1756-RM099B-IT-P, Sistemi di controllo GuardLogix 5570, Manuale
Contents
1. Modulo 1 0 CIP Safety f 1756 EN2T se Modulo 1 0 CIP Safety su rete Ethernet Modulo 1 0 CIP Safety su rete Ethernet Attuatore Sistema Compact GuardLogix SIL 3 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 15 Capitolo 1 Significato di livello di integrit della sicurezza SIL Componenti del sistema Nelle tabelle riportate in questa sezione sono elencati i componenti GuardLogix GuardLogix Certificati SIL 3 ed i componenti privi di certificazione SIL 3 che possono essere g utilizzati con i sistemi GuardLogix SIL 3 Per un elenco aggiornato delle serie e delle versioni del firmware certificate dei controllori GuardLogix e dei dispositivi I O CIP Safety visitare il sito http www rockwellautomation com products certification safety Le versioni del firmware sono disponibili all indirizzo http support rockwellautomation com ControlFLASH Tabella 2 Componenti GuardLogix certificati SIL 3 Documentazione attinente Istruzioni per Tipo di dispositivo Num di Cat Descrizione l installazione Manuale utente 1756 1715 Controllore con 2 MB di memoria standard 1 MB di memoria di sicurezza o 1756 1725 Controllore con 4 MB di memoria standard 2 MB di e E memoria di sicurezza uardLogix i i i ControlLogix557052. Attuatore 1791DS IB8X0B8 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Peso e distribuzione della conformit al livello di integrit della sicurezza SIL 40 della gt PFD Tempo di risposta del sistema Sensore Significato di livello di integrit della sicurezza SIL Capitolo 1 Per determinare il valore PHF della logica per ogni loop di sicurezza nel semplice sistema mostrato nell esempio di PFH sommare i valori PFH di ogni componente presente nel loop La tabella Equazioni PFH per loop di sicurezza fornisce un esempio semplificato di calcoli del valore PFH per ogni loop di sicurezza presente nella figura dell esempio di PFH Tabella 4 Equazioni PFH per loop di sicurezza Per questo loop Sommare i valori PFH di questi componenti PFH totale per loop 1 1791DS 1B12 controllore GuardLogix 1791DS IB4XOX4 PFH totale per loop 2 1791DS 1B8X0B8 controllore GuardLogix 1791DS IB4X0X4 Durante il calcolo dei valori di PFH si deve tenere conto dei requisiti specifici dell applicazione inclusi gli intervalli di tempo per i test Si pu supporre che il controllore GuardLogix ed il sistema I O contribuiscano al 10 del livello di affidabilit possibile che un sistema SIL 3 debba incorporare ingressi multipli per sensori e dispositivi di ingresso critici oltre ad uscite doppie collegate in serie ad attuatori doppi che dipendono
3. del task di sicurezza e dei programmi Applicazioni di sicurezza SIL 2 L a r a e a a E di sicurezza Sviluppo dell applicazione di sicurezza Controllo di sicurezza SIL 2 nel task di sicurezza Controllo di sicurezza SIL 2 nei task standard Sicurezza SIL 3 il taskdi sicarezza iii Limitazioni relative al task di sicurezza Lt Dettagli sull esecuzione del task di sicurezza Uso dellemnterfaccesperatore carita ai poli Precauzioni viti elia lele ea Accesso ai sistemi di sicurezza sosia Progr mmi disic rez iena ata Routine di sicurezza oi pie ie Tagdisicniazza sai ro A EA A E EA TAA Tag standard in routine di sicurezza mappatura dei tag Capitolo 6 Presupposti del concetto di sicurezza sue sis attrarre ne dida Concetti base per lo sviluppo ed il test dell applicazione Procedura per la messa in Servizio se ira Specifica della funzione di controllo 0 Creare il progetto nuclear aK Test del programma applicativo nece lesson het Generazione della firma del task di sicurezza Tesrdivenficade progetto isso aa Confermare il progetto snai Validazione di sicurezza pirata area Blocco del controllore Guatdbopixsia ariana Download del programma applicativo di sicurezza Upload del programma per applicazioni di sicurezza Modwficheonim tit
4. Al di fuori degli Stati Uniti Utilizzare il Worldwide Locator sul sito http www rockwellautomation com rockwellautomation support overview page oppure o del Canada contattare il rappresentante Rockwell Automation di zona Restituzione di nuovi prodotti non funzionanti Rockwell Automation testa tutti i propri prodotti per garantire che siano perfettamente funzionanti al momento della spedizione dalla fabbrica Tuttavia se il prodotto non funziona e deve essere restituito procedere come segue Stati Uniti Contattare il proprio distributore Per completare la procedura di reso necessario fornire al distributore il numero di pratica attribuito dall Assistenza Clienti chiamare il numero telefonico sopra indicato per ottenerne uno AI di fuori degli Stati Uniti Si prega di contattare il proprio rappresentante Rockwell Automation di zona per la procedura di restituzione Commenti relativi alla documentazione I commenti degli utenti sono molto utili per capire le loro esigenze in merito alla documentazione Per proporre dei suggerimenti su eventuali migliorie da apportare al presente documento compilare il modulo RA DU002 disponibile sul sito http www rockwellautomation com literature Informazioni ambientali aggiornate sui prodotti sono disponibili sul sito web di Rockwell Automation all indirizzo http www rockwellautomation com rockwellautomation about us sustainability ethics product environmental compliance pag
5. CIP Safety necessario leggere comprendere e seguire le informazioni per l installazione il funzionamento e la sicurezza fornite nelle pubblicazioni elencate nelle tabelle Componenti GuardLogix certificati SIL 3 a pagina 16 I dispositivi I O CIP Safety possono essere collegati a dispositivi di ingresso e di uscita di sicurezza come sensori ed attuatori consentendone il monitoraggio ed il controllo da parte del controllore GuardLogix Nel caso dei dati di sicurezza la comunicazione I O viene eseguita attraverso connessioni di sicurezza utilizzando il protocollo CIP Safety la logica di sicurezza elaborata nel controllore GuardLogix Tipiche funzioni di sicurezza Quanto segue trattato come stato di sicurezza dai dispositivi I O CIP Safety dei dispositivi 1 0 CIP Safety e Uscite di sicurezza OFF e Dati ingresso di sicurezza al controllore OFF Rete CIP Safety Stato di sicurezza y i Dati Uscita di sicurezza ingresso di disattivata sicurezza Usare i dispositivi I O CIP Safety per applicazioni che si trovano nello stato di sicurezza quando l uscita di sicurezza viene disattivata Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 27 Capitolo3 1 0 CIP Safety per il sistema di controllo GuardLogix Tempo di risposta 28 Diagnostica I dispositivi I O CIP Safety eseguono un autodiagnosi all accensione e periodica mente durante il funzionamento Se viene rilevato un errore diagnostico i
6. conferma di un progetto 76 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Istruzioni Add On di sicurezza Appendice B Validazione di sicurezza delle istruzioni Add On possibile che sia necessaria una verifica indipendente dell istruzione Add On di sicurezza eseguita da terze parti prima che l istruzione possa essere approvata per l uso La normativa IEC 61508 SIL 3 richiede una validazione indipendente eseguita da terze parti Creazione di una voce nella cronologia della firma La cronologia della firma un documento utile per consultazioni future Ciascuna voce della cronologia della firma comprende la firma dell istruzione il nome dell utente il valore della registrazione cronologica di ora e data ed una descrizione definita dall utente possibile memorizzare fino a sei voci della cronologia Per creare una voce nella cronologia della firma occorre essere offline SUGGERIMENTO Il report Signature Listing dell applicazione Logix Designer consente di stampare la firma dell istruzione la registrazione cronologica di ora e data e la firma dell istruzione di sicurezza Per stampare il report fare clic con il pulsante destro del mouse sull istruzione Add On nell organizer del controllore e selezionare Print gt Signature Listing Esportazione ed importazione dell istruzione Add On di sicurezza Durante l esportazione di un istruzione Add On di sicurezza scegliere l opzione che consente di include
7. Novembre 2014 Appendice A Istruzioni di sicurezza Per informazioni aggiornate consultare i certificati di sicurezza sul sito http www rockwellautomation com products certification safety La Tabella 9 e la Tabella 10 elencano le istruzioni per le applicazioni di sicurezza certificate per l uso in applicazioni SIL 3 Tabella 9 Istruzioni generali per le applicazioni di sicurezza Mnemonico Nome Scopo Certificazione CROUT Configurable Redundant Output Controlla e monitora le uscite ridondanti BG e TUV DCA Dual Channel Input Analog T V interi Monitora due valori analogici per la deviazione e la tolleranza del campo DCAF Dual Channel Input Analog virgola mobile DCS Dual Channel Input Stop Monitora i dispositivi di sicurezza a doppio ingresso il cui obiettivo principale quello di fornire una e BG funzione di arresto ad esempio un pulsante di emergenza una barriera fotoelettrica o un T V interruttore di interblocco porte DCST Dual Channel Input Stop With Monitora i dispositivi di sicurezza a doppio ingresso il cui obiettivo principale quello di fornire una BG Test funzione di arresto ad esempio un pulsante di emergenza una barriera fotoelettrica o un T V interruttore di interblocco porte Inoltre pu avviare un collaudo funzionale del dispositivo di arresto DCSTL Dual Channel Input Stop With Monitora i dispositivi di sicurezza a d
8. costituita da un numero ID e dalla registrazione cronologica che associa i contenuti dell istruzione Add On ad una determinata ora e data Una volta generata la firma dell istruzione sigilla l istruzione Add On impedendo che venga modificata fintanto che presente la firma Questa restrizione riguarda i commenti al ramo le descrizioni dei tag ed eventuale altra documentazione creata relativamente all istruzione Quando l istruzione sigillata possibile eseguire solo le seguenti azioni e Copiare la firma dell istruzione e Creare o copiare una voce della cronologia della firma e Creare istanze dell istruzione Add On e Scaricare l istruzione e Rimuovere la firma dell istruzione e Stampare dei report Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 75 AppendiceB Istruzioni Add On di sicurezza In seguito alla generazione della firma dell istruzione l applicazione Logix Designer visualizza la definizione dell istruzione con l icona del sigillo Add On Instructions onveyor_Control A Parameters and Local E Logic IMPORTANTE Se si intende proteggere l istruzione Add On con la funzione di protezione del sorgente dell applicazione Logix Designer necessario abilitare tale funzione prima di generare la firma dell istruzione Download e generazione della firma dell istruzione di sicurezza Quando si scarica per la prima volta un istruzione Add On di sicurezza sigillata vie
9. 1756 L73S Controllore con 8 MB di memoria standard 4 MB di io versione Alo memoria di sicurezza N Al9 i e Con software RSLogix 5000 versione 20 1756 L73SXT Controllore XT con 8 MB di memoria standard 4 MB di o precedente 1756 UM020 memoria di sicurezza Coprocessore di sicurezza 1756 L7SP Coprocessore di sicurezza GuardLogix 1756 i ControlLogix5575P 1756 L7SPXT Coprocessore di sicurezza XT 1756 1615 Controllore con 2 MB di memoria standard 1 MB di memoria di sicurezza Controllore primario 1756 L625 Controllore con 4 MB di memoria standard 1 MB di GuardLogix 1756 1 memoria di sicurezza ControlLogix55605 wW 1756 L63S Controllore con 8 MB di memoria standard 3 75 MB di N A 1756 UM020 memoria di sicurezza Coprocessore di sicurezza 1756 LSP Coprocessore di sicurezza GuardLogix 1756 ControlLogix55sP Controllore 1768 143S Controllore compatibile con due moduli 1768 N A 1768 UM002 are Ie 1768 1455 Controllore compatibile con quattro moduli 1768 Moduli 1 0 CIP Safety su reti 1791DS IN001 DeviceNet 1791DS IN002 1791DS UM001 Per un elenco aggiornato delle serie e delle versioni del firmware certificate 1732DS IN001 z visitare il sito i Safety sureti http www rockwellautomation com products certification safety ve enut AAE UMUC Moduli POINT Guard 1 0 N A 1734 UM013 Servoazionamenti Kinetix 5500 Per un elenco aggiornato delle serie e delle versioni del f
