Fonction de sécurité - Rockwell Automation

Fonction de sécurité : Surveillance de porte
Produits : Interrupteur Trojan 5
Automate GuardLogix®
Classe de sécurité : PLe, Cat. 4 selon EN ISO 13849.1 2008
Table des matières
Introduction
3
Informations importantes destinées
aux utilisateurs
3
Mise en œuvre de la fonction de sécurité
4
Consignes générales de sécurité
5
Mise en place et câblage
7
Configuration
8
Programmation
15
Réinitialisation sur front descendant
16
Calcul du niveau de performance
16
Plan de vérification et de validation
19
Documentations connexes
22
3
Introduction
Ce profil d’application de fonction de sécurité explique comment câbler, configurer et
programmer un automate Compact GuardLogix® et un module POINT Guard I/O™ pour
surveiller un interrupteur à broche Trojan 5 monté sur une porte. Si la porte est ouverte ou
qu’un défaut est détecté dans le circuit de surveillance, l’automate GuardLogix désactive
le dispositif de commande final, dans ce cas, une paire redondante de contacteurs 100S.
L’exemple indiqué fait référence à un automate Compact GuardLogix. Mais il pourrait
tout aussi bien s’appliquer à n’importe quel autre automate GuardLogix. Cet exemple se
réfère à un interrupteur à broche Trojan 5, mais il peut aussi s’appliquer aux dispositifs à
double contact sec comportant au moins 2 contacts N.F. Les calculs Sistema illustrés plus
loin dans ce document devraient être refaits en utilisant les produits réels.
Informations importantes destinées aux utilisateurs
Les équipements électroniques possèdent des caractéristiques de fonctionnement différentes de
celles des équipements électromécaniques. La publication SGI-1.1 « Safety Guidelines for the Application, Installation and Maintenance of Solid State Controls » (disponible auprès de votre agence
commerciale locale Rockwell Automation® ou en ligne sur le site http://www.rockwellautomation.com/
literature) décrit certaines de ces différences. En raison de ces différences et de la grande diversité
des utilisations des équipements électroniques, les personnes qui en sont responsables doivent
s’assurer de l’acceptabilité de chaque application.
La société Rockwell Automation, Inc. ne saurait en aucun cas être tenue pour responsable ni
être redevable des dommages indirects ou consécutifs à l’utilisation ou à l’application de cet
équipement.
Les exemples et schémas contenus dans ce manuel sont fournis à titre indicatif uniquement. En
raison du nombre important de variables et d’impératifs associés à chaque installation, la société
Rockwell Automation Inc. ne saurait être tenue pour responsable ni être redevable des suites
d’utilisation réelle basée sur les exemples et schémas présentés dans ce manuel.
La société Rockwell Automation Inc. décline également toute responsabilité en matière de propriété
intellectuelle et industrielle concernant l’utilisation des informations, circuits, équipements ou
logiciels présentés dans ce manuel.
Toute reproduction totale ou partielle du présent manuel sans l’autorisation écrite de
Rockwell Automation Inc. est interdite.
4
Mise en œuvre de la fonction de sécurité : évaluation du risque
Le niveau de performance requis est déterminé par l’évaluation du risque. Il indique l’importance
de la réduction des risques qui doit être assurée par la partie du système de commande dédiée à
la sécurité. Le processus de réduction des risques consiste, en partie, à déterminer les fonctions de
sécurité nécessaires à la machine. Pour les besoin de ce document, on supposera que le niveau de
performance requis est la Catégorie 4, PLe.
Depuis : Évaluation des risques (ISO 12100)
1
Identification des fonctionsde sécurité
2
Spécification des caracéristiques de chaque fonction de sécurité
3
Détermination du PL requis (PLr) pour chaque fonction de sécurité
Jusqu’à : Mise en oeuvre et du PL évaluation
Fonction de sécurité verrouillage
La fonction de sécurité coupe l’alimentation de la zone dangereuse lorsque le système de sécurité
constate que la porte a été ouverte.
