Guardlogix Controladores

Sistemas controladores GuardLogix
Nmeros de catlogo 1756-L61S, 1756-L62S, 1756-L63S, 1768-L43S, 1768-L45S Manual de referencia de seguridad
Informacin importante para el usuario

Los equipos de estado slido tienen caractersticas operativas que difieren de las de los equipos electromecnicos. El documento Safety Guidelines for the Application, Installation and Maintenance of Solid State Controls (publicacin SGI-1.1 disponible en la oficina local de ventas de Rockwell Automation o en lnea en http://www.rockwellautomation.com/literature/) describe algunas diferencias importantes entre los equipos de estado slido y los dispositivos electromecnicos de lgica cableada. Debido a esta diferencia, y tambin a la gran diversidad de usos de los equipos de estado slido, todas las personas responsables de aplicar este equipo deben asegurarse de la idoneidad de cada una de las aplicaciones concebidas para estos equipos. Bajo ninguna circunstancia Rockwell Automation, Inc. ser responsable por daos indirectos o consecuentes, resultantes del uso o de la aplicacin de estos equipos. Los ejemplos y los diagramas que aparecen en este manual se incluyen nicamente con fines ilustrativos. Debido a las muchas variables y a los muchos requisitos asociados con cada instalacin en particular, Rockwell Automation, Inc. no puede asumir responsabilidad alguna por el uso real basado en ejemplos y diagramas. Rockwell Automation, Inc. no asume ninguna responsabilidad de patente con respecto al uso de informacin, circuitos, equipos o software descritos en este manual. Se prohbe la reproduccin total o parcial del contenido de este manual sin la autorizacin por escrito de Rockwell Automation, Inc. Este manual contiene notas de seguridad en cada circunstancia en que se estimen necesarias.
ADVERTENCIA
Identifica informacin acerca de prcticas o circunstancias que pueden causar una explosin en un ambiente peligroso, lo que puede ocasionar lesiones personales o la muerte, daos materiales o prdidas econmicas.
IMPORTANTE ATENCIN
Identifica informacin esencial para usar el producto y comprender su funcionamiento. Identifica informacin acerca de prcticas o circunstancias que pueden ocasionar lesiones personales o a la muerte, daos materiales o prdidas econmicas. Los mensajes de atencin ayudan a identificar un peligro, a evitar un peligro, y a reconocer las consecuencias.
PELIGRO DE CHOQUE
Puede haber etiquetas en el exterior o en el interior del equipo (por ejemplo, en un variador o motor) para advertir sobre la posible presencia de voltaje peligroso.
PELIGRO DE QUEMADURA
En el equipo o dentro del mismo puede haber etiquetas (por ejemplo, en un variador o motor) a fin de advertir sobre superficies que pueden alcanzar temperaturas peligrosas.
Rockwell Automation, Allen-Bradley, TechConnect, ControlLogix, GuardLogix, CompactLogix, CompactBlock Guard I/O, ArmorBlock Guard I/O, Guard I/O, ControlFlash, Logix5000, SLC, RSLogix 5000, RSNetWorx for EtherNet/IP, RSNetWorx for DeviceNet, RSNetWorx for ControlNet, FactoryTalk Security y RSLinx son marcas comerciales de Rockwell Automation, Inc. Las marcas comerciales que no pertenecen a Rockwell Automation son propiedad de sus respectivas empresas.
Resumen de cambios
La siguiente informacin resume los cambios hechos a este manual desde la ltima publicacin. Para ayudarle a encontrar informacin nueva y actualizada en esta versin del manual, hemos incluido barras de cambio, como las que se muestran a la derecha de este prrafo. Este manual incluye ahora los controladores 1768 Compact GuardLogix y los controladores 1756 GuardLogix. Cuando el trmino GuardLogix se usa solo en este manual, se refiere a los controladores 1756 y 1768 GuardLogix.
Tema Se aadieron el manual del usuario del controlador 1768 Compact GuardLogix as como las instrucciones de instalacin, a la lista de recursos adicionales Se aadieron los controladores 1768-L43S y 1768-L45S Compact GuardLogix y las fuentes de alimentacin elctrica 1768 a la lista de componentes del sistema GuardLogix Se aadieron las tarjetas 1784-CF64 y 1784-CF128 CompactFlash a la lista de componentes del sistema GuardLogix Se aadi el adaptador 1734-AENT POINT I/O Ethernet a la lista de componentes apropiados para uso con un sistema GuardLogix Hardware del controlador 1768-L43S y 1768-L45S Compact GuardLogix Informacin sobre cumplimiento de la norma EN50156 con entradas SIL 2 1756 ControlLogix Almacenamiento y carga de un proyecto desde la memoria no voltil Uso de las instrucciones Add-On de seguridad Datos de probabilidad de fallo a demanda (PFD) y probabilidad de fallo por hora (PFH) para los controladores 1768-L43S y 1768-L45S Datos de probabilidad de fallo a demanda (PFD) para intervalos de prueba de calidad de 20 aos Terminologa actualizada para distinguir entre la firma de tarea de seguridad, la firma de instruccin y las firmas de instruccin de seguridad
Pgina 11
17
17 18 27 47 67 91 111 y 112 112 En todo el documento
3Publicacin 1756-RM093F-ES-P Enero 2010
Resumen de cambios
Publicacin 1756-RM093F-ES-P Enero 2010
Tabla de contenido
Prefacio
Introduccin . . . . . . . . . . . . . . . . . . Acerca de esta publicacin . . . . . . . Quin debe utilizar esta publicacin Comprensin de la terminologa . . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 . 9 . 9 10 11
Captulo 1 Concepto de nivel de integridad de Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Certificacin SIL 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 seguridad (SIL)

Pruebas de verificacin de funcionamiento . . . . . . . . . Arquitectura GuardLogix para aplicaciones SIL 3 . . . . . Componentes del sistema GuardLogix . . . . . . . . . . . . . Certificaciones de GuardLogix . . . . . . . . . . . . . . . . . . Especificaciones PFD y PFH de GuardLogix . . . . . . . . . Distribucin y peso de conformidad con el nivel de integridad de seguridad (SIL) . . . . . . . . . . . . . . . . . Tiempo de reaccin del sistema. . . . . . . . . . . . . . . . . . Tiempo de reaccin de la tarea de seguridad . . . . . Perodo de la tarea de seguridad y temporizador de control (watchdog) de tarea de seguridad . . . . . . . . Informacin de contacto si se produce un fallo en el dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 15 17 19 20
. 21 . 22 . 22 . 22 . 24
Captulo 2 Sistema controlador GuardLogix

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardware del controlador 1756 GuardLogix . . . . . . . . Controlador primario . . . . . . . . . . . . . . . . . . . . . . Homlogo de seguridad. . . . . . . . . . . . . . . . . . . . Chasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fuentes de alimentacin elctrica . . . . . . . . . . . . . Hardware del controlador 1768 Compact GuardLogix . Protocolo CIP Safety . . . . . . . . . . . . . . . . . . . . . . . . . Safety I/O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Puentes de comunicacin . . . . . . . . . . . . . . . . . . . . . Descripcin general de la programacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 25 26 26 26 27 27 27 28 28 30
Captulo 3 CIP Safety I/O para el sistema de control GuardLogix

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . Descripcin general . . . . . . . . . . . . . . . . . . . . Funciones de seguridad tpicas de los mdulos CIP Safety I/O. . . . . . . . . . . . . . . . . . . . . . . . . Diagnsticos . . . . . . . . . . . . . . . . . . . . . . . Datos de estado. . . . . . . . . . . . . . . . . . . . . Indicadores de estado . . . . . . . . . . . . . . . . Funcin de retardo a la conexin o a la desconexin . . . . . . . . . . . . . . . . . . . . Tiempo de reaccin . . . . . . . . . . . . . . . . . . . . Consideraciones de seguridad en torno a los mdulos CIP Safety I/O . . . . . . . . . . . . . . . . . . . . . . 31 . . . . . . . 31 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 32 32 32
. . . . . . . 32 . . . . . . . 33 . . . . . . . 33
5
Tabla de contenido
Propiedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Firma de configuracin de Safety I/O . . . . . . . . . . . . 33 Reemplazo de mdulos de E/S . . . . . . . . . . . . . . . . . 34
Captulo 4 CIP Safety y el nmero de red de seguridad

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El sistema de control CIP Safety encaminable . . . . . . Referencia de nodo nico . . . . . . . . . . . . . . . . . Nmero de red de seguridad . . . . . . . . . . . . . . . Consideraciones para la asignacin del nmero de red de seguridad (SNN) . . . . . . . . . . . . . . . . . . . Nmero de red de seguridad (SNN) para tags de seguridad consumidos. . . . . . . . . . . . . . . . . . Nmero de red de seguridad (SNN) para mdulos tal como vienen de fbrica . . . . . . Nmero de red de seguridad (SNN) para mdulo de seguridad con un propietario de configuracin diferente . . . . . . . . . . . . . . . . . . . Nmero de red de seguridad (SNN) al copiar un proyecto de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 37 38 38
. . . 40 . . . 40 . . . 40
. . . 40 . . . 41
Captulo 5 Caractersticas de tags de seguridad, tarea de seguridad y programas de seguridad

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Diferenciar entre estndar y de seguridad . . . . . . . . . . . Aplicaciones de seguridad SIL 2. . . . . . . . . . . . . . . . . . . Control de seguridad SIL 2 en la tarea de seguridad . Control de seguridad SIL 2 en tareas estndar (controladores 1756 GuardLogix solamente) . . . . . . . Cumplimiento de la norma EN50156 con entradas de seguridad SIL 2 de 1756 ControlLogix en configuraciones de doble canal con controladores 1756 GuardLogix . . . . . . . . . . . . . . . . . . . . . . . . . . . Seguridad SIL3 la tarea de seguridad . . . . . . . . . . . . . . Limitaciones de la tarea de seguridad . . . . . . . . . . . . Detalles de ejecucin de la tarea de seguridad . . . . . Programas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . Rutinas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . Tags de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tags estndar en rutinas de seguridad (asignacin de tags) . . . . . . . . . . . . . . . . . . . . . . . . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 43 44 44 47
47 50 51 51 53 53 53 55 55
Captulo 6 Desarrollo de la aplicacin de seguridad

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . Suposiciones sobre el concepto de seguridad. Nociones bsicas para el desarrollo y prueba de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . Proceso para la puesta en servicio . . . . . . . . . Especificacin de la funcin de control. . . . . . . . . . . 57 . . . . . . . . 57 . . . . . . . . 57 . . . . . . . . 59 . . . . . . . . 59
Tabla de contenido
Crear el proyecto . . . . . . . . . . . . . . . . . . . . . . . Probar el programa de aplicacin . . . . . . . . . . . Generar la firma de tarea de seguridad . . . . . . . Prueba de verificacin de proyecto. . . . . . . . . . Confirmar el proyecto . . . . . . . . . . . . . . . . . . . Validacin de seguridad . . . . . . . . . . . . . . . . . . Bloquear el controlador GuardLogix . . . . . . . . . Descarga del programa de aplicacin de seguridad Carga del programa de aplicacin de seguridad . . . Edicin en lnea . . . . . . . . . . . . . . . . . . . . . . . . . . Almacenamiento y carga de un proyecto desde la memoria no voltil . . . . . . . . . . . . . . . . . . . . . . Forzar los datos . . . . . . . . . . . . . . . . . . . . . . . . . . Inhibir un mdulo. . . . . . . . . . . . . . . . . . . . . . . . . Edicin de la aplicacin de seguridad . . . . . . . . . . Realizacin de ediciones fuera de lnea. . . . . . . Realizacin de ediciones en lnea . . . . . . . . . . . Edite el proyecto . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
61 61 62 62 63 65 65 66 66 67 67 68 68 69 69 70 70
Captulo 7 Monitoreo de estado y manejo de fallos

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Monitoreo del estado del sistema. . . . . . . . . . . . . . . . . Datos de CONNECTION_STATUS. . . . . . . . . . . . . . Condicionamiento de las lneas de entrada y salida . Estado de conexin de mdulo de E/S . . . . . . . . . . Sistema de desenergizar para disparar. . . . . . . . . . . Use los datos de estado de conexin para iniciar un fallo mediante la lgica del programa . . . . . . . . Instrucciones GSV (obtener valor del sistema) y SSV (establecer valor del sistema) . . . . . . . . . . . . Fallos del sistema GuardLogix . . . . . . . . . . . . . . . . . . . Fallos de controlador no recuperables . . . . . . . . . . Fallos de seguridad no recuperables . . . . . . . . . . . . Fallos recuperables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 73 73 74 74 75
. 75 . . . . . 80 81 82 82 83
Apndice A Instrucciones de seguridad

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . Instrucciones de aplicaciones de seguridad . Instrucciones de aplicaciones de seguridad, formato metlico. . . . . . . . . . . . . . . . . . . . . Instrucciones de seguridad . . . . . . . . . . . . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 . . . . . . . . . 85 . . . . . . . . . 87 . . . . . . . . . 88 . . . . . . . . . 89
Apndice B Instrucciones Add-On de seguridad

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Creacin y uso de una instruccin Add-On de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Crear proyecto de prueba de instruccin Add-On Crear una instruccin Add-On de seguridad . . . . . . . 91 . . . 91 . . . 93 . . . 93
7
Tabla de contenido
Generar firma de instruccin . . . . . . . . . . . . . . . . . Descargar y generar firma de instruccin de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prueba de calificacin de instruccin Add-On SIL 3. Confirmar el proyecto . . . . . . . . . . . . . . . . . . . . . . Validar la seguridad de instrucciones Add-On . . . . . Crear entrada de historial de firmas . . . . . . . . . . . . Exportar e importar la instruccin Add-On de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verificar firmas de instruccin Add-On de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Probar el programa de aplicacin . . . . . . . . . . . . . . Prueba de verificacin de proyecto. . . . . . . . . . . . . Validar la seguridad del proyecto . . . . . . . . . . . . . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . .
. 93 . . . . . 94 94 94 95 95
. 95 . . . . . 96 96 96 96 97
Apndice C Tiempos de reaccin

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . Tiempo de reaccin del sistema. . . . . . . . . . . . Tiempo de reaccin del sistema Logix . . . . . . . Cadena sencilla de entrada-lgica-salida . . . Cadena lgica que utiliza tags de seguridad producidos/consumidos . . . . . . . . . . . . . . . Factores que afectan los componentes del tiempo de reaccin del sistema Logix . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 . 99 . 99 100
. . . . . . 101 . . . . . . 102 . . . . . . 103
Apndice D Listas de verificacin para aplicaciones de seguridad GuardLogix

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . Listas de verificacin para el sistema controlador GuardLogix. . . . . . . . . . . . . . . . . . . . . . . . . . . . Lista de verificacin para entradas de seguridad . Lista de verificacin para salidas de seguridad . . Lista de verificacin para el desarrollo de un programa de aplicacin de seguridad . . . . . . . . . . . 105 . . . . . 106 . . . . . 107 . . . . . 108 . . . . . 109
Apndice E Datos de probabilidad de fallo a demanda (PFD) y probabilidad de fallo por hora (PFH)
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datos de seguridad del controlador GuardLogix y de Guard I/O . . . . . . . . . . . . . . . . . Valores de probabilidad de fallo a demanda (PFD). Valores de probabilidad de fallo por hora (PFH) . . . . . 111 . . . 111 . . . 112 . . . 112
ndice
Prefacio
Introduccin
Tema Acerca de esta publicacin Quin debe utilizar esta publicacin Comprensin de la terminologa Recursos adicionales Pgina 9 9 10 11
Acerca de esta publicacin
Este manual fue concebido para describir el sistema controlador GuardLogix, que es de un tipo aprobado y est certificado para uso en aplicaciones de seguridad hasta el nivel SIL 3 segn IEC 61508 e IEC 62061, y aplicaciones de seguridad hasta el nivel de rendimiento PLe (Categora 4) segn ISO 13849-1. Esta publicacin cubre los sistemas controladores 1756 y 1768 GuardLogix. Cuando el trmino controladores GuardLogix se usa solo en esta publicacin, se refiere a los controladores 1756 y 1768 GuardLogix. La informacin especfica de un controlador incluir el nmero de boletn, 1756 1768.
Quin debe utilizar esta publicacin
Use este manual si usted es responsable del desarrollo, de la operacin o del mantenimiento de un sistema de seguridad basado en un controlador GuardLogix. Es necesario que lea y comprenda los conceptos y los requisitos de seguridad presentados en este manual, antes de operar un sistema de seguridad basado en un controlador GuardLogix.
Prefacio
Comprensin de la terminologa
Trminos y definiciones Abreviatura 1oo2 CIP CIP Safety Significado
En la tabla siguiente se definen los trminos utilizados en este manual.
Definicin Identifica la arquitectura del controlador electrnico programable. Protocolo de comunicacin diseado para aplicaciones industriales de automatizacin. Versin de CIP con clasificacin SIL 3
One Out of Two (uno de dos) Common Industrial Protocol (protocolo industrial comn) Common Industrial Protocol (Protocolo industrial comn) Certificado de seguridad Diagnostic Coverage (cobertura de diagnstico) European Norm. (normativa europea) Get System Value (obtener valor del sistema) Personal Computer (computadora personal)
DC EN GSV PC PFD
Relacin entre la tasa de fallos detectada y la tasa total de fallos. Estndar oficial europeo Una instruccin de lgica de escalera que obtiene informacin sobre el estado del controlador especificado y la pone en un tag de destino. Computadora utilizada para servir de interface y controlar un sistema basado en Logix mediante el software de programacin RSLogix 5000.
Probability of Failure on Probabilidad media de que un sistema falle al realizar bajo demanda la funcin Demand (probabilidad de fallo a para la que est diseado. demanda) Probability of Failure per Hour (probabilidad de fallo por hora) Performance Level (nivel de rendimiento) Safety Network Number (nmero de red de seguridad) Set System Value (definir valor del sistema) Estndar Probabilidad de un sistema de experimentar un fallo peligroso por hora. Clasificacin de seguridad ISO 13849-1. Nmero nico que identifica una seccin de una red de seguridad. Instruccin de lgica de escalera que define los datos del sistema controlador. Cualquier objeto, tarea, tag, programa o componente del proyecto que no est relacionado con la seguridad (por ej., un controlador estndar se refiere de manera genrica a un controlador ControlLogix o CompactLogix).
PFH PL SNN SSV --
10
Prefacio
Recursos adicionales
La siguiente tabla presenta una lista de las publicaciones que contienen informacin importante acerca de los sistemas controladores GuardLogix.
Descripcin Proporciona informacin acerca de cmo instalar el controlador GuardLogix.
Recurso GuardLogix Controller Installation Instructions, publicacin 1756-IN045
GuardLogix Controllers User Manual, publicacin 1756-UM020 Configuracin y programacin del sistema GuardLogix CompactLogix Controllers Installation Instructions, publicacin Proporciona informacin acerca de cmo instalar los controladores 1768-IN004 Compact GuardLogix 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002 GuardLogix Safety Application Instruction Set Reference Manual, publicacin 1756-RM095 Detalla cmo configurar, programar y operar un sistema 1768 CompactLogix y proporciona especificaciones tcnicas. Proporciona informacin acerca del conjunto de instrucciones de aplicaciones de seguridad GuardLogix.
CompactBlock Guard I/O DeviceNet Safety Module Installation Proporciona informacin sobre cmo instalar los mdulos Instructions, publicacin 1791DS-IN002 CompactBlock Guard I/O DeviceNet Safety Guard I/O DeviceNet Safety Modules User Manual, publicacin Proporciona informacin sobre cmo usar los mdulos Guard I/O 1791DS-UM001 DeviceNet Safety Guard I/O EtherNet/IP Safety Modules Installation Instructions, Proporciona informacin sobre cmo instalar los mdulos publicacin 1791ES-IN001 CompactBlock Guard I/O EtherNet/IP Safety Guard I/O EtherNet/IP Safety Modules User Manual, publicacin 1791ES-UM001 Using ControlLogix in SIL2 Applications Safety Reference Manual, publicacin 1756-RM001 Logix5000 General Instruction Set Reference Manual, publicacin 1756-RM003 Logix Common Procedures Programming Manual, publicacin 1756-PM001 Proporciona informacin sobre cmo usar los mdulos Guard I/O EtherNet/IP Safety Describe los requisitos para usar los controladores ControlLogix y la tarea estndar GuardLogix en aplicaciones de control de seguridad SIL 2. Proporciona informacin acerca del conjunto de instrucciones de Logix5000. Proporciona informacin sobre cmo programar los controladores Logix5000, incluida la administracin de archivos de proyecto, organizacin de tags, programacin y prueba de rutinas, y manejo de fallos. Proporciona informacin sobre cmo crear y usar instrucciones Add-On estndar y de seguridad en aplicaciones Logix. Proporciona informacin sobre cmo usar ControlLogix en aplicaciones que no son de seguridad. Proporciona informacin sobre cmo usar el mdulo 1756-DNB en un sistema de control Logix5000. Proporciona informacin sobre cmo usar el mdulo 1756-ENBT en un sistema de control Logix5000. Proporciona informacin sobre cmo usar el mdulo 1756-CNB en sistemas de control Logix5000. Proporciona informacin sobre cmo calcular el tiempo de ejecucin y el uso de memoria para las instrucciones. Proporciona informacin acerca del uso de la utilidad de importacin/exportacin de RSLogix 5000.
Logix5000 Controllers Add-On Instructions Programming Manual, publicacin 1756-PM010 ControlLogix System User Manual, publicacin 1756-UM001 DeviceNet Modules in Logix5000 Control Systems User Manual, publicacin DNET-UM004 EtherNet/IP Modules in Logix5000 Control Systems User Manual, publicacin ENET-UM001 ControlNet Modules in Logix5000 Control Systems User Manual, publicacin CNET-UM001 Logix5000 Controllers Execution Time and Memory Use Reference Manual, publicacin 1756-RM087 Logix Import Export Reference Manual, publicacin 1756-RM084
Puede ver o descargar publicaciones en http://literature.rockwellautomation.com. Para pedir copias impresas de documentos tcnicos, comunquese con el distribuidor o con el representante de ventas local de Rockwell Automation.
11
Prefacio
Notas:
12
Captulo
Concepto de nivel de integridad de seguridad (SIL)
Introduccin
Este captulo presenta el concepto de nivel de integridad de seguridad (SIL) y describe cmo el controlador GuardLogix cumple con los requisitos para la certificacin SIL 3.
Tema Certificacin SIL 3 Pruebas de verificacin de funcionamiento Arquitectura GuardLogix para aplicaciones SIL 3 Componentes del sistema GuardLogix Certificaciones de GuardLogix Especificaciones PFD y PFH de GuardLogix Distribucin y peso de conformidad con el nivel de integridad de seguridad (SIL) Tiempo de reaccin del sistema Perodo de la tarea de seguridad y temporizador de control (watchdog) de tarea de seguridad Informacin de contacto si se produce un fallo en el dispositivo Pgina 13 14 15 17 19 20 21 22 22 23
Certificacin SIL 3
Los sistemas de controlador 1756 y 1768 GuardLogix cuentan con aprobacin de tipo y estn certificados para uso en aplicaciones de seguridad hasta el nivel SIL 3 segn IEC 61508 e IEC 62061, y aplicaciones de seguridad hasta el nivel de rendimiento PLe (Categora 4) segn ISO 13849-1. Los requisitos de nivel de integridad de seguridad (SIL) se basan en los estndares vigentes al momento de la certificacin.
IMPORTANTE
Cuando el controlador GuardLogix est en modo de marcha o de programacin, y el usuario no ha validado la aplicacin, el usuario es responsable de mantener las condiciones de seguridad.
Adems, las tareas estndar dentro de los controladores 1756 GuardLogix pueden usarse para aplicaciones estndar o para aplicaciones de seguridad SIL2, como se describe en el documento Using ControlLogix in SIL 2 Applications Reference Manual, publicacin 1756-RM001. En cualquier caso, no use SIL2 o tareas estndar y variables para crear lazos de seguridad de un nivel superior. La tarea de seguridad es la nica tarea certificada para aplicaciones SIL3. La tarea estndar en los controladores 1768 Compact GuardLogix no debe usarse en aplicaciones de seguridad SIL 2.
13
Captulo 1
El software de programacin RSLogix 5000 se requiere para crear programas para los controladores 1756 y 1768 GuardLogix. TV Rheinland ha aprobado los sistemas controladores GuardLogix para uso en aplicaciones relacionadas con la seguridad hasta SIL 3, en las que el estado desenergizado se considera el estado seguro. Todos los ejemplos relacionados con E/S que se incluyen en este manual se basan en la consecucin de la desenergizacin como estado seguro para sistemas tpicos de desactivacin de emergencia (ESD) y seguridad de mquinas.
IMPORTANTE El usuario del sistema es responsable de: la configuracin, la clasificacin SIL y la validacin de cualquier sensor o accionador conectado al sistema GuardLogix; la administracin del proyecto y las pruebas de funcionamiento; el control de acceso al sistema de seguridad, incluido el manejo de contraseas; programar el software de aplicacin y las configuraciones de los dispositivos segn la informacin descrita en este manual de referencia de seguridad y en el documento GuardLogix Controllers User Manual, publicacin 1756-UM020, o en el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002.
Al aplicar la seguridad de funcionamiento, restrinja el acceso a personal calificado y autorizado que cuente con la debida formacin y experiencia. La funcin de bloqueo de seguridad, con contraseas, se proporciona en el software RSLogix 5000. Para obtener informacin sobre cmo usar la funcin de bloqueo de seguridad, consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002.
Pruebas de verificacin de funcionamiento
La norma IEC 61508 estipula que el usuario debe realizar varias pruebas de verificacin de funcionamiento del equipo utilizado en el sistema. Las pruebas de verificacin de funcionamiento se realizan en momentos definidos por el usuario. Por ejemplo, los intervalos de la prueba de verificacin de funcionamiento pueden ser una vez al ao, una vez cada 15 aos o cualquier otro intervalo adecuado. Los controladores GuardLogix tienen un intervalo de prueba de verificacin de funcionamiento de hasta 20 aos. Otros componentes del sistema, como mdulos Safety I/O, sensores y accionadores, pueden tener intervalos de prueba de verificacin de funcionamiento ms frecuentes. El controlador debe incluirse
14
Captulo 1
en la prueba de verificacin de funcionamiento de los otros componentes del sistema de seguridad.

