Fonction de sécurité - Rockwell Automation
Transcription
Fonction de sécurité - Rockwell Automation
Fonction de sécurité : Surveillance de porte Produits : Interrupteur Trojan 5 Automate GuardLogix® Classe de sécurité : PLe, Cat. 4 selon EN ISO 13849.1 2008 Table des matières Introduction 3 Informations importantes destinées aux utilisateurs 3 Mise en œuvre de la fonction de sécurité 4 Consignes générales de sécurité 5 Mise en place et câblage 7 Configuration 8 Programmation 15 Réinitialisation sur front descendant 16 Calcul du niveau de performance 16 Plan de vérification et de validation 19 Documentations connexes 22 3 Introduction Ce profil d’application de fonction de sécurité explique comment câbler, configurer et programmer un automate Compact GuardLogix® et un module POINT Guard I/O™ pour surveiller un interrupteur à broche Trojan 5 monté sur une porte. Si la porte est ouverte ou qu’un défaut est détecté dans le circuit de surveillance, l’automate GuardLogix désactive le dispositif de commande final, dans ce cas, une paire redondante de contacteurs 100S. L’exemple indiqué fait référence à un automate Compact GuardLogix. Mais il pourrait tout aussi bien s’appliquer à n’importe quel autre automate GuardLogix. Cet exemple se réfère à un interrupteur à broche Trojan 5, mais il peut aussi s’appliquer aux dispositifs à double contact sec comportant au moins 2 contacts N.F. Les calculs Sistema illustrés plus loin dans ce document devraient être refaits en utilisant les produits réels. Informations importantes destinées aux utilisateurs Les équipements électroniques possèdent des caractéristiques de fonctionnement différentes de celles des équipements électromécaniques. La publication SGI-1.1 « Safety Guidelines for the Application, Installation and Maintenance of Solid State Controls » (disponible auprès de votre agence commerciale locale Rockwell Automation® ou en ligne sur le site http://www.rockwellautomation.com/ literature) décrit certaines de ces différences. En raison de ces différences et de la grande diversité des utilisations des équipements électroniques, les personnes qui en sont responsables doivent s’assurer de l’acceptabilité de chaque application. La société Rockwell Automation, Inc. ne saurait en aucun cas être tenue pour responsable ni être redevable des dommages indirects ou consécutifs à l’utilisation ou à l’application de cet équipement. Les exemples et schémas contenus dans ce manuel sont fournis à titre indicatif uniquement. En raison du nombre important de variables et d’impératifs associés à chaque installation, la société Rockwell Automation Inc. ne saurait être tenue pour responsable ni être redevable des suites d’utilisation réelle basée sur les exemples et schémas présentés dans ce manuel. La société Rockwell Automation Inc. décline également toute responsabilité en matière de propriété intellectuelle et industrielle concernant l’utilisation des informations, circuits, équipements ou logiciels présentés dans ce manuel. Toute reproduction totale ou partielle du présent manuel sans l’autorisation écrite de Rockwell Automation Inc. est interdite. 4 Mise en œuvre de la fonction de sécurité : évaluation du risque Le niveau de performance requis est déterminé par l’évaluation du risque. Il indique l’importance de la réduction des risques qui doit être assurée par la partie du système de commande dédiée à la sécurité. Le processus de réduction des risques consiste, en partie, à déterminer les fonctions de sécurité nécessaires à la machine. Pour les besoin de ce document, on supposera que le niveau de performance requis est la Catégorie 4, PLe. Depuis : Évaluation des risques (ISO 12100) 1 Identification des fonctionsde sécurité 2 Spécification des caracéristiques de chaque fonction de sécurité 3 Détermination du PL requis (PLr) pour chaque fonction de sécurité Jusqu’à : Mise en oeuvre et du PL évaluation Fonction de sécurité verrouillage La fonction de sécurité coupe l’alimentation de la zone dangereuse lorsque le système de sécurité constate que la porte a été ouverte. Caractéristiques de la fonction de sécurité L’ouverture d’une porte de protection arrête et empêche le