10. Tempo di risposta del dispositivo di uscita di sicurezza Per determinare il tempo di risposta del proprio loop di controllo disponibile un foglio di calcolo elettronico Microsoft Excel nella cartella Tools del DVD dell ambiente Studio 5000 80 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Tempi di risposta Appendice C Catena logica che utilizza tag di sicurezza prodotti consumati Figura 21 Tempo di risposta del sistema Logix per la catena ingresso logica controllore A logica controllore B uscita 4 Limite tempo di risposta connessione di sicurezza P C Switch EtherNet Rete EtherNet Rete EtherNet 3 Periodo del task di sicurezza watchdog del task di sicurezza 5 Periodo del task di sicurezza watchdog del task di sicurezza Modulo DeviceNet Modulo Ethernet Modulo DeviceNet Modulo Ethernet GuardLogix B Controllore GuardLogix A Controllore 6 Limite tempo di risposta i connessione uscita di sicurezza i 7 Ritardo dispositivo di uscita di sicurezza 1 Ritardo 2 Limite tempo di risposta dispositivo di connessione ingresso di sicurezza ingresso di sicurezza Rete CIP Safety Rete CIP Safety Il tempo di risposta del sistema Logix per la catena ingresso logica controllore A logica controllore B uscita dipende dai sette componenti che seguono j Tempo di risposta del dispositivo di ingresso di sicurezza tempo di ritard
11. 17 23 1756 A10 17 1756 A13 17 1756 A17 17 1756 A4 17 1756 ASXT 17 1756 A7 17 1756 A7XT 17 1756 CN2 17 23 1756 CN2R 17 23 1756 CN2RXT 17 23 1756 DNB 17 23 1756 EN2F 17 23 1756 EN2T 17 23 1756 EN2TR 23 1756 EN2TXT 17 23 1756 EN3TR 23 1756 ENBT 17 23 1756 PB72 17 1756 PB75 17 1768 CNB 23 1768 CNBR 23 1768 ENBT 23 1784 CF128 17 1784 SD1 17 1784 SD2 17 A alimentatori 17 panoramica hardware 22 ambiente Studio 5000 17 blocco di sicurezza 56 default 56 operazioni limitate 56 password 56 C certificazione livello di integrit di sicurezza SIL 3 39 13 76 certificazione livello di integrit di sicurezza SIL 3 componenti Logix 16 responsabilit dell utente 14 TUV Rheinland 14 certificazioni 18 certificazioni di sicurezza e conformit 18 certificazioni di terza parte 18 chassis numeri di catalogo 17 panoramica hardware 22 checklist ingressi SIL 3 89 sistema di controllo GuardLogix 25 88 sviluppo del programma 91 Indice analitico uscite SIL 3 90 componenti Logix certificati SIL 3 16 componenti XT 17 comunicazione peer to peer 23 concetti base per lo sviluppo dell applicazione 50 concetto di sicurezza presupposti 49 CONNECTION_STATUS tipo di dati 63 controllore primario definizione 105 panoramica hardware 22 copertura diagnostica definizione 10 coprocessore di sicurezza definizione 105 panoramica hardware 22 posizione 22 cronologia della firma 77 D Devic
12. 1B16 Modulo di ingresso a 16 punti CIP Safety 4 98E 10 1791E5 IB8XOBV4 Modulo di ingresso a 8 punti e 4 uscite bipolari CIP Safety 5 04E 10 1734 1B85 serie A Modulo di ingresso a 8 punti CIP Safety 5 10E 10 1734 IB85 serie B Modulo di ingresso a 8 punti CIP Safety 5 27E 10 1734 0B8S serie A Modulo di uscita a 8 punti CIP Safety 5 14E 10 1734 0B8S serie B Modulo di uscita a 8 punti CIP Safety 5 20E 10 1734 IE4S Modulo di ingresso analogico a 4 punti CIP Safety funzionamento monocanale 5 6E 11 Modulo di ingresso analogico a 4 punti CIP Safety funzionamento a doppio canale 3 9E 11 1 1dati relativi alla probabilit PFH valgono soltanto per i prodotti con codice di data di produzione 2009 01 01 1 gennaio 2009 o successivo Per informazioni sul codice data fare riferimento all etichetta del prodotto 94 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Appendice F Software RSLogix 5000 versione 14 e successiva istruzioni per applicazioni di sicurezza Argomento Sistema di diseccitazione all intervento 95 Utilizzare i dati sullo stato della connessione per inizializzare un errore tramite il programma 95 Sistema di diseccitazione Quando si utilizzano istruzioni per applicazioni di sicurezza tramite il software RSLogix 5000 versione 14 al rilevamento di un errore tutti gli ingressi e le uscite vengono impostati a zero Conseguentemente gli ingressi monitorati da una tra le istruzioni per ingressi
13. Controller Properties SD_safetycontroller E 210 x General Serial Port System Protocol User Protocol Major Faults Minor Faults Date Time Advanced Fie Safety Memory Safety Application Unlocked Safety Lock Unlock Safety Status Safety Signature Generate e ID none Date Time When replacing Safety 1 0 Configure Only When No Safety Signature Exists C Configure Always OK Cancel Apply Help Configure Only When No Safety Signature Exists Questa impostazione richiede al controllore GuardLogix di configurare un dispositivo di sicurezza solo se il task di sicurezza non dispone di firma del task di sicurezza ed il dispositivo sostitutivo si trova nella condizione predefinita in fabbrica cio all interno del dispositivo di sicurezza non presente un numero della rete di sicurezza Se il task di sicurezza ha una firma il controllore GuardLogix configura il dispositivo I O CIP Safety sostitutivo solo in presenza delle seguenti condizioni e Il dispositivo ha gi il corretto numero di rete di sicurezza e La codifica elettronica del dispositivo corretta e L indirizzo del nodo o IP corretto 30 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 1 0 CIP Safety per il sistema di controllo GuardLogix Capitolo 3 Configure Always Il controllore GuardLogix tenta di configurare un dispositivo I O CIP Safety sostitutivo se questo si trova nella condizione pre
14. Node30lInputsFaulted J E ONS I D J E L J LE I Node31 l CombinedStatus Node31InputsFaulted ela Se gli ingressi non sono in errore scrivere i valori del tag di ingresso nelle rappresentazioni interne degli ingressi Node30InputsFaulted Node30 1 Pt00Data W Node30lnput00 CS E 3 E No de30 1 Pt01Data Node30lInput01 A 0000 Node30 1 Pt07Data n Z Node30lnput07 C Se gli ingressi non sono in errore scrivere i valori del tag di ingresso nelle rappresentazioni interne degli ingressi Node31 1 Pt00Data Node31Input00 CS Node31 InputsFaulted No de31 1 Pt01Data Node31Input01 Z 0000 Node31 1 Pt11Data Nas Z Node31Input11 Cc Se l indicazione di guasto corretta impostare le rappresentazioni interne degli ingressi diversificati sullo stato di sicurezza 1 NodesolnputsFaulted JE Node31Input01 IL S Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Node31Input03 CS DI Software RSLogix 5000 versione 14 e successiva istruzioni per applicazioni di sicurezza Appendice F Figura 25 Diagramma di flusso per latch e reset degli errori di uscita Inizio Questa funzione di sicurezza richiede l intervento dell operatore dopo un errore dell uscita di sicurezza Scrivere la logica per la ritenuta latch dell errore dell uscita Esempio ramo 0
15. Novembre 2014 77 AppendiceB Istruzioni Add On di sicurezza Altre risorse 78 Esecuzione del test del programma applicativo Questo passo include qualsiasi combinazione di modalit Esecuzione e Programmazione modifiche al programma online o offline upload e download e test informali necessari perch un applicazione funzioni correttamente Test di verifica del progetto Eseguire un test funzionale dell applicazione comprendente il sistema di sicurezza Per ulteriori informazioni sui requisiti vedere Test di verifica del progetto a pagina 54 Esecuzione della validazione di sicurezza del progetto possibile che sia necessaria una verifica indipendente di terza parte del sistema di sicurezza prima che il sistema venga approvato per il funzionamento La normativa IEC 61508 SIL 3 richiede una validazione indipendente eseguita da terze parti Per ulteriori informazioni sull uso delle istruzioni Add On consultare le seguenti pubblicazioni Risorsa Descrizione Manuale di programmazione Istruzioni add on per Fornisce informazioni su come pianificare creare controllori Logix5000 pubblicazione 1756 PM010 utilizzare importare ed esportare istruzioni Add On nelle applicazioni RSLogix 5000 Manuale di programmazione Importazione esportazione Contiene informazioni dettagliate su come importare ed di componenti del progetto pubblicazione 1756 PM019 esportare componenti del progetto Pubblicazione Rockwell Autom
16. Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 43 Capitolo5 Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Accesso ai sistemi di sicurezza Le funzioni dell interfaccia operatore possono essere raggruppate in due attivit principali lettura e scrittura dei dati Lettura dei parametri nei sistemi di sicurezza Non influendo sul comportamento del sistema di sicurezza la lettura dei dati non prevede restrizioni Tuttavia il numero la frequenza e le dimensioni dei dati che vengono letti possono incidere sulla disponibilit del controllore Per evitare interventi di protezione indesiderati di sicurezza ricorrere a valide pratiche di comunicazione per limitare l impatto dell elaborazione delle comunicazioni sul controllore Non impostare le frequenze di lettura al massimo valore possibile Modifica dei parametri nei sistemi SIL La modifica di un parametro in un loop di sicurezza attraverso un dispositivo esterno esterno al loop di sicurezza come ad esempio un interfaccia operatore ammessa solo con i vincoli di seguito e Solo personale autorizzato e qualificato operatori pu modificare i parametri dei sistemi di sicurezza attraverso le interfacce operatore e L operatore che effettua modifiche in un sistema di sicurezza attraverso un interfaccia operatore responsabile dell effetto di tali modifiche sul loop di sicurezza e FE necessario documentare chiaram
17. alla richiesta Upload tag Values Carica valori tag 3 Con l applicazione Logix Designer offline salvare il progetto con un nuovo nome ad esempio Offlineprojectname ACD dove projectname il nome del proprio progetto Questo il nuovo file di progetto master testato 4 Chiudere il progetto 5 Spostare il file di archivio del progetto originale dalla directory attuale Il file pu essere eliminato o memorizzato in una posizione dell archivio Questo passo necessario perch se l applicazione Logix Designer trova projectname ACD in questa directory lo collega al progetto del control lore e non esegue un vero e proprio upload 6 Conil controllore ancora in modalit Programmazione caricare il progetto dal controllore 7 Salvare il progetto caricato come Onlineprojectname ACD dove projectname il nome del proprio progetto 8 Rispondere Yes S alla richiesta Upload tag Values Carica valori tag 9 Usare la funzione Program Compare di Logix Designer per i seguenti confronti e confrontare tutte le propriet del controllore GuardLogix e dei dispositivi I O CIP Safety e confrontare tutte le propriet del task di sicurezza dei programmi di sicurezza e delle routine di sicurezza e confrontare l intera logica nelle routine di sicurezza Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 55 Capitolo 6 Sviluppo dell applicazione di sicurezza Download del programma ap
