacidade adicional de iniciar um teste funcional do dispositivo de parada e a habilidade de colocar em muting o dispositivo de segurança.

DCM™ Entrada de canal duplo – Monitoração Monitora os dispositivos de entrada dupla.DCSRT Entrada de canal duplo – Partida Energiza os dispositivos de segurança, cuja função principal é dar a partida no equipamento de forma segura, por

exemplo, uma habilitação pendente.SMAT Tapete de segurança Indica se o tapete de segurança está ocupado.THRSe Estação de operação bimanual –

AvançadaMonitora duas entradas de segurança diferentes, uma de um botão pulsador direito e uma de um botão pulsador esquerdo, para controlar uma saída. Recursos configuráveis de tempo de discrepância canal a canal e capacidade aprimorada para o bypass de uma operação de estação bimanual.

TSAM Sensor duplo de muting assimétrico Desabilita a função de proteção de uma cortina de luz automática e temporariamente, usando dois sensores de muting que são organizados assimetricamente.

TSSM Sensor duplo de muting simétrico Desabilita a função de proteção de uma cortina de luz automática e temporariamente, usando dois sensores de muting que são organizados simetricamente.

FSBM Quatro sensores de muting bidirecionais

Desabilita a função de proteção de uma cortina de luz automática e temporariamente, usando quatro sensores de muting que são organizadas de forma sequencial antes e depois do campo de detecção da cortina de luz.



Apêndice A Instruções de segurança

Consulte o Apêndice F na página 99 para obter mais informações sobre instruções do RSLogix 5000®.

Rotinas na tarefa de segurança podem usar essas instruções de segurança de diagrama de lógica ladder.

Tabela 6 - Instruções de aplicação de segurança de conformação de metal

Mnemônico Nome Finalidade

CBCM Modo Contínuo de Freio de Embreagem

Usado para aplicações de prensa onde se deseja a operação contínua.

CBIM Modo de avanço lento de Freio de Embreagem

Usado para aplicações de prensa onde pequenos ajustes ao dispositivo corrediço são necessários, bem como a configuração da prensa.

CBSSM Modo de Alimentação Simples do Freio da Embreagem

Usado em aplicações de prensa de ciclo-simples.

CPM Monitorar a Posição Virabrequim. Usado para determinar a posição do dispositivo corrediço da prensa.

CSM Monitorar Eixo de cames Monitora o movimento de partida, parada e execução na operação de um eixo de cames.

EPMS Modo Seletor de 8 Posições Monitora oito entradas de segurança para controlar uma das oito saídas que corresponde à entrada ativa.

AVC Controle de Válvula Auxiliar Controla uma válvula auxiliar que é usada com uma válvula principal.

MVC Controle de Válvula Principal Controla e monitora uma válvula principal.

MMVC Controle de Manutenção de Válvula Manual

Usado para acionar manualmente uma válvula nas operações de manutenção.

Tabela 7 - Descrição das instruções de aplicação de segurança do RSLogix 5000

Mnemônico Nome FinalidadeENPEN ativar pendente Monitora duas entradas de segurança para controlar uma saída e possui valor de tempo-limite inconsistente das

saídas de 3 s.ESTOP parada de emergência Monitora duas entradas de segurança para controlar uma saída e possui valor de tempo-limite inconsistente das

saídas de 500 ms.RIN entrada redundante Monitora duas entradas de segurança para controlar uma saída e possui valor de tempo-limite inconsistente das

saídas de 500 ms.ROUT saída redundante Controla o estado de uma entrada para controlar e monitorar duas saídas.DIN entrada diferente Monitora duas entradas de segurança diferentes para controlar uma saída e possui valor de tempo-limite

inconsistente das entradas de 500 ms.FPMS seletor de modo de cinco posições Monitora cinco entradas de segurança para controlar uma das cinco saídas que corresponde à entrada ativa.THRS estação de operação bimanual Monitora duas entradas de segurança diferentes, uma de um botão pulsador direito e uma de um botão pulsador

esquerdo, para controlar uma saída.LC cortina de luz Monitora duas entradas de segurança de uma cortina de luz para controlar uma saída.

Tabela 8 - Instruções de segurança de diagrama de lógica ladder

Tipo Mnemônico Nome Finalidade

Array (Arquivo)

COP(1) copiar Copia dados binários de um tag para outro (sem conversão de tipo).FAL(2) Aritmética e lógica do

arquivoRealize operações de cópia, aritmética, lógica e função em dados armazenados em um vetor.

FLL Preencher arquivo Preenche os elementos de um vetor com o valor de origem, enquanto deixa o valor de origem sem modificação.

FSC Pesquisa e comparação de arquivo

Compara os valores em um vetor, elemento por elemento.

SIZE Dimensões em elementos Encontre o tamanho de uma dimensão no vetor.


Instruções de segurança Apêndice A

Bit

XIC Verifique se estiver Fechada Examina o bit de dados para definir ou apagar a condição da linha de programa.XIO Verifique se estiver Aberta Examina o bit de dados para definir ou apagar a condição da linha de programa.OTE Energizar Saída Controla um bit (executa ambas as operações Definir e Apagar com base no estado da linha de programa).OTL Energizar saída com

retençãoHabilitar um bit (retenção).

OTU Desenergizador de saída com retenção

Apagar bit (retenção).

ONS Monoestável Permite que um evento ocorra uma vez.OSR Monoestável Ascendente Define um bit de saída para uma varredura na borda falso para verdadeiro (ascendente) do estado da linha

de programa.OSF Monoestável Descendente Define um bit de saída para uma varredura na borda verdadeiro para falso (descendente) do estado da linha

de programa.

TIMER

TON Temporizador de energização

Por quanto tempo o temporizador é habilitado.

TOF Temporizador de desenergização

Por quanto tempo o temporizador é desabilitado.

RTO Temporizador retentivo ligado

Tempo acumulado.

CTU Contagem progressiva Contagem progressiva.CTD Contagem regressiva Contagem regressiva.RES reset Reinicializar um temporizador ou contador.

Comparação

CMP(2) Comparação Fazer uma comparação das operações aritméticas que você especificar na expressão.EQU Corresponde a Testar se dois valores são iguais.GEQ Maior ou Igual a Testar se um valor é maior do que ou igual a um segundo valor.GRT Maior que Testar se um valor é maior que um segundo valor.LEQ Menor ou Igual a Testar se um valor é menor que ou igual a um segundo valor.LES Menor que Testar se um valor é menor que um segundo valor.MEQ Comparação Mascarada

para IgualdadePassar a origem e comparar valores por meio de uma máscara e testar se eles são iguais.

NEQ Não é Igual a Testar se um valor é diferente de um segundo valor.LIM Teste de Limite Testar se um valor está em uma faixa especificada.

Mover

CLR apagar Apagar um valor.MOV Mover Copiar um valor.MVM Mover mascarado Copiar uma parte específica de um número inteiro.SWPB Swap Byte Reorganizar os bytes de um valor.

Lógica

AND Bitwise AND Executar a operação AND bit a bit.NOT Bitwise NOT Executar a operação NOT bit a bit.OR Bitwise OR Executar a operação OR bit a bit.XOR Bitwise Exclusive OR Executar a operação OR exclusiva bit a bit.

Controle de Programa

JMP Saltar para registro Faz a varredura de saltos lógicos para um local identificado dentro da mesma rotina.LBL Etiqueta Identifica um local de destino para uma instrução JMP.JSR Saltar para sub-rotina Pular para uma rotina separadaRET Retorno Retornar os resultados de uma sub-rotinaSBR Sub-rotina Aceita dados passados a uma sub-rotina pela instrução JSR.TND Fim Temporário Marcar um fim temporário que encerre a execução da rotinarelé de controle mestre

Reset de Controle Mestre Força todas as linhas de programa de uma seção de lógica para executar no estado falso.

AFI Instrução Sempre Falsa Força uma linha de programa para falso (a linha de programa continua a ser executada).NOP Sem Operação Inserir um espaço reservado na lógicaEVENTO(3) Disparar a tarefa do evento Aciona uma execução de uma tarefa de evento.

Tabela 8 - Instruções de segurança de diagrama de lógica ladder (Continuação)




Matemática/Computação

ADD Adicionar Somar dois valores.CPT (2) Computar Realizar a operação aritmética definida na expressão.SUB Subtrair Subtrair dois valores.MUL Multiplicar Multiplicar dois valores.DIV Dividir Dividir dois valores.MOD Módulo Determinar o restante depois que um valor for dividido por um segundo valor.SQR Raiz Quadrada Calcular a raiz quadrada de um valor.NEG Negar Pegar o sinal oposto de um valor.ABS Valor Absoluto Pegar o valor absoluto de um valor.

entrada/saída

GSV(4) Obter valor do sistema Obter informações de status do controlador.SSV(4) Set System Value (Definir

Valor do Sistema)Configurar informações de status do controlador.

(1) Ao utilizar a instrução COP em uma rotina de segurança, é necessário verificar se o operando do comprimento é uma constante e se os comprimentos da origem e do destino são os mesmos.(2) Operandos avançados como SIN, COS e TAN não são suportados em rotinas de segurança.(3) A instrução de evento disparar uma varredura da tarefa padrão.(4) Consulte o ControlLogix 5580 and GuardLogix 5580 Controllers User Manual, publicação 1756-UM543, ou o Controladores CompactLogix 5380 Manual do usuário, publicação 5069-UM001, para

saber as considerações especiais sobre o uso de instruções GSV e SSV.