IMPORTANTE
Sus aplicaciones especficas determinan el intervalo de prueba de la verificacin de funcionamiento. No obstante, esto est principalmente relacionado con los mdulos Safety I/O y con la instrumentacin de campo.
Para obtener ms informacin sobre los requisitos de una prueba de verificacin de funcionamiento, vea Prueba de verificacin de proyecto en las pgina 62 y 63.
Arquitectura GuardLogix para aplicaciones SIL 3
La siguiente ilustracin muestra una funcin SIL tpica que incluye: la funcin general de seguridad; la parte GuardLogix de la funcin general de seguridad; cmo otros dispositivos (por ejemplo, la HMI) estn conectados, mientras operan fuera de la funcin.
15
Captulo 1
Funcin SIL tpica

A Ethernet a nivel de toda la planta Software de programacin HMI Acceso de slo lectura a los tags de seguridad
Conmutador Funcin general de seguridad Sistema GuardLogix SIL 3 Mdulo CIP Safety I/O 1756-ENBT 1756-L6xS 1756-DNB 1756-LSP Accionador Red DeviceNet Safety Mdulo CIP Safety I/O Accionador Sensor CIP Safety Sensor
Mdulo CIP Safety I/O en red Ethernet
Mdulo CIP Safety I/O en red Ethernet
Accionador Controlador Compact GuardLogix con mdulo 1768-ENBT Sensor
Sistema Compact GuardLogix SIL 3
16
Captulo 1
Componentes del sistema GuardLogix
Las tablas proporcionadas en esta seccin listan los componentes GuardLogix con certificacin SIL 3 para los sistemas 1756 y 1768, as como los componentes sin certificacin SIL 3 que pueden usarse con sistemas GuardLogix SIL 3. Para obtener la lista ms actualizada de series y revisiones de firmware certificadas de controladores GuardLogix y mdulos CIP Safety I/O, visite http://www.rockwellautomation.com/products/ certification/safety/. Las revisiones de firmware estn disponibles en http://support.rockwellautomation.com/ControlFlash/.
Componentes GuardLogix con certificacin SIL 3 Documentacin relacionada(1) Tipo de dispositivo N de cat. Descripcin Instrucciones de instalacin Manual del usuario
1756-L61S Controlador con memoria estndar de 2 MB, memoria de seguridad de 1 MB Controlador primario 1756 (ControlLogix556xS) 1756-L62S Controlador con memoria estndar de 4 MB, memoria de seguridad de 1 MB 1756-L63S Controlador con memoria estndar de 8 MB, memoria de seguridad de 3.75 MB Homlogo de seguridad 1756 1756-LSP (ControlLogix55SP) Controlador 1768 Compact GuardLogix (CompactLogix4xS) Mdulos CIP Safety I/O en redes DeviceNet Mdulos CIP Safety I/O en redes EtherNet/IP Homlogo de seguridad 1768-IN004 1768-UM002 1756-IN045 1756-UM020
1768-L43S Controlador con cabida para dos mdulos 1768 1768-L45S Controlador con cabida para cuatro mdulos 1768
1791DS-IN001 1791DS-IN002 Para obtener la lista ms actualizada de series y revisiones de 1732DS-IN001 firmware certificadas, vea el certificado de seguridad en http://www.rockwellautomation.com/products/certification/safety/ 1791ES-IN001
1791DS-UM001 1791ES-UM001
(1) Estas publicaciones estn disponibles en el sitio web de Rockwell Automation http://literature.rockwellautomation.com.
Componentes adecuados para uso con sistemas de seguridad de controladores 1768 Compact GuardLogix Documentacin relacionada(2) Tipo de dispositivo Fuente de alimentacin elctrica Mdulos de comunicacin Software de programacin N de cat. 1768-PA3 1768-PB3 1768-ENBT 1734-AENT 1734-AENTR 1768-CNB 9324-xxxx Descripcin Fuente de alimentacin elctrica, CA Fuente de alimentacin elctrica, CC Mdulo puente EtherNet/IP Adaptador POINT I/O Ethernet Adaptador POINT I/O Ethernet Mdulo puente ControlNet Software RSLogix 5000 Tarjeta CompactFlash de 64 MB Tarjeta CompactFlash de 128 MB Serie(1) N/A N/A A A A A N/A N/A N/A Instrucciones Versin(1) de instalacin N/A N/A 3.1.1 3.001 3.001 2.1.1 18 N/A N/A 1768-IN001 1768-IN002 1734-IN590 1734-IN040 1768-IN006 N/A N/A N/A ENET-UM001 1734-UM011 Ninguno disponible. CNET-UM001 Consulte la ayuda en lnea. N/A N/A Manual del usuario Ninguno disponible.
Tarjetas 1784-CF64 CompactFlash 1784-CF128
(1) Esta versin o posterior. (2) Estas publicaciones estn disponibles en el sitio web de Rockwell Automation en http://literature.rockwellautomation.com.
17
Captulo 1
Componentes adecuados para uso con sistemas de seguridad de controladores 1756 GuardLogix Documentacin relacionada(4) Tipo de dispositivo Chasis N de cat. 1756-A4, A7, A10, A13, A17 1756-PA72 1756-PB72 Fuente de alimentacin elctrica 1756-PA75 1756-PB75 1756-PA75R(1) 1756-PB75R 1756-ENBT 1756-EN2T 1756-EN2F Mdulos de comunicacin 1734-AENT 1756-DNB 1756-CN2 1756-CN2R Software de programacin Tarjetas CompactFlash 9324-xxxx 1784-CF64 1784-CF128 Chasis Fuente de alimentacin elctrica, CA Fuente de alimentacin elctrica, CC Fuente de alimentacin elctrica, CA Fuente de alimentacin elctrica, CC Fuente de alimentacin elctrica redundante, CA Fuente de alimentacin elctrica redundante, CC Mdulo puente EtherNet/IP Descripcin Instrucciones Manual del usuario Serie(2) Versin(2) de instalacin B C C B B A A A A A A A A A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A 3.6 2.005 2.005 3.001 6.2 12.1 12.1 14(3) N/A N/A 1756-IN019 1756-IN603 1756-IN606 1734-IN590 1756-IN566 1756-IN602 1756-IN602 NA N/A N/A ENET-UM001 1756-IN573 1756-IN596 Ninguno disponible. 1756-IN080
Adaptador POINT I/O Ethernet Mdulo puente DeviceNet Mdulo puente ControlNet Mdulo puente ControlNet, medio fsico redundante Software RSLogix 5000 Tarjeta CompactFlash de 64 MB Tarjeta CompactFlash de 128 MB
1734-UM011 DNET-UM004 CNET-UM001 CNET-UM001 Consulte la ayuda en lnea. N/A N/A
(1) Se necesita un adaptador de chasis para fuente de alimentacin redundante 1756-PSCA o 1756-PSCAR para uso con las fuentes de alimentacin elctrica redundantes. (2) Esta versin o posterior. (3) El software RSLogix 5000, versin 15, no es compatible con los controladores de seguridad GuardLogix. (4) Estas publicaciones estn disponibles en el sitio web de Rockwell Automation en http://literature.rockwellautomation.com.
Las ranuras del chasis de un sistema SIL 3 que no se utilizan en el sistema 1753 SIL 3 se pueden ocupar con otros mdulos ControlLogix (1756) certificados segn las directivas de bajo voltaje y de compatibilidad electromagntica (EMC). Las ranuras de expansin de un bus de sistema SIL 3 que no se utilizan en el sistema 1768 SIL 3 se pueden ocupar con otros mdulos CompactLogix (1768) certificados segn las directivas de bajo voltaje y de compatibilidad electromagntica (EMC). Para encontrar los certificados para el Control programable Familia de productos ControlLogix y Control programable Familia de productos CompactLogix, visite http://www.rockwellautomation.com/products/certification/ce/.
18
Captulo 1
Certificaciones de GuardLogix
Esta tabla lista las principales certificaciones de GuardLogix. Para obtener la lista completa de las certificaciones de seguridad actuales y productos asociados, visite http://www.rockwellautomation.com/products/certification/safety/ index.html.
ISO 13849-1:2006 (PLe)
Nmero de catlogo UL 1998 UL 508
IEC 61508 (SIL 3)
ANSI RIA 15.06
IEC 61511 X X
1756-L61S,1756-L62S, 1756-L63S 1768-L43S, 1768-L45S
X X
X X
X X
X X
X X
X X
X X
La documentacin del usuario de GuardLogix normalmente indica las certificaciones obtenidas para los productos. Si un producto ha sido certificado, su etiqueta incluye el distintivo correspondiente. La certificacin de un producto aparece en la tabla de especificaciones del producto, de manera similar al ejemplo mostrado a continuacin.
Certificacin Descripcin Seguridad de funcionamiento(1) c-UL-us Certificacin de TV: capacidad SIL 1 a 3, segn IEC 61508 y PLe/Cat. 4 segn ISO 13849-1 Certificacin UL: capacidad SIL 3; vea el archivo UL E256621. Equipo de control industrial en lista de UL y certificado para los EE.UU. y Canad. Vea el archivo UL E65584. En lista de UL para lugares peligrosos Clase I, Divisin 2, Grupos A, B, C, D, certificado para los EE.UU. y Canad. Vea el archivo UL E194810. CSA Equipo de control de procesos certificado por CSA. Vea el archivo CSA LR54689C. Equipo de control de procesos certificado por CSA para lugares peligrosos Clase I, Divisin 2, Grupos A, B, C, D FM CE Equipo aprobado por FM para uso en lugares peligrosos Clase I, Divisin 2, Grupos A, B, C, D Directiva 2004/108/EC EMC de la Unin Europea, compatible con: EN 61000-6-4; Emisiones industriales EN 61326-1; Medicin/control/laboratorio, requisitos industriales EN 61000-6-2; Inmunidad industrial EN61131-2; Controladores programables (clusula 8, zonas A y B) C-Tick Ley australiana de radiocomunicaciones, conforme la normativa AS/NZS CISPR 11; Emisiones industriales
(1) Cuando se usa con las versiones de software especificadas y como se describe en el documento GuardLogix Controller Systems Safety Reference Manual, publicacin 1756-RM093.
IEC62061
19
NFPA 79
Captulo 1
Vaya al vnculo Product Certification en http://www.rockwellautomation.com/products/certification/ para obtener informacin sobre las declaraciones de conformidad, certificados y otros detalles de certificacin.
Especificaciones PFD y PFH de GuardLogix
Los sistemas relacionados con la seguridad pueden clasificarse en cuanto a su operacin en sistemas que funcionan en modo de baja demanda y los que funcionan en modo de alta demanda o continuo. IEC 61508 cuantifica esta clasificacin al establecer que la frecuencia de demandas de operacin del sistema de seguridad no sea superior a una vez al ao en el modo de baja demanda, ni superior a una vez al ao en el modo de alta demanda o continuo. El valor de nivel de integridad de seguridad (SIL) para un sistema relacionado con la seguridad de baja demanda est directamente relacionado con los rangos de orden de magnitud de su probabilidad media de fallos para realizar satisfactoriamente su funcin de seguridad a demanda o, sencillamente, la probabilidad de fallo a demanda (PFD). El valor SIL de un sistema de seguridad en modo de alta demanda/continuo est directamente relacionado con la probabilidad de que ocurra un fallo peligroso por hora (PFH). Los valores PFD y PFH estn asociados con cada uno de los tres elementos primarios que conforman un sistema relacionado con la seguridad (sensores, elementos lgicos y accionadores). Dentro de los elementos lgicos, tambin hay elementos de entrada, procesadores y de salida. Para obtener los valores PFD y PFH y los intervalos de prueba (de calidad) para verificacin de funcionamiento de los mdulos CIP Safety I/O, consulte el Apndice E, Datos de probabilidad de fallo a demanda (PFD) y probabilidad de fallo por hora (PFH).
Ejemplo de PFH
1791DS-IB12 Sensor LAZO 1 Controlador GuardLogix 1791DS-IB4XOX4 Accionador Accionador Sensor Sensor 1791DS-IB8XOB8 LAZO 2
20
Captulo 1
Para determinar el elemento lgico PFH de cada lazo de seguridad en el sencillo sistema mostrado en el ejemplo de PFH, sume los valores de PFH de cada componente del lazo. La tabla Ecuaciones de PFH por lazo de seguridad proporciona un ejemplo simplificado de clculos del valor PFH para cada lazo de seguridad mostrado en la ilustracin del ejemplo de PFH.
Ecuaciones de PFH por lazo de seguridad Para este lazo Sume los valores PFH de estos componentes
PFH total por lazo 1 = 1791DS-IB12 + controlador GuardLogix + 1791DS-IB4XOX4 PFH total por lazo 2 = 1791DS-IB8XOB8 + controlador GuardLogix + 1791DS-IB4XOX4
Al calcular los valores de PFH debe tener en cuenta los requisitos especficos de su aplicacin, incluidos los intervalos de prueba.
Distribucin y peso de conformidad con el nivel de integridad de seguridad (SIL)
Se puede suponer conservadoramente que el controlador GuardLogix y el sistema de E/S contribuyen en un 10% a la prdida de confiabilidad. Es posible que un sistema SIL 3 necesite incorporar varias entradas para sensores crticos y dispositivos de entrada, as como salidas dobles conectadas en serie a accionadores dobles, dependiendo de las evaluaciones SIL del sistema relacionado con la seguridad.
Prdida de confiabilidad
+V 10% del PFD
40% del PFD
Sensor
Mdulo de entrada
Controlador
Accionador Mdulo de salida Accionador
Sensor
50% del PFD
21
Captulo 1
Tiempo de reaccin del sistema
El tiempo de reaccin del sistema es la cantidad de tiempo transcurrido desde la ocurrencia de un evento de seguridad, como una entrada al sistema, hasta que el sistema establece las salidas correspondientes a su estado seguro. Los fallos dentro del sistema tambin pueden afectar el tiempo de reaccin del sistema. El tiempo de reaccin del sistema es la suma de los siguientes tiempos de reaccin:
Tiempo de reaccin del sensor Tiempo de reaccin de la entrada Tiempo reaccin de tarea seg. Tiempo de reaccin de la salida Tiempo reaccin accion.
Cada uno de los tiempos antes mencionados vara debido a factores como, por ejemplo, el tipo de mdulo de E/S y las instrucciones utilizadas en el programa.
Tiempo de reaccin de la tarea de seguridad

El tiempo de reaccin de la tarea de seguridad es el mayor retardo que puede producirse entre el momento en que se presenta cualquier cambio a la entrada del controlador y el momento en que la salida procesada queda establecida por el productor de salida. Es menor o igual que la suma del perodo de la tarea de seguridad y el temporizador de control (watchdog) de tarea de seguridad.
Perodo de la tarea de seguridad y temporizador de control (watchdog) de tarea de seguridad

El perodo de la tarea de seguridad es el intervalo con que se ejecuta la tarea de seguridad. El tiempo del temporizador de control (watchdog) de tarea de seguridad es el mayor tiempo permisible para el procesamiento de la tarea de seguridad. Si el tiempo de procesamiento de la tarea de seguridad supera el tiempo del temporizador de control (watchdog) de tarea de seguridad, se presenta un fallo de seguridad no recuperable en el controlador y las salidas cambian automticamente al estado seguro (desconectado). Usted define el tiempo del temporizador de control (watchdog) de tarea de seguridad, el cual debe ser menor o igual que el perodo de la tarea de seguridad. El tiempo del temporizador de control (watchdog) de tarea de seguridad se establece en la ventana de propiedades de tareas del software RSLogix 5000. Este valor se puede modificar en lnea, independientemente del modo del controlador, pero no se puede cambiar cuando el controlador est en bloqueo de seguridad o una vez que se haya creado una firma de tarea de seguridad.
22 Publicacin 1756-RM093F-ES-P Enero 2010
Captulo 1
Informacin de contacto si se produce un fallo en el dispositivo
Si experimenta un fallo en algn dispositivo con certificacin SIL 3, pngase en contacto con el distribuidor local de Rockwell Automation. Mediante este contacto, podr hacer lo siguiente: devolver el dispositivo a Rockwell Automation para que el fallo quede registrado adecuadamente para el nmero de catlogo afectado y se guarde un informe del fallo; solicitar un anlisis del fallo (si fuera necesario) para intentar determinar el motivo del fallo.
23
Captulo 1
24
Captulo
Sistema controlador GuardLogix
Introduccin
Tema Hardware del controlador 1756 GuardLogix Hardware del controlador 1768 Compact GuardLogix Protocolo CIP Safety Safety I/O Puentes de comunicacin Descripcin general de la programacin Pgina 25 27 27 28 28 30
Para consultar una breve lista de los componentes adecuados para uso en aplicaciones con nivel de integridad de seguridad (SIL 3), vea la tabla en la pgina 17. Para obtener informacin ms detallada y actualizada, visite http://www.rockwellautomation.com/products/certification/safety/ Al instalar un controlador GuardLogix, siga la informacin descrita en el documento GuardLogix Controllers Installation Instructions, publicacin 1756-IN045, o en el documento CompactLogix Controllers Installation Instructions, publicacin 1768-IN004.
Hardware del controlador 1756 GuardLogix
El controlador 1756 GuardLogix consta de un controlador primario, nmero de catlogo 1756-L61S, 1756-L62S o 1756-L63S, y un homlogo de seguridad, nmero de catlogo 1756-LSP. Estos dos mdulos trabajan en una arquitectura 1oo2 para crear el controlador con capacidad SIL 3. Dichos mdulos se describen en las siguientes secciones. Tanto el controlador primario como el homlogo de seguridad realizan pruebas diagnsticas de funcionamiento, tanto al momento del encendido como durante la ejecucin, de todos los componentes del controlador relacionados con la seguridad. Adems, ambos cuentan con indicadores de estado. Para obtener detalles acerca de la operacin de los indicadores de estado, consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020.
25
Captulo 2
IMPORTANTE
Los indicadores de estado no son indicadores confiables de las funciones de seguridad. Deben utilizarse slo realizar hacer diagnsticos generales durante la puesta en servicio o la resolucin de problemas. No intente utilizar los indicadores de estado para determinar el estado de operacin.
Controlador primario
El controlador primario es el procesador que realiza funciones estndar y de control de seguridad, y que se comunica con el homlogo de seguridad para las funciones relacionadas con la seguridad del sistema de control GuardLogix. El controlador primario consta de un procesador central, la interface de E/S y la memoria.
Homlogo de seguridad
Con el fin de cumplir los requisitos de SIL 3, es necesario instalar un homlogo de seguridad, nmero de catlogo 1756-LSP, en la ranura situada inmediatamente a la derecha del controlador primario. El homlogo de seguridad es un coprocesador que proporciona redundancia para las funciones relacionadas con la seguridad del sistema. El homlogo de seguridad es configurado por el controlador primario. Slo es necesaria una simple descarga del programa de usuario al controlador primario. El modo de operacin del homlogo de seguridad se controla mediante el controlador primario.
Chasis
El chasis 1756-Axx proporciona las conexiones fsicas entre los mdulos y el sistema 1756 GuardLogix. Cualquier fallo, aunque improbable, sera detectado como fallo por uno o ms de los componentes activos del sistema. Por tanto, el chasis es irrelevante para el anlisis de seguridad.
Fuentes de alimentacin elctrica