18. consumati nella catena logica Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 79 AppendiceC Tempi di risposta Semplice catena ingresso logica uscita Figura 20 Tempo di risposta massimo del sistema Logix per una catena semplice di ingresso logica uscita 3 Periodo del task di sicurezza watchdog del task di sicurezza Controllore GuardLogix Modulo di comunicazione 1 Ritardo 2 Limite tempo di risposta dispositivo di connessione ingresso di sicurezza ingresso di sicurezza Rete CIP Safety 4 Limite tempo di risposta 5 Ritardo connessione uscita di sicurezza i ei dispositivo di uscita di sicurezza Il tempo di risposta del sistema Logix per qualunque catena semplice di ingresso logica uscita dipende dai cinque componenti che seguono 1 Tempo di risposta del dispositivo di ingresso di sicurezza tempo di ritardo di ingresso se applicabile 2 Limite tempo di risposta connessione ingresso di sicurezza da leggere nella finestra di dialogo Module Properties dell applicazione Logix Designer questo valore un multiplo dell RPI della connessione del dispositivo di ingresso di sicurezza 3 Periodo del task di sicurezza tempo di watchdog del task di sicurezza 4 Limite tempo di risposta connessione uscita di sicurezza da leggere nella finestra di dialogo Module Properties dell applicazione Logix Designer questo valore un multiplo del periodo del task di sicurezza 5
19. da canale a canale T V ed inoltre di bypassare un comando a due mani TSAM Two Sensor Asymmetrical Muting Disabilita automaticamente per un certo periodo di tempo la funzione di protezione di una T V barriera fotoelettrica utilizzando due sensori di muting disposti in modo asimmetrico TSSM Two Sensor Symmetrical Muting Disabilita automaticamente per un certo periodo di tempo la funzione di protezione di una T V barriera fotoelettrica utilizzando due sensori di muting disposti in modo simmetrico FSBM Four Sensor Bidirectional Muting Disabilita automaticamente per un certo periodo di tempo la funzione di protezione di una T V barriera fotoelettrica utilizzando quattro sensori disposti in sequenza a monte ed a valle del campo di rilevamento della barriera fotoelettrica Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 69 Appendice A Istruzioni di sicurezza Tabella 10 Istruzioni per le applicazioni di sicurezza nella formatura lamiera Mnemonico Nome Scopo Certificazione CBCM Clutch Brake Continuous Mode Utilizzata per applicazioni relative alle presse quando si richiede un funzionamento continuo BG e TUV CBIM Clutch Brake Inch Mode Utilizzata per applicazioni relative alle presse quando si richiedono piccole regolazioni della slitta ad e BG esempio durante la configurazione della pressa T V CBSSM Clutch Brake Single Stoke Mode Utilizzata per applicazioni relative a
20. dati di ingresso di sicurezza inviati al controllore e le uscite di sicurezza locali vengono impostate nel rispettivo stato di sicurezza OFF Dati di stato Oltre ai dati di ingresso e di uscita di sicurezza alcuni dispositivi I O CIP Safety supportano i dati di stato per monitorare lo stato generale del dispositivo e del circuito I O Per informazioni sulle funzioni di un prodotto specifico consultare la documentazione fornita con il dispositivo Indicatori di stato I dispositivi I O CIP Safety sono provvisti di indicatori di stato Per informazioni dettagliate sul funzionamento degli indicatori di stato fare riferimento alla documentazione del proprio dispositivo specifico Funzione di ritardo all eccitazione ed alla diseccitazione possibile che alcuni dispositivi I O CIP Safety supportino le funzioni di ritardo all eccitazione ed alla diseccitazione dei segnali di ingresso A seconda dell appli cazione utilizzata potrebbe essere necessario includere il ritardo all eccitazione il ritardo alla diseccitazione o entrambi quando si calcola il tempo di risposta del sistema Per informazioni sul tempo di risposta del sistema consultare l Appendice C Il tempo di risposta di ingresso corrisponde al tempo che intercorre tra il momento in cui il segnale si modifica su un morsetto di ingresso ed il momento in cui i dati di sicurezza vengono inviati al controllore GuardLogix Il tempo di risposta di uscita corrisponde al temp
21. degli ingressi del sistema GuardLogix Azienda Sito Definizione della funzione di sicurezza Canali di ingresso SIL RACE TION Realizzato Numero Requisiti dei dispositivi di ingresso a 7 Commento o 1 Sono state seguite le istruzioni per l installazione e le precauzioni in modo da soddisfare gli standard di sicurezza applicabili 2 Sono stati eseguiti test di verifica del progetto sul sistema e sui dispositivi T 3 Nella logica dell applicazione vengono eseguite in sequenza funzioni di controllo diagnostica ed allarme 4 stata caricata e confrontata la configurazione di ogni dispositivo con la configurazione inviata dallo strumento di L configurazione 5 I dispositivi sono cablati in conformit con PLe Cat 4 secondo la normativa ISO 13849 1 1 6 Si verificato che le specifiche tecniche elettriche del sensore e quelle dell ingresso siano compatibili 1 Per informazioni sul cablaggio del dispositivo 1 0 CIP Safety in uso fare riferimento alla documentazione del prodotto per il dispositivo specifico Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 89 Appendice D Checklist per le applicazioni di sicurezza GuardLogix Checklist per le uscite Per la programmazione o l avvio deve essere compilata una checklist individuale di sicurezza dei requisiti per ogni canale di ingresso SIL di un sistem
22. diversificati Diverse Inputs o Two hand Run Station dovrebbero essere normalmente chiusi condizionati da una logica simile a quella del ramo 4 di Logica ladder esempio 2 e Logica ladder esempio 3 alle pagine 98 e 99 La logica esatta richiesta dipende sia dall applicazione che dal dispositivo di ingresso Tuttavia la logica deve creare uno stato di sicurezza 1 per l ingresso all intervento normalmente chiuso delle istruzioni degli ingressi diversificati Utilizzare i dati sullo stato I diagrammi che seguono forniscono esempi della logica applicativa necessaria per il latch ed il reset degli errori I O Gli esempi mostrano la logica necessaria sia della Connessione per per i moduli di solo ingresso sia per i moduli combinati di ingresso ed uscita Tali inizializzare un errore esempi usano la funzione Combined Status dei moduli I O che indica lo stato di tramite il programma tutti i canali di ingresso in un unica variabile booleana Una seconda variabile booleana rappresenta lo stato di tutti i canali di uscita Questo approccio riduce la quantit di logica di condizionamento degli I O richiesta e forza la logica stessa a disattivare tutti i canali di ingresso ed uscita sul modulo interessato Utilizzare il Diagramma di flusso di latch e reset degli errori di ingresso a pagina 96 per determinare quali rami della logica sono necessari nelle diverse situazioni applicative Logica ladder esempio 1 mostra la logica che sovrascrive le va
23. e successiva istruzioni per applicazioni di sicurezza Utilizzo dei moduli FLEX 1 0 1794 e degli ingressi uscite SIL 2 1756 con controllori GuardLogix 1756 perla conformit alla norma EN 50156 Appendice D Checklist del sistema di controllo GuardLogix 88 Checklist per gli ingressi di sicurezza csrl 89 Checklist per le uscite di sicurezza 3 cp siria 90 Checklist per sviluppare un programma di un applicazione di sicutezza ail el ia 91 Appendice E Valori di PFD ronen rrorrnrrorrerre 93 Valoridi PFH iaia eee dedletva diluire 94 Appendice F Sistema di diseccitazione all intervento 00 95 Utilizzare i dati sullo stato della connessione per inizializzare un errore tramite il programma uc 95 Appendice G Ingressi a doppio canale SIL 2 lato standard dei controllori Giardiogn cispuniltluins ls AAR ERE ANSNES 101 Uscite SIL 2 che utilizzano moduli di uscita SIL 3 Guard I O 103 Uscite SIL 2 che utilizzano moduli di uscita 1756 o 1794 SIL 2 103 Funzioni di sicurezza nel task di sicurezza GuardLogix 1756 104 Glossario Indice analitico 8 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Ambiente Studio 5000 Prefazione Argomento Ambiente Studio 5000 Terminologia Altre risorse 10 Nel presente manuale viene descritto il sistema di controllo GuardLogix 5570 type approved e certificato per l uso in applicazioni di sicurezza fi
24. le funzionalit a doppio canale necessarie per le funzioni di sicurezza PLd Cat 3 o PLe Cat 4 Consultare il manuale di riferimento GuardLogix Safety Application Instruction Set pubblicazione 1756 RM095 Controllo di sicurezza SIL 2 nei task standard I controllori della serie ControlLogix grazie alla qualit ed alla disponibilit di innumerevoli funzioni diagnostiche integrate consentono di eseguire le funzioni di sicurezza SIL 2 da task standard Vale anche per i controllori GuardLogix Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Sicurezza SIL 3 il task di sicurezza Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Capitolo 5 Per eseguire il controllo di sicurezza SIL 2 da un task standard GuardLogix necessario rispettare i requisiti definiti nel manuale di riferimento per la sicurezza Using ControlLogix in SIL 2 Applications pubblicazione 1756 RM001 La creazione di un progetto GuardLogix genera automaticamente un unico task di sicurezza Il task di sicurezza ha le seguenti caratteristiche aggiuntive e controllori GuardLogix sono gli unici compatibili con il task di sicurezza e Il task di sicurezza non pu essere eliminato e controllori GuardLogix permettono l uso di un task di sicurezza singolo e All interno del task di sicurezza possibile utilizzare diversi programmi di sicurezza costituiti da pi routine di sicurezza e Non
25. le uscite quando viene azzerato un bit OTE Output Energize Imposta un bit OTL Output Latch Imposta un bit ritentivo Bit OTU Output Unlatch Azzera un bit ritentivo ONS One shot Attiva un evento in modo che si verifichi una sola volta OSR One Shot Rising PUG un evento in modo che si verifichi una sola volta sul fronte da FALSE a TRUE in salita del cambiamento di stato OSF One Shot Falling ha un evento in modo che si verifichi una sola volta sul fronte da TRUE a FALSE in discesa del cambiamento di stato TON Timer On Delay Ritardo di attivazione del temporizzatore TOF Timer Off Delay Ritardo di disattivazione del temporizzatore dai RTO Retentive Timer On Accumula il tempo 70 CTU Conteggio ad incremento Conteggio ad incremento CTD Conteggio a decremento Conteggio a decremento RES Reset Azzera un temporizzatore o un contatore Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Tabella 11 Istruzioni di sicurezza in logica ladder Istruzioni di sicurezza Appendice A Tipo Mnemonico Nome Scopo cpl Compare Esegue un confronto sulle operazioni aritmetiche specificate nell espressione EQU Equal To Verifica se due valori sono uguali GEQ Greater Than Or Equal To Verifica se un valore maggiore o uguale ad un secondo valore GRT Greater Than Verifica se un valore m
26. sicurezza sia stato definito come alias di tag standard e viceversa o L 9 Ogni tag di uscita di sicurezza stato configurato correttamente e collegato ad un canale di uscita fisico L L 10 Si verificato che tutti i tag mappati siano stati condizionati nella logica dell applicazione di sicurezza L 11 Sono stati definiti i parametri di processo che sono monitorati dalle routine di errore C L 12 Le istruzioni Add On di sicurezza sono state sigillate con una firma dell istruzione e la firma dell istruzione di L L sicurezza stata registrata 13 Il programma stato controllato da un revisore di sicurezza indipendente se necessario l 14 La revisione stata documentata e firmata l L O Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 91 AppendiceD Checklist per le applicazioni di sicurezza GuardLogix Note 92 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Appendice E Dati di sicurezza dei sistemi GuardLogix Argomento Valori di PFD 93 Valori di PFH 94 I seguenti esempi mostrano i valori della probabilit di guasto su domanda PFD e probabilit di guasto all ora PFH per i sistemi GuardLogix 1002 SIL 3 che utilizzano moduli Guard I O Il ciclo di vita previsto per i controllori GuardLogix ed i moduli Guard I O di 20 anni Valori di PFD Tabella 14 PFD calcolata per intervallo tra prove fun