Tabela 8 - Instruções de segurança de diagrama de lógica ladder (Continuação)


Tabela 9 - Instruções de segurança de acionamento (1)

Mnemônico Nome FinalidadeSS1 Parada de segurança 1 A instrução Parada de segurança 1 monitora a desaceleração de um eixo de acordo com a rampa de velocidade até a velocidade

zero e controla sua saída (O1) para iniciar Safe Torque Off (STO).SS2 Parada de segurança 2 A instrução Parada de segurança 2 inicia e monitora a desaceleração do motor dentro de limites definidos para verificar se o motor

faz uma parada operacional. Após a parada, SS2 continua a monitorar a parada operacional do motor.SOS Parada de operação de

segurançaA instrução Parada de operação de segurança monitora a velocidade ou posição do motor ou eixo para verificar se o desvio da velocidade ou posição de operação de segurança não é maior que um valor definido.

SLS Velocidade limitada segura

A instrução Velocidade limitada segura monitora a velocidade de um eixo e define a saída do limite de SLS se a velocidade ultrapassar o valor da entrada Limite ativo da instrução.

SLP Posição com limitação de segurança

A instrução Posição com limitação de segurança monitora a posição de um motor ou eixo para verificar se a posição não desvia para cima ou para baixo de limites definidos.

direção seguraSDI

Direção segura A instrução Direção segura monitora a posição de um motor ou eixo para detectar movimento acima de um valor determinado no sentido pretendido.

SBC Controle de freio de segurança

A instrução Controle de freio de segurança (SBC): • Controla saídas de segurança para aplicar um freio.• Define a temporização entre o freio e as saídas Torque Off Request.• Monitora o retorno do freio e o status de entrada/saída.

SFX Escala de retorno seguro A instrução Escala de retorno seguro converte o retorno da velocidade e posição do motor de um módulo de inversor em unidades da escala do usuário. Define também uma posição de referência absoluta.

(1) Ao utilizar um controlador GuardLogix 5580 ou Compact GuardLogix 5380 ou os inversores de frequência Kinetix 5700 ERS4 com a aplicação Studio 5000 Logix Designer (V31 ou posterior), leia as instruções de segurança de movimento disponíveis.

IMPORTANTE Se utilizar comandos de movimento direto com um inversor de frequência Kinetix 5500, servo-drive Kinetix 5700, ou um inversor de frequência PowerFlex 527, consulte o manual do usuário do inversor de frequência para obter informações de como utilizar este recurso em aplicações de segurança.• Servo-drives Kinetix 5500 Manual do usuário, publicação 2198-UM001 • Servo-drives Kinetix 5700 Manual do usuário, publicação 2198-UM002 • Inversor de frequência ajustável PowerFlex série 527 Manual do usuário,







http://literature.rockwellautomation.com/idc/groups/literature/documents/um/520-um002_-pt-e.pdf

Instruções de segurança Apêndice A

Consulte as seguintes publicações para obter mais informações.

Tabela 10 - Recursos adicionais

Recursos Descrição

Conjunto de instruções de segurança da aplicação GuardLogix Manual de referência, publicação 1756-RM095

Fornece mais informações sobre as instruções da aplicação de segurança.

Manual de referência de instruções gerais dos controladores Logix5000 Manual de referência, publicação 1756-RM003

Apresenta informações sobre o conjunto de instruções do Logix5000, como instruções gerais, de controle de movimento e de processo.





Observações:


Apêndice B

Criar e usar uma instrução add-on de segurança

É possível criar instruções add-on de segurança com a aplicação Studio 5000 Logix Designer. As instruções add-on de segurança permitem sintetizar a lógica de segurança geralmente usada em uma instrução, deixando-a modular e mais fácil de ser reutilizada.

As instruções add-on de segurança usam a assinatura de instrução de alta integridade de instruções add-on e uma assinatura de instrução de segurança para uso em funções relacionadas à segurança até SIL 3 inclusive.

A Figura 20 na página 76 mostra as etapas necessárias para criar uma instrução add-on de segurança e usá-la em um programa aplicativo de segurança. Os itens sombreados são etapas únicas para as instruções add-on. Consulte os links para ter explicação sobre esses tópicos.

Tópico Página

Criar um projeto de teste de instrução add-on 77

Criar uma instrução add-on de segurança 77

Gerar a assinatura de instrução 77

A assinatura de instrução de segurança 77

Teste de qualificação de instrução add-on SIL 2 ou SIL 3 78

Instruções add-on de segurança validadas 78

Criar uma entrada de histórico de assinatura 78

Exportar e importar instrução add-on de segurança 78

Verificar assinaturas de instrução add-on de segurança 79

Testar o programa aplicativo 79

Validação de projeto 79

Avaliação de segurança 79


Apêndice B Criar e usar uma instrução add-on de segurança

Figure 20 - Fluxograma para criação e uso de instruções add-on de segurança

Criar um projeto de teste de instrução add-on na página 77

Sim

Gerar a assinatura de instrução na página 77

Criar uma instrução add-on de segurança na página 77

Criar/modificar programa de teste

DownloadGerar a assinatura de instrução na

página 77

Alterar modo de operação

Teste de qualificação de instrução add-on SIL 2 ou SIL 3 na página 78

Todosos testes passaram?

Registrar Assinatura de Instrução, Data/Hora e Assinatura de Instrução de Segurança

Exportar e importar instrução add-on de segurança na página 78

Instrução add-on de segurança disponível para uso

Modificar instruçãoadd-on de segurança

Excluir assinaturade instrução

Ficar off-line

Excluir assinatura de segurança, caso exista

Retornar para o projeto de teste original

Criar uma instrução add-on de segurança

Criar ou abrir um projeto

Criar/modificar aplicação

Exportar e importar instrução add-on de segurança na página 78

Download

Usar uma instrução add-on de segurança

Verificar assinaturas de instrução add-on de segurança na página 79

Instrução de assinatura válida?

Criar assinatura de segurança

Testar o programa aplicativo na página 79

Alterar modo para programa

Alterar modo de operação

Validação de projeto na página 79

Todosos testes passaram?

Registrar assinatura de segurança

Avaliação de segurança na página 79

Projeto validado?

Sim

Não

Concluído

Fazer as modificações necessárias

Excluir assinatura de segurança

São necessárias mudanças

para a instrução add-on?

SimSim

Não

Não

Não

NãoSim

Para modificar uma instrução add-on de segurança (off-line)

Retornar para o projeto deteste original

Não

Sim

A assinaturada instrução de segurança

é válida?

Instruções add-on de segurança validadas na página 78

Criar uma entrada de histórico de assinatura na página 78

Confirmar o projeto


Criar e usar uma instrução add-on de segurança Apêndice B

Criar um projeto de teste de instrução add-on

Você deve criar um único teste de projeto, especificamente para criar e testar a instrução add-on de segurança. Esse projeto deve ser separado e específico para minimizar consequências inesperadas.

Siga as orientações para projetos descritas em Criação do projeto na página 52.

Criar uma instrução add-on de segurança

Consulte o Logix5000 Controllers Add-On Instruction Programming Manual, publicação 1756-PM010, para obter orientações sobre como criar instruções add-on.

Gerar a assinatura de instrução

A assinatura da instrução permite que você determine rapidamente se a instrução foi alterada. Cada instrução add-on pode ter sua própria assinatura. A assinatura de instrução é solicitada quando uma instrução add-on é usada em funções relacionadas à segurança e, algumas vezes, podem ser solicitadas para indústrias regulamentadas. Use-a quando sua aplicação precisar de um nível mais alto de integridade.

A assinatura de instrução consiste em um número ID e um registro de data e hora que identifica o conteúdo da instrução add-on em um momento determinado.

Uma vez gerada, a assinatura de instrução trava a instrução add-on, o que ajuda a impedir que ela seja editada enquanto houver a assinatura. Essa restrição inclui comentários de linha, descrições de tag e qualquer documentação de instrução que seja criada. Quando a instrução está travada, você pode realizar apenas estas ações:

• Copiar a assinatura de instrução• Criar ou copiar uma entrada de histórico de assinatura• Criar exemplos de Instrução Add-On• Baixar a instrução• Remover a assinatura de instrução• Imprimir relatórios

Quando uma assinatura de instrução é gerada, a aplicação Studio 5000 Logix Designer exibe a definição da instrução com o ícone do selo.

A assinatura de instrução de segurança

Quando se faz download de uma instrução add-on de segurança pela primeira vez, uma assinatura de instrução de segurança é gerada automaticamente. A assinatura da instrução de segurança é um número de ID que identifica as características de execução da Instrução Add-On de segurança.

IMPORTANTE Se proteger sua instrução add-on com o recurso de proteção da origem na aplicação Studio 5000 Logix Designer, ative a proteção da origem antes de gerar a assinatura da instrução.




Teste de qualificação de instrução add-on SIL 2 ou SIL 3

Os testes da instrução add-on de segurança devem ser feitos em separado em um programa aplicativo dedicado para verificar se influências indesejáveis são minimizadas. Você deve acompanhar um teste bem projetado e realizar um teste de unidade de instrução add-on de segurança que exercite todos os caminhos de execução possíveis por meio da lógica, incluindo as faixas válidas e inválidas de todos os parâmetros de entrada.

Instruções add-on de segurança validadas

Uma análise independente, feita por terceiros, da instrução de segurança add-on pode ser necessária antes que a instrução seja aprovada para uso. Uma validação independente, feita por terceiros, pode ser necessária para a certificação de segurança funcional.

Criar uma entrada de histórico de assinatura

O histórico de assinatura fornece um registro para referência futura. Uma entrada de histórico de assinatura consiste na instrução de assinatura, no nome do usuário, o valor do registro de data e hora e uma descrição definida pelo usuário. Até seis entradas de histórico podem ser armazenadas. Você deve estar off-line para criar uma entrada de histórico de assinatura.