mouvement dangereux en coupant l’alimentation du moteur. Une fois la porte refermée, le mouvement présentant un danger et l’alimentation du moteur ne sont pas rétablis tant qu’une action auxiliaire (appui sur le bouton de démarrage) n’a pas été effectuée. La présence de défauts au niveau de l’interrupteur de sécurité de la porte, des bornes de câblage ou de l’automate de sécurité sera détectée avant la prochaine sollicitation de sécurité. La fonction de sécurité illustrée dans cet exemple est capable d’établir et de couper l’alimentation de moteurs de capacité nominale allant jusqu’à 9 A, 600 V c.a.. La fonction de sécurité satisfait aux exigences de niveau de performance « e », de la Catégorie 4 (Cat 4, PLe) selon la norme ISO 13849-1, ainsi qu’à celles de niveau d’intégrité de sécurité SIL3 selon la norme CEI 62061 et à celles de fonctionnement fiable de la commande selon la norme ANSI B11.19. 5 Des symboles sont utilisés tout au long de ce manuel pour attirer votre attention sur les mesures de sécurité à prendre en compte. Avertissement : identifie des actions ou situations susceptibles de provoquer une explosion dans un environnement dangereux et risquant d’entraîner des blessures pouvant être mortelles, ainsi que des dégâts matériels ou des pertes financières. IMPORTANT Informations particulièrement importantes pour la compréhension du fonctionnement et l’utilisation correcte du produit. Attention : identifie des actions ou situations risquant d’entraîner des blessures pouvant s’avérer fatales, ainsi que des dégâts matériels ou des pertes financières. Les messages « Attention » vous aident à identifier un danger, à éviter ce danger et en mesurer les conséquences éventuelles. Danger d’électrocution : les étiquettes ci-contre, appliquées à l’extérieur ou à l’intérieur d’un équipement (par exemple, un variateur ou un moteur), signalent la présence éventuelle de tensions électriques dangereuses. Risque de brûlure : les étiquettes ci-contre, appliquées à l’extérieur ou à l’intérieur d’un équipement (par exemple, un variateur ou un moteur), indiquent que certaines surfaces peuvent atteindre des températures particulièrement dangereuses. Consignes générales de sécurité Contacter Rockwell Automation pour plus d’informations sur ses services d’évaluation des risques de sécurité. IMPORTANT Cet exemple d’application s’adresse à des utilisateurs expérimentés. Il suppose que vous disposiez d’une formation et d’une expérience appropriées sur les caractéristiques des systèmes de sécurité. Attention : une évaluation des risques doit être réalisée afin de s’assurer que tous les risques potentiels associés à toutes les tâches aient été identifiés et pris en compte. Cette évaluation des risques peut nécessiter la mise en œuvre de circuits supplémentaires afin de réduire les risques en question à un niveau tolérable. Les circuits de sécurité doivent tenir compte de calculs de distance de sécurité qui n’entrent pas dans le cadre de ce document. 6 Description de la sécurité fonctionnelle Le mouvement dangereux est interrompu ou interdit par l’ouverture de la porte. L’interrupteur est câblé à une paire d’entrées de sécurité sur un module d’entrée de sécurité (SI1). Les contacteurs de sécurité (K1 et K2) sont raccordés à une paire de sorties de sécurité sur un module de sortie de sécurité (SO1). Le module d’E/S est connecté à l’automate de sécurité (SC1) au moyen de CIP Safety sur un réseau EtherNet/IP. Le programme de sécurité dans SC1 surveille l’état de la porte au moyen de l’instruction de sécurité pré-certifiée DCST (Dual Channel Input Stop with Test – arrêt sur entrée double voie avec test). Lorsque tous les verrouillages d’entrée de sécurité sont conformes, qu’aucun défaut n’est détecté et que le bouton-poussoir de réarmement est actionné, un second bloc fonctionnel certifié appelé CROUT (Configurable Redundant Output – sortie redondante configurable) contrôle et surveille le retour du signal d’une paire de contacteurs redondants 100S. En résumé, lorsque la porte est ouverte, les contacteurs sont désactivés. Lorsque la porte est fermée, et que le bouton de réarmement est actionné, les contacteurs sont