Las siguientes fuentes de alimentacin elctrica de ControlLogix son aptas para utilizarse en aplicaciones SIL 3:
26
Captulo 2
Fuente de alimentacin elctrica de CA 1756-PA72 Fuente de alimentacin elctrica de CA 1756-PA75 Fuente de alimentacin elctrica de CC 1756-PB72 Fuente de alimentacin elctrica de CC 1756-PB75 Fuente de alimentacin elctrica de CA 1756-PA75R (redundante) Fuente de alimentacin elctrica de CC 1756-PB75R (redundante) Adaptador de chasis de fuente de alimentacin elctrica redundante 1756-PSCA o 1756-PSCA2 (necesario para utilizar con fuentes de alimentacin elctrica redundantes) No es necesario contar con configuraciones ni cableados adicionales para la operacin SIL 3 de las fuentes de alimentacin elctrica ControlLogix. Cualquier fallo sera detectado como tal por uno o ms de los componentes activos del sistema GuardLogix. Por lo tanto, la fuente de alimentacin elctrica es irrelevante para el anlisis de seguridad.
Hardware del controlador 1768 Compact GuardLogix
Los controladores 1768 Compact GuardLogix combinan a los controladores primario y homlogo de seguridad en un solo paquete de hardware de controlador para formar un controlador con capacidad SIL-3. Los controladores Compact GuardLogix cuentan con un backplane 1768 y un backplane 1769 para aceptar mdulos de E/S 1769 estndar.
Controlador Mximo de mdulos 1768 (locales) 1768-L43S 1768-L45S 2 4 Mximo de mdulos de E/S 1769 (locales y remotos) 16 30
El controlador 1768 Compact GuardLogix es alimentado por una fuente de alimentacin elctrica 1768-PA3 1768-PB3. Tambin se requiere una terminacin de tapa final 1769-ECR.
Protocolo CIP Safety
La comunicacin relacionada con la seguridad entre controladores GuardLogix tiene lugar a travs de los tags de seguridad producidos y consumidos. Estos tags de seguridad utilizan el protocolo CIP Safety, que est diseado para conservar la integridad de los datos durante las comunicaciones. Para obtener ms informacin acerca de los tags de seguridad, consulte el Captulo 5, Caractersticas de tags de seguridad, tarea de seguridad y programas de seguridad.
27
Captulo 2
Safety I/O
Para obtener informacin acerca de los mdulos CIP Safety I/O para uso con los controladores GuardLogix, consulte el Captulo 3.
Puentes de comunicacin
Los siguientes mdulos de interface de comunicacin estn disponibles para facilitar la comunicacin sobre redes Ethernet/IP, DeviceNet y ControlNet mediante el protocolo CIP Safety:
Sistema GuardLogix Mdulos de comunicacin 1756 Mdulo puente 1756-ENBT, 1756-EN2T o 1756-EN2F EtherNet/IP Adaptador 1734-AENT POINT I/O Ethernet Mdulo puente 1756-DNB DeviceNet Mdulo puente 1756-CN2 ControlNet Mdulo puente 1756-CN2R ControlNet redundante 1768 1768-ENBT Adaptador 1734-AENT POINT I/O Ethernet 1768-CNB 1768-CNBR
IMPORTANTE
Debido al diseo del sistema de control CIP Safety, los dispositivos de puente de seguridad CIP como los listados en la tabla no necesitan tener la certificacin SIL 3.
Red EtherNet/IP
La comunicacin de seguridad de igual a igual entre controladores GuardLogix es posible a travs de la red EtherNet/IP mediante el uso de mdulos puente 1756-ENBT, 1756-EN2T o 1768-ENBT. Un mdulo puente EtherNet/IP permite que el controlador GuardLogix controle e intercambie datos de seguridad con mdulos CIP Safety I/O en una red EtherNet/IP.
Comunicacin de igual a igual mediante mdulos 1756-ENBT y la red EtherNet/IP
Conmuador EtherNet Red EtherNet/IP Red EtherNet/IP
1768-ENBT
1756-ENBT
1756-DNB
1768-L43S
1756-L62S
1769-ECR
1768-PB3
1756-LSP
Mdulo CIP Safety I/O Mdulo CIP Safety I/O
Controlador B
Controlador A Mdulo CIP Safety I/O Mdulo CIP Safety I/O Red DeviceNet
28
Captulo 2
SUGERENCIA
La comunicacin de seguridad de igual a igual entre dos controladores 1756 GuardLogix en el mismo chasis tambin es posible a travs del backplane.
Backplane
1756-L62S 1756-L62S 1756-OB16 1756-IB16 1756-LSP 1756-LSP 1756-DNB 1756-CN2
Red DeviceNet Safety

El mdulo puente 1756-DNB DeviceNet permite que el controlador 1756 GuardLogix controle e intercambie datos de seguridad con mdulos CIP Safety I/O en una red DeviceNet.
Comunicacin DeviceNet mediante un mdulo 1756-DNB
1756-L62S
1756-LSP
1756-DNB
Red DeviceNet
Red ControlNet
El mdulo 1756-CN2 1768-CNB CN2 permiten que el controlador GuardLogix produzca y consuma tags de seguridad mediante redes ControlNet a otros procesadores GuardLogix o redes CIP Safety I/O remotas.
Red ControlNet
1768-L43S
1768-CNB
1769-IA16
1769-ECR
1768-PB3
Controlador A
Controlador B
Red DeviceNet
29
Captulo 2
Descripcin general de la programacin
El software de programacin para el controlador GuardLogix es el software RSLogix 5000. El software RSLogix 5000 se utiliza para definir la ubicacin, la propiedad y la configuracin de los controladores y de los mdulos de E/S. El software tambin se utiliza para crear, probar y depurar la lgica de la aplicacin. Inicialmente, slo la lgica de escalera de rels es compatible con la tarea de seguridad GuardLogix. Consulte el Apndice A para obtener informacin acerca del conjunto de instrucciones lgicas disponibles para las aplicaciones de seguridad. El personal autorizado puede cambiar un programa de aplicacin, pero slo si utiliza uno de los procesos descritos en Edicin de la aplicacin de seguridad en la pgina 69.
30
Captulo
CIP Safety I/O para el sistema de control GuardLogix
Introduccin
Tema Descripcin general Funciones de seguridad tpicas de los mdulos CIP Safety I/O Tiempo de reaccin Consideraciones de seguridad en torno a los mdulos CIP Safety I/O Pgina 31 31 33 33
Descripcin general
Antes de poner a funcionar un sistema de seguridad GuardLogix que contenga mdulos CIP Safety I/O, usted debe leer, comprender y seguir la informacin sobre instalacin, operacin y seguridad proporcionada en las publicaciones mencionadas en las tablas de Componentes GuardLogix con certificacin SIL 3 en la pgina 17. Los mdulos CIP Safety I/O se pueden conectar a dispositivos de entrada y salida de seguridad, lo cual permite monitorear y controlar estos dispositivos mediante el controlador GuardLogix. Para los datos de seguridad, la comunicacin de E/S se realiza mediante conexiones de seguridad usando el protocolo CIP Safety; la lgica de seguridad se procesa en el controlador GuardLogix.
Funciones de seguridad tpicas de los mdulos CIP Safety I/O
Los mdulos CIP Safety I/O tratan lo siguiente como estado seguro. Salidas de seguridad: OFF Datos de entrada de seguridad al controlador: OFF
Red CIP Safety
Estado de seguridad
Salida de seguridad, desactivada
Datos de entrada de seguridad
31
Captulo 3
Los mdulos CIP Safety I/O deben utilizarse para aplicaciones que estn en el estado seguro cuando la salida de seguridad se desactiva.
Diagnsticos
Los mdulos CIP Safety I/O realizan autodiagnsticos cuando se conecta la alimentacin elctrica y peridicamente durante la operacin. Si se detecta un fallo de diagnstico, los datos de entrada de seguridad (al controlador) y las salidas de seguridad locales se establecen en su estado seguro (desactivado).
Datos de estado
Adems de los datos de entrada y salida de seguridad, los mdulos CIP Safety I/O aceptan datos de estado para monitorear el buen estado de los circuitos de E/S y del mdulo. Consulte la documentacin de su mdulo para obtener informacin sobre las capacidades del producto especifico.
Indicadores de estado
Los mdulos CIP Safety I/O incluyen indicadores de estado. Para obtener informacin detallada acerca de la operacin de los indicadores de estado, consulte la documentacin del producto relacionada con el mdulo especfico.
Funcin de retardo a la conexin o a la desconexin

Algunos mdulos CIP Safety I/O admiten funciones de retardo a la conexin y a la desconexin para las seales de entrada. Dependiendo de la aplicacin, es posible que deba incluir retardo a la desconexin, retardo a la conexin o ambos, al calcular el tiempo de reaccin del sistema. Consulte el Apndice C para obtener informacin acerca del tiempo de reaccin del sistema.
32
Captulo 3
Tiempo de reaccin
El tiempo de reaccin de entrada es el tiempo transcurrido desde que la seal cambia en un terminal de entrada hasta que los datos se envan al controlador GuardLogix. El tiempo de reaccin de salida es el tiempo transcurrido desde que se reciben los datos de seguridad del controlador GuardLogix hasta que el terminal de salida cambia de estado. Para obtener informacin acerca de cmo determinar los tiempos de reaccin de entrada y salida, consulte la documentacin del producto relacionada con el mdulo especfico CIP Safety I/O. Consulte el Apndice C para obtener informacin acerca de cmo calcular el tiempo de reaccin del sistema.
Consideraciones de seguridad en torno a los mdulos CIP Safety I/O
Debe poner en servicio todos los dispositivos con direccin de nodo o direccin IP y velocidad de comunicacin, si es necesario, antes de instalarlos en una red de seguridad.
Propiedad
Cada mdulo CIP Safety I/O en un sistema GuardLogix es propiedad de un controlador GuardLogix. Es posible usar mltiples controladores GuardLogix y mltiples mdulos CIP Safety I/O sin restricciones en chasis o en redes, segn sea necesario. Cuando un controlador tiene la propiedad de un mdulo de E/S, almacena los datos de configuracin del mdulo, tal y como los define el usuario. Esto controla la forma en que operan los mdulos en el sistema. Desde el punto de vista del control, los mdulos de salida de seguridad slo pueden ser controlados por un controlador. Cada mdulo de entrada de seguridad tambin es propiedad de un solo controlador; sin embargo, los datos de entrada de seguridad pueden ser compartidos (consumidos) por mltiples controladores GuardLogix.
Firma de configuracin de Safety I/O

La firma de configuracin define la configuracin del mdulo. La misma se puede leer y monitorear. La firma de configuracin se utiliza para identificar de forma exclusiva una configuracin de mdulo. Al usar un controlador GuardLogix, usted no tiene que monitorear esta firma. El controlador GuardLogix la monitorea en forma automtica.
33
Captulo 3
Reemplazo de mdulos de E/S

El reemplazo de dispositivos de seguridad precisa que el dispositivo de reemplazo se configure adecuadamente y que la operacin del dispositivo de reemplazo sea verificada por el usuario. Durante el reemplazo o las pruebas de funcionamiento de un mdulo, la seguridad del sistema no debe recaer en ninguna parte del mdulo afectado.
ATENCIN
Hay dos opciones disponibles de mdulos de E/S de repuesto en la ficha Safety del dilogo Controller Properties del software RSLogix 5000: Configure Only When No Safety Signature Exists Configure Always
Opciones de reemplazo de Safety I/O
34
Captulo 3
Configure Only When No Safety Signature Exists

Esta opcin instruye al controlador GuardLogix para que configure un mdulo de seguridad slo cuando la tarea de seguridad no tiene una firma de tarea de seguridad, y si el mdulo de repuesto est tal como viene de fbrica, lo cual significa que no existe un nmero de red de seguridad en el mdulo de seguridad. Si la tarea de seguridad tiene una firma de tarea de seguridad, el controlador GuardLogix slo configura el mdulo CIP Safety I/O de repuesto si el mdulo ya tiene el nmero correcto de red de seguridad, la codificacin electrnica del mdulo es correcta y el nodo o direccin IP es correcto.
Configure Always
El controlador GuardLogix siempre intenta configurar un mdulo CIP Safety I/O de repuesto si el mdulo est tal como viene de fbrica, lo cual significa que no existe un nmero de red de seguridad en el mdulo de seguridad de reemplazo, y el nmero de nodo y la codificacin del modulo de E/S coinciden con la configuracin del controlador. Habilite la funcin Configure Always slo si no confa en todo el sistema de control CIP Safety encaminable para mantener el comportamiento SIL 3 durante el reemplazo y las pruebas de funcionamiento de un mdulo. Si utiliza otras partes del sistema de control CIP Safety para mantener el comportamiento SIL 3, asegrese de que la funcin Configure Always del controlador est inhabilitada. Es su responsabilidad implementar un proceso para asegurar que se mantenga la funcin de seguridad adecuada durante el reemplazo del dispositivo.
ATENCIN
ATENCIN
No coloque ningn mdulo tal como viene de fbrica en ninguna red CIP Safety cuando la funcin Configure Always est habilitada, excepto cuando siga el procedimiento de reemplazo del mdulo descrito en el documento GuardLogix Controllers User Manual, publicacin 1756-UM020, o en el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002.
35
Captulo 3
Notas:
36
Captulo
CIP Safety y el nmero de red de seguridad
Introduccin
Para comprender los requisitos de seguridad de un sistema de control CIP Safety, incluido el nmero de red de seguridad (SNN), primero hay que entender cmo se encamina la comunicacin en los sistemas de control CIP.
Tema El sistema de control CIP Safety encaminable Consideraciones para la asignacin del nmero de red de seguridad (SNN) Pgina 37 40
El sistema de control CIP Safety encaminable
El sistema de control CIP Safety representa un conjunto interconectado de dispositivos CIP Safety. El sistema encaminable representa la totalidad de los posibles encaminamientos errneos de los paquetes, desde un originador hasta un receptor, dentro del sistema de control CIP Safety. El sistema se asla, de forma que no existan otras conexiones en el sistema. Por ejemplo, debido a que el sistema descrito a continuacin no puede interconectarse con otro sistema CIP Safety a travs de una mayor conexin principal Ethernet a nivel de toda la planta, ilustra el alcance de un sistema CIP Safety encaminable.
Ejemplo de sistema CIP Safety
Encamin./ cortafuegos(1)
Conmutador
Conmutador
1756-ENBT
1756-L62S
1768-ENBT
1768-ENBT
1756-ENBT
1756-OB16
1756-DNB
1768-L43S
1756-DNB
1756-IB16
1756-LSP
1769-ECR
1768-PB3
SmartGuard CIP Safety I/O
CIP Safety I/O CIP Safety I/O
CIP Safety I/O
(1) El encaminador o el cortafuegos se establecen para limitar el trfico.
37
Captulo 4
Referencia de nodo nico

El protocolo CIP Safety es un protocolo de seguridad entre nodos finales. El protocolo CIP Safety permite el encaminamiento de mensajes CIP Safety desde y hacia dispositivos CIP Safety, a travs de puentes, conmutadores y encaminadores no certificados. Para evitar que los errores en puentes, conmutadores o encaminadores no certificados se tornen peligrosos, cada nodo final dentro de un sistema de control CIP Safety encaminable debe tener una referencia de nodo nico. La referencia de nodo nico es una combinacin de un nmero de red de seguridad (SNN) y la direccin de nodo correspondiente al nodo.
Nmero de red de seguridad

El nmero de red de seguridad (SNN) es asignado por el software o por el usuario. Cada red CIP Safety que contiene nodos Safety I/O debe tener por lo menos un nmero de red de seguridad (SNN) nico. Cada chasis ControlBus que contiene uno o ms dispositivos de seguridad debe tener por lo menos un SNN nico. Los nmeros de red de seguridad asignados a cada subred o red de seguridad deben ser nicos. SUGERENCIA Es posible asignar ms de un SNN a una subred CIP Safety o a un chasis ControlBus que contenga ms de un dispositivo de seguridad. Sin embargo, por razones de simplicidad, recomendamos que cada subred CIP Safety tenga solamente un SNN nico. Recomendamos lo mismo para cada chasis ControlBus.
Ejemplo de CIP Safety con ms de un SNN

Encamind./ cortafuegos
Conmutador
Conmutador
1756-ENBT
1768-ENBT
1768-ENBT
1756-L62S
1756-DNB
1756-ENBT
1756-OB16
1768-L43S
1756-LSP
1756-DNB
1769-ECR
1756-IB16
1768-PB3
SmartGuard CIP Safety I/O
SNN_1 CIP Safety I/O CIP Safety I/O SNN_2 CIP Safety I/O CIP Safety I/O SNN_4
SNN_3
SNN_5 CIP Safety I/O CIP Safety I/O SNN_6
CIP Safety I/O SNN_7
38
Captulo 4
Cada dispositivo CIP Safety debe configurarse con un SNN. Todo dispositivo que origine una conexin de seguridad hacia otro dispositivo de seguridad debe configurarse con el SNN del dispositivo receptor. Si el sistema CIP Safety est en proceso de encendido antes de que se realice la prueba de seguridad del sistema, el dispositivo originador puede utilizarse para definir la referencia nica de nodo en el dispositivo. El SNN utilizado por el sistema es un nmero hexadecimal de 6 bytes. El SNN puede establecerse y verse en cualquiera de dos formatos: basado en tiempo o manual. Cuando se selecciona el formato basado en tiempo, el SNN representa una fecha y una hora concretas. Cuando se selecciona el formato manual, el SNN representa un tipo de red y un valor decimal de 19999.
Formatos de SNN
La asignacin de un SNN basado en tiempo es automtica cuando se crea un nuevo proyecto de controlador de seguridad GuardLogix y se aaden nuevos mdulos Safety I/O. La manipulacin manual de un SNN es necesaria en las siguientes situaciones: si se utilizan tags de seguridad consumidos; si el proyecto consume datos de entrada de seguridad procedentes de un mdulo cuya configuracin es propiedad de otro dispositivo de seguridad; si un proyecto de seguridad se copia en una instalacin de hardware distinta, dentro del mismo sistema CIP Safety encaminable.
IMPORTANTE
Si asigna un SNN manualmente, no olvide asegurarse de que la expansin del sistema no produzca como resultado una duplicacin de las combinaciones de SNN y direcciones de nodo.
39
Captulo 4
Consideraciones para la asignacin del nmero de red de seguridad (SNN)
La asignacin del SNN depende de factores que incluyen la configuracin del controlador o el mdulo CIP Safety I/O.
Nmero de red de seguridad (SNN) para tags de seguridad consumidos

Cuando un controlador de seguridad que contiene tags de seguridad producidos se aade al rbol de configuracin de E/S, es necesario introducir el nmero de red de seguridad (SNN) del controlador productor. El SNN puede copiarse del proyecto del controlador productor y pegarse en el nuevo controlador que se est aadiendo al rbol de configuracin de E/S. Consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002, para obtener informacin sobre cmo copiar y pegar un SNN.
Nmero de red de seguridad (SNN) para mdulos tal como vienen de fbrica
Los mdulos CIP Safety I/O tal como vienen de fbrica no tienen un nmero de red de seguridad (SNN). El SNN se establece cuando el controlador GuardLogix propietario del mdulo enva la configuracin al mdulo.
IMPORTANTE
Para aadir un mdulo CIP Safety I/O a un sistema GuardLogix configurado (el SNN est presente en el controlador GuardLogix), es necesario aplica el SNN correcto al mdulo CIP Safety de reemplazo antes de que se aada a la red CIP Safety.
Nmero de red de seguridad (SNN) para mdulo de seguridad con un propietario de configuracin diferente
Cuando un mdulo CIP Safety I/O es propiedad de un controlador GuardLogix diferente (controlador B), y posteriormente se aade a otro proyecto GuardLogix (proyecto de controlador A), el software RSLogix 5000 asigna el nmero de red de seguridad (SNN) basado en el proyecto actual. Puesto que el proyecto actual (proyecto del controlador A) no es el verdadero propietario de la configuracin, es necesario copiar el SNN original (proyecto del controlador B) dentro de la configuracin en el proyecto del controlador A. Esto puede hacerse fcilmente mediante los comandos estndar de copiar y pegar. Como resultado, el mdulo CIP Safety I/O produce
Captulo 4
datos para dos controladores GuardLogix simultneamente. Es posible hacer esto con un mximo de 16 controladores. Consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002, para obtener informacin sobre cmo cambiar, copiar y pegar nmeros de red de seguridad.
Nmero de red de seguridad (SNN) al copiar un proyecto de seguridad

ATENCIN
Si se copia un proyecto de seguridad para usar en otro proyecto con hardware diferente o en una ubicacin fsica diferente, y el nuevo proyecto est dentro del mismo sistema CIP Safety enrutable, todos los nmeros de red de seguridad deben cambiarse en el segundo sistema. Los valores SNN no deben repetirse. Consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002, para obtener informacin sobre cmo cambiar el SNN.
41
Captulo 4
Notas:
42
Captulo
Caractersticas de tags de seguridad, tarea de seguridad y programas de seguridad
Introduccin
Este captulo explica cmo usar los componentes estndar y de seguridad del sistema GuardLogix.
Tema Diferenciar entre estndar y de seguridad Aplicaciones de seguridad SIL 2 Seguridad SIL3 la tarea de seguridad Programas de seguridad Rutinas de seguridad Tags de seguridad Recursos adicionales Pgina 43 44 50 53 53 53 55
Diferenciar entre estndar y de seguridad
Puesto que se trata de un controlador de la serie Logix, en el sistema de control GuardLogix se pueden utilizar tanto componentes estndar (no relacionados con la seguridad) como componentes relacionados con la seguridad. Usted puede realizar un control de automatizacin estndar de tareas estndar dentro de un proyecto GuardLogix. Los controladores 1756 GuardLogix proporcionan la misma funcionalidad que otros controladores de la serie 1756 ControlLogix. Los controladores 1768 Compact GuardLogix proporcionan la misma funcionalidad que otros controladores 1768-L4x CompactLogix. Lo que diferencia a los controladores 1756 y 1768 GuardLogix de los controladores estndar es que proporcionan una tarea de seguridad con capacidad SIL 3. Sin embargo, es necesario realizar una distincin lgica y visible entre la parte estndar y la relacionada con la seguridad de la aplicacin. El software RSLogix 5000 proporciona esta diferenciacin mediante la tarea de seguridad, los programas de seguridad, las rutinas de seguridad, los tags de seguridad y los mdulos de E/S de seguridad. Usted puede implementar tanto el nivel SIL 2 como el nivel SIL 3 del control de seguridad con la tarea de seguridad del controlador GuardLogix.
43
Captulo 5
Aplicaciones de seguridad SIL 2
Puede realizar el control de seguridad SIL 2 usando la tarea de seguridad del controlador 1756 1768 GuardLogix. Puesto que los controladores 1756 GuardLogix son parte de la serie de procesadores ControlLogix, puede realizar el control de seguridad SIL 2 con un controlador 1756 GuardLogix usando las tareas estndar o la tarea de seguridad. Esta capacidad ofrece opciones de control de seguridad nicas y verstiles, ya que la mayora de las aplicaciones tiene un porcentaje mayor de funciones de seguridad SIL 2 que las funciones de seguridad SIL 3.
Control de seguridad SIL 2 en la tarea de seguridad

La tarea de seguridad de las unidades 1756 y 1768 GuardLogix puede usarse para proporcionar funciones de seguridad SIL 2 y SIL 3. Si las funciones de seguridad SIL 3 deben ejecutarse simultneamente con las funciones de seguridad SIL 2, deber cumplir con los requisitos definidos en las secciones Seguridad SIL3 la tarea de seguridad, Programas de seguridad y Rutinas de seguridad de este captulo, as como los requisitos de SIL 2 listados en esta seccin.
Lgica de seguridad SIL 2

Desde la perspectiva de control de seguridad GuardLogix, la mayor diferencia entre dispositivos con clasificacin de seguridad SIL 2 y SIL 3 es que SIL 2 generalmente tiene un solo canal, mientras que SIL 3 generalmente tiene dos canales. Al usar E/S con clasificacin de seguridad, que es lo requerido por la tarea de seguridad, la seguridad SIL 2 puede tener un solo canal, lo cual reduce la complejidad del sistema.
IMPORTANTE
Si se usa una combinacin de funciones de seguridad SIL 2 y SIL 3 simultneamente dentro de la tarea de seguridad, debe evitar que las seales de entrada SIL 2 controlen directamente las funciones de seguridad SIL 3. Esto puede hacerse mediante rutinas o programas de tarea de seguridad especficos para separar las funciones de seguridad SIL 2 y SIL 3.
Dentro de la tarea de seguridad, el software RSLogix 5000 incluye un conjunto de instrucciones de lgica de escalera relacionadas con la seguridad. Adems de estas instrucciones de lgica de escalera relacionadas con la seguridad, los controladores GuardLogix cuentan con instrucciones de seguridad con clasificacin SIL 3 especificas en cuanto a la aplicacin. Todas estas instrucciones lgicas pueden usarse en funciones de seguridad Cat 14 y SIL 13.
44
Captulo 5
Para el nivel de seguridad SIL 2 nicamente, no se requiere una firma de tarea de seguridad. Sin embargo, si se usa alguna funcin de seguridad SIL 3 dentro de la tarea de seguridad, se requerir una firma de tarea de seguridad. Para las aplicaciones SIL 2, se recomienda el bloqueo de seguridad de la tarea de seguridad una vez terminadas las pruebas. Bloquear la tarea de seguridad habilita funciones de seguridad adicionales. Tambin puede usar FactoryTalk Security y proteccin de fuente de rutina RSLogix 5000 para limitar el acceso a la lgica relacionada con la seguridad. Para obtener ms informacin sobre cmo generar una firma de tarea de seguridad y cmo realizar el bloqueo de seguridad de la tarea de seguridad, consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento Compact GuardLogix Controllers User Manual, publicacin 1768-UM002.
Entradas de seguridad SIL 2