Exportar e importar instrução add-on de segurança

Ao exportar uma instrução add-on de segurança, escolha a opção para incluir todas as instruções add-on referenciadas e os tipos de dados definidos pelo usuário no mesmo arquivo para exportação. Ao incluir as Instruções Add-On referenciadas, será mais fácil preservar as assinaturas.

Quando importar Instruções Add-On, considere essas orientações:• Não é possível importar uma instrução add-on de segurança em um projeto

de controlador padrão.• Não é possível importar uma instrução add-on de segurança em um projeto

de controlador de segurança com travamento de segurança ou com uma assinatura de segurança.

• Não se pode importar uma Instrução Add-On de segurança enquanto estiver on-line.

• Se você importar uma Instrução Add-On com uma assinatura de instrução para um projeto onde Instruções Add-On ou Tipos de Dados Definidos Pelo Usuário referenciados não estão disponíveis, você pode ter de remover a assinatura.

Consulte o Import/Export Project Components Programming Manual, publicação 1756-PM019, para obter mais informações.

DICA O relatório Listagem de assinatura na aplicação Studio 5000 Logix Designer imprime as instruções de assinatura, o registro de data e hora e a assinatura da instrução de segurança. Para imprimir o relatório, clique com o botão direito do mouse na instrução add-on no organizador do controlador e escolha Print >Signature Listing.



Criar e usar uma instrução add-on de segurança Apêndice B

Verificar assinaturas de instrução add-on de segurança

Depois de fazer download do projeto de aplicação que contém a instrução add-on de segurança importada, você deve comparar o valor da instrução de assinatura, a data e o registro de data e hora e os valores da assinatura da instrução de segurança com os valores originais que registrou anteriormente para exportar a instrução add-on de segurança. Se forem correspondentes, a Instrução Add-On de segurança é válida e é possível continuar com a validação de sua aplicação.


Esta etapa consiste em uma combinação de modo de Operação e modo de Programa, edições de programa on-line ou off-line, fazer upload e download, e testes informais que são exigidos para executar a aplicação adequadamente.

Validação de projeto Realizar um teste de engenharia da aplicação, incluindo o sistema de segurança.

Consulte a seção Validar o projeto na página 53 para obter mais informações sobre os requisitos.

Avaliação de segurança Uma análise independente, feita por terceiros, do sistema de segurança pode ser necessária antes que o sistema seja considerado aprovado para operação. Uma validação independente, feita por terceiros, pode ser necessária para a certificação de segurança funcional.

Consulte o Machinery SafeBook 5 para obter mais informações sobre avaliações de segurança.


http://www.marketing.rockwellautomation.com/safety-solutions/en/MachineSafety/ToolsAndDownloads/safebook5_Form


Observações:


Apêndice C

Tempos de reação

Limite de tempo de reação de conexão

O limite de tempo de reação de conexão é a idade máxima dos pacotes de segurança na conexão associada. Se a idade dos dados usada pelo dispositivo em consumo exceder o limite de tempo de reação de conexão, ocorrerá uma falha de conexão. As seguintes equações determinam o limite de tempo de reação de conexão:

Limite de tempo de reação de conexão de entrada = entrada RPI x [multiplicador de tempo-limite + multiplicador de atraso da rede]

Limite de tempo de reação de conexão de saída = período da tarefa de segurança x [multiplicador de tempo-limite + multiplicador de atraso da rede – 1]

O limite de tempo de reação de conexão é exibido na guia Safety da caixa de diálogo Module Properties.

Figura 21 - Limite do tempo de reação de conexão

Tópico Página

Limite de tempo de reação de conexão 81

Tempo de reação do sistema 83

Tempo de reação do sistema Logix 83

Fatores que afetam os componentes do tempo de reação do Logix 85


Apêndice C Tempos de reação

Especificar o intervalo do pacote requisitado (RPI)

A RPI especifica o período que os dados são atualizados através de uma conexão. Por exemplo, um módulo de entrada produz dados no RPI atribuído.

Para conexões de entrada de segurança, é possível definir o RPI na guia Safety da caixa de diálogo Module Properties. O intervalo do pacote requisitado é inserido com incrementos de 1 ms.

O limite de tempo de reação de conexão é ajustado imediatamente quando o RPI é alterado por meio da aplicação Studio 5000 Logix Designer.

Figura 22 - intervalo do pacote requisitado

Para conexões de saída de segurança, o RPI é fixado no período da tarefa de segurança. Se o limite de reação do tempo de conexão correspondente não for satisfatório, você pode ajustar o período da tarefa de segurança na caixa de diálogo Safety Task Properties.

Consulte Tempo de reação do sistema na página 13 para obter detalhes sobre o período da tarefa de segurança.

Em aplicações típicas, o limite de tempo de reação de conexão para conexões de entrada de 4 x RPI e o limite de tempo de reação de conexão padrão para conexões de saída de 3 x RPI normalmente são suficientes. Para requisitos mais complexos, use o botão Advanced para modificar os parâmetros do campo Connection Reaction Time Limit, conforme descrito na página 86.

Visualização do atraso máximo observado na rede

O atraso máximo de rede observado é exibido na guia Safety da caixa de diálogo Module Properties. Quando online, clique em Reset para reiniciar o atraso de rede máximo observado.

Figura 23 - Removendo o atraso de rede máximo observado


Tempos de reação Apêndice C


Para determinar o tempo de reação do sistema (consulte detalhes em Tempo de reação do sistema na página 13) de qualquer cadeia de controle, some os tempos de reação de todos os componentes da cadeia de segurança.

Tempo de Reação do Sistema = Tempo de Reação do Sensor + Tempo de Reação do Sistema Logix + Tempo de Reação do Atuador

Figura 24 - Tempo de reação do sistema

Tempo de reação do sistema Logix

As próximas seções fornecem informações sobre como calcular o Tempo de Reação do Sistema Logix para uma cadeia entrada-lógica-saída simples e para uma aplicação mais complexa que use tags de segurança produzidos/consumidos na cadeia lógica.

Cadeia entrada-lógica-saída simples

Esta seção descreve o tempo de reação do sistema Logix para qualquer cadeia entrada-lógica-saída simples.

Figura 25 - Tempo de reação do pior caso do sistema Logix para entrada-lógica-saída simples


Tempo de reação do sensor

Tempo de reação da entrada


Tempo de reação da saída

Tempo de reação do atuador

tempo de reação do sistema Logix

Atraso de dispositivo

entrada

Limite de tempo de reação de conexão de

entrada

Tempo de reaçãodo controlador

Limite de tempo de reação de conexão de

saída

Atraso do dispositivo de

saída

1. Atraso de dispositivo de entrada

de segurança

5. Atraso de dispositivo de saída de segurança

2. Limite de tempo de reação de conexão de entrada de segurança

4. Limite de tempo de reação de conexão de saída de segurança

Rede de segurança

*A re

de De

viceN

et ne

cessi

ta de

um

mód

ulo d

e com

unica

ção.

Cont

rolad

or G

uard

Logix

3. Tempo dereação do controlador



O tempo de reação do sistema Logix para qualquer cadeia entrada-lógica-saída simples consiste nestes cinco componentes:

1. Tempo de reação de dispositivo de entrada de segurança (mais o tempo de atraso de entrada, se aplicável)

2. Limite de tempo de reação de conexão de entrada de segurança(leia na caixa de diálogo Module Properties na aplicação Studio 5000 Logix Designer, esse valor é um do RPI da conexão do dispositivo de entrada de segurança)

3. Tempo de reação do controlador (consulte Tempo de reação da tarefa de segurança na página 13)

4. Limite de tempo de reação de conexão de saída de segurança(leia na caixa de diálogo Module Properties na aplicação Studio 5000 Logix Designer, esse valor é um múltiplo do período da tarefa de segurança)

5. Tempo de reação do dispositivo de saída de segurança

Cadeia de lógica usando tags de segurança produzidos/consumidos

Esta seção descreve o tempo de reação do sistema Logix para qualquer entrada para a lógica do Controlador A para a cadeia de saída.

Figura 26 - Tempo de reação do sistema Logix para a cadeia entrada para a lógica do Controlador A para a lógica do Controlador B para a saída

O tempo de reação do sistema Logix para qualquer entrada para a lógica do controlador A para a lógica do controlador B para a cadeia de saída consiste nestes sete componentes:

1. Tempo de reação de dispositivo de entrada de segurança (mais o tempo de atraso de entrada, se aplicável)


1. Atraso de dispositivo de entrada de segurança

7. Atraso de dispositivo de saída

de segurança



Rede de segurança

4. Limite de tempo de reação de conexão de segurança P/C

RedeEthernet

SwitchEthernet Rede

Ethernet

Rede de segurança

Cont

rolad

or A

Gua

rdLo

gix

Cont

rolad

or B

Gua

rdLo

gix

3. Período da tarefa de segurança + Watchdog da tarefa de segurança

5. Período da tarefa de segurança + Watchdog da tarefa de segurança



3. Período de tarefa de segurança mais o tempo de watchdog da tarefa de segurança para o Controlador A

4. Limite de tempo de reação de conexão de segurança produzida/consumida(leia na guia Safety de conexão de tag consumido)

5. Período de tarefa de segurança mais o tempo de watchdog da tarefa de segurança para o Controlador B


7. Tempo de reação do dispositivo de saída de segurança

Fatores que afetam os componentes do tempo de reação do Logix

Vários componentes, descritos nas seções anteriores, podem influenciar os componentes do tempo de reação do Logix.

As seguintes seções descrevem como acessar os dados ou configurações para muitos destes fatores.