Caractéristiques de la fonction de sécurité
L’ouverture d’une porte de protection arrête et empêche le mouvement dangereux en coupant
l’alimentation du moteur. Une fois la porte refermée, le mouvement présentant un danger et
l’alimentation du moteur ne sont pas rétablis tant qu’une action auxiliaire (appui sur le bouton de
démarrage) n’a pas été effectuée. La présence de défauts au niveau de l’interrupteur de sécurité
de la porte, des bornes de câblage ou de l’automate de sécurité sera détectée avant la prochaine
sollicitation de sécurité. La fonction de sécurité illustrée dans cet exemple est capable d’établir et
de couper l’alimentation de moteurs de capacité nominale allant jusqu’à 9 A, 600 V c.a..
La fonction de sécurité satisfait aux exigences de niveau de performance « e », de la Catégorie 4
(Cat 4, PLe) selon la norme ISO 13849-1, ainsi qu’à celles de niveau d’intégrité de sécurité SIL3 selon
la norme CEI 62061 et à celles de fonctionnement fiable de la commande selon la norme ANSI B11.19.
5
Des symboles sont utilisés tout au long de ce manuel pour attirer votre attention sur les mesures de
sécurité à prendre en compte.
Avertissement : identifie des actions ou situations susceptibles de provoquer une
explosion dans un environnement dangereux et risquant d’entraîner des blessures
pouvant être mortelles, ainsi que des dégâts matériels ou des pertes financières.
IMPORTANT
Informations particulièrement importantes pour la compréhension du fonctionnement
et l’utilisation correcte du produit.
Attention : identifie des actions ou situations risquant d’entraîner des blessures
pouvant s’avérer fatales, ainsi que des dégâts matériels ou des pertes financières. Les
messages « Attention » vous aident à identifier un danger, à éviter ce danger et en
mesurer les conséquences éventuelles.
Danger d’électrocution : les étiquettes ci-contre, appliquées à l’extérieur ou à
l’intérieur d’un équipement (par exemple, un variateur ou un moteur), signalent
la présence éventuelle de tensions électriques dangereuses.
Risque de brûlure : les étiquettes ci-contre, appliquées à l’extérieur ou à l’intérieur
d’un équipement (par exemple, un variateur ou un moteur), indiquent que certaines
surfaces peuvent atteindre des températures particulièrement dangereuses.
Consignes générales de sécurité
Contacter Rockwell Automation pour plus d’informations sur ses services d’évaluation des risques
de sécurité.
IMPORTANT
Cet exemple d’application s’adresse à des utilisateurs expérimentés. Il suppose que
vous disposiez d’une formation et d’une expérience appropriées sur les caractéristiques
des systèmes de sécurité.
Attention : une évaluation des risques doit être réalisée afin de s’assurer que tous
les risques potentiels associés à toutes les tâches aient été identifiés et pris en compte.
Cette évaluation des risques peut nécessiter la mise en œuvre de circuits
supplémentaires afin de réduire les risques en question à un niveau tolérable.
Les circuits de sécurité doivent tenir compte de calculs de distance de sécurité qui
n’entrent pas dans le cadre de ce document.
6
Description de la sécurité fonctionnelle
Le mouvement dangereux est interrompu ou interdit par l’ouverture de la porte. L’interrupteur est
câblé à une paire d’entrées de sécurité sur un module d’entrée de sécurité (SI1). Les contacteurs
de sécurité (K1 et K2) sont raccordés à une paire de sorties de sécurité sur un module de sortie
de sécurité (SO1). Le module d’E/S est connecté à l’automate de sécurité (SC1) au moyen de CIP
Safety sur un réseau EtherNet/IP. Le programme de sécurité dans SC1 surveille l’état de la porte
au moyen de l’instruction de sécurité pré-certifiée DCST (Dual Channel Input Stop with Test –
arrêt sur entrée double voie avec test). Lorsque tous les verrouillages d’entrée de sécurité sont
conformes, qu’aucun défaut n’est détecté et que le bouton-poussoir de réarmement est actionné,
un second bloc fonctionnel certifié appelé CROUT (Configurable Redundant Output – sortie
redondante configurable) contrôle et surveille le retour du signal d’une paire de contacteurs
redondants 100S. En résumé, lorsque la porte est ouverte, les contacteurs sont désactivés.
Lorsque la porte est fermée, et que le bouton de réarmement est actionné, les contacteurs sont
activés.