Los mdulos de entrada de seguridad CompactBlock Guard I/O (serie 1791) y ArmorBlock Guard I/O (serie 1732) aceptan circuitos de entrada de seguridad SIL 2 de un solo canal. Puesto que estos mdulos tambin estn clasificados para operacin SIL 3, es posible combinar los circuitos SIL 2 y SIL 3 en el mismo mdulo, siempre que se sigan estas pautas: Estos dos ejemplos de cableado muestran cmo cablear los circuitos de seguridad SIL 2 a los mdulos de entrada de seguridad Guard I/O. Estos ejemplos utilizan fuentes de prueba incorporadas (T0Tx) que residen en todos los mdulos de entrada de seguridad 1791 y 1732.
Cableado de las entradas
I0
I1
T0
T1
Los mdulos Guard I/O agrupan las entradas en parejas para facilitar las funciones de seguridad Cat 3, Cat 4 y SIL 3. Para usarse en funciones de seguridad Cat 1, Cat 2 y SIL 2, las entradas de mdulos deben usarse en parejas como se ilustra. Se muestran dos funciones de seguridad SIL 2 cableadas a I0 y I1 usando las fuentes de prueba T0 y T1, respectivamente.
45
Captulo 5
Cableado de entradas en parejas
I0
I1
T0
T1
Para las funciones de seguridad Cat 1, Cat 2 y SIL 2, los mdulos de seguridad Guard I/O necesitan configuraciones especficas dentro del proyecto GuardLogix. En este ejemplo, las entradas 0, 1, 6, 7, 8, 9, 10 y 11 son parte de una funcin de seguridad CAT 1, 2 o SIL 2. Las entradas 2 y 3, as como las entradas 4 y 5 son parte de una funcin de seguridad CAT 3, CAT 4 o SIL 3.
Configuracin de entrada
Campo Type Discrepancy Time Point Mode Test Source
Valor Single N/A Safety Pulse Test Establecer valores segn la forma como el dispositivo de campo est cableado fsicamente al mdulo. Para asegurar que la fuente de prueba est correctamente habilitada, abra y fjese en los ajustes de la ficha Test Output. Entrada de usuario segn las caractersticas del dispositivo de campo.
Input Delay Time
IMPORTANTE
Las salidas de prueba de impulso incorporadas (T0Tx) generalmente se usan con dispositivos de campo que tienen contactos mecnicos. Si se usa un dispositivo de seguridad que tiene salidas electrnicas (entradas de seguridad de alimentacin), stas deben tener las clasificaciones de seguridad apropiadas.
46
Captulo 5
IMPORTANTE
Si est usando las instrucciones de aplicaciones de seguridad GuardLogix, asegrese de configurar sus mdulos de entrada de seguridad como mdulos sencillos, no equivalentes ni complementarios. Estas instrucciones proporcionan la funcionalidad de doble canal necesaria para las funciones de seguridad PLd (Cat. 3) o PLe (Cat. 4). Consulte el documento GuardLogix Safety Application Instruction Set Reference Manual, publicacin 1756-RM095.
Control de seguridad SIL 2 en tareas estndar (controladores 1756 GuardLogix solamente)

Debido a la cantidad y a la calidad de los diagnsticos incorporados en la serie de controladores 1756 ControlLogix, es posible realizar funciones de seguridad SIL 2 desde dentro de las tareas estndar. Esto tambin es cierto para los controladores 1756 GuardLogix. Para realizar un control de seguridad SIL 2 dentro de una tarea estndar GuardLogix, usted debe cumplir los requisitos definidos en el documento Using ControlLogix in SIL 2 Applications Safety Reference Manual, publicacin 1756-RM001.
IMPORTANTE
No puede usar la tarea estndar en un controlador 1768 Compact GuardLogix para aplicaciones de seguridad SIL 2.
Cumplimiento de la norma EN50156 con entradas de seguridad SIL 2 de 1756 ControlLogix en configuraciones de doble canal con controladores 1756 GuardLogix
Se requiere una configuracin de doble canal para cumplir la norma en ciertas aplicaciones relacionadas con la seguridad, incluidas funciones de seguridad relacionadas con quemadores. Estos ejemplos proporcionan pautas para cumplir con los requisitos de doble canal SIL 2 de EN50156.
Entradas de doble canal SIL 2 (lado estndar de los controladores 1756 GuardLogix)
Debe implementar una separacin clara y fcilmente identificable entre ambos canales de entrada y cumplir con todos los requisitos
47
Captulo 5
SIL 2 existentes segn lo definido en el documento Using ControlLogix in SIL 2 Applications, publicacin 1756-RM001.
Canal A Canal B
Cn0+ Cn0-
Cn0+ Cn0-
+ Transmisor de voltaje A -
+ Transmisor de voltaje B -
Datos de entrada SIL 2

Mantenga los datos de entrada del canal A y del canal B separados en todo momento. Este ejemplo ilustra un mtodo para separar los datos del canal A y del canal B en su aplicacin. Todo procesamiento lgico que se necesite, deber realizarse segn las pautas de SIL 2 de ControlLogix.
IMPORTANTE
No realice funciones especficas de seguridad dentro de estas rutinas. La evaluacin de seguridad debe manejarse dentro de la tarea de seguridad 1756 GuardLogix.
Transferencia de datos SIL 2 a la tarea de seguridad

Para transferir datos de seguridad SIL 2 del canal A y del canal B a la tarea de seguridad GuardLogix, use la funcin de asignacin de tags de seguridad del software RSLogix 5000. Los nombres de tags usados aqu son con fines de ejemplo. Implemente y siga las
48
Captulo 5
convenciones de asignacin de nombres apropiadas para su aplicacin.
SUGERENCIA
Para usar la funcin de asignacin de tags de seguridad, seleccione Map Safety Tags del men Logic del software RSLogix 5000.
Funciones de seguridad dentro de la tarea de seguridad 1756 GuardLogix

Siga estas pautas para usar las funciones de seguridad SIL 2 y SIL 3 dentro de la tarea de seguridad:
IMPORTANTE
No debe usar datos SIL 2 para controlar directamente una salida SIL 3.
Pueden usarse todas las instrucciones de aplicaciones de seguridad disponibles. Los mdulos de entrada de seguridad SIL 3 (por ejemplo los mdulos Guard I/O) pueden usarse con configuraciones de un solo canal para las funciones de seguridad SIL 2. Se recomienda usar la firma de tarea de seguridad y realizar un bloqueo de seguridad de la aplicacin.
Salidas SIL 2
Siga estas pautas para las salidas SIL 2. Los mdulos de salida Guard I/O usados para salidas de seguridad SIL 2 deben configurarse para operacin de doble canal. Todos los mdulos de salida Guard I/O estn aprobados para uso en aplicaciones SIL 2. 1732DS-IB8XOBV4 1791DS-IB8XOBV4, 1791ES-IB8XOBV4 1791DS-IB4XOW4 1791DS-IB8XOB8 1734-OB8S
IMPORTANTE
No se puede usar mdulos de salida Flex o 1756 en aplicaciones EN 50156 SIL 2.
49
Captulo 5
Seguridad SIL3 la tarea de seguridad
La creacin de un proyecto GuardLogix crea automticamente una sola tarea de seguridad. La tarea de seguridad tiene estas caractersticas adicionales: Los controladores GuardLogix son los nicos controladores que aceptan la tarea de seguridad. La tarea de seguridad no se puede eliminar. Los controladores GuardLogix admiten una sola tarea de seguridad. Dentro de la tarea de seguridad se pueden secuenciar mltiples programas de seguridad compuestos por mltiples rutinas de seguridad. No es posible secuenciar ni ejecutar rutinas estndar desde dentro de la tarea de seguridad. La tarea de seguridad es una tarea peridica temporizada con prioridad de tarea y temporizador de control (watchdog) seleccionables por el usuario.En la mayora de los casos, es la prioridad principal del controlador, y el temporizador de control (watchdog) definido por el usuario debe establecerse para que se adapte a las fluctuaciones en la ejecucin de la tarea de seguridad.
50
Captulo 5
Limitaciones de la tarea de seguridad

Especifique tanto el perodo de la tarea de seguridad como el temporizador de control (watchdog) de la tarea de seguridad. El perodo de la tarea de seguridad es el perodo con el que se ejecuta la tarea de seguridad. El temporizador de control (watchdog) de la tarea de seguridad es el tiempo mximo permitido desde el inicio de la ejecucin secuenciada de la tarea de seguridad hasta que la misma se completa. Si desea obtener ms informacin acerca del temporizador de control (watchdog) de la tarea de seguridad, consulte el Apndice C, Tiempos de reaccin. El perodo de la tarea de seguridad est limitado a un mximo de 100 ms y no se puede modificar en lnea. Asegrese de que la tarea de seguridad tenga suficiente tiempo para completarse antes de volver a activarse. Si la tarea de seguridad se activa sin que la misma haya terminado de ejecutarse tras la activacin anterior, ocurre una expiracin del tiempo de espera del temporizador de control (watchdog) de tarea de seguridad, que es un fallo de seguridad no recuperable en el controlador GuardLogix. Vea Captulo 7, Monitoreo de estado y manejo de fallos, para obtener ms informacin.
Detalles de ejecucin de la tarea de seguridad

La tarea de seguridad se ejecuta de la misma forma que las tareas peridicas estndar, con las siguientes excepciones: La tarea de seguridad no comienza a ejecutarse sino hasta que el controlador primario y el homlogo de seguridad hayan establecido su asociacin de control y que el tiempo coordinado del sistema (CST) se haya sincronizado. No obstante, las tareas estndar comienzan a ejecutarse tan pronto como el controlador cambia al modo de marcha. Si bien el rango configurable del intervalo solicitado entre paquetes (RPI) para las entradas de seguridad y para los tags de seguridad consumidos es 1100 ms, los tags de entrada de seguridad y los tags de seguridad consumidos se actualizan slo al comienzo de la ejecucin de la tarea de seguridad. Esto significa que, aunque el intervalo solicitado entre paquetes (RPI) de E/S puede ser ms breve que el perodo de la tarea de seguridad, los datos no cambian durante la ejecucin de la tarea de seguridad. Los datos se leen slo una vez al inicio de la ejecucin de la tarea de seguridad.
51
Captulo 5
Los valores de entrada de seguridad se congelan al inicio de la ejecucin de la tarea de seguridad. Como resultado, las instrucciones relacionadas con el temporizador, tales como TON y TOF, no se actualizan durante una sola ejecucin de la tarea de seguridad. Mantendrn el tiempo exacto de una ejecucin de tarea a otra, pero el tiempo acumulado no cambiar durante la ejecucin de la tarea de seguridad.
ATENCIN
Este comportamiento difiere de la ejecucin de la tarea Logix estndar, pero es similar al comportamiento del PLC o SLC.
En el caso de los tags estndar que estn asignados a tags de seguridad, los valores de tag estndar se copian en la memoria de seguridad al inicio de la tarea de seguridad y no cambian durante la ejecucin de dicha tarea. Los valores de tags de salida de seguridad (de salida y producidos) se actualizan cuando finaliza la ejecucin de la tarea de seguridad. La tarea de seguridad responde a cambios de modo (por ejemplo, de marcha a programa, o de programa a marcha) a intervalos temporizados. Como resultado, la tarea de seguridad puede tardar ms de un perodo de tarea, pero nunca ms de dos, para realizar una transicin de modo.
IMPORTANTE
Mientras el controlador est en desbloqueo de seguridad y no hay una firma de tarea de seguridad, ste impide el acceso simultneo de escritura a la memoria de seguridad desde la tarea de seguridad y los comandos de comunicacin. Como resultado, la tarea de seguridad puede permanecer retenida hasta que se complete la actualizacin de comunicacin. El tiempo necesario para la actualizacin depende del tamao del tag. Por lo tanto, es posible que ocurran expiraciones del tiempo de espera de la conexin de seguridad y/o del temporizador de control (watchdog) de seguridad. (Por ejemplo, si realiza ediciones en lnea cuando la velocidad de la tarea de seguridad est fijada en 1 ms, podra ocurrir una expiracin del temporizador de control (watchdog) de seguridad). Para compensar el tiempo de aplazamiento debido a la actualizacin de comunicacin, aada 2 ms al tiempo del temporizador de control (watchdog) de seguridad. Cuando el controlador est en bloqueo de seguridad o existe una firma de tarea de seguridad, la situacin descrita en esta nota no puede suceder.
52
Captulo 5
Programas de seguridad
Un programa de seguridad tiene todos los atributos de un programa estndar, con la excepcin de que slo se puede secuenciar en la tarea de seguridad. Un programa de seguridad tambin puede definir tags de seguridad restringidos al programa. Un programa de seguridad puede ser secuenciado o no secuenciado. Un programa de seguridad slo puede contener componentes de seguridad. Todas las rutinas de un programa de seguridad son rutinas de seguridad. Un programa de seguridad no puede contener rutinas estndar o tags estndar.
Rutinas de seguridad
Las rutinas de seguridad tienen todos los atributos de las rutinas estndar, con la excepcin de que slo pueden existir en los programas de seguridad. Una rutina de seguridad puede estar designada como la rutina principal. Otra rutina de seguridad puede estar designada como la rutina de fallo. En las rutinas de seguridad slo se pueden utilizar instrucciones certificadas de seguridad. Consulte la lista de instrucciones de seguridad en el Apndice A.
ATENCIN
Para preservar el nivel SIL 3, debe asegurarse de que su lgica de seguridad no intente leer ni escribir tags estndar.
Tags de seguridad
El sistema de control GuardLogix admite el uso de tags estndar y de seguridad en el mismo proyecto. Sin embargo, el software de programacin diferencia operativamente los tags estndar de los tags de seguridad. Los tags de seguridad tienen todos los atributos de los tags estndar, adems de mecanismos para proporcionar integridad de datos SIL 3.
Tipos de datos vlidos para tags de seguridad
AUX_VALVE_CONTROL BOOL CAM_PROFILE CAMSHAFT_MONITOR CB_CONTINUOUS_MODE CB_INCH_MODE CB_SINGLE_STROKE_MODE CONFIGURABLE_ROUT CONNECTION_STATUS CONTROL DIVERSE_INPUT EMERGENCY_STOP ENABLE_PENDANT EXT_ROUTINE_CONTROL FBD_BIT_FIELD_DISTRIBUTE FBD_CONVERT FBD_COUNTER FBD_LOGICAL FBD_MASK_EQUAL MUTING_FOUR_SENSOR_BIDIR MUTING_TWO_SENSOR_SYM MOTION_INSTRUCTION PHASE PHASE_INSTRUCTION REDUNDANT_INPUT REDUNDANT_OUTPUT SAFETY_MAT SERIAL_PORT_CONTROL SFC_ACTION EIGHT_POS_MODE_SELECTOR MUTING_TWO_SENSOR_ASYM
CB_CRANKSHAFT_POS_MONITOR EXT_ROUTINE_PARAMETERS
53
Captulo 5
Tipos de datos vlidos para tags de seguridad

COUNTER DCI_MONITOR DCI_START DCI_STOP DCI_STOP_TEST DCI_STOP_TEST_LOCK DCI_STOP_TEST_MUTE DINT FBD_MASKED_MOVE FBD_TIMER FIVE_POS_MODE_SELECTOR INT LIGHT_CURTAIN MAIN_VALVE_CONTROL MANUAL_VALVE_CONTROL SFC_STEP SFC_STOP SINT STRING THRS_ENHANCED TIMER TWO_HAND_RUN_STATION
IMPORTANTE
Los alias entre tags estndar y de seguridad estn prohibidos en las aplicaciones de seguridad.
Los tags clasificados como tags de seguridad se restringen al controlador o al programa. Los tags de seguridad restringidos al controlador pueden ser ledos por la lgica estndar o de seguridad o por otros dispositivos de comunicacin, pero slo pueden ser escritos por la lgica de seguridad u otro controlador de seguridad GuardLogix. Slo las rutinas de seguridad locales pueden tener acceso a los tags de seguridad restringidos al programa. stas son rutinas que residen dentro del programa de seguridad. Los tags asociados con Safety I/O y los datos de seguridad producidos o consumidos deben ser tags de seguridad restringidos al controlador.
IMPORTANTE
Cualquier tag de seguridad restringido al controlador se puede leer mediante una rutina estndar, pero la velocidad de actualizacin se basa en la ejecucin de la tarea de seguridad. Esto significa que los tags de seguridad se actualizan a la tasa peridica de la tarea de seguridad, que es diferente del comportamiento de los tags estndar.
54
Captulo 5
Tags estndar en rutinas de seguridad (asignacin de tags)

Los tags estndar restringidos al controlador se pueden asignar a tags de seguridad, lo que proporciona un mecanismo para sincronizar las acciones estndar y de seguridad. Cuando utilice datos estndar en una rutina de seguridad, usted ser responsable de proporcionar una forma confiable de garantizar que los datos se utilicen de manera apropiada. El uso de datos estndar en un tag de seguridad no los convierte en datos de seguridad. Usted no debe controlar directamente una salida de seguridad con datos de tag estndar. Este ejemplo ilustra cmo calificar los datos estndar con datos de seguridad.
Calificacin de datos estndar con datos de seguridad
ATENCIN
MappedBooleanTag
LatchOneShot
Node30ComboModule:I.Pt07Data
Node30ComboModule:O.Pt03Data
ONS
Node30ComboModule:O.Pt03Data
Calificador de entrada de seguridad para tag asignado Enclave el circuito para evitar un reinicio automtico si la entrada estndar (MappedTag) falla en un estado stuck at 1 (atascado en 1). Salida de seguridad
Recurso Logix5000 Controllers Design Considerations Reference Manual, publicacin 1756-RM094 GuardLogix Controllers User Manual, publicacin 1756-UM020 Descripcin Proporciona informacin sobre cmo administrar tareas y los efectos de la ejecucin de tareas y la temporizacin en los datos del usuario. Contiene informacin sobre cmo asignar tags.
1768 Compact GuardLogix Controllers Contiene informacin sobre cmo asignar tags. User Manual, publicacin 1768-UM002
55
Captulo 5
56
Captulo
Desarrollo de la aplicacin de seguridad
Introduccin
Tema Suposiciones sobre el concepto de seguridad Nociones bsicas para el desarrollo y prueba de aplicaciones Proceso para la puesta en servicio Descarga del programa de aplicacin de seguridad Carga del programa de aplicacin de seguridad Edicin en lnea Almacenamiento y carga de un proyecto desde la memoria no voltil Forzar los datos Inhibir un mdulo Edicin de la aplicacin de seguridad
Pgina 57 57 59 66 66 67 67 68 68 69
Suposiciones sobre el concepto de seguridad
El concepto de seguridad parte de los siguientes supuestos. Si usted es responsable de crear, operar y mantener la aplicacin, debe estar debidamente calificado y especialmente capacitado, y tener experiencia en sistemas de seguridad. Usted aplica la lgica correctamente, lo que significa que los errores de programacin se pueden detectar. Los errores de programacin se pueden detectar mediante la estricta observancia de las especificaciones y de las reglas de programacin y nomenclatura. Usted realiza un anlisis crtico de la aplicacin y hace uso de todas las medidas posibles para detectar un fallo. Usted confirma todas las descargas de la aplicacin mediante la verificacin manual de la firma de tarea de seguridad. Antes de la puesta en marcha de un sistema relacionado con la seguridad, usted realiza una prueba de funcionamiento completa de todo el sistema.
Nociones bsicas para el desarrollo y prueba de aplicaciones
El programa de aplicacin para el sistema SIL 3 deseado debe ser desarrollado por el integrador de sistemas o por un usuario que tenga la debida capacitacin y experiencia en aplicaciones de seguridad. El especialista en desarrollo debe cumplir con buenas prcticas de diseo.
57
Captulo 6
Use especificaciones de funcionamiento, tales como diagramas de flujo, diagramas de temporizacin y diagramas de secuencia. Realice la revisin del programa. Realice la validacin del programa.
58
Captulo 6
Proceso para la puesta en servicio
El siguiente diagrama de flujo muestra los pasos necesarios para la puesta en servicio de un sistema GuardLogix. Los tems en negrita se explican en las secciones siguientes.
Poner en marcha el sistema
Especificar la funcin de control
Crear proyecto En lnea
Crear proyecto Fuera de lnea
Adjuntar al controlador y descargar Probar el programa de aplicacin
Generar la firma de tarea de seguridad
Realizar las modificaciones necesarias
Prueba de verificacin del proyecto
Pas las pruebas? S Confirmar el proyecto
No
Eliminar la firma de tarea de seguridad
Registrar la firma de tarea de seguridad Completar las listas de verificacin de seguridad en el Apndice D
Validacin de seguridad (revisin independiente)
Es vlido el proyecto? S Bloquear el controlador/Fin
No
Especificacin de la funcin de control

Usted tiene que crear una especificacin para la funcin de control. Utilice esta especificacin para verificar que la lgica del programa est orientada correcta y totalmente a satisfacer los
Publicacin 1756-RM093F-ES-P Enero 2010 59
Captulo 6
requisitos de funcionamiento y de control de seguridad de la aplicacin. La especificacin puede presentarse en diversos formatos, segn la aplicacin. No obstante, la especificacin debe ser una descripcin detallada que incluya (si corresponde): secuencia de operaciones; diagramas de flujo y temporizacin; diagramas de secuencias; descripcin del programa; impresin del programa; descripciones escritas de los pasos con condiciones de pasos y accionadores que deben controlarse. Esto incluye: definiciones de entrada; definiciones de salida; referencias y diagramas de cableado de E/S; descripcin de funcionamiento;
matriz o tabla de condiciones por pasos, y los accionadores que deben controlarse, incluidos los diagramas de secuencia y temporizacin; definicin de condiciones marginales; por ejemplo, modos de operacin y de PARO DE EMERGENCIA. La parte de E/S de la especificacin debe contener el anlisis de los circuitos de campo, es decir, el tipo de sensores y accionadores. Sensores (digitales o analgicos) Seal en operacin estndar (en el caso de sensores digitales, si stos estn desactivados no se transmiten seales) Determinacin de redundancias necesarias para niveles SIL Monitoreo y visualizacin de discrepancias, incluida su lgica de diagnstico Accionadores Posicin y activacin en la operacin estndar (normalmente desactivado) Reaccin y posicionamiento de seguridad, cuando se conmuta a desactivado o cuando se produce un fallo en la energa elctrica Monitoreo y visualizacin de discrepancias, incluida la lgica de diagnstico
60
Captulo 6
Crear el proyecto
La lgica y las instrucciones utilizadas en la programacin de la aplicacin deben ser: fciles fciles fciles fciles de de de de comprender; rastrear; cambiar; probar.
Toda la lgica debe ser revisada y probada. Mantenga separadas la lgica relacionada con la seguridad de la lgica estndar.
Etiquetar el programa
El programa de aplicacin se identifica claramente mediante uno de los siguientes datos: Nombre Fecha Revisin Cualquier otra identificacin del usuario
Probar el programa de aplicacin

Este paso consta de cualquier combinacin del modo de marcha y de programa, ediciones en lnea o fuera de lnea, cargas y descargas, y pruebas informales necesarias para que la aplicacin funcione debidamente.
61
Captulo 6
Generar la firma de tarea de seguridad