Tabela 11 - Fatores que afetam o tempo de reação do sistema logix

Estes componentes do tempo de reação

São influenciados pelos fatores a seguir

Atraso de dispositivo entrada Tempo de reação do dispositivo de entrada

Configurações de atraso de On-Off e Off-On para cada canal de entrada, se aplicável

Limite de tempo de reação de conexão de entrada de segurança

Configurações do dispositivo de entrada para:• Intervalo do pacote requisitado (RPI)• Multiplicador de tempo-limite• Multiplicador de atraso de rede

A quantidade do tráfego de comunicação da rede(1)

(1) O tráfego da rede e a compatibilidade eletromagnética criam um limite mais baixo para os valores que se podem usar com êxito como multiplicador de tempo-limite e multiplicador de atraso da rede.

O ambiente de compatibilidade eletromagnética do sistema(1)

Período da tarefa de segurança e watchdog da tarefa de segurança

Configuração do Período da Tarefa de Segurança

Configuração do Watchdog da Tarefa de Segurança

O número e o tempo de execução das instruções na Tarefa de Segurança(2)

(2) As instruções em sua tarefa de segurança e as tarefas com prioridade mais alta no controlador criam um limite mais baixo para os valores que se podem usar com êxito como período da tarefa de segurança e watchdog da tarefa de segurança

Toda tarefa de prioridade mais alta que antecipa a execução da tarefa de segurança(2)

Limite de tempo de reação de conexão de segurança produzida/consumida

Configurações de tag consumido para:• Intervalo do pacote requisitado• Multiplicador de tempo-limite• Multiplicador de atraso de rede



Limite de tempo de reação de conexão de saída

Configuração do Período da Tarefa de Segurança

Configurações do dispositivo de saída para:• Multiplicador de tempo-limite• Multiplicador de atraso de rede



Atraso do módulo de saída Tempo de reação do módulo de saída



Configurar os ajustes de parâmetros do tempo de atraso do módulo de entrada Guard I/O

Para configurar o tempo de atraso do módulo de entrada na aplicação Studio 5000 Logix Designer, siga estas etapas.

1. Na árvore de configurações, clique com o botão direito no seu módulo Guard I/O e escolha Properties.

2. Clique na guia Input Configuration.

3. Ajuste o tempo de atraso de entrada conforme necessário para a sua aplicação.

Configurar ou visualizar a entrada e os limites de tempo de reação de conexão de segurança de saída

Os três valores a seguir definem o limite de tempo de reação de conexão (CRTL).

Se ajustar esses valores, poderá ajustar o limite de tempo de reação de conexão. Se um pacote válido não for recebido dentro do CRTL, o tempo-limite de conexão de segurança expira e os dados de entrada e saída são colocados em estado seguro.

Valor Descrição

Intervalo do pacote requisitado (RPI)

É a frequência com que os pacotes de entrada e saída são colocados no fio (rede).

Multiplicador de tempo-limite O multiplicador de tempo-limite é essencialmente o número de novas tentativas antes do tempo-limite.

Multiplicador de atraso de rede O multiplicador de atraso de rede é responsável por qualquer atraso conhecido na fiação. Quando estes atrasos ocorrem, os tempos-limite podem ser evitados usando este parâmetro.



Para visualizar ou configurar estes ajustes de parâmetros, siga estas etapas.

1. Na árvore de configurações, clique com o botão direito no seu dispositivo de E/S de segurança e escolha Properties.

2. Clique na guia Safety.

3. Clique em Advanced para abrir a caixa de diálogo Advanced Connection Reaction Time Limit.

IMPORTANTE O multiplicador de tempo-limite e o multiplicador de atraso da rede proporcionam resiliência para as variações na confiabilidade e desempenho da rede.Tenha cuidado ao reduzir os valores desses parâmetros, pois isso aumenta a probabilidade de desarmes por ruído.



Configuração do período da tarefa de segurança e watchdog

A tarefa de segurança é uma tarefa periódica. Você seleciona o período, a prioridade e o tempo de watchdog da tarefa pela caixa de diálogo Task Properties — Safety Task no projeto do Studio 5000 Logix Designer.

Para acessar as configurações do período de tarefa de segurança e tempo de watchdog, clique com o botão direito em Safety Task e escolha Properties.

A prioridade da tarefa de segurança não é uma preocupação de segurança, pois o watchdog da tarefa de segurança monitora se uma tarefa de prioridade mais alta interrompe a tarefa.

Acessar dados de tags produzidos/consumidos

Para visualizar ou configurar dados de conexão de tags de segurança, siga estas etapas.

1. Na árvore de configuração, clique com o botão direito em Controller Tags e escolha Edit tags.

2. Em Tag Editor, clique com o botão direito no nome do tag e escolha Edit Properties.

3. Clique em Connection.



4. Na tela Safety, clique em Advanced.

5. É possível visualizar ou editar as configurações atuais na caixa de diálogo Advanced.

Consulte as seguintes publicações para obter mais informações.• ControlLogix 5580 and GuardLogix 5580 Controllers User Manual,

publicação 1756-UM543• Controladores CompactLogix 5380 Manual do usuário,






Observações:


Apêndice D

Listas de verificação para as aplicações de segurança GuardLogix

As listas de verificação deste apêndice são necessárias para planejar, programar e iniciar uma aplicação de segurança GuardLogix. Elas podem ser usadas como guias de planejamento e durante o teste de validação do projeto. Se usadas como guias de planejamento, as listas de verificação podem ser salvas como um registro do plano.

As listas de verificação incluídas nas próximas páginas fornecem um exemplo de considerações de segurança e não têm intenção de serem uma lista completa de itens a serem verificados. Sua aplicação de segurança específica pode ter especificações de segurança adicionais, para as quais fornecemos espaço nas listas de verificação.

Tópico Página

Lista de verificação do sistema do controlador GuardLogix 92

Lista de verificação das entradas de segurança 93

Lista de verificação para saídas de segurança 94

Lista de verificação para desenvolver um programa aplicativo de segurança 95

DICA Faça cópias das listas de verificação e guarde estas páginas para o futuro.


Apêndice D Listas de verificação para as aplicações de segurança GuardLogix

Lista de verificação do sistema do controlador GuardLogix

Lista de verificação do sistema GuardLogix

Empresa

Planta

Definição da função de segurança

Número Especificações do sistema

Satisfeito

ComentárioSim Não

1 Você está usando somente componentes certificados para seu nível de integridade de segurança, com a versão de firmware correspondente, conforme listado em http://www.rockwellautomation.com/global/certificação/safety.page?

2 Você calculou o tempo de resposta de segurança do sistema para cada função de segurança?

3 O tempo de resposta do sistema inclui o tempo do software de watchdog do programa da tarefa de segurança definido pelo usuário (watchdog do software) e o período/taxa da tarefa de segurança?

4 O tempo de resposta do sistema tem uma relação adequada com o tempo de segurança do processo?

5 Os valores de probabilidade (PFD/PFH) foram calculados para cada função de segurança?

6 Você executou todos os testes de validação adequados do projeto?

7 Você determinou a forma como o sistema pode tratar as falhas?

8 Cada rede no sistema de segurança possui um SNN exclusivo?

9 Todos os dispositivos de segurança estão configurados com o SNN correto?

10 Você gerou uma assinatura de segurança?

11 Você carregou e registrou a assinatura de segurança para comparação futura?

12 Após um download, você verificou se a assinatura de segurança no controlador corresponde à assinatura de segurança registrada?

13 Você tem um mecanismo alternativo para preservar a integridade da segurança do sistema quando estiver fazendo edições on-line?

14 Você levou em consideração as listas de verificação para usar as entradas e saídas de nível de integridade de segurança listadas nas página 93 e 94?




Listas de verificação para as aplicações de segurança GuardLogix Apêndice D

Lista de verificação das entradas de segurança

Na programação ou partida, uma lista de verificação individual pode ser preenchida para cada entrada de segurança no sistema. Esse método é a única forma de garantir que os requisitos estão completamente e claramente implementados. Essa lista de verificação também pode ser usada como documentação sobre a conexão de fiação externa para o programa aplicativo.

Lista de verificação para o sistema GuardLogix

Empresa

Planta


Canais de entrada SIL

Número Requisitos do dispositivo de entrada

Satisfeito

ComentárioSim Não

1 Você seguiu as instruções de instalação e as precauções de forma a ficar em conformidade com os padrões de segurança aplicáveis?

2 Você executou testes de validação do projeto no sistema e nos dispositivos?

3 As funções de controle, diagnóstico e de alarme são executadas em sequência na lógica do aplicativo?

4 Você fez upload e comparou a configuração de cada dispositivo com a configuração enviada pela ferramenta de configuração?

5 Os dispositivos estão conectados de forma compatível com a norma visada e o nível de segurança requerido?

6 Você verificou se as especificações elétricas do sensor e da entrada são compatíveis?



Lista de verificação para saídas de segurança

Na programação ou partida, uma lista de verificação de requisito individual pode ser preenchida para cada saída de segurança no sistema. Esse método é a única forma de garantir que os requisitos estão completamente e claramente implementados. Essa lista de verificação também pode ser usada como documentação sobre a conexão de fiação externa para o programa aplicativo.

Lista de verificação de saída para o sistema GuardLogix

Empresa

Planta


Canais de saída SIL

Número Requisitos do dispositivo de saída

Satisfeito

ComentárioSim Não

1 Você seguiu as instruções de instalação e as precauções de forma a ficar em conformidade com os padrões de segurança aplicáveis?

2 Você executou testes de validação do projeto nos dispositivos?

3 Você fez upload e comparou a configuração de cada dispositivo com a configuração enviada pela ferramenta de configuração?