Nomenclature
Référence
Description
Quantité
440K-T11090
Interrupteur de sécurité standard Trojan 5
1
800FM-G611MX10
Bouton-poussoir de réarmement 800F – métallique,
protégé, bleu, R, montage à bague de verrouillage
métallique, 1 contact N.O., standard
1
100S-C09ZJ23CS
Contacteurs de sécurité Série 100S-C
2
1768-ENBT
Module passerelle EtherNet/IP pour automate
CompactLogix™
1
1768-L43S
Processeur Compact GuardLogix, 2,0 Mo de mémoire
standard et 0,5 Mo de mémoire de sécurité
1
1768-PA3
Alimentation, entrée 120/240 V c.a., 3,5 A sous 24 V c.c.
1
1769-ECR
Obturateur/Cache de terminaison droit
1
1734-AENT
Adaptateur Ethernet 24 V c.c.
1
1734-TB
Embase de module avec bornes à vis CEI amovibles
4
1734-IB8S
Module d’entrées de sécurité POINT Guard
1
1734-OB8S
Module de sorties de sécurité POINT Guard
1
1783-US05T
Switch Ethernet non administré Stratix 2000™
1
7
Mise en place et câblage
Pour des informations détaillées sur l’installation et le câblage, reportez-vous aux manuels produits
répertoriés à la rubrique Documentations connexes.
Présentation du système
Le module d’entrée 1734-IB8S surveille les deux voies de l’interrupteur Trojan 5. Si la porte est
ouverte, ces deux voies s’ouvrent et l’automate réagit en désactivant les contacteurs de sécurité.
Le module 1734-IB8S peut fournir la source de tension 24 V c.c. aux deux voies afin de tester
dynamiquement la présence éventuelle de courts-circuits au 24 V c.c. et entre les voies, dans le
câblage des signaux. En cas d’apparition d’un défaut, l’une ou l’autre des voies ou les deux seront
désactivées. L’automate réagira alors en désactivant les contacteurs de sécurité. C’est uniquement
après la correction du défaut et le rétablissement du fonctionnement de la porte que le bloc
fonctionnel sera réinitialisé.
Les courts-circuits au 0 V c.c. (et les fils débranchés ou coupés) seront vus comme des ouvertures
du circuit par le module d’entrée 1734-IB8S. L’automate réagit alors en désactivant les contacteurs
de sécurité. Si les entrées restent discordantes pendant une durée supérieure à la temporisation de
discordance, l’automate, par le biais du bloc fonctionnel DCS, déclare un défaut. C’est uniquement
après la correction du défaut et le rétablissement du fonctionnement de la porte que le bloc
fonctionnel sera réinitialisé.
Dans notre exemple, le dispositif de commande final est une paire de contacteurs de sécurité 100S,
K1 et K2. Les contacteurs sont pilotés par un module de sortie de sécurité 1734-OBS. Ils sont câblés
selon une configuration en série redondante. Un circuit de retour passe par les contacts N.O. et
revient à une entrée du module 1734-IB8S afin de surveiller le bon fonctionnement des contacteurs.
Les contacteurs ne peuvent pas redémarrer tant que le circuit de retour n’est pas à l’état correct.
Le système possède des boutons de réarmement individuels pour réinitialiser les défauts et les
sorties de sécurité.
Dans notre exemple, il convient de remarquer que les boutons de réarmement et le circuit de retour
des contacteurs sont tous raccordés au module 1734-IB8S. Ce type de câblage n’est pas nécessaire
pour la sécurité fonctionnelle. Ces trois (3) entrées pourraient être raccordées à un module d’entrée
standard.
8
Schéma électrique
Configuration
La configuration de l’automate Compact GuardLogix s’effectue à l’aide du logiciel RSLogix™ 5000
en version 17 ou ultérieure. Vous devez d’abord créer un nouveau projet et y ajouter les modules
d’E/S. Configurez ensuite les types d’entrées et de sorties appropriés pour ces modules d’E/S. La
description détaillée de chacune de ces étapes n’est pas traitée dans ce document. On suppose par
ailleurs que l’utilisateur connaît l’environnement de programmation RSLogix.
9
Configuration de l’automate et ajout des modules d’E/S
Suivez les étapes ci-dessous.
1. Dans le logiciel RSLogix 5000, créez un nouveau projet.
2. Dans l’arborescence de l’automate, ajoutez le module 1768-ENBT au bus 1768.
3. Sélectionnez ce module 1768-ENBT et cliquez sur OK.
10
4. Nommez le module, saisissez son adresse IP et cliquez sur OK. Dans cet exemple d’application,
nous avons utilisé l’adresse 192.168.1.8. La vôtre peut être différente.