La firma de tarea de seguridad identifica de forma exclusiva cada proyecto, incluida su lgica, datos y tags. La firma de tarea de seguridad est compuesta del nmero de identificacin, la fecha y la hora. Puede generar la firma de tarea de seguridad, si se cumple con todas las condiciones siguientes: el software RSLogix 5000 est en lnea con el controlador; el controlador est en modo de programa; el controlador est en desbloqueo de seguridad; el controlador no tiene forzados de seguridad ni ediciones de seguridad pendientes en lnea; el estado de la tarea de seguridad es OK. Una vez completada la prueba del programa de aplicacin, es necesario generar la firma de tarea de seguridad. El software de programacin carga automticamente la firma de tarea de seguridad una vez que ha sido generada.
IMPORTANTE
Para verificar la integridad de cada descarga, es necesario grabar manualmente la firma de tarea de seguridad despus de haberla creado inicialmente, y comprobarla despus de cada descarga, para asegurarse de que coincida con la original.
Se puede eliminar la firma de tarea de seguridad slo cuando el controlador GuardLogix est en desbloqueo de seguridad y, si est en lnea, cuando el interruptor de llave est en la posicin REM o PROG. Cuando existe una firma de tarea de seguridad, no se pueden realizar las siguientes acciones dentro de la tarea de seguridad: programacin o edicin en lnea o fuera de lnea de componentes de seguridad; forzado de E/S de seguridad; manipulacin de datos (excepto a travs de la lgica de rutina u otro controlador GuardLogix).
Prueba de verificacin de proyecto

Para comprobar si el programa de aplicacin se apega a las especificaciones, es necesario generar un conjunto adecuado de escenarios de prueba que cubran la aplicacin. El conjunto de
62
Captulo 6
escenarios de prueba debe archivarse y conservarse como especificacin de prueba. Es necesario incluir un grupo de pruebas para comprobar la validez de los clculos (frmulas) utilizados en la lgica de la aplicacin. Es aceptable utilizar pruebas de rangos equivalentes. stas son pruebas dentro de los rangos de valores definidos, en los lmites o en rangos de valores invlidos. El nmero necesario de escenarios de prueba depende de las frmulas utilizadas y debe incluir pares de valores crticos. Tambin se debe incluir una simulacin activa con fuentes (dispositivos de campo), ya que es la nica forma de verificar que los sensores y accionadores del sistema estn cableados correctamente. Verifique la operacin de las funciones programadas manipulando manualmente los sensores y los accionadores. Tambin debe incluir pruebas para verificar la reaccin frente a fallos de cableado y fallos de comunicacin en red. La verificacin del proyecto incluye pruebas de verificacin de funcionamiento necesarias de las rutinas de fallo y los canales de entrada y salida, con el fin de asegurarse de que el sistema de seguridad funcione adecuadamente. Para realizar una prueba de verificacin de funcionamiento en el controlador GuardLogix, es necesario realizar una prueba total de la aplicacin. Debe alternar cada sensor y accionador utilizado en cada funcin de seguridad. Desde la perspectiva del controlador, esto significa alternar el punto de E/S que va al controlador, no necesariamente los accionadores. Es necesario asegurarse de probar todas las funciones de desactivacin, ya que estas funciones generalmente no se ejecutan durante la operacin normal. Adems, debe tener en cuenta que la prueba de verificacin de funcionamiento slo es vlida para la aplicacin especfica que se prueba. Si el controlador se traslada a otra aplicacin, es necesario realizar tambin la prueba de verificacin de puesta en marcha y de funcionalidad en el controlador, en el contexto de su nueva aplicacin. Para obtener ms informacin, consulte Pruebas de verificacin de funcionamiento en la pgina 14.
Confirmar el proyecto
Es necesario imprimir o ver el proyecto, y compararlo manualmente con las configuraciones del controlador y de Safety I/O cargadas, los datos de seguridad y la lgica del programa de la tarea de seguridad, para asegurarse de que se hayan descargado los componentes de seguridad adecuados, de que hayan sido
63
Captulo 6
probados y de que hayan sido conservados en el programa de aplicacin de seguridad. Si el programa de aplicacin contiene una instruccin Add-On de seguridad que ha sido sellada con una firma de instruccin, usted tambin debe comparar la firma de la instruccin, la fecha/hora y la firma de la instruccin de seguridad con los valores registrados cuando usted sell la instruccin Add-On. Consulte el Apndice B, Instrucciones Add-On de seguridad para obtener informacin sobre cmo crear y usar instrucciones Add-On de seguridad en aplicaciones SIL 3. Los siguientes pasos ilustran un mtodo para confirmar el proyecto. 1. Guarde el proyecto con el controlador en modo de programa. 2. Responda Yes cuando aparezca Upload Tag Values. 3. Con el software RSLogix 5000 fuera de lnea, guarde el proyecto con un nombre nuevo como Offlineprojectname.ACD, donde projectname es el nombre del proyecto. ste es el nuevo archivo de proyecto maestro probado. 4. Cierre el proyecto. 5. Mueva el archivo de proyecto original fuera de este directorio. Puede eliminar este archivo o guardarlo en un disco. Se requiere este paso porque si el software RSLogix 5000 encuentra projectname.ACD en este directorio, lo correlacionar con el proyecto del controlador y no realizar una carga. 6. Con el controlador todava en modo de programa, cargue el proyecto desde el controlador. 7. Guarde el proyecto guardado como Onlineprojectname.ACD, donde projectname es el nombre de su proyecto. 8. Responda Yes cuando aparezca Upload Tag Values. 9. Abra una segunda vez el software RSLogix 5000 y abra el proyecto llamado Offlineprojectname.ACD.
64
Captulo 6
10. Con el software RSLogix 5000 abierto dos veces compare lo siguiente: todas las propiedades del controlador GuardLogix y los mdulos CIP Safety I/O todas las propiedades de la tarea de seguridad, de los programas de seguridad y de las rutinas de seguridad toda la lgica de las rutinas de seguridad SUGERENCIA El software RSLogix 5000 incorpora una utilidad de comparacin de programas que puede resultar til para identificar los componentes de seguridad que han sufrido cambios, pero no se puede utilizar en lugar de una comparacin manual. (Compare offlineprojectname.acd con onlineprojectname.acd).
Validacin de seguridad
Es posible que se requiera una revisin del sistema de seguridad por parte de un ente independiente, para que quede aprobada la operacin del sistema. Se requiere una certificacin por parte de un ente independiente, segn IEC 61508 SIL 3.
Bloquear el controlador GuardLogix

Es posible aplicar un bloqueo de seguridad al sistema controlador GuardLogix, con el fin de proteger los componentes de control de seguridad frente a posibles modificaciones. La funcin de bloqueo de seguridad slo es aplicable a componentes de seguridad como, por ejemplo, la tarea de seguridad, los programas de seguridad, las rutinas de seguridad, los tags de seguridad, las instrucciones Add-On, las E/S de seguridad y la firma de tarea de seguridad. No obstante, el bloqueo de seguridad por s solo no satisface los requisitos de SIL 3. Ningn aspecto de seguridad se puede modificar mientras el controlador est en el estado de bloqueo de seguridad. Cuando el controlador est en bloqueo de seguridad, no se permiten las siguientes acciones dentro de la tarea de seguridad: programacin o edicin en lnea o fuera de lnea forzado de E/S de seguridad manipulacin de datos (excepto a travs de la lgica de rutina u otro controlador GuardLogix) creacin o edicin de instrucciones Add-On de seguridad generacin o eliminacin de la firma de tarea de seguridad
65
Captulo 6
El estado predeterminado del controlador es desbloqueo de seguridad. Es posible poner la aplicacin de seguridad en un estado de bloqueo de seguridad, independientemente de que est en lnea o fuera de lnea, e independientemente de si tiene la fuente original del programa. No obstante, no debe estar presente ningn forzado de seguridad ni edicin de seguridad pendiente. El estado de bloqueo o de desbloqueo de seguridad no se puede modificar cuando el interruptor de llave est en la posicin de MARCHA. Para contar con una capa adicional de proteccin, es posible utilizar contraseas independientes para el bloqueo o el desbloqueo de seguridad del controlador. Las contraseas son opcionales.
Descarga del programa de aplicacin de seguridad
Al realizar la descarga es necesario realizar una prueba completa de aplicacin, a no ser que exista una firma de tarea de seguridad.
IMPORTANTE
Para verificar la integridad de cada descarga, es necesario grabar manualmente la firma de tarea de seguridad despus de haberla creado inicialmente, y comprobarla despus de cada descarga, para asegurarse de que coincida con el original.
Las descargas a un controlador GuardLogix en bloqueo de seguridad se permiten slo si la firma de tarea de seguridad, la serie de hardware y la versin del sistema operativo del proyecto fuera de lnea coinciden con las contenidas en el controlador receptor GuardLogix, y si el estado de la tarea de seguridad del controlador es OK.
IMPORTANTE
Si la firma de tarea de seguridad no coincide y el controlador est en bloqueo de seguridad, es necesario desbloquear el controlador para la descarga. La descarga al controlador elimina la firma de tarea de seguridad. Como resultado, es necesario volver a validar la aplicacin.
Carga del programa de aplicacin de seguridad
Si el controlador GuardLogix contiene una firma de tarea de seguridad, dicha firma se carga junto con el proyecto. Esto significa que cualquier cambio en los datos de seguridad fuera de lnea se sobrescriben como resultado de la carga.
66
Captulo 6
Edicin en lnea
Si no hay firma de tarea de seguridad y el controlador est en desbloqueo de seguridad, es posible realizar ediciones en lnea de las rutinas de seguridad. SUGERENCIA No se pueden editar instrucciones estndar ni instrucciones Add-On de seguridad mientras est en lnea.
No puede haber ediciones pendientes cuando el controlador est en bloqueo de seguridad o cuando hay una firma de tarea de seguridad. Pueden existir ediciones en lnea cuando el controlador est en bloqueo de seguridad. Sin embargo, no se pueden ensamblar ni cancelar. SUGERENCIA Las ediciones en lnea en las rutinas estndar no se ven afectadas por el estado de bloqueo o de desbloqueo de seguridad.
Para obtener ms informacin acerca de cmo realizar ediciones en el programa de aplicacin, consulte la pgina 69.
Almacenamiento y carga de un proyecto desde la memoria no voltil
En la versin 18 o posteriores, los controladores GuardLogix admiten actualizaciones de firmware, y almacenamiento y recuperacin de programas de usuario utilizando una tarjeta CompactFlash. En un sistema 1756 GuardLogix, slo el controlador primario usa una tarjeta CompactFlash como memoria no voltil. Cuando usted almacena un proyecto de aplicacin de seguridad en una tarjeta CompactFlash, Rockwell Automation recomienda que seleccione Remote Program como el modo de carga, es decir, el modo en que debera entrar el controlador despus de la carga. Antes de que la mquina pueda ponerse en funcionamiento, se requiere intervencin del operador para arrancar la mquina. Usted slo puede iniciar una carga desde memoria no voltil: si el tipo de controlador especificado por el proyecto almacenado en la memoria no voltil coincide con el tipo del controlador si las revisiones mayor y menor del proyecto alojadas en memoria no voltil coinciden con las revisiones mayor y menor del controlador si su controlador no est en modo de marcha La carga de un proyecto a un controlador con bloqueo de seguridad est permitido slo cuando la firma de tarea de seguridad del proyecto almacenado en la memoria no voltil coincide con el proyecto en el controlador. Si las firmas no coinciden o el controlador tiene bloqueo de seguridad sin una firma de tarea de seguridad, usted deber primero desbloquear el
67
Captulo 6
controlador antes de actualizar el controlador mediante la memoria no voltil.

IMPORTANTE
Si usted desbloquea el controlador e inicia una carga desde la memoria no voltil, el estado de bloqueo de seguridad, las contraseas y la firma de tarea de seguridad se establecern con los valores contenidos en la memoria no voltil una vez que la carga se haya completado.
Forzar los datos
Todos los datos contenidos en un tag de seguridad de E/S, producido o consumido, incluido CONNECTION_STATUS, pueden ser forzados mientras el proyecto est en desbloqueo de seguridad y no existe una firma de tarea de seguridad. Sin embargo, los forzados no slo deben ser inhabilitados sino tambin desinstalados en todos los tags de seguridad, para que el proyecto de seguridad pueda estar en bloqueo de seguridad o para que se pueda generar una firma de tarea de seguridad. Los tags de seguridad no se pueden forzar mientras el proyecto est en bloqueo de seguridad o cuando exista una firma de tarea de seguridad. SUGERENCIA Es posible instalar y desinstalar los forzados en los tags estndar, independientemente de si el estado es de bloqueo o desbloqueo de seguridad.
Inhibir un mdulo
No es posible inhibir o desinhibir mdulos Safety I/O o controladores productores si la aplicacin est en bloqueo de seguridad o si existe una firma de tarea de seguridad. Siga estos pasos para inhibir un mdulo Safety I/O especfico. 1. En el software RSLogix 5000, haga clic con el botn derecho del mouse en el mdulo y seleccione Properties. 2. En el dilogo Module Properties, haga clic en la ficha Connection. 3. Seleccione Inhibit Connection y haga clic en Apply.
68
Captulo 6
El mdulo est inhibido siempre que la casilla de verificacin est seleccionada. Si un mdulo de comunicacin est inhibido, todos los mdulos en la rama descendente tambin estarn inhibidos.
Edicin de la aplicacin de seguridad
Las siguientes reglas se aplican al cambio de la aplicacin de seguridad en el software RSLogix 5000. Slo personal autorizado y con la debida capacitacin puede realizar ediciones en los programas. Este personal debe utilizar todos los mtodos de supervisin disponibles como, por ejemplo, protecciones mediante contraseas para el software e interruptor de llave para el controlador. Cuando el personal debidamente autorizado y capacitado realiza ediciones en los programas, ste asume la responsabilidad de la seguridad central mientras se realizan los cambios. Este personal tambin debe mantener la operacin segura de la aplicacin. Cuando usted realiza una edicin en lnea, debe utilizar un mecanismo de proteccin alternativo para mantener la seguridad del sistema. Debe documentar suficientemente todas las ediciones del programa, incluidas: autorizacin anlisis de impacto ejecucin informacin de prueba informacin de revisin Si existen ediciones en lnea slo en las rutinas estndar, no es necesario validar esas ediciones antes de volver a la operacin normal. Es necesario asegurarse de que los cambios en la rutina estndar, con respecto a la temporizacin y a la asignacin de tags, sean aceptables para su aplicacin de seguridad. Usted puede editar la parte lgica de su programa, ya sea en lnea o fuera de lnea, tal y como se describe en las siguientes secciones.
Realizacin de ediciones fuera de lnea

Es posible reanudar la operacin cuando se realizan ediciones fuera de lnea slo a elementos del programa estndar y si la firma de tarea de seguridad coincide despus de la descarga. Cuando las ediciones fuera de lnea afectan el programa de seguridad, es necesario volver a validar toda la aplicacin antes de reanudar la operacin.
69
Captulo 6
El diagrama de flujo de la pgina 70 ilustra el proceso de edicin fuera de lnea.
Realizacin de ediciones en lnea

Cuando las ediciones en lnea afectan el programa de seguridad, es necesario volver a validar toda la aplicacin antes de reanudar la operacin. El diagrama de flujo de la pgina 70 ilustra el proceso de edicin en lnea. SUGERENCIA Limite las ediciones en lnea a modificaciones menores en los programas, como cambios de puntos de ajuste o adiciones, eliminaciones y modificaciones en la lgica.
Las ediciones en lnea se ven afectadas por las funciones de bloqueo de seguridad y de firma de tarea de seguridad del controlador GuardLogix. Para obtener ms informacin, consulte Generar la firma de tarea de seguridad en la pgina 62 y Bloquear el controlador GuardLogix en la pgina 65. Para obtener informacin detallada acerca de cmo editar la lgica de escalera en el software RSLogix 5000 mientras est en lnea, consulte el documento Logix5000 Controllers Quick Start, publicacin 1756-QS001.
Edite el proyecto
Proceso de edicin en lnea y fuera de lnea
70
Captulo 6
Edicin fuera de lnea
Edicin en lnea
Abrir proyecto
Adjuntar al controlador Realizar las modificaciones deseadas en la lgica estndar
Hay cambios de seguridad? No
S Desbloquear el controlador Eliminar la firma de aplicacin de seguridad Realizar las modificaciones deseadas en la lgica de seguridad
Hay cambios de seguridad? S Desbloquear el controlador Eliminar la firma de aplicacin de seguridad Realizar las modificaciones deseadas Probar el programa de aplicacin Generar la firma de tarea de seguridad Prueba de verificacin del proyecto No
No
Realizar las modificaciones deseadas en la lgica Adjuntar al controlador y descargar Probar el programa de aplicacin
Adjuntar al controlador y descargar
FIN
Hacer las modificaciones necesarias
Pas las pruebas? S Confirmar el proyecto FIN Registrar la firma de aplicacin de seguridad
Eliminar la firma de aplicacin de seguridad
Validacin de seguridad (revisin independiente) Es vlido el proyecto? S Bloquear el controlador/fin No
FIN
71
Captulo 6
Notas:
72
Captulo
Monitoreo de estado y manejo de fallos
Introduccin
La arquitectura GuardLogix le proporciona muchas formas de detectar los fallos del sistema y reaccionar ante ellos. La primera forma en que usted puede manejar los fallos consiste en asegurarse de haber completado las listas de verificacin de sus aplicaciones (vea Apndice D).
Tema Monitoreo del estado del sistema Fallos del sistema GuardLogix Pgina 73 81
Monitoreo del estado del sistema
Para monitorear el estado del sistema, usted puede ver el estado de las conexiones de tags de seguridad. Tambin puede determinar el estado operativo actual al interrogar varios objetos de dispositivos. Es su responsabilidad determinar qu datos son los ms adecuados para iniciar una secuencia de desactivacin.
Datos de CONNECTION_STATUS
El primer miembro de la estructura de tags asociada con los datos de entrada de seguridad y con los datos de tags de seguridad producidos/consumidos contiene el estado de la conexin. Este miembro es un tipo de datos predefinido que se denomina CONNECTION_STATUS.
73Publicacin 1756-RM093F-ES-P Enero 2010
73
Captulo 7
El tipo de datos CONNECTION_STATUS contiene los bits de estado RunMode y ConnectionFaulted. La siguiente tabla describe las combinaciones de los estados RunMode y ConnectionFaulted.
Estado de la conexin de seguridad Estado RunMode Estado Operacin de conexin de seguridad ConnectionFaulted El dispositivo productor est controlando activamente los datos. El dispositivo productor est en el modo de marcha. La conexin est activa y el dispositivo productor est en estado inactivo. Los datos de seguridad han sido restablecidos a cero. La conexin de seguridad ha fallado. El estado del dispositivo productor se desconoce. Los datos de seguridad han sido restablecidos a cero. Estado invlido
1 = Marcha 0 = Vlido
0 = Inactivo 0 = Vlido
0 = Inactivo 1 = Fallo
ATENCIN
Las conexiones Safety I/O y las conexiones producidas/consumidas no se pueden configurar para que produzcan un fallo en el controlador si se pierde una conexin y el sistema realiza la transicin al estado seguro. Por tanto, si necesita detectar un fallo en el mdulo para asegurarse de que el sistema mantiene el nivel SIL 3, debe monitorear los bits de CONNECTION_STATUS de Safety I/O e iniciar el fallo a travs de la lgica del programa.
Condicionamiento de las lneas de entrada y salida

Los mdulos de E/S proporcionan capacidades de prueba de impulsos y monitoreo. Si el mdulo detecta un fallo, establece la entrada o la salida perturbadora en su estado de seguridad e informa del fallo al controlador. La indicacin de fallo se realiza a travs del estado de entrada o salida y se mantiene durante un perodo de tiempo configurable despus de que el fallo se repare.
IMPORTANTE
Usted es responsable de proporcionar la lgica de la aplicacin para enclavar estos fallos de E/S y para asegurarse de que el sistema se reinicie correctamente.
Estado de conexin de mdulo de E/S

La porcin del protocolo de seguridad del sistema operativo del controlador proporciona el estado para cada mdulo de E/S en el sistema de seguridad. Si se detecta un fallo en la conexin de
Captulo 7
entrada, el sistema operativo pone todas las entradas asociadas en su estado desenergizado (de seguridad) y el estado de la entrada asociada en fallo. Si se detecta un fallo de conexin de salida, el sistema operativo establece el estado de la salida asociada en condicin de fallo. El mdulo de salida desactiva las salidas.
IMPORTANTE
Usted es responsable de proporcionar la lgica de la aplicacin para enclavar estos fallos de E/S y para asegurarse de que el sistema se reinicie correctamente.
Sistema de desenergizar para disparar

Los controladores GuardLogix son parte de un sistema de desenergizar para disparar, lo cual significa que cero es el estado de seguridad. Todas las entradas y salidas se establecen en cero cuando se detecta un fallo. Como resultado, toda entrada monitoreada por una de las instrucciones de entradas diversas (Entradas diversas o Estacin de mando a dos manos) debe tener entradas normalmente cerradas condicionadas por una lgica similar a la lgica en el rengln 4 del Ejemplo de lgica de escalera 2 y Ejemplo de lgica de escalera 3 en las pginas 79 y 80. La lgica exacta requerida depende de la aplicacin y del mdulo de entrada. Sin embargo, la lgica debe crear un estado de seguridad de 1 para la entrada normalmente cerrada de las instrucciones de entradas diversas.
Use los datos de estado de conexin para iniciar un fallo mediante la lgica del programa
Los siguientes diagramas proporcionan ejemplos de la lgica de aplicacin requerida para enclavar y restablecer fallos de E/S. Los ejemplos muestran la lgica necesaria para mdulos de entrada solamente, as como mdulos combinados de entrada y salida. Los ejemplos usan una funcin de los mdulos de E/S llamada estado combinado, la cual presenta el estado de todos los canales de entrada en una sola variable booleana. Otra variable booleana representa el estado de todos los canales de salida. Este enfoque reduce la cantidad de lgica de condicionamiento de E/S requerida, y fuerza a la lgica a desactivar todos los canales de entrada o salida del mdulo afectado. Use el Diagrama de flujo de enclavamiento y restablecimiento de fallo de entrada en la pgina 77 para determinar qu renglones de lgica se requieren para diferentes situaciones de la aplicacin. El Ejemplo de lgica de escalera 1 muestra la lgica que sobrescribe las variables de tags de entrada actuales mientras exista una condicin de fallo. Si se requiere el estado de entrada para la resolucin de problemas mientras que el fallo de entrada est
Captulo 7
enclavado, use la lgica mostrada en el Ejemplo de lgica de escalera 2. Esta lgica usa tags internos que representan las entradas que se van a usar en la lgica de la aplicacin. Mientras el fallo de entrada est enclavado, los tags internos se establecen en su estado de seguridad. Mientras el fallo de entrada no est enclavado, los valores de entrada actuales se copian a los tags internos. Use el Diagrama de flujo de restablecimiento y enclavamiento de fallo de salida para determinar qu renglones de la lgica de aplicacin en el Ejemplo de lgica de escalera 3 en la pgina 80 se requieren.
76
Captulo 7
Diagrama de flujo de enclavamiento y restablecimiento de fallo de entrada