4 Você verificou se as saídas do teste não são usadas como saídas de segurança?

5 Os dispositivos estão conectados de forma compatível com a norma visada e o nível de segurança requerido?

6 Você verificou se as especificações elétricas da saída e do atuador são compatíveis?


Listas de verificação para as aplicações de segurança GuardLogix Apêndice D

Lista de verificação para desenvolver um programa aplicativo de segurança

Use a lista de verificação a seguir para ajudar a manter a segurança ao criar ou modificar um programa aplicativo de segurança.

Lista de verificação para o desenvolvimento do programa aplicativo do GuardLogix

Empresa

Planta

Definição do projeto

Número Especificações do programa aplicativo

Satisfeito

ComentárioSim Não

1 Você está usando a versão 31 ou posterior(1)(2) da aplicação Studio 5000 Logix Designer, a ferramenta de programação do sistema GuardLogix?

2 As orientações de programação do Capítulo 6 na página 47 foram seguidas durante a criação do programa aplicativo de segurança?

3 O programa aplicativo de segurança contém somente um diagrama de lógica ladder?

4 O programa aplicativo de segurança contém apenas as instruções listadas do Apêndice A na página 69 adequadas à programação da aplicação de segurança?

5 O programa aplicativo de segurança diferencia claramente os tags de segurança e padrão?

6 Apenas tags de segurança estão sendo usados para rotinas de segurança?

7 Você verificou se as rotinas de segurança não tentam ler ou gravar nos tags padrão?

8 Você verificou se nenhum tag de segurança é chamado como tag padrão e vice-versa?

9 Todos os tags de saída de segurança estão configurados corretamente e conectados a um canal de saída físico?

10 Você verificou se todos os tags mapeados foram condicionados na lógica de aplicação de segurança?

11 Você definiu os parâmetros de processo que as rotinas de falha monitoram?

12 Todas as instruções add-on de segurança estão travadas com uma assinatura de instrução e a assinatura de instrução de segurança está registrada? Opcional para instruções add-on usadas uma vez. Instruções add-on requeridas são reutilizadas em diferentes programas aplicativos.

13 Um revisor de segurança independente analisou o programa (se necessário)?

14 A revisão foi documentada e assinada?

(1) A aplicação Studio 5000 Logix Designer, versão 31 ou posterior, é compatível com os controladores GuardLogix 5580 e Compact GuardLogix 5380.(2) Para obter a versão mais recente do software e do firmware, consulte o website de suporte Centro de Compatibilidade de Produto e Download (PCDC) da Rockwell Automation em

http://www.rockwellautomation.com/global/support/pcdc.page.




Observações:


Apêndice E

Dados de segurança de sistemas GuardLogix

Os exemplos a seguir mostram os valores da probabilidade de falha perigosa por demanda (PFD) e da probabilidade de falha perigosa por hora (PFH) do sistema GuardLogix 1oo1 SIL 2 ou sistema 1oo2 SIL 3.

Para dados de segurança que incluem os valores de PFD e PFH de módulos de E/S de segurança, consulte os manuais destes dispositivos. Para obter mais informações, consulte Recursos adicionais na página 8.

Vida útil A vida útil dos controladores GuardLogix é de 20 anos.

Dados de segurança Para dados de segurança de dispositivos de E/S que incluem valores de PFD e PFH, consulte os manuais destes dispositivos.

Os dados de produtos para segurança de máquina da Rockwell Automation agora estão disponíveis na forma de arquivo de biblioteca a ser usada com a SISTEMA.

O arquivo de biblioteca está disponível para download em:http://www.marketing.rockwellautomation.com/segurança-solutions/ en/MachineSafety/ToolsAndDownloads/sistema_download.

Tópico Página

Vida útil 97

Dados de segurança 97

Taxas de falha de produto 98


http://www.marketing.rockwellautomation.com/safety-solutions/ en/MachineSafety/ToolsAndDownloads/sistema_download

http://www.marketing.rockwellautomation.com/safety-solutions/ en/MachineSafety/ToolsAndDownloads/sistema_download

Apêndice E Dados de segurança de sistemas GuardLogix

Taxas de falha de produto Os dados das tabelas a seguir aplicam-se a durabilidades previstas de até e inclusive 20 anos.

Tabela 12 - Parâmetros de segurança

Tabela 13 - Cálculos de segurança

Hipóteses para os cálculos de segurança:• As taxas de falha dos componentes são constantes durante a vida útil do

produto.• Todas as falha detectadas (seguras e perigosas) resultam no estado seguro

(MRT=0).• Exemplo de durabilidade prevista de 10 ou 20 anos. Dentro da vida útil

esperada (20 anos), nenhum teste de prova é necessário.

Atributo

Controladores GuardLogix 5580 e parceiro de segurança(2) (3)

(2) Esses valores são taxas de falha de produto a serem usadas quando o produto é representado como um bloco em um diagrama de blocos de confiabilidade (RBD).

(3) Essas taxas de falha de produto são válidas para temperatura ambiente de até 60 °C (140 °F) e altitudes de até 2.000 m (6561.7 ft). Consulte as publicações 1756-TD001 e 1756-IN048.

Controlador GuardLogix 5580(2)(3)

Controlador Compact GuardLogix 5380(3)

Arquitetura da função de segurança (HFT)(1)

(1) A HFT especificada é a tolerância a HFT interna do produto.

1 0 0

Taxa de falha sem detecção de peça/efeito (λNPED) [h]

2.80E-06 2.58E-06 4.04E-06

Taxa de falha segura (λS) [falhas/h] 7.24E-07 6.61E-07 7.33E-07

Taxa de falhas perigosas (λ D) [falhas/h] 7.10E-07 6.61E-07 7.33E-07

Taxa de falhas perigosas detectadas (λ DD) [falhas/h]

7.10E-07 6.54E-07 7.26E-07

Taxa de falhas perigosas não detectadas (λ DU) [falhas/h]

7.38E-11 6.40E-09 7.23E-09

Intervalo de testes de diagnóstico automático (TD) [h]

— <SRT <SRT

Vida útil [ano] 20 20 20

Capacidade sistemática (SC) 3 3 3

Atributo

Controladores GuardLogix 5580 e parceiro de segurança

Controlador GuardLogix 5580

Controlador Compact GuardLogix 5380

PFDmédia (durabilidade prevista de 20 anos)

6.46E-06 5.61E-04 6.33E-04

PFH 7.38E-11 6.40E-09 7.23E-09

faixa de torque seguro 4.23E-06 3.90E-06 5.50E-06

MTTFd [ano] 160.82 172.74 155.66

PFD =ave (λ + λ )tDU DD CE

t =CE

λDU

λD( T1

2+ MRT) λDD

λD

+ MTTR

PFH = λDU

STR = λS λDD λNPED+ +

MTTF = λD

1




Apêndice F

Aplicação Studio 5000 Logix Designer, versão 31 ou posterior, instruçõesde aplicação de segurança

Sistema desenergizar para desarmar

Todos os valores das entradas de segurança que estão associados a uma conexão particular são definidos em estado seguro quando é detectada uma condição de falha de uma conexão CIP Safety. Ao utilizar pares de entradas diferentes, uma das entradas utiliza valor de um para iniciar a função de segurança. Isso requer lógica de segurança que avalia condições de falha de modo que a função de segurança seja executada quando ocorre uma falha de entrada (mesmo que o valor da entrada permaneça zero).

Uso de dados de status de conexão para iniciar uma falha programaticamente

Os diagramas a seguir fornecem exemplos da lógica da aplicação necessária para travar e reinicializar as falhas da E/S. Os exemplos mostram a lógica necessária para os módulos de entrada apenas e para módulos combinados de entrada e saída. Os exemplos usam o recurso chamado status combinado dos módulos de E/S que apresenta o status de todos os canais de entrada em uma variável booleana. Uma outra variável booleana representa o status de todos os canais de saída. Esta abordagem reduz a quantidade de lógica de condicionamento de E/S necessária e força o encerramento de todos os canais de entrada ou saída do módulo afetado.

Use Travamento da falha da entrada e fluxograma de reset na página 100 para determinar quais linhas de programa de lógica são necessárias para as situações de diferentes aplicações. O Exemplo 1 de diagrama de lógica ladder na página 101 mostra a lógica que substitui as variáveis de tag de entrada real enquanto existir uma condição de falha. Se um estado de entrada real é necessário para localização de falhas enquanto uma falha de entrada é travada, use a lógica mostrada no Exemplo 2 de diagrama de lógica ladder na página 102. Esta lógica usa tags internos que representam as entradas que serão usadas nesta lógica da aplicação. Enquanto a falha de entrada estiver travada, os tags internos são definidos para o estado seguro. Enquanto a falha da entrada não for travada, os valores reais de entrada são copiados para os tags internos.

Use Travamento da falha de saída e fluxograma de reset na página 103 para determinar quais linhas de programa da lógica da aplicação no Exemplo 3 de diagrama de lógica ladder na página 103 são necessárias.

Tópico Página

Sistema desenergizar para desarmar 99

Uso de dados de status de conexão para iniciar uma falha programaticamente 99

IMPORTANTE Recomendamos o uso das instruções de aplicação de segurança geral (Tabela 5 na página 69) em vez das instruções detalhadas neste apêndice.


Apêndice F Aplicação Studio 5000 Logix Designer, versão 31 ou posterior, instruçõesde aplicação de segurança

Figura 27 - Travamento da falha da entrada e fluxograma de reset

Partida

Esta função de segurança precisa da intervenção do operador depois de uma falha de entrada de

segurança?

Escreva a lógica para travar a falha da entrada. (linha 0 do exemplo)

Escreva a lógica para configurar as entradas para o estado seguro. (linhas 2 e 3 do exemplo)

As entradas são usadas para as instruções deaplicação de segurança de acionamento?