5. Ajoutez l’adaptateur 1734-AENT en cliquant avec le bouton droit de la souris sur le module
1768-ENBT dans l’arborescence de l’automate et choisissez New Module (Nouveau module).
6. Sélectionnez le module 1734-AENT et cliquez sur OK.
11
7. Nommez ce module, saisissez son adresse IP et cliquez sur OK. Dans cet exemple d’application,
nous avons utilisé l’adresse 192.168.1.11. La vôtre peut être différente.
8. Cliquez sur Change (Modifier).
9. Définissez la taille de châssis (Chassis size) à 3 pour l’adaptateur 1734-AENT et cliquez sur OK.
La taille de châssis correspond au nombre des modules qui seront insérés dans le châssis.
L’adaptateur 1734-AENT est considéré se trouver à l’emplacement 0. Avec un module d’entrée
et un module de sortie, la taille de châssis est donc de 3.
12
10. Dans l’arborescence de l’automate, cliquez avec le bouton droit sur l’adaptateur 1734-AENT et
choisissez New Module (Nouveau module).
11. Développez le répertoire Safety (Sécurité), sélectionnez le module 1734-IB8S et cliquez sur OK.
12. Dans la boîte de dialogue New Module, nommez ce composant « IB8S » et cliquez sur Change
(Modifier).
13. Lorsque la boîte de dialogue Module Definition (Définition du module) s’affiche, choisissez
None (aucune) pour Output Data (données de sortie) et vérifiez que l’état d’entrée (Input Status)
est défini sur « Combined Status-Power » (état-alimentation combiné), puis cliquez sur OK. La
configuration des données de sortie sur « None » implique que vous ne pourrez pas utiliser
les sorties de test comme des sorties standard, ce qui est le cas dans cet exemple. Remarque :
cette configuration ne comporte qu’une (1) connexion avec l’automate puisque nous utilisons
uniquement la connexion d’entrée.
13
14. Fermez la boîte de dialogue Module Properties (Propriétés du module) en cliquant sur OK.
15. Réitérez les étapes 10 à 14 pour ajouter le module de sortie de sécurité 1734-OB8S. Nommez
ce module « OB8S ». Remarque : ce module devra se trouver à l’emplacement 2. Choisissez par
ailleurs « Combined Status-Readback-Power » (état-relecture-alimentation combiné) pour la
définition de son état d’entrée (Input Status).
14
Configuration des modules d’E/S
Pour configurer les modules POINT Guard I/O, suivez les étapes ci-dessous.
1. Dans l’arborescence de l’automate, cliquez avec le bouton droit sur le module 1734-IB8S et
choisissez Properties (Propriétés).
2. Cliquez sur Test Output (Sortie de test) et configurez le module comme indiqué sur l’illustration.
T0 et T1 sont utilisés pour tester par impulsion les voies de l’interrupteur Trojan 5. T2 est utilisé
pour tester par impulsion le circuit de retour des contacteurs.
3. Cliquez sur Input Configuration (Configuration des entrées) et configurez le module comme
indiqué sur l’illustration. Les entrées 0 et 1 correspondent à la barrière immatérielle. Les entrées
4 et 5 correspondent aux boutons de réarmement. L’entrée 7 est le circuit de surveillance
des contacteurs. N’oubliez pas que l’entrée 7 a pour source la sortie de test 2. Notez que
vous pouvez indifféremment configurer une voie d’entrée en sécurité ou en standard. Cette
configuration est surtout utilisée à titre d’information.
4. Cliquez sur OK.
5. Dans l’arborescence de l’automate, cliquez avec le bouton droit sur le module 1734-OB8S et
choisissez Properties (Propriétés).
15
6. Cliquez sur Output Configuration (Configuration des sorties) et configurez le module comme
indiqué sur l’illustration. La bobine électromécanique du contacteur peut être testée par
impulsion sans réagir à la brève impulsion basse.
7. Cliquez sur OK.
Programmation
L’instruction DCST (Dual Channel Input Stop with Test – arrêt sur entrée double voie avec test) surveille les dispositifs de sécurité à double entrée dont la fonction principale est d’arrêter une machine
en toute sécurité, une porte de sécurité par exemple. Lorsqu’une fonction de test est sollicitée, par
voie de programmation ou manuellement, le fonctionnement de la machine est interrompu jusqu’à
ce que la porte de sécurité ait achevé un cycle de coupure/rétablissement adéquat.