activés. Nomenclature Référence Description Quantité 440K-T11090 Interrupteur de sécurité standard Trojan 5 1 800FM-G611MX10 Bouton-poussoir de réarmement 800F – métallique, protégé, bleu, R, montage à bague de verrouillage métallique, 1 contact N.O., standard 1 100S-C09ZJ23CS Contacteurs de sécurité Série 100S-C 2 1768-ENBT Module passerelle EtherNet/IP pour automate CompactLogix™ 1 1768-L43S Processeur Compact GuardLogix, 2,0 Mo de mémoire standard et 0,5 Mo de mémoire de sécurité 1 1768-PA3 Alimentation, entrée 120/240 V c.a., 3,5 A sous 24 V c.c. 1 1769-ECR Obturateur/Cache de terminaison droit 1 1734-AENT Adaptateur Ethernet 24 V c.c. 1 1734-TB Embase de module avec bornes à vis CEI amovibles 4 1734-IB8S Module d’entrées de sécurité POINT Guard 1 1734-OB8S Module de sorties de sécurité POINT Guard 1 1783-US05T Switch Ethernet non administré Stratix 2000™ 1 7 Mise en place et câblage Pour des informations détaillées sur l’installation et le câblage, reportez-vous aux manuels produits répertoriés à la rubrique Documentations connexes. Présentation du système Le module d’entrée 1734-IB8S surveille les deux voies de l’interrupteur Trojan 5. Si la porte est ouverte, ces deux voies s’ouvrent et l’automate réagit en désactivant les contacteurs de sécurité. Le module 1734-IB8S peut fournir la source de tension 24 V c.c. aux deux voies afin de tester dynamiquement la présence éventuelle de courts-circuits au 24 V c.c. et entre les voies, dans le câblage des signaux. En cas d’apparition d’un défaut, l’une ou l’autre des voies ou les deux seront désactivées. L’automate réagira alors en désactivant les contacteurs de sécurité. C’est uniquement après la correction du défaut et le rétablissement du fonctionnement de la porte que le bloc fonctionnel sera réinitialisé. Les courts-circuits au 0 V c.c. (et les fils débranchés ou coupés) seront vus comme des ouvertures du circuit par le module d’entrée 1734-IB8S. L’automate réagit alors en désactivant les contacteurs de sécurité. Si les entrées restent discordantes pendant une durée supérieure à la temporisation de discordance, l’automate, par le biais du bloc fonctionnel DCS, déclare un défaut. C’est uniquement après la correction du défaut et le rétablissement du fonctionnement de la porte que le bloc fonctionnel sera réinitialisé. Dans notre exemple, le dispositif de commande final est une paire de contacteurs de sécurité 100S, K1 et K2. Les contacteurs sont pilotés par un module de sortie de sécurité 1734-OBS. Ils sont câblés selon une configuration en série redondante. Un circuit de retour passe par les contacts N.O. et revient à une entrée du module 1734-IB8S afin de surveiller le bon fonctionnement des contacteurs. Les contacteurs ne peuvent pas redémarrer tant que le circuit de retour n’est pas à l’état correct. Le système possède des boutons de réarmement individuels pour réinitialiser les défauts et les sorties de sécurité. Dans notre exemple, il convient de remarquer que les boutons de réarmement et le circuit de retour des contacteurs sont tous raccordés au module 1734-IB8S. Ce type de câblage n’est pas nécessaire pour la sécurité fonctionnelle. Ces trois (3) entrées pourraient être raccordées à un module d’entrée standard. 8 Schéma électrique Configuration La configuration de l’automate Compact GuardLogix s’effectue à l’aide du logiciel RSLogix™ 5000 en version 17 ou ultérieure. Vous devez d’abord créer un nouveau projet et y ajouter les modules d’E/S. Configurez ensuite les types d’entrées et de sorties appropriés pour ces modules d’E/S. La description détaillée de chacune de ces étapes n’est pas traitée dans ce document. On suppose par ailleurs que l’utilisateur connaît l’environnement de programmation RSLogix. 9 Configuration de l’automate et ajout des modules d’E/S Suivez les étapes ci-dessous. 1. Dans le logiciel RSLogix 5000, créez un nouveau projet. 2. Dans l’arborescence de l’automate, ajoutez le module 1768-ENBT au bus 1768. 3. Sélectionnez ce module 1768-ENBT et cliquez sur OK. 10 4. Nommez le module, saisissez son adresse IP et cliquez sur OK. Dans cet exemple d’application, nous avons utilisé l’adresse 192.168.1.8. La vôtre peut être différente. 