27. sono interessate dallo stato di blocco o di sblocco di sicurezza Vedere pagina 59 per maggiori informazioni sulle modifiche al programma applicativo Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 57 Capitolo 6 Sviluppo dell applicazione di sicurezza Memorizzazione e caricamento di un progetto dalla memoria non volatile Dati forzati Inibizione di un dispositivo I controllori GuardLogix 5570 supportano gli aggiornamenti firmware e la memorizzazione o il recupero dei programmi utente tramite una scheda di memoria In un sistema GuardLogix solo il controllore primario utilizza una scheda di memoria per la memoria non volatile Quando si memorizza un progetto di sicurezza su una scheda di memoria Rockwell Automation consiglia di selezionare Remote Program come modalit di caricamento ossia la modalit a cui passa il controllore in seguito al caricamento Prima dell entrata in funzione effettiva della macchina richiesto l intervento dell operatore che deve avviarla Il caricamento pu essere avviato dalla memoria non volatile solo e seil tipo di controllore specificato dal progetto memorizzato nella memoria non volatile corrisponde al tipo di controllore in uso e sele versioni principali e secondarie del progetto nella memoria non volatile corrispondono alle versioni principali e secondarie del controllore in uso e seilcontrollore non in modalit Esecuzione Il caricamento di un progetto in
28. test Per comprovare la validit dei calcoli formule utilizzati nella logica della propria applicazione si deve includere un insieme di test Sono accettabili test con intervalli equivalenti Si tratta di test eseguiti negli intervalli definiti dei valori ai limiti o in intervalli non validi di valori Il numero necessario di test case dipende dalle formule utilizzate e deve comprendere coppie di valori critici Deve essere inclusa anche la simulazione attiva con sorgenti dispositivi di campo poich l unico modo per verificare che i sensori e gli attuatori nel sistema siano cablati correttamente Verificare il funzionamento delle funzioni programmate manipolando manualmente i sensori e gli attuatori necessario inoltre prevedere test per verificare la reazione agli errori di cablaggio ed agli errori di comunicazione della rete La verifica del progetto include test per routine di errore e canali di ingresso e di uscita al fine di assicurare che il sistema di sicurezza funzioni correttamente Per eseguire un test di verifica del progetto sul controllore GuardLogix necessario eseguire un test completo dell applicazione necessario alternare ciascun sensore ed attuatore coinvolti nelle funzioni di sicurezza Dal punto di vista del controllore significa ciclare il punto I O nello stesso controllore non necessariamente gli attuatori reali Assicurarsi di verificare tutte le funzioni di spegnimento poich non vengono di sol
29. un controllore in blocco di sicurezza pu essere eseguito solo se la firma del task di sicurezza del progetto memorizzato nella memoria non volatile corrisponde al progetto presente nel controllore Se le firme non corrispondono o se il controllore in blocco di sicurezza senza firma del task di sicurezza necessario sbloccare preventivamente il controllore prima di cercare di eseguirne l aggiornamento tramite la memoria non volatile IMPORTANTE Se si sblocca il controllore e si avvia un caricamento dalla memoria non volatile lo stato del blocco di sicurezza le password e la firma del task di sicurezza vengono impostati sui valori contenuti nella memoria non volatile al termine del caricamento Tutti i dati contenuti in un I O in un tag di sicurezza prodotto o consumato incluso CONNECTION_STATUS possono essere forzati mentre il progetto in sblocco di sicurezza e se non esiste una firma del task di sicurezza Tuttavia le forzature devono essere disinstallate non solo disabilitate su tutti i tag di sicurezza prima che il progetto di sicurezza possa essere in blocco di sicurezza o che possa essere generata una firma del task di sicurezza I tag di sicurezza non possono essere forzati mentre il progetto in blocco di sicurezza o quando esiste una firma del task di sicurezza SUGGERIMENTO possibile installare e disinstallare le forzature su tag standard indipendentemente dallo stato di blocco o di sblocco di sicurezza Non
30. utente ControlLogix System pubblicazione 1756 UM001 Fornisce informazioni relative alla creazione ed all uso di istruzioni standard ed Add On di sicurezza in applicazioni Logix Fornisce informazioni sull utilizzo di controllori ControlLogix in applicazioni standard Manuale dell utente DeviceNet Modules in Logix5000 Control Systems pubblicazione DNET UM004 Fornisce informazioni sull utilizzo del modulo 1756 DNB in un sistema di controllo Logix5000 10 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Risorsa Manuale dell utente EtherNet IP Modules in Logix5000 Control Systems pubblicazione ENET UM001 Prefazione Descrizione Fornisce informazioni sull utilizzo del modulo 1756 ENBT in un sistema di controllo Logix5000 Manuale dell utente ControlNet Modules in Logix5000 Control Systems pubblicazione CNET UM001 Fornisce informazioni sull utilizzo del modulo 1756 CNB in sistemi di controllo Logix5000 Manuale di riferimento Logix5000 Controllers Execution Time and Memory Use pubblicazione 1756 RM087 Fornisce informazioni sulla stima del tempo d esecuzione delle istruzioni e sul relativo utilizzo della memoria Manuale di riferimento Logix Import Export pubblicazione 1756 RM084 Fornisce informazioni sull utilizzo della funzione Import Export di Logix Designer Criteri per il cablaggio e la messa a terra in automazione industriale pubblicazione 1770 4 1 Fornisce criteri generali
31. 014 Checklist per sviluppare un programma di Checklist per le applicazioni di sicurezza GuardLogix Appendice D un applicazione di sicurezza Checklist per lo sviluppo del programma applicativo GuardLogix crea o si modifica un programma di un applicazione di sicurezza Utilizzare la seguente checklist per contribuire a mantenere la sicurezza mentre si Azienda Sito Definizione progetto Realizzato Numero Requisiti del programma applicativo Commento S No 1 Si sta utilizzando la versione 21 o successiva dell applicazione Logix Designer lo strumento di l programmazione del sistema GuardLogix 2 Sono state seguite le linee guida di programmazione del Capitolo 6 durante lo sviluppo del programma C L applicativo di sicurezza 3 Il programma applicativo di sicurezza contiene soltanto logica ladder l 4 Il programma applicativo di sicurezza contiene soltanto le istruzioni elencate nell Appendice A in quanto l idonee per la programmazione delle applicazioni di sicurezza 5 Il programma applicativo di sicurezza distingue chiaramente tra tag di sicurezza e tag standard C L 6 Per le routine di sicurezza vengono utilizzati soltanto i tag di sicurezza L L 7 Si verificato che le routine di sicurezza non tentino di leggere dai tag standard o scrivere su di essi L 8 Si verificato che nessun tag di
32. 099B IT P Novembre 2014 Significato di livello di integrit della sicurezza SIL Sistema di controllo GuardLogix 1 0 CIP Safety per il sistema di controllo GuardLogix CIP Safety e numero della rete di sicurezza Indice Prefazione Ambiente Studio S000 ccerlroteer eli 9 Terminologia css Sea 10 Alireri onegan e Rionero 10 Capitolo 1 Certificazione SIL ione arno 13 Test di verifica inzionile csrl ire 14 Architettura GuardLogix per applicazioni SIL 3 15 Componenti del sistema GuardLogix x ira 16 Certificazioni diGuafdLogii ini paaza 18 Specifiche relative a PFD e PFH per GuardLogix 18 Peso e distribuzione della conformit al livello di integrit delli sicurezza SE saen ae a 19 Tempo di risposta del sistema o uneneen erener eeen 19 Tempo di risposta task di sicurezza LLL eee 20 Periodo del task di sicurezza e watchdog del task di sicurezza 20 Informazioni di contatto per i casi di guasto ai dispositivi 20 Capitolo 2 Hardware del controllore GuardLogix 5570 21 Controllore primanio psi lle inia 22 Coprocessore di sicurezza cile lrirale le oli 22 Chissa ona 20 cl cui to pedana Lou dll 22 Alimentatori sasun EE iaia 22 Protocollo CIP Safety triennale 22 Dispositivi I O di sicurezza cia 23 Bridge di comunicazione rate ia 23 Cenni generali sulla programmazione LL 25 Capitolo 3 Panoramicax sisi ra 27 Tipich
33. 56 L73S 1756 L7SP 1756 0B16 1756 DNB 1756 CN2 1756 1B16 Modulo 1 0 CIP Safety Rete DeviceNet Modulo 1 0 CIP Safety 24 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Sistema di controllo GuardLogix Capitolo 2 Cenni generali sulla Programmare i controllori GuardLogix 5570 utilizzando l applicazione i Logix Desi i i programmazione ogix Designer Studio 5000 Usare l applicazione Logix Designer per definire posizione propriet e configurazione di dispositivi I O e controllori oltre che per creare testare ed eseguire il debug della logica del programma Soltanto la logica ladder supportata dal task di sicurezza GuardLogix Per informazioni sul set di istruzioni logiche disponibili per i progetti di sicurezza consultare Appendice A Il personale autorizzato pu modificare un programma di sicurezza solamente utilizzando uno dei processi descritti in Modifica dell applicazione di sicurezza a pagina 59 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 25 Capitolo2 Sistema di controllo GuardLogix Note 26 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Capitolo 3 1 0 CIP Safety per il sistema di controllo GuardLogix Argomento Pagina Panoramica 27 Tempo di risposta 28 Considerazioni sulla sicurezza dei dispositivi 1 0 CIP Safety 29 Panoramica Prima di utilizzare un sistema di sicurezza GuardLogix 5570 con dispositivi I O
34. 60 processo di modifica 61 upload 57 verifica 54 programma applicativo modifica 59 vedere programma programma di sicurezza 45 definizione 106 propriet 29 protocollo CIP Safety definizione 106 panoramica 22 sistema instradabile 33 protocollo di controllo ed informazioni definizione 10 Q qualificazione di dati standard 47 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 riferimento univoco del nodo definito 34 routine di sicurezza 45 definizione 107 S scheda di memoria 17 scheda Secure Digital SD 17 SIL 2 EN50156 101 software modifiche al programma applicativo 59 software RSLogix 5000 17 sovrapposizione definizione 107 stato connessione 64 T tag dati di sicurezza prodotti consumati 46 1 0 di sicurezza 46 vedere anche tag di sicurezza tag di sicurezza 46 definizione 107 tipi di dati validi 46 tag di sicurezza consumati numero della rete di sicurezza 35 task di sicurezza definizione 107 Indice analitico esecuzione 42 panoramica 41 priorit 84 tempo di risposta 20 107 tempo di watchdog 84 task periodico definizione 107 tempo di risposta calcolo per il sistema 79 sistema 19 107 task di sicurezza 20 tempo di risposta del sistema 19 calcolo 79 tempo di risposta sistema Logix calcolo 80 tempo di ritardo di uscita 28 tempo di watchdog 84 terminologia 10 test di verifica del progetto 54 78 test di verifica funzionale 14 V versioni firmware 17 Ww watchd