O circuito de reset pode ser usado para intervenção do operador?

As informações de falha de entrada necessárias para fins de diagnósticos?

Certifique-se de selecionar Manual Reset para a instrução da

aplicação de segurança.

Não

Sim

Não

Sim

Escreva a lógica para travar a falha da entrada. (linha 0 do exemplo)

Escreva a lógica para eliminar o travamento da falha da entrada. (linha 1 do exemplo)

Algumas das entradas são usadas em umainstrução com diversas entradas?

(DIN ou THRS)

Não

Sim

Sim

Não

Escreva a lógica para definir o valor de estado seguro quando uma entrada apresentar uma falha. (linha 4 do exemplo)

Concluído

Sim

Não


Aplicação Studio 5000 Logix Designer, versão 31 ou posterior, instruçõesde aplicação de segurança Apêndice F

Figura 28 - Exemplo 1 de diagrama de lógica ladder

0 /Node30:I.InputStatus

LNode30InputsFaulted

/Node31:I.CombinedStatus


1FaultReset

ONSInputFaultResetOneShot Node30:I.InputStatus

UNode30InputsFaulted

Node31:I.CombinedStatusU

Node31InputsFaulted

2Node30InputsFaulted

UNode30:I.Pt00Data

UNode30:I.Pt01Data

UNode30:I.Pt07Data


UNode31:I.Pt00Data

UNode31:I.Pt01Data


LNode30:I.Pt01Data

LNode30:I.Pt03Data

UNode31:I.Pt11Data

O nó 30 é um módulo combinado com 8 pontos de entrada/8 pontos de saída.O nó 31 é um módulo de entrada com 12 pontos.Se o status da entrada não estiver OK, retenha as indicações das entradas com falhas.

Se a borda de subida do sinal de reset da falha for detectada e o status de entrada estiver OK, não retenha a indicação das entradas com falha.

Se as entradas estiverem com falha, substitua os tags de entrada com os valores do estado seguro.

Se as entradas estiverem com falha, substitua os tags de entrada com os valores do estado seguro.

Se a indicação de entradas com falha é verdadeira, defina os valores da entrada Diverse para o estado seguro (1).




0 /

/

/

Node30:I.InputStatusL

Node30InputsFaulted

/Node31:I.CombinedStatus


1FaultReset

ONSInputFaultResetOneShot Node30:I.InputStatus

UNode30InputsFaulted

Node31:I.CombinedStatusU

Node31InputsFaulted

2Node30InputsFaulted Node30:I.Pt00Data Node30Input00

Node30Input01

Node30Input07

Node30:I.Pt01Data

Node30:I.Pt07Data



LNode31Input01

LNode31Input03

Node31:I.Pt00Data Node31Input00

Node31Input01

Node31Input11

Node31:I.Pt01Data

Node31:I.Pt11Data

O nó 30 é um módulo combinado com 8 pontos de entrada/8 pontos de saída.O nó 31 é um módulo de entrada com 12 pontos.Se o status da entrada não estiver OK, retenha as indicações das entradas com falhas.


Se as entradas não estiverem com falha, escreva os valores do tag de entrada para as representações internas das entradas.

Se as entradas não estiverem com falha, escreva os valores do tag de entrada para as representações internas das entradas.

Se a indicação de entradas com falha é verdadeira, defina representações internas de entradas Diverse para o estado seguro (1).


Aplicação Studio 5000 Logix Designer, versão 31 ou posterior, instruçõesde aplicação de segurança Apêndice F

Figura 30 - Travamento da falha de saída e fluxograma de reset


Partida

Esta função de segurança precisa da intervenção do operador depois de uma falha de saída de

segurança?

Escreva a lógica para travar a falha da saída. (linha 0 do exemplo)

As informações de falha de saída necessárias para fins de diagnósticos?

Não

Sim

Sim

NãoEscreva a lógica para configurar as saídas para um estado seguro. (linha 2 do exemplo)

Escreva a lógica para não travar a falha da saída (linha 1 do exemplo)

Escreva a lógica para travar a falha da saída. (linha 0 do exemplo)

Concluído

0 /

/

Node30:I.OutputStatusL

Node30OutputsFaulted

1FaultReset

ONSInputFaultResetOneShot Node30:I.OutputStatus

UNode30OutputsFaulted

2Node30OutputsFaulted RedundantOutputTag.O1 Node30:O.Pt00Data

Node30:O.Pt01DataRedundantOutputTag.O2

O nó 30 é um módulo combinado com 8 pontos de entrada/8 pontos de saída.Se o status da saída não estiver OK, retenha as indicações das saídas com falhas.




Observações:


Glossário

Os seguintes termos e abreviações são usados neste manual. Para definições de termos que não estão listados aqui, consulte o Allen-Bradley Industrial Automation Glossary, publicação AG-7.1.

1oo1 (um de um) Identifica que a arquitetura 1oo1 de controlador eletrônico programável é um sistema com um únicocanal.

1oo2 (um de dois) Identifica que a arquitetura 1oo2 de controlador eletrônico programável é um sistema com doiscanais.

abrangência do diagnóstico(DC)

A relação entre a taxa de falhas perigosas detectadas e a taxa de falhas perigosas.

aceitar edições Ação tomada para aceitar e baixar alterações de edição on-line. Consulte também edições pendentes.

assinatura de configuração Um número que identifica exclusivamente a configuração de um dispositivo. A assinatura de configuração é composta de um número ID, data e hora.

assinatura de instrução A assinatura de instrução consiste em um número ID e um registro de data e hora que identifica o conteúdo que define a instrução add-on em um momento determinado.

assinatura de instruçãode segurança

A assinatura da instrução de segurança é um número de ID que identifica as características de execução da Instrução Add-On de segurança. A assinatura é usada para verificar a integridade da instrução add-on de segurança durante descarregamentos para o controlador.

assinatura de segurança Um valor, que o firmware calcula, que representa exclusivamente a lógica e a configuração do sistema de segurança. Ele é usado para verificar a integridade do programa de aplicação de segurança durante descarregamentos para o controlador.

Cancelar edições Ação tomada para rejeitar remover e excluir qualquer mudança na edição on-line desmontada.

cancelar teste de edições Depois que as edições on-line forem aceitas, há duas versões da lógica do usuário que residem na memória do controlador. O comando Untest Edits na aplicação Studio 5000 Logix Designer faz com que o controlador execute a versão original não editada da lógica do usuário. A versão nova e editada da lógica do usuário ainda está na memória do controlador, mas não é executada. Consulte edições de teste.

capacidade sistemática (SC) A confiança de que a integridade de segurança sistemática atende aos requisitos do nível de integridade de segurança (SIL) especificado. (da IEC 61508-4)

CIP (Protocolo comumindustrial)-

Um protocolo de comunicação industrial usado por sistemas de automação com base no Logix5000 em redes de comunicação EtherNet/IP, ControlNet e DeviceNet.

CIP Safety (certificação doprotocolo CIP Safety)

Versão do CIP classificada para SIL 2 ou classificada para SIL 3.


http://literature.rockwellautomation.com/idc/groups/literature/documents/qr/ag-qr071_-en-p.pdf

Glossário

Componente de segurança Qualquer objeto, tarefa, programa, rotina, tag ou módulo etc., marcado como um item de segurança.

Componente padrão Qualquer objeto, tarefa, tag, programa etc., não marcado como um item relacionado à segurança.

Conexão válida A conexão de segurança está aberta e ativa, sem erros.

Controlador padrão Conforme usado neste documento, um controlador padrão refere-se genericamente a um controlador ControlLogix ou controlador CompactLogix.

controlador primário O processador em um controlador de dois processadores que executa a funcionalidade do controlador padrão e se comunica com o parceiro de segurança para executar funções relacionadas à segurança.

E/S de segurança A E/S de segurança tem a maioria dos atributos da E/S padrão, exceto que ela apresenta mecanismos certificados para SIL 2 ou SIL 3 para garantir a integridade de dados.

Edições de montagem Você monta edições quando fizer alterações de edição on-line no programa do controlador e deseja que as alterações se tornem permanentes porque não há mais necessidade de testar, cancelar o teste ou cancelar as edições.

edições de teste Depois que as edições on-line forem aceitas, há duas versões da lógica do usuário que residem na memória do controlador. O comando Test Edits na aplicação Studio 5000 Logix Designer faz com que o controlador execute a nova versão editada da lógica do usuário. A versão original e não editada da lógica do usuário ainda está na memória do controlador, mas não é executada. Consulte cancelar teste de edições.

edições pendentes Uma alteração de uma rotina feita na aplicação Studio 5000 Logix Designer, mas que ainda não foi comunicada ao controlador que o faz aceitando a edição.

Endereçamento simbólico Um método de endereçamento que fornece uma interpretação ASCII do nome do tag.

entrada de segurança Uma combinação de tags de segurança produzidos e consumidos, entradas de segurança mapeadas e entradas de módulos de segurança.

falha de segurança irrecuperável Uma falha, que apesar de ser manipulada de forma correta pelos mecanismos de manipulação de falhas fornecidos pelo controlador de segurança e implementados pelo usuário, termina todo o processamento da tarefa de segurança e requer uma ação externa do usuário para reiniciá-la.

falha detectada Uma falha detectada por testes de diagnóstico, testes de prova, intervenção do operador ou durante operação normal.

falha do controladorirrecuperável

Uma falha que força o término de qualquer processamento e requer que a alimentação do controle seja alternada de desligada para ligada. O programa do usuário não é preservado e deve ser descarregado novamente.

falha não detectada Uma falha que não é detectada em testes de diagnóstico, testes de prova, intervenção do operador ou durante operação normal.