L’instruction DCST surveille la cohérence (équivalence – état haut actif) des entrées double voie.
Elle détecte et piège le défaut en cas d’incohérence décelée pendant une durée supérieure à la
temporisation de discordance configurée (en ms).
La caractéristique de redémarrage automatique permet à la sortie DCST (O1) d’être automatiquement réinitialisée après une sollicitation. L’action manuelle normalement requise dans les système
de sécurité est gérée par la ligne 1 de l’instruction qui réinitialise la validation de la sortie de sécurité.
L’état d’entrée (Input Status) représente habituellement l’état des deux voies d’entrée. Dans notre
exemple, le bit « Combined Input Status » (État combiné de l’entrée) se trouve désactivé si l’une des
8 voies d’entrée sur le module 1734-IB8S présente un défaut.
Dans notre exemple, la réinitialisation effectuée par l’instruction DCS joue le rôle d’un effacement
du défaut. Même lorsque le redémarrage automatique a été défini, la reprise à partir d’un état de
défaut exige une réinitialisation.
La sortie (O1) de l’instruction DCST est utilisée comme verrouillage de sécurité dans la ligne verrouillable destinée à piloter le point de validation de la sortie. Si cette sortie DCS se trouve désactivée, il
en sera de même pour la validation de la sortie, qui restera alors désactivée jusqu’à ce qu’une action
de réinitialisation manuelle soit exécutée.
L’instruction CROUT contrôle et surveille les sorties redondantes. Cette instruction vérifie essentiellement que le signal de retour est bien en phase avec les sorties de sécurité. Dans le cas du signal de
retour négatif utilisé dans notre exemple, si les sorties sont à l’état « haut », le signal de retour doit
être à l’état « bas » et vice-versa. Dans notre exemple, le signal de retour dispose de 500 ms pour
passer à l’état approprié. Du fait qu’un seul circuit de retour est utilisé, le point de retour sert à la fois
à Feedback 1 et à Feedback 2.
Les deux (2) points de sortie de l’instruction CROUT sont utilisés pour piloter les sorties de contacteur sur le module 1734-OB8S.
16
Réinitialisation sur front descendant
La norme ISO 13849-1 stipule que les fonctions de réinitialisation de l’instruction doivent être
appelées sur le front descendant des signaux. Pour satisfaire à cette exigence, une instruction OSF
(One Shot Falling – impulsion sur front descendant) est utilisée dans la ligne de réinitialisation. Le
point du bit de sortie de cette instruction OSF est utilisé comme bit de réinitialisation pour la ligne
de validation de la sortie (Output Enable).
Calcul du niveau de performance
Lorsqu’elle est correctement configurée, cette fonction de sécurité surveillance de porte peut
atteindre une classification de sécurité PLe, Cat. 4 selon EN ISO 13849.1 2008.
Les caractéristiques de sécurité fonctionnelle du projet exigent un niveau de performance (minimum) de PLd et une structure de catégorie Cat 3 (minimum également). Une probabilité moyenne
de défaillance dangereuse par heure (PFHd) inférieure à 1.0 E-06 au niveau de la fonction de sécurité
globale est exigée pour le niveau de performance PLd.
Les résultats obtenus pour chacun des sous-systèmes de sécurité sont représentés ci-dessous.
17
La valeur de la fonction de sécurité globale est indiquée ci-dessous.
La fonction de sécurité Surveillance de porte peut être modélisée comme illustré dans le schéma
fonctionnel suivant :
18
Les calculs sont basés sur 1 sollicitation de la porte de sécurité par heure, soit 8760 sollicitations des
contacteurs à l’année.
Les mesures prises contre la défaillance de cause commune (CCF) sont quantifiées à l’aide du
procédé de notation décrit à l’annexe F de la norme ISO 13849-1. Dans notre exemple de calcul du
niveau de performance PL, le score de 65 requis pour satisfaire aux exigences de CCF est supposé
être atteint. Une procédure complète d’évaluation effective de ces CCF devra cependant être
exécutée lors de la mise en pratique de cet exemple.