Inicio
Requiere esta funcin de seg. la intervencin del oper. despus de un fallo de entr. de seg.? S
No
No
Se usan las entradas para controlar las instrucc. de la aplic. de seguridad? S Seleccione Manual Reset para la instruc. de aplic. de seguridad.
Puede usarse el Circuit Reset para intervencin del operador?
No Escriba la lgica p/ enclavar el fallo de entr. (Rengln 0 de ej.) S Se requiere la informacin de fallo de entrada para propsitos de diagnstico? No Escriba la lg. p/ enclavar el fallo de ent. (Rengln 0 de ej.)
Escriba la lg. p/ establecer las entr. en el estado de seg. (Renglones 2 y 3 de ej.)
Escriba la lg. p/ desenclavar el fallo de entr. (Rengl 1 de ej.)
No
Se usa alguna entrada en una instruccin con entradas diversas? (DIN o THRS) S Escriba la lg. p/ establecer el valor del estdo. de seg. cuando la entr. entre en fallo (Rengln 4 de ej.) Efectuado
77
Captulo 7
Ejemplo de lgica de escalera 1

El nodo 30 es un mdulo combinado de 8 puntos de entrada y 8 puntos de salida. El nodo 31 es un mdulo de 12 puntos de entrada. Si el estado de la entrada no es OK, enclave la indicacin de entradas en fallo.
0 Node30:I.InputStatus / Node31:I.CombinedStatus / Node30InputsFaulted L Node31InputsFaulted L
Si se detecta el flanco ascendente de la seal de restablecimiento de fallo y el estado de la entrada es OK, desenclave la indicacin de entradas en fallo.
FaultReset 1 InputFaultResetOneShot ONS Node30:I.InputStatus Node31:I.CombinedStatus Node30InputsFaulted U Node31InputsFaulted U
Si las entradas estn en fallo, sobrescriba los tags de entrada con los valores de estado de seguridad.
Node30InputsFaulted 2 Node30:I.Pt00Data U Node30:I.Pt01Data U Node30:I.Pt07Data U
Si las entradas estn en fallo, sobrescriba los tags de entrada con los valores de estado de seguridad.
Node31InputsFaulted 3 Node31:I.Pt00Data U Node31:I.Pt01Data U Node31:I.Pt11Data U
Si la indicacin de entradas en fallo es verdadera, establezca los valores de entradas diversas en su estado de seguridad (1).
Node30InputsFaulted 4 Node30:I.Pt01Data L Node30:I.Pt03Data L
78
Captulo 7

El nodo 30 es un mdulo combinado de 8 puntos de entrada y 8 puntos de salida. El nodo 31 es un mdulo de 12 puntos de entrada. Si el estado de la entrada no es OK, enclave la indicacin de entradas en fallo.
0 Node30:I.InputStatus / Node31:I.CombinedStatus / Node30InputsFaulted L Node31InputsFaulted L
FaultReset 1 InputFaultResetOneShot ONS Node30:I.InputStatus Node31:I.CombinedStatus Node30InputsFaulted U Node31InputsFaulted U
Si las entradas no estn en fallo, escriba los valores de tags de entrada a las representaciones internas de las entradas.
2 Node30InputsFaulted / Node30:I.Pt00Data Node30:I.Pt01Data Node30Input00 Node30Input01
Node30:I.Pt07Data
Node30Input07
Si las entradas no estn en fallo, escriba los valores de tags de entrada a las representaciones internas de las entradas.
3 Node31InputsFaulted / Node31:I.Pt00Data Node31:I.Pt01Data Node31Input00 Node31Input01
Node31:I.Pt11Data
Node31Input11
Si la indicacin de entradas en fallo es verdadera, establezca las representaciones internas de las entradas diversas en su estado de seguridad (1).
Node30InputsFaulted 4 Node31Input01 L Node31Input03 L
79
Captulo 7
Diagrama de flujo de restablecimiento y enclavamiento de fallo de salida

Inicio
Requiere esta funcin de seg. la intervencin del oper. despus de un fallo de entr. de seg.? S Escriba la lgica p/ enclavar el fallo de entr. (Rengln 0 de ej.)
No
Se requiere la informacin de fallo de salida para fines de diagnstico?
Escriba la lg. p/ establecer las entr. en el estado de seg. (Renglones 2 de ej.) Escriba la lg. p/ desenclavar el fallo de entr. (Rengl 1 de ej.)
No Escriba la lg. p/ enclavar el fallo de ent. (Rengln 0 de ej.)
Efectuado

El nodo 30 es un mdulo combinado de 8 puntos de entrada y 8 puntos de salida. Si el estado de la salida no es OK, enclave la indicacin de salida en fallo.
0 Node30:I.OutputStatus / Node30OutputsFaulted L
FaultReset 1 InputFaultResetOneShot ONS Node30:I.OutputStatus Node30OutputsFaulted U
Node30OutputsFaulted /
RedundantOutputTag.O1 RedundantOutputTag.O2
Node30:O.Pt00Data Node30:O.Pt01Data
Instrucciones GSV (obtener valor del sistema) y SSV (establecer valor del sistema)
Las instrucciones GSV y SSV permiten obtener (GSV) y establecer (SSV) datos del sistema controlador que estn almacenados en objetos de dispositivos. Cuando se introduce una instruccin GSV
Captulo 7
o SSV, el software de programacin muestra las clases vlidas de objetos, los nombres de objetos y los nombres de atributos para cada instruccin. Existen restricciones en cuanto al uso de las instrucciones GSV y SSV con componentes de seguridad.
IMPORTANTE
La tarea de seguridad no puede realizar operaciones GSV o SSV en atributos estndar. Los atributos de los objetos de seguridad que puede escribir la tarea estndar son slo para fines de diagnstico. No afectan la ejecucin de la tarea de seguridad.
Recursos adicionales Recurso GuardLogix Controllers User Manual, publicacin 1756-UM020 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002 Logix5000 Controllers General Instructions Reference Manual, publicacin 1756-RM003 Descripcin Proporciona informacin sobre qu atributos de seguridad son accesibles mediante las instrucciones GSV y SSV Contiene ms informacin sobre el uso de las instrucciones GSV y SSV.
Fallos del sistema GuardLogix
Los fallos en el sistema GuardLogix se dividen en estas tres categoras: fallos de controlador no recuperables fallos de seguridad no recuperables fallos recuperables Para obtener informacin sobre cmo manejar los fallos, consulte el documento GuardLogix Controllers User Manual, publicacin 1756-UM020 o el documento 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002.
81
Captulo 7
Fallos de controlador no recuperables

Si falla el diagnstico interno del controlador se presenta un fallo de controlador no recuperable. La asociacin se pierde cuando tiene lugar un fallo de controlador no recuperable, ya sea en el controlador primario o en el homlogo de seguridad, lo cual hace que el otro genere un fallo no recuperable por expiracin del temporizador de control (watchdog). La ejecucin de la tarea estndar y de la tarea de seguridad se detienen, y Safety I/O realiza una transicin al estado seguro. En el caso de la recuperacin de un fallo de controlador no recuperable, es necesario realizar una descarga del programa de aplicacin.
Fallos de seguridad no recuperables

En caso de que se produzca un fallo de seguridad no recuperable, el controlador registra el fallo en el gestor de fallos restringidos al controlador y desactiva la tarea de seguridad, incluidas Safety I/O y la lgica de seguridad. Para la recuperacin de un fallo de seguridad no recuperable, la memoria de seguridad se reinicializa, ya sea desde la firma de tarea de seguridad (sucede automticamente cuando se borra el fallo) o, si no existe una firma de tarea de seguridad, mediante una descarga explcita del proyecto de seguridad. Usted puede anular el fallo de seguridad si borra la entrada del registro de fallos por medio del gestor de fallos de seguridad restringido al controlador. Esto permite que las tareas estndar sigan funcionando. La anulacin del fallo de seguridad no lo borra. Si usted anula el fallo de seguridad, es su responsabilidad comprobar que al hacerlo se mantiene el nivel SIL 3.
ATENCIN
82
Captulo 7
Fallos recuperables
Los fallos del controlador originados por errores de programacin del usuario en un programa de seguridad activan el controlador para que procese la lgica contenida en el gestor de fallos del programa de seguridad del proyecto. El gestor de fallos del programa de seguridad proporciona a la aplicacin la oportunidad de resolver la condicin de fallo y posteriormente realizar la recuperacin. Usted debe presentar una prueba al organismo certificador de que la recuperacin automtica de los fallos recuperables mantiene el SIL 3.
ATENCIN
Cuando no existe un gestor de fallos del programa de seguridad o el fallo no se puede recuperar a travs de ste, el controlador procesa la lgica en el gestor de fallos restringido al controlador, con lo cual cancela la lgica del programa de seguridad y deja las conexiones Safety I/O activas, pero en estado inactivo.
IMPORTANTE
Cuando la ejecucin de la lgica del programa de seguridad se cancela debido a un fallo recuperable que no se maneja a travs del gestor de fallos del programa de seguridad, las conexiones Safety I/O se cierran y se vuelven a abrir, para reinicializar las conexiones de seguridad.
Si la lgica del usuario se cancela como resultado de un fallo recuperable que no se recupera, las salidas de seguridad se ponen en el estado seguro y el productor de los tags consumidos de seguridad da instrucciones a los consumidores para ponerlos en el estado seguro. SUGERENCIA Cuando se utilizan E/S de seguridad para aplicaciones estndar, las E/S de seguridad reciben instrucciones para ponerse en estado seguro si la lgica del usuario finaliza como resultado de un fallo recuperable que no se recupera.
Si se anula un fallo de seguridad recuperable en el gestor de fallos restringido al controlador, slo las tareas estndar siguen funcionando. Si el fallo no se anula, las tareas estndar tambin se desactivan. La anulacin del fallo de seguridad no lo borra. Si usted anula el fallo de seguridad, es su responsabilidad probar que al hacerlo se mantiene el SIL 3.
ATENCIN
83
Captulo 7
84
Apndice
Instrucciones de seguridad
Introduccin
Tema Instrucciones de aplicaciones de seguridad Instrucciones de aplicaciones de seguridad, formato metlico Instrucciones de seguridad Recursos adicionales Pgina 85 87 88 89
Para obtener la informacin ms reciente, vea nuestros certificados de seguridad en http://www.rockwellautomation.com/products/certification/safety/.
Instrucciones de aplicaciones de seguridad

Mnemnico Nombre CROUT DCS Salida redundante configurable
RSLogix 5000, versin 17 y posteriores; instrucciones de aplicaciones de seguridad Finalidad Controla y monitorea salidas redundantes. Certificacin BG TV BG TV BG TV
Entrada de doble canal Monitorea dispositivos de seguridad de doble entrada cuyo propsito Paro principal es proporcionar una funcin de paro como, por ejemplo, paro de emergencia, cortina de luz o interruptor de compuerta. Entrada de doble canal Monitorea dispositivos de seguridad de doble entrada cuyo propsito Paro con prueba principal es proporcionar una funcin de paro como, por ejemplo, paro de emergencia, cortina de luz o interruptor de compuerta. Incluye la capacidad adicional de iniciar una prueba de funcionamiento del dispositivo de paro. Entrada de doble canal Monitorea dispositivos de seguridad de doble entrada cuyo propsito Paro con prueba y principal es proporcionar una funcin de paro como, por ejemplo, paro bloqueo de emergencia, cortina de luz o interruptor de compuerta. Incluye la capacidad adicional de iniciar una prueba de funcionamiento del dispositivo de paro y puede monitorear una seal de retroalimentacin de un dispositivo de seguridad y emitir una peticin de bloqueo a un dispositivo de seguridad.
DCST
DCSTL
BG TV
DCSTM
TV Entrada de doble canal Monitorea dispositivos de seguridad de doble entrada cuyo propsito Paro con prueba y principal es proporcionar una funcin de paro como, por ejemplo, paro silenciamiento de emergencia, cortina de luz o interruptor de compuerta. Esto incluye la capacidad adicional de iniciar una prueba de funcionamiento del dispositivo de paro y la capacidad de silenciar el dispositivo de seguridad. Entrada de doble canal Monitorea dispositivos de seguridad de doble entrada. Monitoreo BG TV
DCM
85
Apndice A
Mnemnico Nombre DCSRT
Finalidad
Certificacin BG TV TV BG TV
Entrada de doble canal Energiza dispositivos de seguridad de entrada doble cuya principal Inicio funcin es arrancar una mquina de manera segura, por ejemplo, habilitar estacin colgante. Tapete de seguridad Indica si el tapete de seguridad est o no est ocupado. Estacin de mando a dos Monitorear dos entradas de seguridad diversas: una desde un botn manos Caractersticas pulsador para la mano derecha y otra desde un botn pulsador para la mejoradas mano izquierda, a fin de controlar una sola salida. Proporciona un tiempo de discrepancia configurable canal a canal y capacidad mejorada para saltarse una estacin de mando a dos manos. Muting asimtrico de dos sensores Proporciona inhabilitacin temporal y automtica de la funcin de proteccin de una cortina de luz, mediante dos sensores de muting dispuestos de forma asimtrica.
SMAT THRSe
TSAM
TV
TSSM
Muting simtrico de dos Proporciona inhabilitacin temporal y automtica de la funcin de sensores proteccin de una cortina de luz, mediante dos sensores de muting dispuestos de forma simtrica. Muting bidireccional de cuatro sensores Proporciona inhabilitacin temporal y automtica de la funcin de proteccin de una cortina de luz, mediante cuatro sensores dispuestos secuencialmente antes y despus del campo de deteccin de la cortina de luz.
TV
FSBM
TV
RSLogix 5000, versin 14 y posteriores; descripciones de instrucciones de aplicaciones de seguridad Mnemnico Nombre ENPEN ESTOP Habilitar estacin colgante Paro de emergencia Finalidad Monitorea dos entradas de seguridad para controlar una sola salida, y tiene un valor de tiempo de espera por entradas incoherentes de 3 s. Monitorea dos entradas de seguridad para controlar una sola salida, y tiene un valor de tiempo de espera por entradas incoherentes de 500 ms. Monitorea dos entradas de seguridad para controlar una sola salida, y tiene un valor de tiempo de espera por entradas incoherentes de 500 ms. Monitorea el estado de una entrada para controlar y monitorear dos salidas. Monitorea dos entradas de seguridad diversas para controlar una sola salida, y tiene un valor de tiempo de espera por entradas incoherentes de 500 ms. Monitorea cinco entradas de seguridad para controlar una de las cinco salidas que corresponden a la entrada activa. Monitorea dos entradas de seguridad diversas: una desde un botn pulsador para la mano derecha y otra desde un botn pulsador para la mano izquierda, a fin de controlar una sola salida. Monitorea dos entradas de seguridad desde una cortina de luz, para controlar una sola salida. Certificacin TV TV
RIN
Entrada redundante
TV
ROUT DIN
Salida redundante Entrada diversa
TV TV
FPMS THRS
Selector de modo de 5 posiciones Estacin de mando a dos manos Cortina de luz
TV TV
LC
TV
86
Apndice A
Instrucciones de aplicaciones de seguridad, formato metlico

Mnemnico Nombre CBCM CBIM CBSSM Modo continuo de freno de embrague Modo de marcha lenta de freno de embrague Modo de un solo impulso de freno de embrague Monitor de posicin de cigeal Monitor de cigeal Selector de modo de ocho posiciones Control de vlvula auxiliar Control de vlvula principal Control de vlvula manual de mantenimiento
Estas instrucciones estn disponibles en el software RSLogix 5000, versin 17 y posteriores.
Finalidad Se usa para aplicaciones de prensa de operacin continua. Se usa para aplicaciones de prensa que requieren ajustes de deslizamiento menores, tales como configuracin de prensa. Se usa en aplicaciones de prensa de un slo ciclo.
Certificacin BG TV BG TV BG TV
CPM CSM EPMS AVC MVC MMVC
Se usa para determinar la posicin de deslizamiento de la prensa. Monitorea el movimiento en operaciones de arranque, paro y marcha de un eje de distribucin. Monitorea ocho entradas de seguridad para controlar una de las ocho salidas que corresponden a la entrada activa. Controla una vlvula auxiliar que se usa en combinacin con una vlvula principal. Controla y monitorea una vlvula principal. Se usa para accionar manualmente una vlvula durante las operaciones de mantenimiento.
BG TV BG TV BG TV TV BG TV BG TV
87
Apndice A
Las rutinas en la tarea de seguridad pueden usar estas instrucciones de seguridad de lgica de escalera.
Instrucciones de seguridad de lgica de escalera; software RSLogix 5000, versin 14 y posteriores Tipo Mnemnico Nombre XIC XIO OTE OTL Bit OTU ONS OSR OSF TON TOF Temporizador RTO CTU CTD RES EQU GEQ GRT Comparacin LEQ LES MEQ NEQ LIM CLR Movimiento COP
(1)
Finalidad Habilitar salidas cuando se establece un bit. Habilitar salidas cuando se borra un bit. Establecer un bit. Establecer un bit (retentivo). Borrar un bit (retentivo). Activar un evento para que ocurra una vez. Activar un evento para que ocurra una vez con el flanco ascendente (de estado falso a verdadero). Activar un evento una vez con el flanco descendente (de estado verdadero a falso). Tiempo durante el cual un temporizador est habilitado Tiempo durante el cual un temporizador est inhabilitado. Acumular tiempo Conteo progresivo Conteo regresivo Restablecer un temporizador o un contador. Probar si dos valores son iguales. Probar si un valor es mayor o igual que un segundo valor. Probar si un valor es mayor que un segundo valor. Probar si un valor es menor o igual que un segundo valor. Probar si un valor es menor que un segundo valor. Pasar la fuente, comparar los valores a travs de una mscara y determinar si son iguales. Probar si un valor no es igual a un segundo valor. Probar si un valor est dentro de un rango determinado. Borrar un valor. Copiar un valor Copiar un valor Copiar una parte especfica de un entero Realizar la funcin Y a nivel de bits Realizar la funcin NOT a nivel de bits Realizar la funcin O a nivel de bits Realizar la funcin O exclusivo a nivel de bits
Examinar si est cerrado Examinar si est abierto Activacin de salida Enclavamiento de salida Desenclavamiento de salida Un impulso Un impulso en flanco ascendente Un impulso en flanco descendente Temporizador de retardo a la conexin Temporizador de retardo a la desconexin Temporizador retentivo activado Conteo progresivo Conteo regresivo Restablecimiento Igual a Mayor o igual que Mayor que Menor o igual que Menor que Comparacin enmascarada para igual Desigual a Prueba de lmite Borrar Copiar Mover Mover con mscara Y NO a nivel de bits O a nivel de bits O exclusivo a nivel de bits
MOV MVM AND NOT
Lgico
OR XOR
88
Apndice A
Instrucciones de seguridad de lgica de escalera; software RSLogix 5000, versin 14 y posteriores Tipo Mnemnico Nombre JMP LBL JSR Control RET de SBR programa TND MCR AFI NOP ADD SUB MUL Matem- DIV ticas/ MOD Clculo SQR NEG ABS GSV E/S
(2)
Finalidad Saltar sobre una seccin de lgica que no siempre necesita ser ejecutada (salta a la instruccin de la etiqueta referenciada). Etiqueta una instruccin para que pueda ser referenciada por una instruccin JMP. Saltar a una rutina separada. Retornar los resultados de una subrutina. Pasar datos a una subrutina. Marcar un fin temporal que detiene la ejecucin de la rutina. Inhabilita todos los renglones de una seccin de lgica.
Saltar a etiqueta Etiqueta Saltar a subrutina Retornar Subrutina Fin temporal Restablecimiento de control maestro Ninguna operacin Sumar Restar Multiplicar Dividir Mdulo Raz cuadrada Negar Valor absoluto Obtener valor del sistema Establecer valor del sistema
Instruccin siempre falso Inhabilitar un rengln. Insertar un indicador de posicin en la lgica. Sumar dos valores. Restar dos valores. Multiplicar dos valores Dividir dos valores. Determinar el residuo despus de que un valor se divide entre un segundo valor. Calcular la raz cuadrada de un valor. Tomar el signo opuesto de un valor. Tomar el valor absoluto de un valor. Obtener informacin de estado del controlador. Establecer informacin de estado del controlador.
SSV(2)
(1) La longitud del operando debe ser una constante cuando se utiliza la instruccin COP en una rutina de seguridad. La longitud del origen y del destino deben ser iguales. (2) Al usar las instrucciones GSV y SSV, consulte las consideraciones especiales descritas en el documento GuardLogix Controllers User Manual, publicacin 1756-UM020.
Recurso Descripcin GuardLogix Safety Application Instruction Set Proporciona ms informacin acerca Reference Manual, publicacin 1756-RM095 de las instrucciones de aplicaciones de seguridad. Logix5000 Controllers General Instructions Reference Manual, publicacin 1756-RM003 Contiene informacin detallada sobre el conjunto de instrucciones Logix.
89
Apndice A
90
Apndice
Instrucciones Add-On de seguridad
Introduccin
Tema Creacin y uso de una instruccin Add-On de seguridad Recursos adicionales Pgina 91 97
Con el software RSLogix 5000, versin 18 y posteriores, usted puede crear instrucciones Add-On de seguridad. Las instrucciones Add-On de seguridad permiten encapsular la lgica de seguridad usada comnmente en una sola instruccin, hacindola modular y ms fcil de reutilizar. Las instrucciones Add-On de seguridad usan la firma de instruccin de las instrucciones Add-On de alta integridad y tambin una firma de instruccin de seguridad SIL 3 para uso en funciones asociadas con la seguridad hasta el nivel SIL 3.
Creacin y uso de una instruccin Add-On de seguridad
El diagrama de flujo proporcionado en la pgina 92 muestra los pasos requeridos para crear una instruccin Add-On de seguridad y posteriormente usar dicha instruccin en un programa de aplicacin de seguridad SIL 3. Los tems sombreados son pasos exclusivos de las instrucciones Add-On. Los tems en negrita se explican en las pginas siguientes al diagrama de flujo.
91
Apndice B
Diagrama de flujo para crear y usar instrucciones Add-On de seguridad

Para crear una instruc. Add-On de seg.
Para modificar una instruc. Add-On de seg. (fuera de ln.) Crear un proy. de prueba de instruc. Add-On Crear una instruccin Add-On de seg. Crear/modificar una aplicacin Generar una firma de instruccin Descargar Crear/modifica un prog. prueba Descargar (Generar firma de instruccin de seguridad) Regresar al proyecto de prueba original Cambiar al modo de marcha Realizar prueba de calificacin de instruccin Add-On SIL3
Pasaron todas las pruebas?
Para usar una instruc. Add-On de seg. Crear o abrir un proyecto

Importar una instruc. Add-On de seg.
Modificar una instruc. Add-On de seg.
Verificar firmas de instruccin Add-On de seguridad
No
Eliminar firma de instruccin
Firma de instruccin vlida? S
Ir fuera de lnea
Regresar al proyecto de prueba original
No
Firma de instruc. de seg. vlida? S
Eliminar firma de tarea de seguridad, si la hay.
No
S Confirmar proyecto Cambiar al modo de programa
Validar la seguridad de la instruccin Add-On Crear entrada de historial de firmas (fuera de lnea)
Crear la firma de tarea de seguridad
Registrar firma de instruccin, fecha/hora y firma de instruccin de seguridad
Hacer las modificaciones necesarias
Confirmar proyecto
Cambiar al modo de marcha Eliminar la firma de tarea de seguridad Prueba de verif. de proyecto No
Exportar instruccin Add-On de seg.
Instruccin Add-On de seguridad disponible para su uso S
Se requieren cambios a la instruccin Add-On?
No
Pasaron todas las pruebas?
S Registrar la firma de tarea de seguridad Validar seguridad de proyecto
No
Es vlido el proyecto? S Efectuado
92
Apndice B
Crear proyecto de prueba de instruccin Add-On

Usted necesita crear un proyecto de prueba nico, especficamente para crear y probar la instruccin Add-On de seguridad. ste debe ser un proyecto separado y dedicado para minimizar las influencias inesperadas. Siga las pautas para proyectos descritas en la seccin Crear el proyecto en la pgina 61.
Crear una instruccin Add-On de seguridad