5. Ajoutez l’adaptateur 1734-AENT en cliquant avec le bouton droit de la souris sur le module 1768-ENBT dans l’arborescence de l’automate et choisissez New Module (Nouveau module). 6. Sélectionnez le module 1734-AENT et cliquez sur OK. 11 7. Nommez ce module, saisissez son adresse IP et cliquez sur OK. Dans cet exemple d’application, nous avons utilisé l’adresse 192.168.1.11. La vôtre peut être différente. 8. Cliquez sur Change (Modifier). 9. Définissez la taille de châssis (Chassis size) à 3 pour l’adaptateur 1734-AENT et cliquez sur OK. La taille de châssis correspond au nombre des modules qui seront insérés dans le châssis. L’adaptateur 1734-AENT est considéré se trouver à l’emplacement 0. Avec un module d’entrée et un module de sortie, la taille de châssis est donc de 3. 12 10. Dans l’arborescence de l’automate, cliquez avec le bouton droit sur l’adaptateur 1734-AENT et choisissez New Module (Nouveau module). 11. Développez le répertoire Safety (Sécurité), sélectionnez le module 1734-IB8S et cliquez sur OK. 12. Dans la boîte de dialogue New Module, nommez ce composant « IB8S » et cliquez sur Change (Modifier). 13. Lorsque la boîte de dialogue Module Definition (Définition du module) s’affiche, choisissez None (aucune) pour Output Data (données de sortie) et vérifiez que l’état d’entrée (Input Status) est défini sur « Combined Status-Power » (état-alimentation combiné), puis cliquez sur OK. La configuration des données de sortie sur « None » implique que vous ne pourrez pas utiliser les sorties de test comme des sorties standard, ce qui est le cas dans cet exemple. Remarque : cette configuration ne comporte qu’une (1) connexion avec l’automate puisque nous utilisons uniquement la connexion d’entrée. 13 14. Fermez la boîte de dialogue Module Properties (Propriétés du module) en cliquant sur OK. 15. Réitérez les étapes 10 à 14 pour ajouter le module de sortie de sécurité 1734-OB8S. Nommez ce module « OB8S ». Remarque : ce module devra se trouver à l’emplacement 2. Choisissez par ailleurs « Combined Status-Readback-Power » (état-relecture-alimentation combiné) pour la définition de son état d’entrée (Input Status). 14 Configuration des modules d’E/S Pour configurer les modules POINT Guard I/O, suivez les étapes ci-dessous. 1. Dans l’arborescence de l’automate, cliquez avec le bouton droit sur le module 1734-IB8S et choisissez Properties (Propriétés). 2. Cliquez sur Test Output (Sortie de test) et configurez le module comme indiqué sur l’illustration. T0 et T1 sont utilisés pour tester par impulsion les voies de l’interrupteur Trojan 5. T2 est utilisé pour tester par impulsion le circuit de retour des contacteurs. 3. Cliquez sur Input Configuration (Configuration des entrées) et configurez le module comme indiqué sur l’illustration. Les entrées 0 et 1 correspondent à la barrière immatérielle. Les entrées 4 et 5 correspondent aux boutons de réarmement. L’entrée 7 est le circuit de surveillance des contacteurs. N’oubliez pas que l’entrée 7 a pour source la sortie de test 2. Notez que vous pouvez indifféremment configurer une voie d’entrée en sécurité ou en standard. Cette configuration est surtout utilisée à titre d’information. 4. Cliquez sur OK. 5. Dans l’arborescence de l’automate, cliquez avec le bouton droit sur le module 1734-OB8S et choisissez Properties (Propriétés). 15 6. Cliquez sur Output Configuration (Configuration des sorties) et configurez le module comme indiqué sur l’illustration. La bobine électromécanique du contacteur peut être testée par impulsion sans réagir à la brève impulsion basse. 