19
Plan de vérification et de validation
Tout au long du processus de conception et de développement du système de sécurité, la vérification et la validation jouent un rôle important dans la prévention des défauts. La norme
ISO/EN 13849-2 définit les exigences en matière de vérification et de validation. Elle requiert qu’un
plan documenté soit établi pour confirmer que toutes les exigences de sécurité fonctionnelle ont
été satisfaites.
La vérification consiste à analyser la pertinence du système de commande de sécurité résultant.
Le calcul du niveau de performance (PL) du système de commande de sécurité sert à vérifier que
celui-ci est bien conforme au niveau de performance requis (PLr) spécifié. L’outil logiciel SISTEMA
est habituellement employé pour effectuer ces calculs dans le respect des préconisations de la
norme ISO 13849-1.
La validation est un test fonctionnel du système de commande de sécurité destiné à démontrer
qu’il répond bien aux exigences spécifiées pour la fonction de sécurité. Le système de commande
de sécurité est testé de façon à confirmer que toutes les sorties à caractère de sécurité répondent
conformément aux signaux d’entrée à caractère de sécurité correspondants. Ce test fonctionnel
doit reproduire les conditions de fonctionnement normales et l’apparition des défauts potentiels
correspondant aux modes de défaillance. Une liste de contrôle est généralement utilisée pour
justifier la validation du système de commande de sécurité.
La validation des développements logiciels (programme de commande) est une procédure dont les
méthodes et les techniques ressemblent à celles utilisées pour les développements matériels. Les
défauts qui se produisent suite à des erreurs dans la procédure de développement du programme
sont de nature systémique, tandis que ceux qui sont liés au matériel sont considérés comme aléatoires.
Avant de procéder à la validation d’un système de sécurité GuardLogix, il est important de s’assurer
que le système de sécurité et le programme d’application de sécurité ont bien été conçus conformément aux recommandations de nos documentations « Systèmes automates GuardLogix – Manuel
de référence sur la sécurité » (1756-RM093) et « GuardLogix Application Instruction Safety Reference
Manual » (1756-RM095).
20
Liste de contrôle pour la vérification et la validation de fonction de sécurité surveillance de porte GuardLogix
Informations générales sur la machine
Nom/Numéro de modèle de machine
Numéro de série de machine
Nom du client
Date du test
Nom(s) du testeur
Numéro du schéma de câblage
Nom d’automate
ID signature de sécurité
Numéro(s) de réseau de sécurité
Version du logiciel RSLogix5000
Modules du système de
commande de sécurité
Automate de sécurité GuardLogix
Passerelle Ethernet CompactLogix
Adaptateur Ethernet POINT I/O
Modules d’entrée POINT I/O
Modules de sortie POINT I/O
Modules GuardLogix
Version du firmware
1768-L43S
1768-ENBT
1734-AENT
1734-IB8S
1734-OB8S
Configuration du système de sécurité GuardLogix et vérification du câblage
Étape
du test
Vérification
1
Vérifiez que le système de sécurité a été conçu conformément à la publication 1756-RM093 « Systèmes automates
GuardLogix – Manuel de référence sur la sécurité ».
2
Vérifiez que le programme de l’application de sécurité a été conçu conformément à la publication 1756-RM095
« GuardLogix Application Instruction – Safety Reference Manual ».
3
Vérifiez visuellement que le réseau du système de sécurité et les E/S sont câblés conformément aux schémas de
principe.
4
Inspectez visuellement le programme RSLogix 5000 afin de vérifier que le réseau du système de sécurité et le
module des E/S sont configurés conformément à la documentation.
5
Inspectez visuellement le programme d’application RSLogix 5000 pour vérifier que les instructions utilisées
sont convenablement certifiées pour la sécurité. Vérifiez que la logique est lisible, compréhensible et testable et
comporte des commentaires clairs.
6
Tous les dispositifs d’entrée sont qualifiés par la coupure et l’établissement de l’alimentation de leurs actionneurs
correspondants. Surveillez l’état dans la fenêtre des points d’automate (Controller Tags) dans RSLogix 5000.
7
Tous les dispositifs de sortie sont qualifiés par la coupure et l’établissement de l’alimentation de leurs actionneurs
correspondants. Surveillez l’état dans la fenêtre des points d’automate (Controller Tags) dans RSLogix 5000.