Para obtener informacin sobre las pautas para crear instrucciones Add-On, consulte el documento Logix5000 Controllers Add-On Instruction Programming Manual, publicacin 1756-PM010.
Generar firma de instruccin

La firma de instruccin le permite determinar rpidamente si la instruccin se ha modificado. Cada instruccin Add-On tiene la capacidad de tener su propia firma. La firma de instruccin se requiere cuando se usa una instruccin Add-On en funciones relacionadas con la seguridad, y puede requerirse para las industrias reguladas. sela cuando su aplicacin requiera un mayor nivel de integridad. La firma de instruccin consiste en un nmero de identificacin y un sello de hora que identifican el contenido de la instruccin Add-On en un momento dado. Una vez generada, la firma de instruccin sella la instruccin Add-On, evitando que sta se edite mientras la firma est implementada. Esto incluye comentarios de rengln, descripciones de tag y cualquier documentacin de instruccin creada. Cuando la instruccin est sellada, usted slo puede realizar las siguientes acciones: copiar la firma de instruccin crear o copiar una entrada de historial de firmas crear instancias de la instruccin Add-On descargar la instruccin retirar la firma de instruccin imprimir informes
93
Apndice B
Cuando se ha generado una firma de instruccin, el software RSLogix 5000 muestra la definicin de la instruccin con el icono de sello.
IMPORTANTE
Si va a proteger una instruccin Add-On usando la funcin de proteccin de fuente que est disponible en el software RSLogix 5000, debe habilitar la proteccin de fuente antes de generar la firma de instruccin.
Descargar y generar firma de instruccin de seguridad

Cuando una instruccin Add-On de seguridad se descarga por primera vez, se genera automticamente una firma de instruccin de seguridad SIL 3. La firma de instruccin de seguridad es un nmero de identificacin que identifica las caractersticas de ejecucin de la instruccin Add-On de seguridad.
Prueba de calificacin de instruccin Add-On SIL 3

La instruccin Add-On de seguridad SIL 3 debe ejecutarse en una aplicacin separada dedicada para asegurarse de minimizar las influencias inesperadas. El especialista en desarrollo debe seguir un plan de prueba bien diseado y realizar una prueba de unidad de la instruccin Add-On de seguridad que cubra todas las rutas de ejecucin posibles a travs de la lgica, incluidos los rangos vlidos y no vlidos de todos los parmetros de entrada. El desarrollo de todas las instrucciones Add-On de seguridad debe satisfacer la norma IEC 61508 Requisitos de prueba de mdulo de software, que incluye los requisitos detallados para la prueba de unidad.
Es necesario imprimir o ver el proyecto y comparar manualmente los tems cargados, a saber, las configuraciones del controlador y las E/S de seguridad, los datos de seguridad, las definiciones de la instruccin Add-On de seguridad y la lgica del programa de la tarea de seguridad, para asegurarse de que se hayan descargado los componentes de seguridad adecuados, que hayan sido probados y que hayan sido conservados en el programa de aplicacin de seguridad.
94
Apndice B
Vea la seccin Confirmar el proyecto en la pgina 63 para obtener la descripcin de un mtodo de confirmacin de un proyecto.
Validar la seguridad de instrucciones Add-On

Es posible que se requiera una revisin de la instruccin Add-On de seguridad por parte de un ente independiente, para que quede aprobado el uso de dicha instruccin. Se requiere una validacin por parte de un ente independiente, segn IEC 61508 SIL 3.
Crear entrada de historial de firmas

El historial de firmas proporciona un registro para referencia futura. Una entrada de historial de firmas consta de la firma de la instruccin, el nombre del usuario, el valor del sello de hora y una descripcin definida por el usuario. Es posible almacenar hasta seis entradas de historial. Es necesario estar fuera de lnea para crear una entrada de historial de firma. SUGERENCIA El informe de listado de firmas del software RSLogix 5000 imprime la firma de instruccin, el sello de hora y la firma de instruccin de seguridad. Para imprimir el informe haga clic con el botn derecho del mouse en la instruccin Add-On en el Controller Organizer y seleccione Print>Signature Listing.
Exportar e importar la instruccin Add-On de seguridad

Cuando vaya a exportar una instruccin Add-On de seguridad, seleccione la opcin que incluye todas las instrucciones Add-On referenciadas y los tipos definidos por el usuario en el mismo archivo de exportacin. El incluir las instrucciones Add-On referenciadas facilita la conservacin de las firmas. Al importar las instrucciones Add-On, considere las pautas siguientes. No se puede importar una instruccin Add-On de seguridad en un proyecto estndar. No es posible importar una instruccin Add-On de seguridad a un proyecto de seguridad que tenga bloqueo de seguridad o una firma de tarea de seguridad. No se puede importar una instruccin Add-On de seguridad mientras se est en lnea.
95
Apndice B
Si se importa una instruccin Add-On con una firma de instruccin en un proyecto donde las instrucciones Add-On referenciadas o los tipos definidos por el usuario no estn disponibles, quizs sea necesario eliminar la firma.
Verificar firmas de instruccin Add-On de seguridad

Despus de descargar el proyecto de aplicacin que contiene la instruccin Add-On de seguridad importada, usted debe comparar el valor de la firma de instruccin, la fecha y el sello de hora y los valores de firmas de instruccin de seguridad con los valores originales registrados antes de exportar la instruccin Add-On de seguridad. Si coinciden, la instruccin Add-On de seguridad es vlida y usted puede continuar con la validacin de su aplicacin.

Este paso consta de cualquier combinacin de modo de marcha y de programa, ediciones de programa en lnea o fuera de lnea, cargas y descargas, y pruebas informales necesarias para que la aplicacin funcione debidamente.
Prueba de verificacin de proyecto

Realice una prueba de ingeniera de la aplicacin, incluido el sistema de seguridad. Vea Pruebas de verificacin de funcionamiento en la pgina 14 y Prueba de verificacin de proyecto en la pgina 62 para obtener ms informacin sobre los requisitos.
Validar la seguridad del proyecto

Es posible que se requiera una revisin del sistema de seguridad por parte de un ente independiente, para que quede aprobada la operacin del sistema. Se requiere una validacin por parte de un ente independiente, segn IEC 61508 SIL 3.
96
Apndice B
Recurso Logix5000 Controllers Add-On Instructions Programming Manual, publicacin 1756-PM010 Import/Export Project Components Programming Manual, publicacin 1756-PM019 Descripcin Proporciona informacin sobre cmo planificar, crear, usar, importar y exportar las instrucciones Add-On en aplicaciones RSLogix 5000. Contiene informacin detallada sobre la importacin y exportacin
97
Apndice B
98
Apndice
Tiempos de reaccin
Introduccin
Tema Tiempo de reaccin del sistema Tiempo de reaccin del sistema Logix Pgina 99 99
Para determinar el tiempo de reaccin del sistema de cualquier cadena de control, debe sumar los tiempos de reaccin de todos los componentes de la cadena de seguridad. Tiempo de reaccin del sistema = Tiempo de reaccin del sensor + Tiempo de reaccin del sistema Logix + Tiempo de reaccin del accionador
Tiempo de reaccin del sensor
Tiempo de reaccin de la entrada
Tiempo de reaccin tarea seguridad
Tiempo de reaccin de la salida
Tiempo de reaccin del accionador
Tiempo de reaccin del sistema Logix Mdulo de entrada Conexin de entrada Lgica Conexin de salida Mdulo de salida
Tiempo de reaccin del sistema Logix
Las siguientes secciones proporcionan informacin acerca de cmo calcular el tiempo de reaccin del sistema Logix de una cadena sencilla de entrada-lgica-salida y para una aplicacin ms compleja que utilice tags de seguridad producidos/consumidos en la cadena lgica.
99
Apndice C
Tiempos de reaccin
Cadena sencilla de entrada-lgica-salida

Tiempo de reaccin del sistema Logix de una cadena sencilla de entrada-lgica-salida
3. Lgica
Mdulo de comunicacin Controlador GuardLogix
1. Mdulo de entrada de seguridad
2. Conexin de entrada de seguridad Red CIP Safety
4. Conexin de salida de seguridad
5. Mdulo de salida de seguridad
El tiempo de reaccin del sistema Logix para cualquier cadena sencilla de entrada-lgica-salida consta de los cinco componentes siguientes: 1. Tiempo de retardo del mdulo de entrada 2. Tiempo de transferencia de datos de entrada a travs de la conexin de entrada 3. Tiempo de procesamiento del controlador (lgica) 4. Tiempo de transferencia de datos de salida a travs de la conexin de salida 5. Tiempo de retardo del mdulo de salida Para ayudar en la determinacin del tiempo de reaccin de su lazo de control particular, en la carpeta Tools del CD del software RSLogix 5000 se incluye una hoja de clculo en formato Microsoft Excel.
100
Tiempos de reaccin
Apndice C
Cadena lgica que utiliza tags de seguridad producidos/consumidos

Tiempo de reaccin del sistema Logix de una cadena entrada-controlador A lgica-controlador B lgica-salida
4. Conex. de seguridad datos prod./consum. Red EtherNet 3. Lgica
Mdulo DeviceNet
Conmutador EtherNet
Red EtherNet 5. Lgica

Mdulo DeviceNet
Mdulo EtherNet
1. Mdulo de entrada de seguridad
2. Conexin de entrada de seguridad Red CIP Safety Red CIP Safety
Mdulo EtherNet
Controlador GuardLogix
Controlador GuardLogix
6. Conexin de salida de seguridad
7. Mdulo de salida de seguridad
El tiempo de reaccin del sistema Logix de una cadena entrada-controlador A lgica-controlador B lgica-salida consta de los siguientes siete componentes: 1. Tiempo de retardo del mdulo de entrada 2. Tiempo de transferencia de datos de entrada a travs de la conexin de entrada 3. Tiempo de procesamiento del controlador (lgica) 4. Tiempo de transferencia de datos producidos/consumidos a travs de la conexin producida/consumida 5. Tiempo de procesamiento del controlador (lgica) 6. Tiempo de transferencia de datos de salida a travs de la conexin de salida 7. Tiempo de retardo del mdulo de salida Para ayudar a determinar el tiempo de reaccin de su lazo de control particular, en la carpeta Tools del CD del software RSLogix 5000 se incluye una hoja de clculo en formato Microsoft Excel.
101
Apndice C
Tiempos de reaccin
Factores que afectan los componentes del tiempo de reaccin del sistema Logix
Los componentes del tiempo de reaccin de Logix descritos en las secciones anteriores pueden verse influenciados por una serie de factores.
Factores que afectan el tiempo de reaccin del sistema Logix Estos componentes de tiempo de reaccin Son influenciados por los siguientes factores
Tiempo de retardo del mdulo de entrada Configuracin de retardo de punto de entrada Tipo de mdulo de entrada Tiempo de transferencia de datos de entrada a travs de la conexin de entrada Configuracin de mdulo de entrada para:(1) intervalo entre paquetes solicitados (RPI) multiplicador de tiempo de espera multiplicador de retardo Cantidad de trfico de comunicacin en la red Entorno de compatibilidad electromagntica (EMC) del sistema Tiempo de procesamiento del controlador Configuracin del perodo de la tarea de seguridad Configuracin del temporizador de control (watchdog) de la tarea de seguridad Nmero y tiempo de ejecucin de las instrucciones en la tarea de seguridad Toda tarea de mayor prioridad que pueda impedir la ejecucin de la tarea de seguridad Tiempo de transferencia de datos de tags producidos/consumidos a travs de la conexin producida/consumida Configuracin de tag consumido para:(2) intervalo entre paquetes solicitados (RPI) multiplicador de tiempo de espera multiplicador de retardo Cantidad de trfico de comunicacin en la red Entorno de compatibilidad electromagntica (EMC) del sistema
102
Tiempos de reaccin
Apndice C
Factores que afectan el tiempo de reaccin del sistema Logix Estos componentes de tiempo de reaccin Tiempo de transferencia de datos de salida a travs de la conexin de salida Son influenciados por los siguientes factores Configuracin del perodo de la tarea de seguridad Configuraciones de mdulo de salida para: multiplicador de tiempo de espera multiplicador de retardo Cantidad de trfico de comunicacin en la red Entorno de compatibilidad electromagntica (EMC) del sistema Tiempo de retardo del mdulo de salida Tipo de mdulo de salida
(1) Se puede obtener acceso a estas configuraciones en el software RSLogix 5000 con slo pulsar el botn Advanced de la ficha Safety del dilogo Module Properties. (2) Se puede obtener acceso a estas configuraciones en el software RSLogix 5000 con slo pulsar el botn Advanced de la ficha Safety del dilogo Consumed Tag Safety Data.
Recurso GuardLogix Controllers User Manual, publicacin 1756-UM020 1768 Compact GuardLogix Controllers User Manual, publicacin 1768-UM002 Descripcin Contiene informacin sobre la configuracin de lmites de tiempos de retardo y de tiempos de reaccin para la conexin de entrada, la tarea de seguridad y la conexin de salida.
Consulte la documentacin de su mdulo especfico para obtener informacin sobre los tiempos de reaccin asociados con los mdulos CIP Safety I/O.
103
Apndice C
Tiempos de reaccin
104
Apndice
Listas de verificacin para aplicaciones de seguridad GuardLogix
Introduccin
Las listas de verificacin de este apndice son necesarias para planificar, programar y poner en marcha una aplicacin GuardLogix con certificacin SIL 3. Pueden utilizarse como guas de planificacin, as como durante las pruebas de verificacin de funcionamiento. Si se utilizan como guas de planificacin, las listas de verificacin se pueden guardar como registro del plan. Las listas de verificacin en las siguientes pginas proporcionan una muestra de las consideraciones de seguridad y no fueron concebidas como una lista exhaustiva de puntos a verificar. Su aplicacin de seguridad en particular puede tener requisitos de seguridad adicionales, para los que hemos contemplado un espacio en las listas de verificacin.
Tema Listas de verificacin para el sistema controlador GuardLogix Lista de verificacin para entradas de seguridad Lista de verificacin para salidas de seguridad Lista de verificacin para el desarrollo de un programa de aplicacin de seguridad Pgina 106 107 108 109
SUGERENCIA
Haga copias de las listas de verificacin y guarde estas pginas para uso futuro.
105
Apndice D
Listas de verificacin para el sistema controlador GuardLogix

Lista de verificacin para el sistema GuardLogix Empresa Ubicacin Definicin de la funcin de seguridad Nmero 1 Requisitos del sistema Est usando slo los componentes listados en Componentes GuardLogix con certificacin SIL 3 en la pgina 17 y en el sitio http://www.rockwellautomation.com/products/certification/safety/, con la versin de firmware correspondiente? Ha calculado el tiempo de respuesta de seguridad del sistema para cada cadena de seguridad? El tiempo de respuesta del sistema incluye tanto el tiempo del temporizador de control del programa (watchdog de software), como la velocidad/perodo de la tarea de seguridad? Est el tiempo de respuesta del sistema en la proporcin adecuada con respecto al tiempo de tolerancia del proceso? Se han calculado los valores de probabilidad (PFD/PFH), segn la configuracin del sistema? Ha realizado todas las pruebas de verificacin de funcionamiento correspondientes? Ha determinado cmo manejar los fallos su sistema? Tiene cada red del sistema de seguridad un SNN nico? Est cada dispositivo CIP Safety configurado con el SNN correcto? Ha generado una firma de tarea de seguridad? Ha cargado y grabado la firma de tarea de seguridad para compararla posteriormente? Despus de una descarga, ha verificado que la firma de tarea seguridad del controlador coincida con la firma de tarea de seguridad grabada? Ha dispuesto un mecanismo alternativo para preservar la integridad de seguridad del sistema al realizar ediciones en lnea? Ha tenido en cuenta las listas de verificacin para utilizar las entradas y salidas SIL que aparecen en las pginas 107 y 108? Completada S No Comentario
2 3
4 5 6 7 8 9 10 11 12 13 14
106
Apndice D
Lista de verificacin para entradas de seguridad
Para la programacin o la puesta en marcha, es posible llenar una lista de verificacin individual para cada canal de entrada SIL de un sistema. sta es la nica forma de asegurarse de que los requisitos se implementen total y claramente. Esta lista de verificacin tambin se puede utilizar como documentacin de la conexin del cableado externo al programa de aplicacin.
Lista de verificacin para entradas del sistema GuardLogix Empresa Ubicacin Definicin de la funcin de seguridad Canales de entrada SIL Nmero 1 2 3 4 5 6 Requisitos del mdulo de entrada Ha seguido las instrucciones de instalacin y las precauciones de conformidad con los estndares de seguridad aplicables? Ha realizado pruebas de verificacin de funcionamiento en el sistema y en los mdulos? Se ejecutan los diagnsticos de control y las funciones de alarma secuencialmente en la lgica de la aplicacin? Ha cargado y comparado la configuracin de cada mdulo con la configuracin enviada por la herramienta de configuracin? Estn los mdulos cableados de conformidad con PLe/Cat. 4 segn ISO 13849-1?(1) Ha verificado que las especificaciones elctricas del sensor y de la entrada sean compatibles? Completada S No Comentario
(1) Para obtener informacin acerca del cableado de su mdulo CIP Safety I/O, consulte en la documentacin del producto la seccin que trata del mdulo especfico.
107
Apndice D
Lista de verificacin para salidas de seguridad
Para la programacin o la puesta en marcha, es posible llenar una lista de verificacin de requisitos individual para cada canal de salida SIL de un sistema. sta es la nica forma de asegurarse de que los requisitos se implementen total y claramente. Esta lista de verificacin tambin se puede utilizar como documentacin de la conexin del cableado externo al programa de aplicacin.
Lista de verificacin de salidas para el sistema GuardLogix Empresa Ubicacin Definicin de la funcin de seguridad Canales de salida SIL Nmero 1 2 3 4 5 6 Requisitos del mdulo de salida Ha seguido las instrucciones de instalacin y las precauciones de conformidad con los estndares de seguridad aplicables? Ha realizado pruebas de verificacin de funcionamiento en los mdulos? Ha cargado y comparado la configuracin de cada mdulo con la configuracin enviada por la herramienta de configuracin? Ha verificado que las salidas de prueba no se utilizan como salidas de seguridad? Estn los mdulos cableados de conformidad con PLe/Cat. 4 segn ISO 13849-1?(1) Ha verificado que las especificaciones elctricas del accionador y de la salida son compatibles? Completada S No Comentario
(1) Para obtener informacin acerca del cableado de su mdulo CIP Safety I/O, consulte en la documentacin del producto la seccin que trata del mdulo especfico.
108
Apndice D
Lista de verificacin para el desarrollo de un programa de aplicacin de seguridad

Empresa Ubicacin Definicin del proyecto Nmero 1 2 3 4
Utilice la siguiente lista de verificacin para ayudar a mantener la seguridad al crear o modificar un programa de aplicacin de seguridad.
Lista de verificacin para el desarrollo de un programa de aplicacin GuardLogix
Requisitos del programa de aplicacin Utiliza la versin 14, o la versin 16 o posterior del software RSLogix 5000(1), el software de programacin del sistema GuardLogix? Se siguieron las pautas de programacin que aparecen en el Captulo 6 durante la creacin del programa de aplicacin de seguridad? Contiene el programa de aplicacin de seguridad slo lgica de escalera de rels? Contiene el programa de aplicacin de seguridad slo las instrucciones que aparecen en el Apndice A como adecuadas para la programacin de una aplicacin de seguridad? Distingue el programa de aplicacin de seguridad claramente entre tags de seguridad y tags estndar? Se utilizan slo tags de seguridad para las rutinas de seguridad? Ha verificado que las rutinas de seguridad no intentan leer o escribir los tags estndar? Ha verificado que ningn tag de seguridad est vinculado mediante alias a tags estndar, y viceversa? Est cada tag de salida de seguridad configurado correctamente y conectado a un canal de salida fsica? Ha verificado que todos los tags asignados se hayan condicionado en la lgica de la aplicacin de seguridad? Ha definido los parmetros de proceso monitoreados por las rutinas de fallo? Ha usted sellado alguna instruccin Add-On de seguridad con una firma de instruccin y registrado la firma de la instruccin de seguridad? Ha revisado el programa un revisor de seguridad independiente (si corresponde)? Se ha documentado y firmado la revisin?
Completada S No
Comentario
5 6 7 8 9 10 11 12 13 14
(1) El software RSLogix 5000, versin 18 o posterior, es compatible con los controladores 1768 Compact GuardLogix.
109
Apndice D
Notas:
110
Apndice
Datos de probabilidad de fallo a demanda (PFD) y probabilidad de fallo por hora (PFH)
Introduccin
Tema Datos de seguridad del controlador GuardLogix y de Guard I/O Valores de probabilidad de fallo a demanda (PFD) Valores de probabilidad de fallo por hora (PFH) Pgina 111 112 112
Los siguientes ejemplos muestran los valores de probabilidad de fallo a demanda (PFD) y probabilidad de fallo por hora (PFH) para los sistemas GuardLogix 1oo2 SIL 3.
Datos de seguridad del controlador GuardLogix y de Guard I/O
Todos los ejemplos usan los siguientes datos.