7. Cliquez sur OK. Programmation L’instruction DCST (Dual Channel Input Stop with Test – arrêt sur entrée double voie avec test) surveille les dispositifs de sécurité à double entrée dont la fonction principale est d’arrêter une machine en toute sécurité, une porte de sécurité par exemple. Lorsqu’une fonction de test est sollicitée, par voie de programmation ou manuellement, le fonctionnement de la machine est interrompu jusqu’à ce que la porte de sécurité ait achevé un cycle de coupure/rétablissement adéquat. L’instruction DCST surveille la cohérence (équivalence – état haut actif) des entrées double voie. Elle détecte et piège le défaut en cas d’incohérence décelée pendant une durée supérieure à la temporisation de discordance configurée (en ms). La caractéristique de redémarrage automatique permet à la sortie DCST (O1) d’être automatiquement réinitialisée après une sollicitation. L’action manuelle normalement requise dans les système de sécurité est gérée par la ligne 1 de l’instruction qui réinitialise la validation de la sortie de sécurité. L’état d’entrée (Input Status) représente habituellement l’état des deux voies d’entrée. Dans notre exemple, le bit « Combined Input Status » (État combiné de l’entrée) se trouve désactivé si l’une des 8 voies d’entrée sur le module 1734-IB8S présente un défaut. Dans notre exemple, la réinitialisation effectuée par l’instruction DCS joue le rôle d’un effacement du défaut. Même lorsque le redémarrage automatique a été défini, la reprise à partir d’un état de défaut exige une réinitialisation. La sortie (O1) de l’instruction DCST est utilisée comme verrouillage de sécurité dans la ligne verrouillable destinée à piloter le point de validation de la sortie. Si cette sortie DCS se trouve désactivée, il en sera de même pour la validation de la sortie, qui restera alors désactivée jusqu’à ce qu’une action de réinitialisation manuelle soit exécutée. L’instruction CROUT contrôle et surveille les sorties redondantes. Cette instruction vérifie essentiellement que le signal de retour est bien en phase avec les sorties de sécurité. Dans le cas du signal de retour négatif utilisé dans notre exemple, si les sorties sont à l’état « haut », le signal de retour doit être à l’état « bas » et vice-versa. Dans notre exemple, le signal de retour dispose de 500 ms pour passer à l’état approprié. Du fait qu’un seul circuit de retour est utilisé, le point de retour sert à la fois à Feedback 1 et à Feedback 2. Les deux (2) points de sortie de l’instruction CROUT sont utilisés pour piloter les sorties de contacteur sur le module 1734-OB8S. 16 Réinitialisation sur front descendant La norme ISO 13849-1 stipule que les fonctions de réinitialisation de l’instruction doivent être appelées sur le front descendant des signaux. Pour satisfaire à cette exigence, une instruction OSF (One Shot Falling – impulsion sur front descendant) est utilisée dans la ligne de réinitialisation. Le point du bit de sortie de cette instruction OSF est utilisé comme bit de réinitialisation pour la ligne de validation de la sortie (Output Enable). Calcul du niveau de performance Lorsqu’elle est correctement configurée, cette fonction de sécurité surveillance de porte peut atteindre une classification de sécurité PLe, Cat. 4 selon EN ISO 13849.1 2008. Les caractéristiques de sécurité fonctionnelle du projet exigent un niveau de performance (minimum) de PLd et une structure de catégorie Cat 3 (minimum également). Une probabilité moyenne de défaillance dangereuse par heure (PFHd) inférieure à 1.0 E-06 au niveau de la fonction de sécurité globale est exigée pour le niveau de performance PLd. Les résultats obtenus pour chacun des sous-systèmes de sécurité sont représentés ci-dessous. 17 La valeur de la fonction de sécurité globale est indiquée ci-dessous. La fonction de sécurité Surveillance de porte peut être modélisée comme illustré dans le schéma fonctionnel suivant : 18 Les calculs sont basés sur 1 sollicitation de la porte de sécurité par heure, soit 8760 sollicitations des contacteurs à l’année. Les mesures prises contre la défaillance de cause commune (CCF) sont quantifiées à l’aide du procédé de notation décrit à l’annexe F de la norme ISO 13849-1. Dans notre exemple de calcul du niveau de performance PL, le score de 65 requis pour satisfaire aux exigences de CCF est supposé être atteint. Une procédure complète d’évaluation effective de ces CCF devra cependant être exécutée lors de la mise en pratique de cet exemple. 