Bon/Mauvais
Changements/Modifications
Vérification du fonctionnement normal – Le système de sécurité GuardLogix répond correctement à toutes les commandes normales de démarrage, d’arrêt,
d’activation et de réinitialisation
Étape
du test
Vérification
1
Lancez une commande de démarrage. Le fonctionnement normal de la machine doit se traduire par l’activation
des deux contacteurs. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme
d’application de sécurité RSLogix 5000.
2
Lancez une commande d’arrêt. L’arrêt normal de la machine doit se traduire par la désactivation des deux
contacteurs. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application
de sécurité RSLogix 5000.
3
Pendant le fonctionnement, ouvrez la porte de protection surveillée. Pour une condition sûre normale, les deux
contacteurs doivent se trouver désactivés et ouverts. Vérifiez que l’indication d’état de la machine est correcte ainsi
que celle du programme d’application de sécurité RSLogix 5000. Renouvelez l’opération pour toutes les portes de
protection.
4
À l’arrêt avec la porte de protection ouverte, lancez une commande de démarrage. Pour une condition sûre
normale, les deux contacteurs doivent rester désactivés et ouverts. Vérifiez que l’indication d’état de la machine
est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Renouvelez l’opération pour
toutes les portes de protection.
5
Lancez une commande de réinitialisation. Les deux contacteurs doivent rester désactivés. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
Bon/Mauvais
Changements/Modifications
21
Vérification du fonctionnement anormal – Le système de sécurité GuardLogix répond correctement à tous les défauts prévisibles avec les diagnostics correspondants.
Tests de la poignée de sécurité « homme mort » et de l’entrée à interconnexion
Étape du
test
Validation
1
Pendant le fonctionnement, retirez de l’E/S de sécurité le câble de la voie 1. Les deux contacteurs doivent
se désactiver. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme
d’application de sécurité RSLogix 5000. Vérifiez que le redémarrage et la réinitialisation sont impossibles
en présence du défaut. Rétablissez le câblage de la voie 1 et renouvelez l’opération pour la voie 2.
2
Pendant le fonctionnement, mettez en court-circuit au +24 V c.c. le câble de la voie 1 relié à l’E/S de
sécurité. Les deux contacteurs doivent se désactiver. Vérifiez que l’indication d’état de la machine
est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifiez que le
redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage de la
voie 1 et renouvelez l’opération pour la voie 2.
3
Pendant le fonctionnement, mettez en court-circuit au (–) 0 V c.c. le câble de la voie 1 relié à l’E/S
de sécurité. Les deux contacteurs doivent se désactiver. Vérifiez que l’indication d’état de la machine
est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifiez que le
redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage de la
voie 1 et renouvelez l’opération pour la voie 2.
4
Pendant le fonctionnement, mettez en court-circuit les câbles des voies 1 et 2 reliés à l’E/S de sécurité.
Les deux contacteurs doivent se désactiver. Vérifiez que l’indication d’état de la machine est correcte
ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifiez que le redémarrage et la
réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage des voies 1 et 2.
5
Pendant le fonctionnement, mettez en court-circuit le câble de la voie 1 et la source de test 1 de l’E/S
de sécurité. Ouvrez la porte de protection. Les deux contacteurs doivent se désactiver. Vérifiez que
l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité
RSLogix 5000. Vérifiez que le redémarrage et la réinitialisation sont impossibles en présence du défaut.
Rétablissez le câblage de la voie 1 et renouvelez l’opération pour la voie 2.
Bon/Mauvais
Changements/Modifications
Bon/Mauvais
Changements/Modifications
Bon/Mauvais
Changements/Modifications
Tests de l’automate GuardLogix et du réseau
Étape du
test
Validation
1
Pendant le fonctionnement, retirez la connexion réseau Ethernet entre l’E/S de sécurité et l’automate.
Tous les contacteurs doivent se désactiver. Vérifiez que l’indication d’état de la machine est correcte ainsi
que celle de l’état de la connexion d’E/S dans le programme d’application de sécurité RSLogix 5000.
2
Rétablissez la connexion réseau du module d’E/S de sécurité et laissez à la communication le temps de
se rétablir. Vérifiez le bit d’état de connexion dans le programme d’application de sécurité RSLogix 5000.
Renouvelez l’opération pour toutes les connexions d’E/S de sécurité.
3
Pendant le fonctionnement, mettez l’automate hors du mode Exécution. Tous les contacteurs doivent
se désactiver. Remettez l’interrupteur à clé en mode Exécution ; tous les contacteurs doivent rester
désactivés. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme
d’application de sécurité RSLogix 5000.