35. Collegare il controllore ed eseguire il download Eseguire il test del programma applicativo Confermare il progetto Apportare le modifiche desiderate Eseguire il test del programma applicativo Collegare il controllore ed eseguire il download Generare la firma del task di sicurezza Apportare le modifiche necessarie Test di impatto delle modifiche Test Eliminare la firma superati dell applicazione di sicurezza Confermare il progetto Registrare la firma dell applicazione di sicurezza Validazione di sicurezza verifica indipendente Progetto valido S Bloccare il controllore Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 61 Capitolo 6 Sviluppo dell applicazione di sicurezza Note 62 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Monitoraggio dello stato del sistema Capitolo 7 Monitoraggio dello stato e gestione degli errori Argomento Monitoraggio dello stato del sistema Errori del sistema GuardLogix 66 L architettura GuardLogix fornisce all utente molte possibilit per rilevare gli errori presenti nel sistema e per gestire gli stessi Il primo modo in cui gli utenti possono gestire gli errori accertarsi di avere completato le checklist per l applicazione vedere l Appendice D Lo stato delle connessioni del tag di sicurezza pu essere visualizzato Si pu anche deter
36. EC 61508 e IEC 62061 ed in applicazioni di sicurezza fino al livello prestazionale PLe Categoria 4 incluso in conformit alla normativa ISO 13849 1 I requisiti SIL si basano sulle norme vigenti al momento della certificazione IMPORTANTE Quando il controllore GuardLogix in modalit Run Esecuzione o Program Programmazione ed il programma applicativo non stato validato l utente ad essere responsabile del mantenimento delle condizioni di sicurezza Inoltre i task standard nei controllori GuardLogix possono essere usati sia per applicazioni standard che per applicazioni di sicurezza SIL 2 come spiegato nel manuale di riferimento Using ControlLogix in SIL 2 Applications pubblicazione 1756 RM001 In ogni caso non usare variabili e task SIL 2 o standard per realizzare loop di sicurezza di livello superiore Il task di sicurezza l unico task certificato per applicazioni SIL 3 Per creare programmi per i controllori GuardLogix 5570 utilizzare l applicazione Logix Designer Studio 5000 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 13 Capitolo 1 Significato di livello di integrit della sicurezza SIL Test di verifica funzionale 14 T V Rheinland ha approvato i sistemi di controllo GuardLogix 5570 per l utilizzo in applicazioni di sicurezza fino al livello SIL CL 3 in cui lo stato diseccitato lo stato di sicurezza Tutti gli esempi relativi agli I O inclusi nel presente manuale si basan
37. ERICOLO DI FOLGORAZIONE Potranno essere collocate delle etichette sull apparecchiatura o al suo interno per esempio su azionamento o motore per attirare l attenzione dell utente sulla tensione potenzialmente pericolosa presente PERICOLO DI USTIONI Potranno essere collocate delle etichette sull apparecchiatura o al suo interno per esempio su azionamento o motore per attirare l attenzione dell utente sulle superfici che potrebbero raggiungere temperature potenzialmente pericolose PERICOLO DI ARCO ELETTRICO Sull apparecchiatura o al suo interno ad es in un motor control center possono essere apposte etichette che avvisano del rischio di arco elettrico L arco elettrico pu provocare lesioni gravi o letali Indossare adeguati dispositivi di protezione individuale DPI Seguire TUTTI i requisiti regolamentari relativi alle pratiche di lavoro in sicurezza ed ai dispositivi di protezione individuale DPI Allen Bradley Armor ArmorBlock ArmorGuard CompactBlock CompactLogix ControlFLASH ControlLogix ControlLogix XT FLEX Guard I O GuardLogix GuardLogix XT Kinetix Logix5000 POINT Guard I O Rockwell Automation Rockwell Software RSLogix SLC SmartGuard Studio 5000 Studio 5000 Automation Engineering amp Design Environment sono marchi commerciali appartenenti a Rockwell Automation Inc ControlNet DeviceNet ed EtherNet IP sono marchi commerciali di ODVA I marchi commerciali che non appartengono a Rockwell Automatio
38. Instruction Disabilita un ramo NOP No Operation Inserisce un marcatore di posizione nella logica EVENT Trigger Event Task Attiva l esecuzione di un task evento ADD Add Somma due valori cpr Compute Esegue l operazione aritmetica definita nell espressione SUB Subtract Sottrae due valori MUL Multiply Moltiplica due valori a DIV Divide Divide due valori MOD Modulo Determina il resto dopo avere diviso un valore per un secondo valore SQR Square Root Calcola la radice quadrata di un valore NEG Negate Determina il segno opposto di un valore ABS Absolute Value Determina il valore assoluto di un valore asv Get System Value Ottiene informazioni sullo stato del controllore ssy Set System Value Imposta le informazioni sullo stato del controllore 1 Supportata solo sui controllori 1756 L7xS e 1756 L7xSXT Per il tipo di dati REAL supportato un formato a virgola mobile per le routine di sicurezza sui controllori 1756 L7xS e 1756 L7xSXT 2 Operandi avanzati come SIN COS e TAN non sono supportati nelle routine di sicurezza 3 L operando della lunghezza deve essere una costante quando l istruzione COP viene utilizzata in una routine di sicurezza La lunghezza della sorgente e della destinazione devono essere uguali 4 Per considerazioni speciali relative all uso delle istruzioni GSV ed SSV fare riferimento al manuale dell utente Controllori GuardLogix 5570 pubblicazione 1756 UM022 5 L istruzione EVENT attiva una scansione del task standard Pubbl
39. Le informazioni sull errore dell uscita sono necessarie a fini diagnostici Scrivere la logica per impostare le uscite sullo stato di sicurezza Esempio ramo 2 Scrivere la logica di sgancio unlatch dell errore dell uscita Esempio ramo 1 Yy Figura 26 Logica ladder esempio 3 Scrivere la logica per la ritenuta latch dell errore dell uscita Esempio ramo 0 Il nodo 30 un modulo combinato di ingresso uscita a 8 punti Se lo stato dell uscita non OK ritenuta latch dell indicazione di errore dell uscita Node30 1 OutputStatus Node300OutputsFaulted 0 J L Se viene rilevato il fronte di salita del segnale di reset degli errori e lo stato dell ingresso OK sgancio unlatch dell indicazione di errore FaultReset InputFaultResetOneShot Node30 1 OutputStatus Node300OutputsFaulted 1 J E LONS 5 E U Node30OutputsFaulted RedundantOutputTag 01 Node30 0 Pt00Data 2 U RedundantOutputTag 02 Node30 0 Pt01Data CS J E S Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 99 AppendiceF Software RSLogix 5000 versione 14 e successiva istruzioni per applicazioni di sicurezza Note 100 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Ingressi a doppio canale SIL 2 lato standard dei controllori GuardLogix Appendice G Utilizzo dei moduli FLEX 1 0 1794 e degli ingressi uscite SIL 2 1756 con controllori GuardLogix 1756 per la confo
40. Manuale di riferimento per la sicurezza Allen Bradley Sistemi di controllo GuardLogix 5570 Numeri di catalogo 1756 1715 1756 1725 1756 L739 1756 L73SXT 1756 L7SP 1756 L7SPXT 1756 L72EROMS applicazioni Logix Designer Studio 5000 Istruzioni originali Allen Bradley Rockwell Software Automation Importanti informazioni per l utente Prima di installare configurare utilizzare o manutenere questo prodotto leggere questo documento e quelli elencati nella sezione Altre risorse riguardanti le operazioni di installazione configurazione ed utilizzo di questa apparecchiatura Gli utenti devono conoscere bene le istruzioni di installazione e cablaggio oltre che i requisiti di codici leggi e norme applicabili nel loro complesso Le attivit che includono operazioni di installazione regolazione messa in servizio utilizzo montaggio smontaggio e manutenzione devono essere realizzate da personale adeguatamente addestrato nel rispetto delle prassi applicabili Se questa apparecchiatura viene utilizzata diversamente da come specificato dal costruttore la protezione fornita dall apparecchiatura pu essere compromessa In nessun caso Rockwell Automation Inc sar obbligata per legge o responsabile di danni indiretti o conseguenti derivanti dall utilizzo o dall applicazione di queste apparecchiature Gli esempi e gli schemi riportati nel presente manuale sono inclusi soltanto per scopi illustrativi Viste le numerose
41. PI e Moltiplicatore di timeout e Moltiplicatore di ritardo Il traffico di comunicazione di rete l ambiente EMC del sistema Periodo del task di sicurezza e watchdog del task di sicurezza Limite tempo di risposta connessione di sicurezza P C prodotta consumata Impostazione del periodo del task di sicurezza Impostazione del watchdog del task di sicurezza Il numero ed il tempo di esecuzione delle istruzioni del task di sicurezza Qualsiasi task di priorit superiore che pu ostacolare l esecuzione del task di sicurezza Impostazioni dei tag consumati per e RPI e Moltiplicatore di timeout e Moltiplicatore di ritardo Il traffico di comunicazione di rete l ambiente EMC del sistema Limite tempo di risposta connessione di uscita Ritardo modulo di uscita Impostazione del periodo del task di sicurezza Impostazioni del dispositivo di uscita per e Moltiplicatore di timeout e Moltiplicatore di ritardo Il traffico di comunicazione di rete L ambiente EMC del sistema Tempo di risposta modulo di uscita Le sezioni che seguono spiegano come accedere ai dati o alle impostazioni di una serie di questi fattori Accesso alle impostazioni di ritardo del modulo di ingresso Guard 1 0 Per configurare il tempo di ritardo del modulo di ingresso nell applicazione Logix Designer procedere come segue 1 Nell albero di configurazione fare clic con il pulsante destro del mouse
42. Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Capitolo 5 Nel caso specifico di sicurezza SIL 2 non richiesta una firma del task di sicurezza Tuttavia se si utilizzano funzioni di sicurezza SIL 3 all interno del task di sicurezza la firma del task di sicurezza richiesta Per le applicazioni SIL 2 si consiglia di attivare il blocco di sicurezza per il task di sicurezza una volta terminati i test Bloccando il task di sicurezza si abilitano delle funzioni di sicurezza aggiuntive Per limitare l accesso alla logica di sicurezza possibile utilizzare anche FactoryTalk Security e la funzione di protezione del sorgente delle routine di Logix Designer Per ulteriori informazioni sulla generazione della firma del task di sicurezza e sul blocco del task di sicurezza consultare il manuale dell utente Controllori GuardLogix 5570 pubblicazione 1756 UM022 Ingressi di sicurezza SIL 2 I moduli di ingresso di sicurezza CompactBlock Guard I O serie 1791 ArmorBlock Guard I O serie 1732 e POINT Guard I O serie 1734 supportano circuiti di ingresso di sicurezza monocanale SIL 2 Questi moduli sono certificati anche SIL 3 pertanto consentito abbinare circuiti SIL 2 e SIL 3 sullo stesso modulo a patto che le presenti regole generali vengano rispettate Nei due esempi seguenti sono illustrate le procedure di cablagg
43. Rockwell Automation 1756 RM099B IT P Novembre 2014 41 Capitolo 5 42 Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Dettagli sull esecuzione del task di sicurezza Il task di sicurezza viene eseguito allo stesso modo dei task periodici standard ad eccezione di quanto segue Il task di sicurezza non inizia ad essere eseguito fino a quando il controllore primario ed il coprocessore di sicurezza hanno stabilito la loro partnership di controllo ed il tempo di sistema coordinato CST sincronizzato Tuttavia i task standard iniziano ad essere eseguiti non appena il controllore passa in modalit Esecuzione Sebbene il campo configurabile dell intervallo di pacchetto richiesto RPI per gli ingressi di sicurezza ed i tag di sicurezza consumati sia 6 500 ms i tag di ingresso di sicurezza ed i tag di sicurezza consumati vengono aggiornati solo all inizio dell esecuzione del task di sicurezza Significa che sebbene l RPI degli I O possa essere pi rapido del periodo del task di sicurezza i dati non vengono modificati nel corso dell esecuzione di quest ultimo I dati vengono letti una sola volta all inizio dell esecuzione del task di sicurezza I valori degli ingressi di sicurezza rimangono fissi all avvio dell esecuzione del task di sicurezza Conseguentemente le istruzioni che utilizzano il timer come TON e TOF non saranno aggiornate nel corso dell esecuzione di un singolo task di si