19 Plan de vérification et de validation Tout au long du processus de conception et de développement du système de sécurité, la vérification et la validation jouent un rôle important dans la prévention des défauts. La norme ISO/EN 13849-2 définit les exigences en matière de vérification et de validation. Elle requiert qu’un plan documenté soit établi pour confirmer que toutes les exigences de sécurité fonctionnelle ont été satisfaites. La vérification consiste à analyser la pertinence du système de commande de sécurité résultant. Le calcul du niveau de performance (PL) du système de commande de sécurité sert à vérifier que celui-ci est bien conforme au niveau de performance requis (PLr) spécifié. L’outil logiciel SISTEMA est habituellement employé pour effectuer ces calculs dans le respect des préconisations de la norme ISO 13849-1. La validation est un test fonctionnel du système de commande de sécurité destiné à démontrer qu’il répond bien aux exigences spécifiées pour la fonction de sécurité. Le système de commande de sécurité est testé de façon à confirmer que toutes les sorties à caractère de sécurité répondent conformément aux signaux d’entrée à caractère de sécurité correspondants. Ce test fonctionnel doit reproduire les conditions de fonctionnement normales et l’apparition des défauts potentiels correspondant aux modes de défaillance. Une liste de contrôle est généralement utilisée pour justifier la validation du système de commande de sécurité. La validation des développements logiciels (programme de commande) est une procédure dont les méthodes et les techniques ressemblent à celles utilisées pour les développements matériels. Les défauts qui se produisent suite à des erreurs dans la procédure de développement du programme sont de nature systémique, tandis que ceux qui sont liés au matériel sont considérés comme aléatoires. Avant de procéder à la validation d’un système de sécurité GuardLogix, il est important de s’assurer que le système de sécurité et le programme d’application de sécurité ont bien été conçus conformément aux recommandations de nos documentations « Systèmes automates GuardLogix – Manuel de référence sur la sécurité » (1756-RM093) et « GuardLogix Application Instruction Safety Reference Manual » (1756-RM095). 20 Liste de contrôle pour la vérification et la validation de fonction de sécurité surveillance de porte GuardLogix Informations générales sur la machine Nom/Numéro de modèle de machine Numéro de série de machine Nom du client Date du test Nom(s) du testeur Numéro du schéma de câblage Nom d’automate ID signature de sécurité Numéro(s) de réseau de sécurité Version du logiciel RSLogix5000 Modules du système de commande de sécurité Automate de sécurité GuardLogix Passerelle Ethernet CompactLogix Adaptateur Ethernet POINT I/O Modules d’entrée POINT I/O Modules de sortie POINT I/O Modules GuardLogix Version du firmware 1768-L43S 1768-ENBT 1734-AENT 1734-IB8S 1734-OB8S Configuration du système de sécurité GuardLogix et vérification du câblage Étape du test Vérification 1 Vérifiez que le système de sécurité a été conçu conformément à la publication 1756-RM093 « Systèmes automates GuardLogix – Manuel de référence sur la sécurité ». 2 Vérifiez que le programme de l’application de sécurité a été conçu conformément à la publication 1756-RM095 « GuardLogix Application Instruction – Safety Reference Manual ». 3 Vérifiez visuellement que le réseau du système de sécurité et les E/S sont câblés conformément aux schémas de principe. 4 Inspectez visuellement le programme RSLogix 5000 afin de vérifier que le réseau du système de sécurité et le module des E/S sont configurés conformément à la documentation. 5 Inspectez visuellement le programme d’application RSLogix 5000 pour vérifier que les instructions utilisées sont convenablement certifiées pour la sécurité. Vérifiez que la logique est lisible, compréhensible et testable et comporte des commentaires clairs. 6 Tous les dispositifs d’entrée sont qualifiés par la coupure et l’établissement de l’alimentation de leurs actionneurs correspondants. Surveillez l’état dans la fenêtre des points d’automate (Controller Tags) dans RSLogix 5000. 