Glossário

falha recuperável Uma falha, que quando manipulada corretamente pela implementação de mecanismos de manipulação de falhas fornecidos pelo controlador, não força o término da execução lógica.

fração de falha segura (SFF) A soma das falhas de segurança mais a soma das falhas perigosas detectadas dividida pela soma de todas as falhas.

Frequência média de uma falhaperigosa (PFH)

A probabilidade que um sistema tem de uma falha perigosa ocorrer por hora.

instrução add-on Uma instrução que foi criada como uma add-on no conjunto de instruções Logix. Uma vez definida, uma instrução add-on pode ser usada como qualquer outra instrução Logix e pode ser usada em vários projetos. Uma instrução add-on é composta de parâmetros, tags locais, rotina de lógica e rotinas de modo de varredura opcionais.

Instrução add-on de segurança Uma instrução add-on pode usar instruções de aplicação de segurança. Além da assinatura de instrução usada em instruções add-on de alta integridade, o recurso de instruções add-on de segurança possui uma assinatura de instrução de segurança SIL 2 ou SIL 3 para uso em funções relacionadas à segurança.

instruções de aplicaçãode segurança

Instruções de segurança que fornecem funcionalidade relacionada à segurança. Elas foram certificadas para SIL 2 ou SIL 3 para uso em rotinas de segurança.

intervalo do pacote requisitado(RPI)

A frequência com que o a aplicação de origem do comando requer a transmissão de dados da aplicação de destino.

lambda (λ) Designação da taxa de falha.

microcomputador (PC) Computador usado para fazer a interface e controlar um sistema baseado em Logix através do ambiente Studio 5000.

MT (tempo de missão) O período de tempo durante o qual o dispositivo mantém as taxas PFD, PFH e λ declaradas antes da substituição ser necessária.

multiplicador de atraso da rede Este valor representa o tempo de transporte de uma mensagem pela rede de comunicação. Consulte também multiplicador de tempo-limite.

multiplicador de tempo-limite Este valor determina o número de mensagens que podem ser perdidas antes de declarar de um erro de conexão. Consulte também multiplicador de atraso da rede.

Nível de desempenho (PL) O nível discreto usado na EN ISO 13849-1, para especificar a capacidade das peças relacionadas à segurança dos sistemas de controle para executar uma função de segurança nas condições previstas.

nível de integridade de segurança(SIL)

Um nível relativo de redução de risco fornecido por uma função de segurança ou para especificar um nível alvo de redução de risco.

Norma europeia. EN Norma europeia oficial.

Número da rede de segurança(SNN)

Identifica exclusivamente uma rede entre todas as redes no sistema de segurança. É sua responsabilidade atribuir um número exclusivo para cada rede de segurança ou sub-rede de segurança dentro de um sistema. O número da rede de segurança constitui parte do identificador de nó exclusivo (UNID).


Glossário

obter valor do sistema (GSV) Uma instrução de aplicação que recupera informações de status do controlador especificado e as coloca em um tag de destino.

on-line Uma situação em que você está monitorando/modificando o programa no controlador GuardLogix.

Padrão Um objeto, tarefa, tag, programa ou componente em seu projeto não relacionado à segurança (ou seja, o controlador-padrão refere-se genericamente a um controlador ControlLogix ou CompactLogix).

parceiro de segurança O processador em um controlador de dois processadores que trabalha com o controlador primário para executar funções relacionadas à segurança em um sistema SIL 3.

parceria O controlador primário e o parceiro de segurança devem estar presentes em SIL 3 e o hardware e o firmware devem ser compatíveis para que a parceria seja estabelecida.

período da tarefa de segurança O período no qual a Tarefa de Segurança é executada.

Probabilidade de falha por hora(PFH)

A probabilidade de falha por hora.

Probabilidade se uma falhaperigosa por demanda (PFD)

A probabilidade de falha perigosa por demanda.

programa de segurança Um programa de segurança tem todos os atributos de um programa padrão, exceto pelo fato de que ele pode ser programado apenas em uma tarefa de segurança. O programa de segurança consistem em zero ou mais rotinas de segurança. Ele não pode conter rotinas ou tags padrão.

protocolo de segurança Um método de comunicação de rede projetado e certificado para o transporte de dados com alta integridade.

rotina Um conjunto de instruções lógicas em uma linguagem de programação, como um diagrama de lógica ladder. As rotinas fornecem código executável para o projeto em um controlador. Cada programa tem uma rotina principal. Você também pode especificar rotinas opcionais específicas.

rotina de segurança Uma rotina de segurança tem todos os atributos de uma rotina-padrão, exceto que é válida apenas em um programa de segurança e consiste em uma ou mais instruções adequadas para aplicações de segurança. (Consulte Apêndice A na página 69 uma lista de instruções de aplicação de segurança e instruções Logix padrão que podem ser usadas em lógica de rotina de segurança.)

SIL, limite de reivindicação(SILCL)

Nível de integridade de segurança máximo que pode ser reivindicado para um subsistema SRECS em relação às restrições da arquitetura e a integridade de segurança sistemática. (da IEC 62061)

sobrepor Quando uma tarefa (periódica ou evento) é acionada enquanto a tarefa ainda está sendo executada pelo acionador anterior.

SSV (definir valor do sistema) Uma instrução do usuário da aplicação que define dados do sistema do controlador.


Glossário

tags de Segurança Um tag de segurança tem todos os atributos de um tag padrão, exceto que o controlador GuardLogix fornece mecanismos certificados para SIL 2 ou SIL 3 para ajudar a proteger a integridade dos dados associados. Eles podem ter escopo de programa ou de controlador.

tarefa Um mecanismo de programação para a execução de uma tarefa. Uma tarefa fornece informação de programação e de prioridade para um conjunto de um ou mais programas que são executados com base em critérios determinados. Depois que uma tarefa é acionada (ativada), todos os programas atribuídos (programados) para a tarefa são executados na ordem em que são exibidos no organizador do controlador.

tarefa de segurança Uma tarefa de segurança tem todos os atributos de uma tarefa padrão, exceto que é válida somente em um controlador GuardLogix e pode ser programada apenas em programas de segurança. Apenas a Tarefa de Segurança pode existir no controlador GuardLogix. A Tarefa de Segurança deve ser uma tarefa periódica/temporizada.

tarefa periódica Uma tarefa que o sistema operacional aciona com um período repetitivo. Sempre que o tempo expira, a tarefa é acionada e seus programas são executados. Os dados e as saídas estabelecidas pelos programas na tarefa que mantêm seus valores até a execução seguinte da tarefa ou até que outra tarefa os manipule. As tarefas periódicas sempre interrompem a tarefa contínua.

tempo de reação da tarefa desegurança

A soma do Período da Tarefa de Segurança mais o Watchdog da Tarefa de Segurança. Esse tempo é o atraso de pior caso de qualquer alteração na entrada apresentada pelo controlador GuardLogix até que a saída processada esteja disponível para a conexão de produção.

tempo de reação do sistema O pior cenário de tempo de um evento relacionado à segurança como uma entrada no sistema ou como uma falha dentro do sistema até a hora em que o sistema entra no estado seguro. O tempo de reação do sistema leva em consideração os tempos de reação do sensor e do atuador, tempos de reação de entrada e saída (como os atrasos na conexão de rede) e o tempo de reação do controlador.

tolerância a falhas em hardware A HFT (tolerância a falhas em hardware) igual a n, onde n+1 falhas podem causar a perda função de segurança. Uma HFT de 1 significa são necessárias duas falhas antes de perder a segurança.

watchdog da tarefa de segurança O tempo máximo permitido desde o início da execução da Tarefa de Segurança até a sua conclusão. Se o Watchdog da Tarefa de Segurança for ultrapassado, uma falha não recuperável de segurança será gerada.


Glossário

Observações:


Índice

Aaccess

safety-related system 43Add-On Instruction

create test project 77export and import 78flowchart 76instruction signature 77qualification test

SIL 2 or SIL 3 78safety

create 77safety instruction signature 77safety validate 78signature

verify 79analysis

failure 14AOI SeeAdd-On Instructionaplicação de segurança 25application

development 48testing 48

application programchanging 59See programtest 52, 79

assessmentsafety 55, 79

assinatura de configuração 25average frequency of dangerous failure (PFH)

definition 107

Ccertificação 13Certificação SIL 9certificações 13certificados de segurança 15change parameters

SIL-rated system 43changing your application program 59chassis

GuardLogix 16checklist

GuardLogix controller system 92GuardLogix safety application 91program development 95safety inputs 93safety outputs 94

CIP Safety 29routable system 30

CIP Safety protocoldefinition 108

clearfault 67

commissioning lifecycle 50communication

network 18Compact GuardLogix

controller 17power supply 18

conceptsafety integrity level (SIL) 9

configuration signature 25confirm

project 54connection reaction time limit 81connection status

I/O device 65connection status data

initiate fault 99CONNECTION_STATUS

data 63consideration

SNN assignment 30consumed tag

data 88control and information protocol

definition 105controlador primário 15controller

Compact GuardLogix 17GuardLogix 15lock 55

createAdd-On Instruction

test project 77project 52safety Add-On Instruction 75, 77signature history 78

Ddados de status 24data

CONNECTION_STATUS 63force 57GuardLogix system safety 97produced and consumed tag 88safety 97

de-energize to trip system 65, 99default

safety-lock 56delay time setting

Guard I/O input module 86delete

safety signature 53development

application 48device 58

safety I/O replacement 26DeviceNet

safety network 21diagnostic coverage

definition 105diagnostics

input and output 64diagnóstico 23download

safety application program 56


Índice

Eedit

offline 59online 58, 59process 61

estado seguro 9, 23EtherNet/IP network 18European norm.