44. SNN rappre senta una data ed un ora localizzate Quando viene selezionato il formato manuale PSNN rappresenta un tipo di rete ed un valore decimale compreso tra 1 e 9999 Figura 10 Formati di SNN x x Format Generate C Time based C Manual T Manual Backolana Decimal Backplane 9999 Decimal Number Number 3409_03F9_676D Heal Copy esse Cancel Help L assegnazione di un SNN basato sul tempo automatica mentre si crea un progetto con un controllore di sicurezza GuardLogix e si aggiungono nuovi dispositivi I O CIP Safety L assegnazione manuale del numero SNN necessaria nelle seguenti situazioni e sesiutilizzano tag di sicurezza consumati e se il progetto consuma dati di ingresso di sicurezza da un dispositivo la cui configurazione di propriet di qualche altro dispositivo di sicurezza e se un progetto di sicurezza viene copiato in una diversa installazione hardware nell ambito dello stesso sistema CIP Safety instradabile IMPORTANTE Se si assegna l SNN manualmente verificare che l ampliamento del sistema non determini una duplicazione delle combinazioni del numero SNN e dell indirizzo di nodo Se il progetto contiene combinazioni di SNN ed indirizzo di nodo duplicati viene generato un errore di verifica L assegnazione del numero SNN dipende da vari fattori tra cui la configurazione del controllore o del dispositivo I O CIP Safety Numero della rete di sicurezza SNN per tag di sicure
45. Safety instradabile Considerazioni sull assegnazione del numero della rete di sicurezza SNN 35 Per comprendere i requisiti di sicurezza di un sistema di controllo CIP Safety incluso il numero della rete di sicurezza SNN si deve innanzitutto compren dere il modo in cui avviene la comunicazione nei sistemi di controllo CIP Il sistema di controllo CIP Safety un insieme di dispositivi di sicurezza CIP Safety interconnessi Il sistema instradabile rappresenta l ambito della potenziale devia zione misrouting di pacchetti da un dispositivo di origine ad un dispositivo di destinazione nell ambito del sistema di controllo CIP Safety Il sistema isolato in modo tale che non vi siano altri collegamenti all interno del sistema Ad esempio poich il sistema illustrato nella Figura 8 non pu essere interconnesso con un altro sistema CIP Safety per mezzo di una dorsale Ethernet di impianto di grandi dimensioni esso illustra l ambito di un sistema CIP Safety instradabile Figura 8 Esempio di sistema CIP Safety Router Switch Switch firewall ia SHAE JARE JBBE S Di 3 S 8 8 8 8 8 SmartGuard LI 1 0 CIP Safety 1 0 CIP Safety 1 0 CIP Safety 1 0 CIP Safety L I O CIP Safety 1 0 CIP Safety 1 0 CIP Safety 1 0 CIP Safety 1 Il r
46. Sviluppo dell applicazione di sicurezza Capitolo 6 Creare il progetto La logica e le istruzioni utilizzate nella programmazione dell applicazione devono essere e facili da comprendere e facili da tracciare e facili da modificare e facili da testare Esaminare e testare tutta la logica Tenere separate la logica connessa con la sicurezza e la logica standard Identificazione del programma Il programma applicativo chiaramente identificato da uno dei seguenti elementi e Nome e Data e Versione e Qualsiasi altra identificazione utente Test del programma applicativo Questo passo include qualsiasi combinazione delle modalit Esecuzione e Programmazione delle modifiche online ed offline dell upload e del download e del test informale necessari perch un applicazione funzioni correttamente in preparazione del test di verifica del progetto Generazione della firma del task di sicurezza La firma del task di sicurezza identifica univocamente ciascun progetto inclusi la logica i dati e la configurazione La firma del task di sicurezza composta da ID numero di identificazione data e ora La firma del task di sicurezza pu essere generata se sono soddisfatte tutte le seguenti condizioni e l applicazione Logix Designer online con il controllore e il controllore in modalit Programmazione e il controllore non in blocco di sicurezza e il controllore non ha forzature di sicurezza o modifiche di sic
47. T Alimentatore XT CC B 1756 ENBT Bridge EtherNet IP A 3 006 1756 EN2T A 2 005 1756 EN2F A 2 005 1756 EN2TR C 10 007 ENET IN002 ENET UM001 1756 EN3TR B 10 007 1756 EN2TXT Bridge EtherNet IP XT rame C 5 007 Moduli di 1756 EN2TRXT C 10 006 comunicazione 1734 AENT Scheda Ethernet POINT 1 0 A 3 001 1734 IN590 1734 UM011 1756 DNB Bridge DeviceNet A 6 002 DNET IN001 DNET UM004 1756 CN2 Bridge ControlNet A 12 001 1756 CN2R Bridge ControlNet supporti ridondanti A 12 001 CNET IN005 CNET UM001 1756 CN2RXT Bridge ControlNet XT supporti ridondanti B 20 020 mi Software RSLogix 5000 per controllori GuardLogix 5560 14 i XXXX Software di A Software RSLogix 5000 per controllori GuardLogix 5570 XT N A 20 N A Consultare la programmazione guida in linea 9324 XXXX Ambiente Studio 5000 per controllori GuardLogix 5570 XT 21 Schede di 1784 CF128 Scheda CompactFlash da 128 MB per controllori GuardLogix 5560 Memoria 1784 SD1 Scheda SD Secure Digital da 1 GB per controllori GuardLogix 5570 N A N A N A N A 1784 SD2 Scheda SD Secure Digital da 2 GB per controllori GuardLogix 5570 1 La presente versione o successiva 2 Il software RSLogix 5000 versione 15 non supporta i controllori di sicurezza GuardLogix 3 Queste pubblicazioni sono disponibili sul sito Web di Rockwell Automation all indirizzo http www rockwellautomation com literature possibile riempire gli slot dello chassis di un sistema SIL 3 non utilizzati dal sistema G
48. a Questo l unico modo Azienda per essere certi che i requisiti siano implementati in modo completo e chiaro Questa checklist pu essere utilizzata anche come documentazione relativa al collegamento del cablaggio esterno al programma applicativo Checklist delle uscite del sistema GuardLogix Sito Definizione della funzione di sicurezza Canali di uscita SIL Rd Realizzato Numero Requisiti dei dispositivi di uscita ni 7 Commento o 1 Sono state seguite le istruzioni per l installazione e le precauzioni in modo da soddisfare gli standard di sicurezza L applicabili 2 Sono stati eseguiti i test di verifica del progetto sui dispositivi L 3 stata caricata e confrontata la configurazione di ogni dispositivo con la configurazione inviata dallo strumento l di configurazione 4 Si verificato che le uscite per i test non siano utilizzate come uscite di sicurezza l 5 I dispositivi sono cablati in conformit con PLe Cat 4 secondo la normativa ISO 13849 1 0 L 6 Si verificato che le specifiche tecniche elettriche dell uscita e dell attuatore siano compatibili l L L L L 1 Per informazioni sul cablaggio del dispositivo 1 0 di sicurezza in uso fare riferimento alla documentazione del prodotto per il dispositivo specifico 90 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2
49. a ha tutti gli attributi di una routine standard ad ecce zione del fatto che valida solo in un programma di sicurezza e che costituita da una o pi istruzioni adatte ad applicazioni di sicurezza vedere Appendice A per un elenco delle istruzioni per applicazioni di sicurezza e delle istruzioni stan dard Logix che possono essere utilizzate nella logica di una routine di sicurezza Quando un task periodico o ad evento viene attivato mentre ancora in corso il task attivato precedentemente Un tag di sicurezza dotato di tutti gli attributi di un tag standard ad eccezione del fatto che il controllore GuardLogix fornisce meccanismi certificati SIL 3 per contribuire a proteggere l integrit dei dati associati Possono essere dell ambito del programma o dell ambito del controllore Un meccanismo di pianificazione per l esecuzione di un programma Un task fornisce informazioni sulla pianificazione e sulla priorit di un insieme di uno o pi programmi che vengono eseguiti sulla base di determinati criteri Una volta attivato un task tutti i programmi assegnati al task schedulati vengono eseguiti nell ordine in cui vengono visualizzati nell organizer del controllore Un task di sicurezza dotato di tutti gli attributi di un task standard ad eccezione del fatto che valido soltanto in un controllore GuardLogix e che pu pianificare soltanto programmi di sicurezza In un controllore GuardLogix pu essere presente un solo t
50. aggiore di un secondo valore Compare LEQ Less Than Or Equal To Verifica se un valore inferiore a o uguale ad un secondo valore LES Less Than Verifica se un valore inferiore ad un secondo valore MEQ Masked Comparison for Equal Filtra la sorgente confrontando i valori attraverso una maschera e verifica se sono uguali NEQ Not Equal To Verifica se un valore diverso da un secondo valore LIM Limit Test Verifica se un valore rientra in un intervallo specificato CLR Clear Azzera un valore cop 9 Copy Copia un valore Move MOV Move Copia un valore MVM Masked Move Copia una parte specifica di un numero intero swpp Swap Byte Riordina i byte di un valore AND Bitwise AND Esegue l operazione AND bit per bit i NOT Bitwise NOT Esegue l operazione NOT bit per bit a OR Bitwise OR Esegue l operazione OR bit per bit XOR Bitwise Exclusive OR Esegue l operazione OR esclusivo bit per bit JMP Jump To Label Salta una sezione di logica che non sempre necessario eseguire salta all istruzione con l etichetta a cui si fa riferimento LBL Label Etichetta un istruzione in modo tale che vi possa fare riferimento un istruzione JMP JSR Jump to Subroutine Salta ad una routine separata RET Return Restituisce i risultati di una subroutine Program SBR Subroutine Inoltra i dati ad una subroutine iii TND Temporary End Contrassegna una fine temporanea che arresta l esecuzione della routine MCR Master Control Reset Disabilita ogni ramo in una sezione di logica AFI Always False
51. alogo interessato e che venga creato un record del guasto e Richiedere un analisi del guasto se necessario per determinarne la causa 20 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Hardware del controllore GuardLogix 5570 Capitolo 2 Sistema di controllo GuardLogix Argomento Pagina Hardware del controllore GuardLogix 5570 21 Protocollo CIP Safety 22 Dispositivi 1 0 di sicurezza 23 Bridge di comunicazione 23 Cenni generali sulla programmazione 25 Per un breve elenco dei componenti utilizzabili in applicazioni SIL 3 consultare la tabella riportata a pagina 16 Per informazioni pi dettagliate ed aggiornate visitare il sito http www rockwellautomation com products certification safety Quando si installa un controllore GuardLogix 5570 attenersi alle istruzioni riportate nel manuale dell utente GuardLogix 5570 Controllers pubblicazione 1756 UM022 Il controllore GuardLogix costituito da un controllore primario ControlLogix 557xS e da un coprocessore di sicurezza ControlLogix 557SP Questi due moduli lavorano in un architettura 1002 per creare un controllore SIL 3 Sono descritti nelle sezioni che seguono Sia il controllore primario sia il coprocessore di sicurezza eseguono test diagnostici funzionali all accensione e durante il funzionamento su tutti i componenti di sicurezza presenti nel controllore Per informazioni dettagliate sul funzionamento degli indicatori d