Tests des sorties des contacteurs de sécurité
Étape du
test
Validation
1
Lancez une commande de démarrage. Le fonctionnement normal de la machine doit se traduire par
l’activation des deux contacteurs. Vérifiez que l’indication d’état de la machine est correcte ainsi que
celle du programme d’application de sécurité RSLogix 5000.
2
Pendant le fonctionnement, retirez de l’E/S de sécurité le retour du contacteur. Tous les contacteurs
doivent rester activés. Lancez une commande d’arrêt et tentez d’exécuter une commande de réinitialisation. Le système ne doit ni redémarrer ni se réinitialiser. Vérifiez que l’indication d’état de la machine
est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
3
Pendant le fonctionnement, mettez le retour du contacteur en court-circuit à l’E/S de sécurité. Tous les
contacteurs doivent rester activés. Lancez une commande d’arrêt et tentez d’exécuter une commande de
réinitialisation. Le système ne doit ni redémarrer ni se réinitialiser. Vérifiez que l’indication d’état de la
machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000.
22
Documentations connexes
Pour de plus amples informations sur les produits utilisés dans cet exemple, vous pouvez vous
reporter aux documentations listées à la suite.
Documentation
Description
Automates Compact GuardLogix –
Manuel utilisateur,
Publication 1768-UM002
Fournit des informations sur la configuration, l’utilisation
et la maintenance des automates Compact GuardLogix.
Modules de sécurité POINT Guard I/O –
Notice d’installation et Manuel utilisateur,
Publication 1734-UM013
Fournit des informations sur l’installation, la configuration et l’utilisation des modules POINT Guard I/O.
Systèmes automates GuardLogix –
Manuel de référence sur la sécurité,
Publication 1756-RM093
Contient des instructions détaillées sur la façon
d’atteindre et de maintenir la classe de sécurité d’un
système de commande GuardLogix.
« GuardLogix Safety Application Instruction
Set Reference Manual »,
Publication 1756-RM095
Fournit des information détaillées sur le jeu d’instructions
de sécurité pour les applications GuardLogix.
« Safety Accelerator Toolkit for GuardLogix
Systems Quick Start Guide »,
Publication IASIMP-QS005
Guide pas à pas dans l’utilisation des outils de conception,
de programmation et de diagnostic inclus dans le kit de
développement Safety Accelerator Toolkit.
Catalogue des produits de sécurité
Les publications concernées peuvent être téléchargées à partir du site
http://www.rockwellautomation.com/literature. Pour commander des exemplaires
imprimés de documentation technique, contactez votre distributeur local
Allen-Bradley® ou votre agence commerciale Rockwell Automation.
Pour plus d’informations sur les possibilités offertes
par les fonctions de sécurité, visitez la page :
discover.rockwellautomation.com/safety
Rockwell Automation, Allen-Bradley, GuardLogix, RSLogix 5000, CompactLogix, Stratix 2000 et POINT Guard I/O sont des marques commerciales de Rockwell Automation, Inc.
Les marques commerciales n’appartenant pas à Rockwell Automation sont la propriété de leurs sociétés respectives.
www.rockwel lautomation.com
Siège des activités « Power, Control and Information Solutions »
Amériques : Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496 Etats-Unis, Tél: +1 414.382.2000, Fax : +1 414.382.4444
Europe / Moyen-Orient / Afrique : Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgique, Tél: +32 2 663 0600, Fax : +32 2 663 0640
Asie Pacifique : Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tél: +852 2887 4788, Fax : +852 2508 1846
Canada : Rockwell Automation, 3043 rue Joseph A. Bombardier, Laval, Québec, H7P 6C5, Tél: +1 (450) 781-5100, Fax: +1 (450) 781-5101, www.rockwellautomation.ca
France : Rockwell Automation SAS – 2, rue René Caudron, Bât. A, F-78960 Voisins-le-Bretonneux, Tél: +33 1 61 08 77 00, Fax : +33 1 30 44 03 09
Suisse : Rockwell Automation AG, Av. des Baumettes 3, 1020 Renens, Tél: 021 631 32 32, Fax: 021 631 32 31, Customer Service Tél: 0848 000 278
Publication SAFETY-AT060B-FR-E – Janvier 2013
Copyright © 2013 Rockwell Automation, Inc. Tous droits réservés.