definition 107example

ladder diagram 101, 102, 103expansion

modules 17slots 17

exportsafety Add-On Instruction 78

Ffailure analysis 14falha de segurança irrecuperável 106falha do controlador irrecuperável 106fault

clear 67nonrecoverable controller 66nonrecoverable safety 66recoverable 107recoverable safety 67safety 66safety partner 68view 67

fault codemajor safety faults 68status display 67

flowchartinput fault latch and reset 100output fault latch and reset 103

forcedata 57

functionoff-delay 24on-delay 24

Ggenerate

instruction signature 77safety signature 52

get system value (GSV)definition 108instruction 65

glossário de termos 105Guard I/O

input moduledelay time setting 86

GuardLogixchassis 16control system safety I/O 23controller 15controller system

checklist 92power supply 16primary controller 16safety application checklist 91safety partner 16system safety data 97

GuardLogix controllersystem 15

Hhuman machine interface

use and application 42

II/O device

connection status 65import

safety Add-On Instruction 78indicator

status 24, 63inhibit 58

device 58initiate fault

connection status data 99input

diagnostics 64reaction time 24safety connection reaction time limit (CRTL)

86input fault latch and reset

flowchart 100input module

Guard I/Odelay time setting 86

input-logic-output chain 83instruction

get system value (GSV) 65safety application 69set system variable (SSV) 65

instruction signature 77definition 105

interfaceHMI use and application 42

Llabel

program 52ladder diagram

example 101, 102, 103safety instructions 70

lifecyclecommissioning 50

loadproject from memory card 57

lockcontroller 55

logic chainproduced/consumed safety tags 84

Logixreaction time factors 85SIL 3-certified components 15, 17system reaction time 83

calculate 84

Mmajor faults tab 67, 68major safety fault 68


Índice

manualSNN format and assignment 34

mappingtag 46

memory cardload project 57store project 57

minor faults tab 68modification impact

test 60module

safety I/O 40monitor

system status 63multiplicador de tempo-limite 85

Nnetwork

communication 18DeviceNet safety 21EtherNet/IP 18

network delayobserved 82

network numbersafety 29

node referenceunique 29

nonrecoverable controller fault 66nonrecoverable safety fault 66

restarting the safety task 67nível de desempenho 9

Oobserved network delay 82off-delay

function 24offline edit 59

process 61on-delay

function 24online

definition 108online edit 58, 59

process 61out-of-box device

SNN 35output

diagnostics 64reaction time 24safety connection reaction time limit (CRTL)

86output fault latch and reset

flowchart 103overlap

definition 108overview

programming 22

Pparceiro de segurança 15

partnershipdefinition 108

passwordsafety-lock 56

Performance Leveldefinition 107

period taskdefinition 109

período da tarefa de segurança 82power supply

Compact GuardLogix 18Compact GuardLogix 5380 systems 18GuardLogix 16GuardLogix 5580 systems 16

primary controllerdefinition 106GuardLogix 16

probability of failure on demand (PFD)definition 108

produced tagdata 88

programchecklist 95editing lifecycle 61label 52offline editing 59online editing 59

programa de segurança 44programming overview 22project

confirm 54create 52validate 53, 79

propriedade 25

Qqualification test

Add-On InstructionSIL 2 or SIL 3 78

qualifystandard data 46

Rreaction time 81

calculate for system 83input 24Logix system 83output 24safety task 13system 13, 109

reaction time limitCIP Safety I/O 81

read parameterssafety-related system 43

recoverable fault 107clear 67

recoverable safety fault 67referência de nó exclusivo 29requested packet interval

definition 107safety I/O 82


Índice

restricted operationsafety signature 53safety-lock 55

revisões de firmware 15rotina de segurança 44routable

CIP Safety system 30

Ssafety

Add-On Instructioncreate and use 75flowchart 76

calculation 98fault 66inputs

checklist 93safety Add-On Instruction

create 77export and import 78verify signature 79

safety applicationdownload program 56instruction 69SIL 2 40SIL 3 40upload program 56

safety application instructionsdefinition 107

safety assessment 55, 79safety concept

assumptions 47safety connection reaction time limit (CRTL)

input and output 86safety controller 37safety data 97safety function

safety I/O 23specification 51

safety I/Oconfiguration signature 25device replacement 26GuardLogix control system 23module 40safety function 23

safety instruction signature 77definition 105

safety integrity levelconcept 9

Safety Integrity Level (SIL) 3 certificationTÜV Rheinland 9

safety network number 29definition 107out-of-box devices 35

safety outputschecklist 94

safety partnerdefinition 108GuardLogix 16

safety partner fault 68safety program

definition 108safety routine

definition 108

safety signaturedefinition 105delete 53generate 52restricted operation 53

safety tabconnection data 81

safety tags 45definition 109

safety taskdefinition 109execution 39limitations 38overview 38period 14priority 88reaction time 13, 109watchdog 14

modify 14watchdog time 88watchdog timeout 38

safety task perioddefinition 108

safety task watchdogdefinition 109setting 14

safety validateAdd-On Instruction 78

safetyapplication instructionStudio 5000 Logix Designer application 99

safety-lockcontroller 55default 56password 56restricted operation 55

safety-related systemaccess 43read parameters 43

segurança funcional 10set system variable (SSV)

instruction 65signature 25signature history 78SIL

concept 9SIL 2

safety application 40system example 12

SIL 3certification 9safety application 40system example 11

SIL-rated systemchange parameters 43

sistema de parada emergencial 9sistema de segurança da máquina 9SNN 29

assignmentconsideration 30example 31

format 33manual 34time-based 33

out-of-box device 35software

changing your application program 59


Índice

specificationsafety function 51

standard controller 37standard data

qualify 46status

connectionI/O device 65

status da conexão 64status indicator 24, 63store

project from memory card 57Studio 5000 Logix Designer application

safetyapplication instruction 99system

de-energize to trip 65GuardLogix controller 15reaction time 13

system reaction timecalculate 83

system statusmonitor 63

Ttab

major faults 67tags

see also safety tagstaxa de falha do produto 98terminologia 7test

application program 52, 79modification impact 60

test projectcreate

Add-On Instruction 77teste de prova 10testing

application 48time

reaction 81time-based

SNN format and assignment 33timeout multiplier

definition 107

UUNID 29unique node reference 29upload

safety application program 56use

safety Add-On Instruction 75

Vvalidate

project 53, 79verify

safety Add-On Instruction signature 79vida útil 97view

fault 67

Wwatchdog

safety task 14time 88

watchdog timeoutsafety task 38


Índice

Observações:


Publicação 1756-RM012B-PT-P - Abril 2018 PN-PN-XXXXXXCopyright © 2018 Rockwell Automation, Inc. Todos os direitos reservados. Impresso nos E.U.A.

.Suporte Rockwell AutomationUse os recursos a seguir para acessar informações sobre suporte.

Feedback sobre a documentaçãoSeus comentários irão ajudar a melhorar a documentação. Se você tiver alguma sugestão sobre como melhorar este documento, preencha o formulário Como estamos indo? em http://literature.rockwellautomation.com/idc/groups/literature/documents/du/ra-du002_-en-e.pdf.

Centro de suporte técnicoArtigos da knowledgebase, vídeos explicativos, perguntas frequentes, bate-papo, fóruns do usuário e atualizações de notificações sobre o produto.

https://rockwellautomation.custhelp.com/

Números de telefone do suporte técnico local

Localize o número de telefone do seu país. http://www.rockwellautomation.com/global/support/get-support-now.page

Códigos de discagem diretaLocalize o Código de discagem direta para o seu produto. Use o código para encaminhar sua chamada diretamente para um engenheiro do suporte técnico.

http://www.rockwellautomation.com/global/support/direct-dial.page

Literature Library Instruções de instalação, manuais, folhetos e dados técnicos. http://www.rockwellautomation.com/global/literature-library/overview.page

Centro de Compatibilidade de Produto e Download (PCDC)

Obtenha ajuda na determinação de como os produtos interagem, verifique recursos e capacidades e localize o firmware associado.


A Rockwell Automation mantém informações ambientais atualizadas a respeito de seus produtos no site http://www.rockwellautomation.com/rockwellautomation/about-us/sustainability-ethics/product-environmental-compliance.page.

Allen-Bradley, ArmorBlock, Compact 5000, CompactBlock, CompactLogix, ControlLogix, Guard I/O, GuardLogix, Kinetix, Logix5000, POINT Guard I/O, POINT I/O, PowerFlex, Rockwell Automation, Rockwell Software, RSLogix 5000, Stratix, Studio 5000 e Studio 5000 Logix Designer são marcas comerciais da Rockwell Automation, Inc.CIP Safety é uma marca comercial da ODVA, Inc.Marcas comerciais que não pertencem à Rockwell Automation são propriedade de suas respectivas empresas.

https://rockwellautomation.custhelp.com/

http://www.rockwellautomation.com/global/support/get-support-now.page

http://www.rockwellautomation.com/global/support/direct-dial.page

http://www.rockwellautomation.com/global/literature-library/overview.page


http://literature.rockwellautomation.com/idc/groups/literature/documents/du/ra-du002_-en-e.pdf

http://www.rockwellautomation.com/rockwellautomation/about-us/sustainability-ethics/product-environmental-compliance.page

http://www.rockwellautomation.com/rockwellautomation/about-us/sustainability-ethics/product-environmental-compliance.page

sistemas dos controladores guardlogix 5580 e compact ... › idc › ...sistemas dos controladores...

Documents