Especificaciones de seguridad del controlador GuardLogix Atributo Tolerancia a fallos de hardware Fraccin de fallos de seguridad Intervalo de prueba de funcionamiento (T1) Controladores Controladores 1768 1756 GuardLogix Compact GuardLogix 1 99.1% 20 aos 1 99.0% 20 aos
111
Apndice E
Datos de probabilidad de fallo a demanda (PFD) y probabilidad de fallo por hora (PFH)
Valores de probabilidad de fallo a demanda (PFD)

N de cat. 1756-L6xS y 1756-LSP 1768-L43S y 1768-L45S 1791DS-IB12 1791DS-IB16 1791DS-IB8XOB8 Descripcin Controlador GuardLogix
PFD calculado por intervalo de prueba de funcionamiento
2 aos (17,520 horas)
PFD calculado 5 aos 10 aos (43,800 (87,600 horas) horas) 5.5E-06 No aplicable 2.7E-06 4.419E-06 4.25E-06 4.421E-06 1.207E-04 4.37E-06 4.25E-06 4.14E-06 4.26E-06 2.93E-06 3.03E-06 5.7E-06 8.962E-06 8.50E-06 8.963E-06 2.978E-04 8.74E-06 8.50E-06 8.27E-06 8.51E-06 5.86E-06 6.06E-06
20 aos (175,200 horas) 1.2E-05 1.2E-05 6.013E-06(1) 1.70E-05 6.013E-06(1) 7.684E-04(1) 1.75E-05 1.70E-05 1.65E-05 1.70E-05 1.17E-05 1.21E-05
Controlador Compact GuardLogix Mdulo de entrada de 12 puntos CIP Safety
1.1E-06 1.754E-06 1.70E-06 1.755E-06 4.151E-05 1.75E-06 1.70E-06 1.65E-06 1.70E-06 1.17E-06 1.21E-06
Mdulo de entrada de 16 puntos CIP Safety Mdulo de 8 puntos de entrada y 8 puntos de salida CIP Safety 1791DS-IB4XOW4 Mdulo de 4 puntos de entrada y 4 puntos de salida de rel CIP Safety 1791DS-IB8XOBV4 Mdulo de 8 puntos de entrada y 4 puntos de 1732DS-IB8XOBV4 salida bipolar CIP Safety 1732DS-IB8 Mdulo de entrada de 8 puntos CIP Safety 1791ES-IB16 Mdulo de entrada de 16 puntos CIP Safety 1791ES-IB8XOBV4 Mdulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety 1734-IB8S Mdulo de entrada de 8 puntos CIP Safety 1734-OB8S Mdulo de salida de 8 puntos CIP Safety
(1) Los datos de probabilidad de fallo a demanda (PFD) de 20 aos para este producto se aplican slo a productos con cdigo de fecha de fabricacin de 2009/01/01 (1 de enero de 2009) o uno posterior. El cdigo de fecha se encuentra en la etiqueta del producto.
Valores de probabilidad de fallo por hora (PFH)

N de cat. 1756-L6xS y 1756-LSP 1768-L43S y 1768-L45S 1791DS-IB12 1791DS-IB16 1791DS-IB8XOB8 1791DS-IB4XOW4 1791DS-IB8XOBV4 1732DS-IB8XOBV4 1732DS-IB8 1791ES-IB16 1791ES-IB8XOBV4 1734-IB8S 1734-OB8S
Los datos a continuacin se aplican a intervalos de prueba de calidad de hasta 20 aos.
Clculos de PFH Descripcin Controlador GuardLogix Controlador Compact GuardLogix Mdulo de entrada de 12 puntos CIP Safety Mdulo de entrada de 16 puntos CIP Safety Mdulo de 8 puntos de entrada y 8 puntos de salida CIP Safety Mdulo de 4 puntos de entrada y 4 puntos de salida de rel CIP Safety Mdulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety Mdulo de entrada de 8 puntos CIP Safety Mdulo de entrada de 16 puntos CIP Safety Mdulo de 8 puntos de entrada y 4 puntos de salida bipolar CIP Safety Mdulo de entrada de 8 puntos CIP Safety Mdulo de salida de 8 puntos CIP Safety
PFH (1/hora) 2.0E-10 2.0E-10 6.84E-11(1) 1.94E-10 6.84E-11(1) 4.072E-09(1) 2.00E-10 1.94E-10 1.89E-10 1.94E-10 1.34E-10 1.38E-10
(1) Los datos de probabilidad de fallo por hora (PFH) para este producto se aplican slo a productos con cdigo de fecha de fabricacin de 2009/01/01 (1 de enero de 2009) o uno posterior. El cdigo de fecha se encuentra en la etiqueta del producto.
112
Glosario
Asociacin Para que se establezca una asociacin, deben estar presentes el controlador primario y el homlogo de seguridad; el hardware y el firmware tienen que ser compatibles. Cancelar modificaciones Accin realizada para rechazar cualquier modificacin en lnea que no haya sido ensamblada. Componente de seguridad Cualquier objeto, tarea, programa, rutina, tag o mdulo que est marcado como tem relacionado con la seguridad. Componente estndar Todo objeto, tarea, tag, programa, etc., que no est marcado como tem relacionado con la seguridad. Conexin vlida La conexin de seguridad est abierta y activa, y no tiene errores. Controlador estndar En este documento, un controlador estndar se refiere en trminos genricos a un controlador ControlLogix. Controlador primario En un controlador con dos procesadores, es el procesador que realiza la funcionalidad de controlador estndar y que se comunica con el homlogo de seguridad para realizar las funciones relacionadas con la seguridad. Direccionamiento simblico Mtodo de direccionamiento que proporciona una interpretacin ASCII del nombre del tag. E/S de seguridad Las E/S de seguridad tienen la mayora de los atributos de las E/S estndar, con la excepcin de que incorporan mecanismos para la certificacin SIL 3, con el fin de asegurar la integridad de los datos. Edicin pendiente Cambio en una rutina que se ha realizado en el software RSLogix 5000, pero que an no se ha comunicado al controlador mediante la aceptacin de la edicin.
113
Glosario
En lnea Situacin en la que usted est monitoreando o modificando el programa en el controlador. Ensamblado de modificaciones Se ensamblan modificaciones cuando se han realizado modificaciones en lnea al programa del controlador y se desea que estas modificaciones sean permanentes, ya que es posible hacer pruebas, deshacer las pruebas o anular las modificaciones. Fallo de controlador no recuperable Fallo que fuerza la cancelacin de todo procesamiento y precisa la desconexin y conexin de la alimentacin al controlador. El programa de usuario no se conserva, y es necesario volver a descargarlo. Fallo de seguridad no recuperable Fallo que, a pesar de que haya sido manejado adecuadamente por los mecanismos de manejo de fallos proporcionados por el controlador de seguridad e implementado por el usuario, cancela todo el procesamiento de la tarea de seguridad y precisa una accin externa del usuario para reiniciar la tarea de seguridad. Fallo recuperable Fallo que, cuando est adecuadamente manejado mediante la implementacin de mecanismos de manejo de fallos proporcionados por el controlador, no fuerza la cancelacin de la ejecucin de la lgica del usuario. Firma de configuracin Nmero nico que identifica la configuracin de un dispositivo. La firma de configuracin est compuesta de un nmero de identificacin o ID, una fecha y una hora.\ Firma de instruccin La firma de instruccin est compuesta por un nmero de identificacin y un sello de fecha/hora que identifica el contenido de la definicin de la instruccin Add-On en un momento dado. Firma de instruccin de seguridad La firma de instruccin de seguridad es un nmero de identificacin que identifica las caractersticas de ejecucin de la instruccin Add-On de seguridad. Se utiliza para verificar la integridad de la instruccin Add-On de seguridad durante las descargas al controlador.
114
Glosario
Firma de tarea de seguridad Se trata de un valor, calculado por firmware, que representa de forma nica la lgica y la configuracin del sistema de seguridad. Se utiliza para verificar la integridad del programa de aplicacin de seguridad durante las descargas al controlador. Homlogo de seguridad En un controlador con dos procesadores, es el procesador que trabaja con el controlador primario para realizar funciones relacionadas con la seguridad. Instruccin Add-On Una instruccin que usted crea como instruccin Add-On para el conjunto de instrucciones Logix. Una vez definida, una instruccin Add-On puede usarse como cualquier otra instruccin Logix y puede utilizarse en varios proyectos. Una instruccin Add-On est compuesta de parmetros, tags locales, rutina lgica y rutinas de modo de escn opcionales. Instruccin Add-On de seguridad Una instruccin Add-On que puede usar instrucciones de aplicaciones de seguridad. Adems de la firma de instruccin usada para instrucciones Add-On de gran integridad, las instrucciones Add-On de seguridad cuentan con una firma de instruccin de seguridad SIL 3 para uso en funciones relacionadas con la seguridad. Instrucciones de aplicaciones de seguridad Son las instrucciones de seguridad que proporcionan la funcionalidad relacionada con la seguridad. Han recibido la certificacin SIL 3 para usarse en rutinas de seguridad. Intervalo solicitado entre paquetes (RPI) Al comunicarse a travs de una red, ste es el perodo mximo de tiempo entre las subsiguientes producciones de datos de entrada. Multiplicador de tiempo de espera Este valor determina el nmero de mensajes que se deben perder antes de declarar un error de conexin. Nmero de red de seguridad (SNN) Identifica de forma nica una red entre todas las redes del sistema de seguridad. El usuario final es responsable de asignar un nmero nico a cada red de seguridad o subred de seguridad dentro de un sistema. El nmero de red de seguridad forma parte del identificador nico de nodo (UNID).
Glosario
Perodo de la tarea de seguridad Perodo en que se ejecuta la tarea de seguridad. Programa de seguridad Un programa de seguridad tiene todos los atributos de un programa estndar, con la excepcin de que slo se puede secuenciar en una tarea de seguridad. El programa de seguridad consta de cero o ms rutinas de seguridad. No puede contener rutinas o tags estndar. Protocolo CIP Safety Mtodo de comunicacin en red diseado y certificado para el transporte de datos con gran integridad. Rutina Conjunto de instrucciones lgicas en un mismo lenguaje de programacin como, por ejemplo, diagrama de lgica de escalera. Las rutinas proporcionan cdigo ejecutable para el proyecto de un controlador. Cada programa tiene una rutina principal. Tambin se pueden especificar rutinas opcionales. Rutina de seguridad Una rutina de seguridad tiene todos los atributos de una rutina estndar, con la excepcin de que slo es vlida en un programa de seguridad y de que consta de una o ms instrucciones adecuadas para las aplicaciones de seguridad (vea Apndice A para obtener una lista de instrucciones de aplicaciones de seguridad e instrucciones Logix estndar que se pueden utilizar en la lgica de una rutina de seguridad). Superposicin Sucede cuando una tarea (peridica o de evento) se activa sin que la misma haya terminado de ejecutarse tras la activacin anterior. Tags de seguridad Un tag de seguridad tiene todos los atributos de un tag estndar, con excepcin de que el controlador GuardLogix proporciona mecanismos para la certificacin SIL 3 a fin de asegurar la integridad de los datos asociados. Pueden estar restringidos al programa o restringidos al controlador.
116
Glosario
Tarea Mecanismo de secuenciamiento para la ejecucin de un programa. Una tarea proporciona la informacin de secuenciamiento y priorizacin para uno o ms programas que se ejecutan con base en un criterio determinado. Una vez que una tarea se activa (se dispara), todos los programas asignados (secuenciados) a la tarea se ejecutan en el orden en que aparecen en el organizador del controlador. Tarea de seguridad Una tarea de seguridad tiene todos los atributos de una tarea estndar, con excepcin de que es vlida slo en un controlador GuardLogix y de que puede secuenciar slo programas de seguridad. Slo puede existir una tarea de seguridad en un controlador GuardLogix. La tarea de seguridad tiene que ser una tarea peridica/temporizada. Tarea peridica Tarea activada por el sistema operativo a intervalos de tiempo peridicos. Al expirar el intervalo, la tarea se activa y sus programas se ejecutan. Los datos y las salidas establecidos por los programas en la tarea conservan los valores hasta la siguiente ejecucin de la tarea o hasta que otra tarea los modifique. Las tareas peridicas siempre interrumpen la tarea continua. Temporizador de control (watchdog) de la tarea de seguridad Tiempo mximo permitido desde el inicio de la ejecucin de la tarea de seguridad hasta que la misma se completa. Al excederse el temporizador de control (watchdog) de la tarea de seguridad se activa un fallo de seguridad no recuperable. Tiempo de reaccin de la tarea de seguridad Suma del perodo de la tarea de seguridad ms el tiempo de espera del temporizador de control (watchdog) de la tarea de seguridad. Este tiempo representa el retardo en el peor de los casos, desde el momento en que ocurre cualquier cambio de entrada presentado al controlador GuardLogix, hasta el momento en que la salida procesada est disponible para la conexin productora. Tiempo de reaccin del sistema El tiempo transcurrido, en el peor de los casos, desde que se produce un evento relacionado con la seguridad como entrada al sistema o como un fallo dentro del sistema, hasta el momento en que el sistema queda en estado seguro. El tiempo de reaccin del sistema incluye los tiempos de reaccin de los sensores y de los activadores, as como el tiempo de reaccin del controlador.
Glosario
Notas:
118
ndice
Nmeros
1734-AENT 17, 18 descripcin general del hardware 28 1734-AENTR 17 1756-A10 18 1756-A13 18 1756-A17 18 1756-A4 18 1756-A7 18 1756-CN2 descripcin general del hardware 28 revisin de firmware 18 1756-CN2R revisin de firmware 18 1756-DNB descripcin general del hardware 28 revisin de firmware 18 1756-EN2F revisin de firmware 18 1756-EN2T revisin de firmware 18 1756-ENBT descripcin general del hardware 28 revisin de firmware 18 1756-PA72 18 1756-PA75 18 1756-PA75R 18 1756-PB72 18 1756-PB75 18 1756-PB75R 18 1768-CNB 17 descripcin general del hardware 28 1768-CNBR descripcin general del hardware 28 1768-ENBT 17 descripcin general del hardware 28 1768-PA3 17 1768-PB3 17
C
calificacin de datos estndar 55 CE 19 certificacin de nivel de integridad de seguridad (SIL) 3 9, 13, 94 componentes de Logix 17 responsabilidades del usuario 14 TV Rheinland 14 certificaciones 19 chasis descripcin general del hardware 26 nmeros de catlogo 18 componentes de Logix con certificacin SIL 3 17 comunicacin de igual a igual 28 concepto de seguridad suposiciones 57 conformidades y certificaciones de seguridad 19 CONNECTION_STATUS tipo de datos 73 control and information protocol (protocolo de control e informacin) definicin 10 controlador primario definicin 113 descripcin general del hardware 26 CSA 19 C-Tick 19 c-UL-us 19 cumplimiento de la norma EN50156 47
D
DeviceNet Safety descripcin general de la comunicacin 29 Diagnostic Coverage (cobertura de diagnstico) definicin 10
A
asignacin de tags 55 asociacin definicin 113
E
edicin en lnea 67, 70 ediciones fuera de lnea 69 ediciones pendientes 67 en lnea definicin 114 EN954-1 CAT 4 9, 13 estado de conexin 74 EtherNet/IP descripcin general de la comunicacin 28
B
bloqueo de seguridad 65 contraseas 66 operaciones restringidas 65 predeterminado 66
119
ndice
F
fallo informacin de contacto 23 fallos anulacin 82 fallos de controlador no recuperables 82 fallos de seguridad no recuperables 82 recuperables 83 fallos de controlador no recuperables 82, 114 fallos de hardware recuperacin 82 fallos de seguridad no recuperables 82, 114 reinicio de la tarea de seguridad 82 fallos recuperables 83, 114 firma de configuracin 33 firma de instruccin 93 definicin 114 firma de instruccin de seguridad 94 definicin 114 firma de tarea de seguridad definicin 115 eliminacin 62 generacin 62 operaciones restringidas 62 FM 19 forzado 68 fraccin de fallos de seguridad 111 fuentes de alimentacin elctrica 18 con certificacin SIL 3 27 descripcin general del hardware 27 funcin de control especificacin 59 funciones de seguridad CIP Safety I/O 31 salida de seguridad 33
I
identificacin del programa 61 IEC 61508 certificacin de nivel de integridad de seguridad (SIL) 3 9, 13, 94 informacin de contacto 23 inhibicin de un mdulo 68 instalacin de un controlador 25 instruccin Add-On certificar 91 firma de instruccin 93 firma de instruccin de seguridad 94 instruccin SSV (establecer valor del sistema) 81 instrucciones aplicacin de seguridad 85 seguridad 88 instrucciones de aplicaciones de seguridad 85 definicin 115 instrucciones de formato metlico 87 instrucciones de seguridad de lgica de escalera 88 instrucciones GSV 80, 81 intervalo solicitado entre paquetes definicin 115 ISO 13849-1 9, 13
L
lista de verificacin desarrollo de programa 109 entradas SIL 3 107 salidas SIL 3 108 sistema controlador GuardLogix 30, 106
M
mdulo de interface de comunicaciones EtherNet/IP descripcin general del hardware 28 mdulo de interface de escner DeviceNet descripcin general del hardware 28 mdulo puente ControlNet descripcin general del hardware 28 mdulos de comunicacin nmeros de catlogo 18 mdulos de E/S reemplazo 3435 multiplicador de tiempo de espera definicin 115
H
historial de firmas 95 homlogo de seguridad configuracin 26 definicin 115 descripcin general del hardware 26 lugar 26
120
ndice
N
nivel de integridad de seguridad (SIL) distribucin y peso de conformidad 21 ejemplo de funcin 17 poltica 1323 nivel de rendimiento definicin 10 nociones bsicas para el desarrollo de aplicaciones 57 normativa europea definicin 10 nmero de red de seguridad 38 asignacin manual 38 definicin 115 mdulos tal como vienen de fbrica 40 tags de seguridad consumidos 40
pruebas de calidad 14 vea pruebas de verificacin de funcionamiento pruebas de verificacin de funcionamiento 14 puentes de comunicacin descripcin general del hardware 28
R
referencia de nodo nico definido 38 rutina de seguridad 53 definicin 116
S
software cambio del programa de aplicacin 69 proceso para la puesta en servicio 59 software de programacin 14 software RSLogix 5000 cambio del programa de aplicacin 69 proceso para la puesta en servicio 59 revisin 17, 18 superposicin definicin 116
O
obtener valor del sistema (GSV) definicin 10
P
prdida de confiabilidad 21 perodo de la tarea de seguridad 22 definicin 116 descripcin general 22 limitaciones 51 PLe 9, 13 probabilidad de fallo a demanda (PFD) 2021 definicin 10 probabilidad de fallo por hora (PFH) 2021 definicin 10 proceso para la puesta en servicio 59 programa carga 66 ciclo de vida de edicin 70 descarga 66 edicin en lnea 70 edicin fuera de lnea 69 lista de verificacin 109 programa de aplicacin vase programa programa de seguridad 53 definicin 116 propiedad 33 protocolo CIP Safety definicin 116 descripcin general 27 sistema encaminable 37 proyecto confirmacin 63
T
tags datos de seguridad producidos/consumidos 53 Safety I/O 53 vea tambin tags de seguridad tags de seguridad 53 definicin 116 tipos de datos vlidos 53 tags de seguridad consumidos nmero de red de seguridad 40 tarea de seguridad definicin 117 descripcin general 50 ejecucin 51 tarea peridica definicin 117 temporizador de control (watchdog) de la tarea de seguridad definicin 117 temporizador de control (watchdog) de tarea de seguridad 22 descripcin general 22 establecimiento a travs de RSLogix 5000 22 expiracin del tiempo de espera 51 modificacin 22
121
ndice
terminologa utilizada a lo largo del manual 10 tiempo de reaccin sistema 22 tarea de seguridad 22 tiempo de reaccin de la tarea de seguridad 22 definicin 117 tiempo de reaccin del sistema 22 clculo 99 definicin 117 tiempo de reaccin del sistema Logix clculo 100 tiempo de retardo de salida 33 tolerancia a fallos de hardware 111
U
UL 19 utilidad de comparacin de programas 65
V
verificacin del programa 62
122
Asistencia tcnica de Rockwell Automation

Rockwell Automation proporciona informacin tcnica a travs de Web para ayudarle a utilizar sus productos. En http://www.rockwellautomation.com/support/, puede encontrar manuales tcnicos, una base de conocimientos con respuestas a preguntas frecuentes, notas tcnicas y de aplicacin, ejemplos de cdigos y vnculos a paquetes de servicio de software, adems de la funcin MySupport que puede personalizar para aprovechar al mximo estas herramientas. Con el fin de obtener un nivel adicional de asistencia tcnica telefnica para la instalacin, la configuracin y la resolucin de problemas, ofrecemos los programas de asistencia tcnica TechConnect. Para obtener ms informacin, comunquese con el distribuidor regional o con el representante de Rockwell Automation, o visite http://www.rockwellautomation.com/support/.
Asistencia para la instalacin

Si se presenta cualquier anomala durante las primeras 24 horas posteriores a la instalacin, revise la informacin contenida en este manual. Tambin puede llamar a un nmero especial de asistencia tcnica para obtener ayuda en un primer momento para la puesta en servicio del producto. Estados Unidos o Canad +1-440-646-3434 Fuera de los Estados Unidos o Canad Utilice el Worldwide Locator en http://www.rockwellautomation.com/support/americas/phone_en.html o comunquese con el representante local de Rockwell Automation.
Devolucin de productos nuevos

Rockwell Automation prueba todos los productos para garantizar que funcionan correctamente cuando salen de las instalaciones de fabricacin. No obstante, si su producto no funcionara y necesitara devolverlo, siga estos procedimientos. En los Estados Unidos Pngase en contacto con su distribuidor. Deber proporcionar al distribuidor un nmero de caso de asistencia tcnica al cliente (llame al nmero de telfono anterior para obtener uno) a fin de completar el proceso de devolucin. Comunquese con el representante regional de Rockwell Automation para obtener informacin sobre el procedimiento de devolucin.
Desde fuera de los Estados Unidos
Comentarios sobre la documentacin

Sus comentarios nos ayudarn a atender mejor sus necesidades de documentacin. Si tiene sugerencias sobre cmo mejorar este documento, llene este formulario, publicacin RA-DU002, disponible en http://www.rockwellautomation.com/literature/.

Sustituye la publicacin 1756-RM093E-ES-P Julio de 2008 Copyright 2010 Rockwell Automation, Inc. Todos los derechos reservados. Impreso en EE.UU.

Idioma

Guardlogix Controladores

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guardlogix Controladores

Título original:

Cargado por

Copyright:

Formatos disponibles

Sistemas controladores GuardLogix

Informacin importante para el usuario

17 18 27 47 67 91 111 y 112 112 En todo el documento

3Publicacin 1756-RM093F-ES-P Enero 2010

Publicacin 1756-RM093F-ES-P Enero 2010

Captulo 1 Concepto de nivel de integridad de Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Certificacin SIL 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 seguridad (SIL)

Captulo 2 Sistema controlador GuardLogix

Captulo 3 CIP Safety I/O para el sistema de control GuardLogix

Publicacin 1756-RM093F-ES-P Enero 2010

Propiedad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Firma de configuracin de Safety I/O . . . . . . . . . . . . 33 Reemplazo de mdulos de E/S . . . . . . . . . . . . . . . . . 34

Captulo 4 CIP Safety y el nmero de red de seguridad

Captulo 5 Caractersticas de tags de seguridad, tarea de seguridad y programas de seguridad

Captulo 6 Desarrollo de la aplicacin de seguridad

Publicacin 1756-RM093F-ES-P Enero 2010

Captulo 7 Monitoreo de estado y manejo de fallos

Apndice A Instrucciones de seguridad

Apndice B Instrucciones Add-On de seguridad

Publicacin 1756-RM093F-ES-P Enero 2010

Apndice C Tiempos de reaccin

. . . . . . 101 . . . . . . 102 . . . . . . 103

Apndice D Listas de verificacin para aplicaciones de seguridad GuardLogix

Publicacin 1756-RM093F-ES-P Enero 2010

Acerca de esta publicacin

Quin debe utilizar esta publicacin

Publicacin 1756-RM093F-ES-P Enero 2010

En la tabla siguiente se definen los trminos utilizados en este manual.

PFH PL SNN SSV --

Publicacin 1756-RM093F-ES-P Enero 2010

Recurso GuardLogix Controller Installation Instructions, publicacin 1756-IN045

Publicacin 1756-RM093F-ES-P Enero 2010

Publicacin 1756-RM093F-ES-P Enero 2010

Concepto de nivel de integridad de seguridad (SIL)

Publicacin 1756-RM093F-ES-P Enero 2010

Concepto de nivel de integridad de seguridad (SIL)

Pruebas de verificacin de funcionamiento

Publicacin 1756-RM093F-ES-P Enero 2010

Concepto de nivel de integridad de seguridad (SIL)

en la prueba de verificacin de funcionamiento de los otros componentes del sistema de seguridad.

Arquitectura GuardLogix para aplicaciones SIL 3

Publicacin 1756-RM093F-ES-P Enero 2010

Concepto de nivel de integridad de seguridad (SIL)

Funcin SIL tpica

Mdulo CIP Safety I/O en red Ethernet

Mdulo CIP Safety I/O en red Ethernet

Accionador Controlador Compact GuardLogix con mdulo 1768-ENBT Sensor

Sistema Compact GuardLogix SIL 3

Publicacin 1756-RM093F-ES-P Enero 2010

Concepto de nivel de integridad de seguridad (SIL)

Componentes del sistema GuardLogix

Tarjetas 1784-CF64 CompactFlash 1784-CF128

Publicacin 1756-RM093F-ES-P Enero 2010

Concepto de nivel de integridad de seguridad (SIL)

1734-UM011 DNET-UM004 CNET-UM001 CNET-UM001 Consulte la ayuda en lnea. N/A N/A

Publicacin 1756-RM093F-ES-P Enero 2010

Concepto de nivel de integridad de seguridad (SIL)

Nmero de catlogo UL 1998 UL 508

IEC 61508 (SIL 3)

ANSI RIA 15.06

1756-L61S,1756-L62S, 1756-L63S 1768-L43S, 1768-L45S

Publicacin 1756-RM093F-ES-P Enero 2010

Concepto de nivel de integridad de seguridad (SIL)