52. apitolo 5 Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Argomento Pagina Distinzione tra componenti standard e di sicurezza 37 Applicazioni di sicurezza SIL 2 38 Sicurezza SIL 3 il task di sicurezza 41 Uso delle interfacce operatore 43 Programmi di sicurezza 45 Routine di sicurezza 45 Tag di sicurezza 46 Trattandosi di un controllore della serie Logix nel sistema di controllo GuardLogix possibile utilizzare sia componenti standard non di sicurezza che componenti di sicurezza Il controllo dell automazione standard pu essere eseguito utilizzando task standard all interno di un progetto GuardLogix I controllori GuardLogix hanno la stessa funzionalit degli altri controllori della serie ControlLogix Ci che differenzia i controllori GuardLogix dai controllori standard che permettono di avere un task di sicurezza SIL 3 Tuttavia si deve effettuare una distinzione logica ed evidente tra la parte standard dell applicazione e la parte relativa alla sicurezza L applicazione Logix Designer determina questa distinzione tramite il task di sicurezza i programmi di sicu rezza le routine di sicurezza i tag di sicurezza ed i dispositivi I O di sicurezza Con il task di sicurezza del controllore GuardLogix possibile implementare sia il livello di controllo di sicurezza SIL 2 che SIL 3 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 37 C
53. apitolo 5 Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Applicazioni di sicu rezza SIL 2 Il controllo di sicurezza SIL 2 pu essere eseguito utilizzando il task di sicurezza 38 del controllore GuardLogix Dal momento che i controllori GuardLogix appartengono alla serie di processori ControlLogix il controllo di sicurezza SIL 2 nel caso di un controllore GuardLo gix pu essere eseguito utilizzando task standard o il task di sicurezza In questo modo si hanno a disposizione opzioni di controllo di sicurezza uniche e versatili dal momento che la maggior parte delle applicazioni ha una maggiore percentuale di funzioni di sicurezza SIL 2 rispetto a SIL 3 Controllo di sicurezza SIL 2 nel task di sicurezza Il task di sicurezza GuardLogix pu essere utilizzato per funzioni di sicurezza SIL 2 e SIL 3 Se le funzioni di sicurezza SIL 3 devono essere eseguite in contem poranea alle funzioni di sicurezza SIL 2 necessario soddisfare i requisiti indicati nelle sezioni Sicurezza SIL 3 il task di sicurezza Programmi di sicurezza e Rou tine di sicurezza del presente capitolo oltre i che requisiti SIL 2 elencati in questa sezione Logica di sicurezza SIL 2 Se si esamina il controllo di sicurezza GuardLogix la differenza maggiore tra i dispositivi SIL 2 e SIL 3 sta nel fatto che SIL 2 generalmente monocanale mentre SIL 3 generalmente a doppio canale Quando si utilizzano moduli G
54. ase Tag Data Type Description External Access Constant Style E SIL2_Qutputs SIL_2_Produced Safety Read write r H SIL2_Outputs Connection_Status CONNECTION_STA Safety Read Write H SIL2_Outputs SIL2_Temp INT Safety Read w rite Decimal SIL2 Qutputs SIL2_TempB INT Safety Read write Decimal SIL2_Outputs SIL2_Valvel BOOL Safety Read w rite Binary SIL2_0utputs SIL2_Valve2 BOOL Safety Read w rite Binary SUGGERIMENTO In questo esempio non esiste un consumatore del tag prodotto Lo stato della connessione passa in errore se non si configura un consumatore Tuttavia in questo tipo di configurazione non necessario monitorare lo stato della connessione del tag prodotto e quindi l errore non rappresenta un problema Attenersi a tutte le regole per i moduli I O 1756 ed i moduli FLEX I O 1794 come definite nel manuale di riferimento per la sicurezza Using ControlLogix in SIL 2 Applications Safety pubblicazione 1756 RM001 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 103 AppendiceG Utilizzo dei moduli FLEX 1 0 1794 e degli ingressi uscite SIL 2 1756 con controllori GuardLogix 1756 per la conformit alla norma EN 50156 Funzioni di sicurezza nel task Per utilizzare le funzioni di sicurezza SIL 2 e SIL 3 all interno del task di di sicurezza GuardLogix 1756 sicurezza attenersi alle seguenti regole generali e possibile utilizzar
55. ask di sicurezza Il task di sicurezza deve essere un task periodico a tempo Un task che viene attivato dal sistema operativo periodicamente Trascorso questo periodo viene attivato il task e vengono eseguiti i suoi programmi I dati e le uscite stabiliti dai programmi del task conservano i loro valori fino all esecuzione successiva del task o fino a quando vengono elaborati da un altro task I task periodici interrompono sempre il task continuo Il tempo massimo che pu intercorrere tra un evento connesso con la sicurezza come un ingresso al sistema Oppure come errore nel sistema ed il tempo impiegato dal sistema a raggiungere lo stato di sicurezza Il tempo di risposta del sistema include i tempi di risposta dei sensori e degli attuatori ed il tempo di risposta del controllore La somma del periodo del task di sicurezza pi il watchdog del task di sicurezza Questo tempo il ritardo massimo che pu intercorrere tra qualsiasi cambiamento in ingresso applicato al controllore GuardLogix ed il momento in cui l uscita elaborata disponibile per il collegamento produttore Il tempo massimo ammesso dall avvio del task di sicurezza fino al suo completamento Il superamento del watchdog del task di sicurezza attiva un errore di sicurezza irreversibile Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 107 Glossario Note 108 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Numerici 1734 AENT
56. ation 1756 RM099B IT P Novembre 2014 Appendice C Tempi di risposta Argomento Tempo di risposta del sistema Tempo di risposta del sistema Logix 79 Tempo di risposta del sistema Per determinare il tempo di risposta del sistema di qualsiasi catena di controllo necessario sommare i tempi di risposta di tutti i componenti della catena di sicurezza Tempo di risposta del sistema tempo di risposta sensore tempo di risposta del sistema Logix tempo di risposta attuatore Figura 19 Tempo di risposta del sistema Tempo di risposta del sistema ere anna ea 1 e A ini I Tempo di risposta a Tempo di risposta I iri iri Tempodi risposta p P PO GITISp Tempo di risposta Tempo di risposta sensore ingresso gt task di sicurezza s uscita i attuatore licia Essa L Tempo di risposta sistema Logix aaa 7 CN mi o o l Ritardo del e ti q Periodo del a imite tempo dirisposta l Ritardo del dispositivo di p isp I watchdogdeltaskdi gt connessione di uscita gt dispositivo di ni ingreso ingresso l PESA uscita I N e o a o a o a o m o I Nx Tempo di risposta Le sezioni che seguono forniscono informazioni sui metodi di calcolo del tempo d el sistem alo gix di risposta del sistema Logix per una semplice catena ingresso logica uscita e per un applicazione pi complessa che utilizza tag di sicurezza prodotti
57. ation 1756 RM099B IT P Novembre 2014 Dispositivi 1 0 di sicurezza Bridge di comunicazione Sistema di controllo GuardLogit Capitolo 2 Per informazioni sui dispositivi I O CIP Safety compatibili con i controllori GuardLogix consultare il Capitolo 3 La Tabella 5 elenca i moduli interfaccia di comunicazione disponibili per facilitare la comunicazione sulle reti EtherNet IP DeviceNet e ControlNet tramite il protocollo CIP Safety Tabella 5 Moduli interfaccia di comunicazione per sistema Sistema GuardLogix Moduli di comunicazione 1756 e Bridge EtherNet IP 1756 ENBT 1756 EN2T R 1756 EN2F o 1756 EN3TR Scheda Ethernet POINT 1 0 1734 AENT e Bridge DeviceNet 1756 DNB e Bridge ControlNet 1756 CN2 e Bridge ControlNet ridondante 1756 CN2R 1756 XT e Bridge EtherNet IP XT 1756 EN2TXT 1756 EN2TRXT rame e Bridge ControlNet XT ridondante 1756 CN2RXT 1768 ENBT Scheda Ethernet POINT 1 0 1734 AENT 1768 CNB 1768 CNBR 1768 IMPORTANTE Vista la struttura del sistema di controllo CIP Safety non necessario che i dispositivi bridge CIP Safety come i bridge elencati in tabella siano certificati SIL 3 Rete EtherNet IP La comunicazione di sicurezza peer to peer tra controllori GuardLogix possibile tramite la rete EtherNet IP grazie all uso dei bridge EtherNet IP Il bridge EtherNet IP consente al controllore GuardLogix di controllare e scambiare dati di sicurezza con i dispositivi I O CIP Safety su una rete Et
58. azione 1791DS UM001 Fornisce informazioni sull utilizzo dei moduli di sicurezza Guard 1 0 DeviceNet Manuale dell utente Moduli di sicurezza Guard 1 0 EtherNet IP pubblicazione 1791ES UM001 Fornisce informazioni sull utilizzo dei moduli di sicurezza Guard 1 0 EtherNet IP Manuale dell utente Moduli di sicurezza POINT Guard 1 0 pubblicazione 1734 UM013 Fornisce informazioni sull installazione e l utilizzo dei moduli POINT Guard 1 0 Manuale dell utente Servoazionamenti Kinetix 5500 pubblicazione 2198 UM001 Fornisce informazioni sull installazione e l utilizzo dei servoazionamenti Kinetix 5500 Manuale di riferimento per la sicurezza Using ControlLogix in SIL 2 Applications pubblicazione 1756 RM001 Manuale di riferimento Istruzioni generali per controllori Logix5000 pubblicazione 1756 RM003 Descrive i requisiti previsti per l uso dei controllori ControlLogix e del task standard GuardLogix nelle applicazioni di controllo di sicurezza SIL 2 Fornisce informazioni sull insieme di istruzioni Logix5000 Manuale di programmazione Logix Common Procedures pubblicazione 1756 PM001 Fornisce informazioni sulla programmazione dei controllori Logix5000 oltre che sulla gestione dei file di progetto sull organizzazione dei tag sulla programmazione e la prova delle routine e sul trattamento degli errori Manuale di programmazione Istruzioni add on per controllori Logix5000 pubblicazione 1756 PM010 Manuale dell
59. bre 2014 Utilizzo dei moduli FLEX 1 0 1794 e degli ingressi uscite SIL 2 1756 con controllori GuardLogix 1756 per la conformit alla norma EN 50156 Appendice G Uscite SIL 2 che Per le uscite SIL 2 attenersi alle seguenti regole generali utilizzano moduli di uscita e I moduli di uscita Guard I O utilizzati per le uscite di sicurezza SIL 2 SIL 3 Guard 1 0 Uscite SIL 2 che utilizzano moduli di uscita 1756 o 1794 SIL 2 devono essere configurati per il funzionamento a doppio canale e Tuttii moduli di uscita Guard I O sono omologati per l uso in applicazioni SIL 2 1732DS IB8XOBV4 1791ES IB8XOBV4 1791DS IB8XOBV4 1791ES IB8XOBV4 1791DS IB4XOW4 1791DS IB8XOB8 1734 OB8S Quando si utilizzano questi moduli di uscita SIL 2 necessario configurare le uscite di sicurezza SIL 2 come tag di sicurezza prodotti da GuardLogix per la conformit ai requisiti di funzionamento a doppio canale della norma EN 50156 Creare i tag di sicurezza prodotti con le uscite SIL 2 che l applicazione richiede I tag di sicurezza GuardLogix prodotti consumati richiedono che il primo membro venga assegnato alla diagnostica Il primo membro di una connessione di sicurezza prodotta consumata deve essere un tipo di dati denominato CONNECTION_STATUS Questo esempio mostra un tag SIL 2 con due membri INT e due membri BOOL Usare questi tag di sicurezza SIL 2 per con trollare direttamente le uscite 1756 o 1794 SIL 2 za Alias For B
60. ca ASCII del nome di un tag Nella comunicazione su una rete questo valore indica il tempo massimo che intercorre tra produzioni successive di dati di ingresso Istruzione creata come istruzione aggiuntiva per il set di istruzioni Logix In seguito alla loro definizione le istruzioni Add On possono essere utilizzate come tutte le altre istruzioni di Logix e possono essere impiegate in vari progetti Ciascuna istruzione Add On composta da parametri tag locali routine logiche e routine delle modalit di scansione opzionali Istruzione Add On che pu utilizzare istruzioni per applicazioni di sicurezza Oltre alla firma dell istruzione utilizzata per istruzioni Add On ad alta integrit le istruzioni Add On di sicurezza sono caratterizzate da una firma dell istruzione di sicurezza SIL 3 da utilizzare nelle funzioni di sicurezza Istruzioni di sicurezza che garantiscono la funzionalit connessa con la sicurezza Sono state certificate SIL 3 per l utilizzo in routine di sicurezza Un cambiamento ad una routine apportato nell applicazione Logix Designer ma che non ancora stato comunicato al controllore accettando la modifica Questo valore determina il numero di messaggi che possono essere persi prima che venga dichiarato un errore di collegamento Identifica univocamente una rete tra tutte le reti presenti del sistema di sicurezza L utente responsabile dell assegnazione di un numero univoco per ogni rete o sottorete di