7 Tous les dispositifs de sortie sont qualifiés par la coupure et l’établissement de l’alimentation de leurs actionneurs correspondants. Surveillez l’état dans la fenêtre des points d’automate (Controller Tags) dans RSLogix 5000. Bon/Mauvais Changements/Modifications Vérification du fonctionnement normal – Le système de sécurité GuardLogix répond correctement à toutes les commandes normales de démarrage, d’arrêt, d’activation et de réinitialisation Étape du test Vérification 1 Lancez une commande de démarrage. Le fonctionnement normal de la machine doit se traduire par l’activation des deux contacteurs. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. 2 Lancez une commande d’arrêt. L’arrêt normal de la machine doit se traduire par la désactivation des deux contacteurs. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. 3 Pendant le fonctionnement, ouvrez la porte de protection surveillée. Pour une condition sûre normale, les deux contacteurs doivent se trouver désactivés et ouverts. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Renouvelez l’opération pour toutes les portes de protection. 4 À l’arrêt avec la porte de protection ouverte, lancez une commande de démarrage. Pour une condition sûre normale, les deux contacteurs doivent rester désactivés et ouverts. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Renouvelez l’opération pour toutes les portes de protection. 5 Lancez une commande de réinitialisation. Les deux contacteurs doivent rester désactivés. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Bon/Mauvais Changements/Modifications 21 Vérification du fonctionnement anormal – Le système de sécurité GuardLogix répond correctement à tous les défauts prévisibles avec les diagnostics correspondants. Tests de la poignée de sécurité « homme mort » et de l’entrée à interconnexion Étape du test Validation 1 Pendant le fonctionnement, retirez de l’E/S de sécurité le câble de la voie 1. Les deux contacteurs doivent se désactiver. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifiez que le redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage de la voie 1 et renouvelez l’opération pour la voie 2. 2 Pendant le fonctionnement, mettez en court-circuit au +24 V c.c. le câble de la voie 1 relié à l’E/S de sécurité. Les deux contacteurs doivent se désactiver. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifiez que le redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage de la voie 1 et renouvelez l’opération pour la voie 2. 3 Pendant le fonctionnement, mettez en court-circuit au (–) 0 V c.c. le câble de la voie 1 relié à l’E/S de sécurité. Les deux contacteurs doivent se désactiver. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifiez que le redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage de la voie 1 et renouvelez l’opération pour la voie 2. 4 Pendant le fonctionnement, mettez en court-circuit les câbles des voies 1 et 2 reliés à l’E/S de sécurité. Les deux contacteurs doivent se désactiver. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifiez que le redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage des voies 1 et 2. 5 Pendant le fonctionnement, mettez en court-circuit le câble de la voie 1 et la source de test 1 de l’E/S de sécurité. Ouvrez la porte de protection. Les deux contacteurs doivent se désactiver. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Vérifiez que le redémarrage et la réinitialisation sont impossibles en présence du défaut. Rétablissez le câblage de la voie 1 et renouvelez l’opération pour la voie 2. Bon/Mauvais Changements/Modifications Bon/Mauvais Changements/Modifications Bon/Mauvais Changements/Modifications Tests de l’automate GuardLogix et du réseau Étape du test Validation 1 Pendant le fonctionnement, retirez la connexion réseau Ethernet entre l’E/S de sécurité et l’automate. Tous les contacteurs doivent se désactiver. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle de l’état de la connexion d’E/S dans le programme d’application de sécurité RSLogix 5000. 2 Rétablissez la connexion réseau du module d’E/S de sécurité et laissez à la communication le temps de se rétablir. Vérifiez le bit d’état de connexion dans le programme d’application de sécurité RSLogix 5000. Renouvelez l’opération pour toutes les connexions d’E/S de sécurité. 3 Pendant le fonctionnement, mettez l’automate hors du mode Exécution. Tous les contacteurs doivent se désactiver. Remettez l’interrupteur à clé en mode Exécution ; tous les contacteurs doivent rester désactivés. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. Tests des sorties des contacteurs de sécurité Étape du test Validation 1 Lancez une commande de démarrage. Le fonctionnement normal de la machine doit se traduire par l’activation des deux contacteurs. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. 2 Pendant le fonctionnement, retirez de l’E/S de sécurité le retour du contacteur. Tous les contacteurs doivent rester activés. Lancez une commande d’arrêt et tentez d’exécuter une commande de réinitialisation. Le système ne doit ni redémarrer ni se réinitialiser. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. 3 Pendant le fonctionnement, mettez le retour du contacteur en court-circuit à l’E/S de sécurité. Tous les contacteurs doivent rester activés. Lancez une commande d’arrêt et tentez d’exécuter une commande de réinitialisation. Le système ne doit ni redémarrer ni se réinitialiser. Vérifiez que l’indication d’état de la machine est correcte ainsi que celle du programme d’application de sécurité RSLogix 5000. 22 Documentations connexes Pour de plus amples informations sur les produits utilisés dans cet exemple, vous pouvez vous reporter aux documentations listées à la suite. Documentation Description Automates Compact GuardLogix – Manuel utilisateur, Publication 1768-UM002 Fournit des informations sur la configuration, l’utilisation et la maintenance des automates Compact GuardLogix. Modules de sécurité POINT Guard I/O – Notice d’installation et Manuel utilisateur, Publication 1734-UM013 Fournit des informations sur l’installation, la configuration et l’utilisation des modules POINT Guard I/O. Systèmes automates GuardLogix – Manuel de référence sur la sécurité, Publication 1756-RM093 Contient des instructions détaillées sur la façon d’atteindre et de maintenir la classe de sécurité d’un système de commande GuardLogix. « GuardLogix Safety Application Instruction Set Reference Manual », Publication 1756-RM095 Fournit des information détaillées sur le jeu d’instructions de sécurité pour les applications GuardLogix. « Safety Accelerator Toolkit for GuardLogix Systems Quick Start Guide », Publication IASIMP-QS005 Guide pas à pas dans l’utilisation des outils de conception, de programmation et de diagnostic inclus dans le kit de développement Safety Accelerator Toolkit. Catalogue des produits de sécurité Les publications concernées peuvent être téléchargées à partir du site http://www.rockwellautomation.com/literature. Pour commander des exemplaires imprimés de documentation technique, contactez votre distributeur local Allen-Bradley® ou votre agence commerciale Rockwell Automation. Pour plus d’informations sur les possibilités offertes par les fonctions de sécurité, visitez la page : discover.rockwellautomation.com/safety Rockwell Automation, Allen-Bradley, GuardLogix, RSLogix 5000, CompactLogix, Stratix 2000 et POINT Guard I/O sont des marques commerciales de Rockwell Automation, Inc. Les marques commerciales n’appartenant pas à Rockwell Automation sont la propriété de leurs sociétés respectives. www.rockwel lautomation.com Siège des activités « Power, Control and Information Solutions » Amériques : Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496 Etats-Unis, Tél: +1 414.382.2000, Fax : +1 414.382.4444 Europe / Moyen-Orient / Afrique : Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgique, Tél: +32 2 663 0600, Fax : +32 2 663 0640 Asie Pacifique : Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tél: +852 2887 4788, Fax : +852 2508 1846 Canada : Rockwell Automation, 3043 rue Joseph A. Bombardier, Laval, Québec, H7P 6C5, Tél: +1 (450) 781-5100, Fax: +1 (450) 781-5101, www.rockwellautomation.ca France : Rockwell Automation SAS – 2, rue René Caudron, Bât. A, F-78960 Voisins-le-Bretonneux, Tél: +33 1 61 08 77 00, Fax : +33 1 30 44 03 09 Suisse : Rockwell Automation AG, Av. des Baumettes 3, 1020 Renens, Tél: 021 631 32 32, Fax: 021 631 32 31, Customer Service Tél: 0848 000 278 Publication SAFETY-AT060B-FR-E – Janvier 2013 Copyright © 2013 Rockwell Automation, Inc. Tous droits réservés.