61. care Ciascuna applicazione di sicurezza specifica potrebbe avere ulteriori requisiti di sicurezza per i quali stato previsto uno spazio nelle checklist SUGGERIMENTO Eseguire delle copie delle checklist e conservarle per un eventuale utilizzo futuro Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 87 Appendice D Checklist per le applicazioni di sicurezza GuardLogix Checklist del sistema di controllo GuardLogix Azienda Checklist del sistema GuardLogix Sito Definizione della funzione di sicurezza Numero Requisiti di sistema Realizzato S No Commento Si stanno utilizzando esclusivamente i componenti elencati in Componenti GuardLogix certificati SIL 3 a pagina 16 e sul sito http www rockwellautomation com products certification safety con le corrispondenti versioni firmware Si calcolato il tempo di risposta di sicurezza del sistema per ogni catena di sicurezza Il tempo di risposta del sistema include sia il tempo di watchdog del programma del task di sicurezza definito dall utente watchdog software che la frequenza il periodo del task di sicurezza Il tempo di risposta del sistema relazionato correttamente con il tempo di tolleranza del processo I valori di probabilit PFD PFH sono stati calcolati in base alla configurazione del sistema Sono stati eseguiti tutti gli opportuni test di verifica del progett
62. controllore A l applicazione Logix Designer assegna PSNN in base al progetto corrente Poich il progetto corrente progetto controllore A non il reale proprietario della configurazione necessario copiare PSNN originario progetto controllore B nella configurazione del progetto del controllore A Questa operazione pu essere facilmente eseguita con i normali comandi copia ed incolla Di conseguenza il dispositivo I O CIP Safety produce i dati per due controllori GuardLogix contemporaneamente L operazione di copia ed incolla pu essere eseguita per un massimo di 16 controllori Consultare il manuale dell utente Controllori GuardLogix 5570 pubblicazione 1756 UM022 per informazioni su come modificare copiare ed incollare i numeri di rete di sicurezza Numero della rete di sicurezza SNN quando si copia un progetto di sicurezza altro progetto con hardware differente o in una diversa posizione fisica ed il nuovo progetto si trova all interno dello stesso sistema CIP Safety instradabile necessario modificare tutti gli SNN del secondo sistema valori SNN non devono essere ripetuti Consultare il manuale dell utente Controllori GuardLogix 5570 pubblicazione 1756 UM022 per informazioni sulla modifica del numero SNN ATTENZIONE Se si sta copiando un progetto di sicurezza per utilizzarlo in un Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Distinzione tra componenti standard e di sicurezza C
63. curezza Esse manterranno una temporizzazione precisa tra l esecuzione di un task e l altra ma il tempo accumulato non cambier durante l esecuzione del task di sicurezza ATTENZIONE Questo comportamento diverso dall esecuzione del task Logix standard ma simile a quello del PLC o SLC Per i tag standard che sono mappati nei tag di sicurezza i valori dei tag standard vengono copiati nella memoria di sicurezza all avvio del task di sicurezza e non cambiano durante l esecuzione del task di sicurezza I valori dei tag di uscita di sicurezza emessi e prodotti vengono aggiornati alla conclusione dell esecuzione del task di sicurezza Il task di sicurezza risponde alle modifiche della modalit ad esempio da esecuzione a programmazione o da programmazione ad esecuzione ad intervalli temporizzati Conseguentemente possibile che il task di sicu rezza possa impiegare pi del periodo di un task ma sempre meno di due per eseguire una transizione di modalit Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Uso delle interfacce operatore Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Capitolo 5 IMPORTANTE In una condizione senza blocco di sicurezza e senza la firma del task di sicu rezza il controllore impedisce un accesso di scrittura simultaneo alla memoria di sicurezza da parte del task di sicurezza e dei comandi di comunicazione Conseguentemente il tas
64. dalle valutazioni SIL per il sistema di sicurezza Figura 3 Livello di affidabilit Sensore 10 della PFD OH M S A lt _ Attuatore Controllore Modulo di Mod lo ingresso di uscita Attuatore Ls a E E a e G E 50 della PFD Il tempo di risposta del sistema corrisponde al tempo che intercorre tra un evento connesso con la sicurezza come ingresso al sistema ed il momento in cui il sistema imposta le uscite corrispondenti sullo stato di sicurezza Anche gli errori di sistema possono incidere sul tempo di risposta del sistema Il tempo di risposta del sistema corrisponde alla somma dei seguenti tempi di risposta Tempo di Tempo di Tempo di Tempo di Tempo di risposta risposta risposta task risposta risposta sensore ingresso di sicurezza uscita attuatore Ciascuno dei tempi di risposta dipende in modo variabile da fattori quali il tipo di dispositivo I O e le istruzioni utilizzate nel programma Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 19 Capitolo 1 Significato di livello di integrit della sicurezza SIL Informazioni di contatto peri casi di guasto ai dispositivi Tempo di risposta task di sicurezza Il tempo di risposta del task di sicurezza il ritardo massimo che pu intercorrere tra qualsiasi cambiamento dell ingresso applicato al controllore ed i
65. definita in fabbrica cio all interno di esso non presente un numero della rete di sicurezza ed il numero del nodo e la codifica del dispositivo I O corrispondono alla configurazione del controllore nessuna parte del sistema di controllo CIP Safety instradabile per mantenere il i ATTENZIONE Abilitare l opzione Configure Always soltanto se non ci si basa su livello SIL 3 durante la sostituzione ed il collaudo funzionale di un dispositivo Se ci si basa su altre parti del sistema di controllo CIP Safety per mantenere il livello SIL 3 assicurarsi che l opzione Configure Always del controllore sia disabilitata Sar cura dell utente adottare un processo tale da garantire il mantenimento di un livello funzionale di sicurezza appropriato durante la sostituzione del dispositivo Safety quando abilitata la funzione Configure Always se non seguendo la procedura di sostituzione dei dispositivi riportata nel manuale dell utente Controllori GuardLogix 5570 pubblicazione 1756 UM022 i ATTENZIONE Non installare alcun dispositivo cos come fornito su una rete CIP Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 31 Capitolo3 1 0 CIP Safety per il sistema di controllo GuardLogix Note 32 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Sistema di controllo CIP Safety instradabile Capitolo 4 CIP Safety e numero della rete di sicurezza Argomento Sistema di controllo CIP
66. dei tag standard con l aggiunta di meccanismi per garantire l integrit dei dati secondo SIL 3 Tabella 6 Tipi di dati validi per i tag di sicurezza AUX_VALVE_CONTROL BOOL CAM_PROFILE CAMSHAFT_MONITOR CB_CONTINUOUS_MODE CB_CRANKSHAFT_POS_MONITOR CB_INCH_MODE CB_SINGLE_STROKE_MODE CONFIGURABLE_ROUT CONNECTION_STATUS CONTROL COUNTER DCA_INPUT DCI_MONITOR DCI_START DCI_STOP DCI_STOP_TEST DCI_STOP_TEST_LOCK DCI_STOP_TEST_MUTE DINT DIVERSE_INPUT EIGHT _POS_MODE_SELECTOR EMERGENCY _STOP ENABLE_PENDANT EXT_ROUTINE_CONTROL EXT_ROUTINE_PARAMETERS BD_BIT_FIELD_DISTRIBUTE FBD_CONVERT FBD_COUNTER FBD_LOGICAL BD_MASK_EQUAL BD_MASKED_MOVE FBD_TIMER FIVE_POS_MODE_SELECTOR INT LIGHT_CURTAIN MAIN_VALVE_CONTROL MANUAL_VALVE_CONTROL nm m nm MUTING_FOUR_SENSOR_BIDIR MUTING_TWO_SENSOR_ASYM MUTING_TWO_SENSOR_SYM MOTION_INSTRUCTION PHASE PHASE_INSTRUCTION REAL REDUNDANT_INPUT REDUNDANT_OUTPUT SAFETY_MAT SERIAL_PORT_CONTROL SFC_ACTION SFC_STEP SFC_STOP SINT STRING THRS_ENHANCED TIMER TWO_HAND_RUN_STATION L applicazione Logix Designer previene la creazione diretta di tag non validi in un programma di sicurezza I tag non validi importati non possono essere verificati IMPORTANTE l uso di alias tra tag standard e tag di sicurezza vietato nelle applicazioni di sicurezza I tag classificati come tag di sicurezza possono essere definiti nell ambito del controllore o nell amb
67. e www rockwellautomation com Power Control and Information Solutions Headquarters Americhe Rockwell Automation 1201 South Second Street Milwaukee WI 53204 2496 USA Tel 1 414 382 2000 Fax 1 414 382 4444 Europa Medio Oriente Africa Rockwell Automation NV Pegasus Park De Kleetlaan 12a 1831 Diegem Belgio Tel 32 2 663 0600 Fax 32 2 663 0640 Asia Rockwell Automation Level 14 Core F Cyberport 3 100 Cyberport Road Hong Kong Tel 852 2887 4788 Fax 852 2508 1846 Italia Rockwell Automation S r l Via Gallarate 215 20151 Milano Tel 39 02 334471 Fax 39 02 33447701 www rockwellautomation it Svizzera Rockwell Automation AG Via Cantonale 27 6928 Manno Tel 091 604 62 62 Fax 091 604 62 64 Customer Service Tel 0848 000 279 Pubblicazione 1756 RM099B IT P Novembre 2014 Copyright 2014 Rockwell Automation Inc Tutti i diritti riservati Stampato negli U S A
68. e Limit 60 0 ms cora e Configurazione del periodo del task di sicurezza e del watchdog Il task di sicurezza un task periodico La priorit del task ed il tempo del watchdog vengono specificati nella finestra di dialogo Task Properties Safety Task del progetto Logix Designer Per accedere alle impostazioni del periodo del task di sicurezza e del tempo di watchdog fare clic con il pulsante destro del mouse su Safety Task e selezionare Properties Task Properties SafetyTask lex General Configuration Program Phase Schedule Monitor Type Periodic z Period fo ms Priority fi 0 Lower Number Yields Higher Priority Watchdog 20 000 ms Cancel Appi Help La priorit del task di sicurezza non un problema di sicurezza dato che il watchdog del task di sicurezza controlla se il task viene interrotto da task di priorit superiore 84 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Tempi di risposta Appendice C Accesso ai dati dei tag prodotti consumati Per visualizzare o configurare i dati di connessione dei tag di sicurezza procedere come segue 1 Nell albero di configurazione fare clic con il pulsante destro del mouse su Controller Tags e selezionare Edit tags 2 In Tag Editor fare clic con il pulsante destro del mouse sul nome del tag e selezionare Edit Properties 3 Fare clic su Connection Pubblicaz
69. e funzioni di sicurezza dei dispositivi I O CIP Safety 27 Disnostici alla ilaele 28 Datrdistatoe straniera E TAA AE EEE 28 Indicatori distat indi iaia 28 Funzione di ritardo all eccitazione ed alla diseccitazione 28 Tempodi tis posta issin an Ean favo aula lee dii pre alata aa 28 Considerazioni sulla sicurezza dei dispositivi I O CIP Safety 29 PrOprictazsan o iaia a ilari OIRRESE 29 Firma della configurazione degli I O di sicurezza 29 Sostituzione dei dispositivi I O di sicurezza 29 Capitolo 4 Sistema di controllo CIP Safety instradabile 33 Riferimento univoco del nodo 34 Numero della rete di sicurezza 0 34 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 5 Indice Considerazioni sull assegnazione del numero della rete di sicurezza SNN reina Numero della rete di sicurezza SNN per tag di sicurezza consumati E Seno a ESTE Numero della rete di sicurezza SNN per dispositivi con impostazioni predefinite 11 1 lt iiririignee Numero della rete di sicurezza SNN per un dispositivo di sicurezza con un diverso proprietario della configurazione Numero della rete di sicurezza SNN quando si copia un progetto di SIcutozza virili Capitolo 5 Caratteristiche dei tag di sicurezza Distinzione tra componenti standard e di sicurezza
70. e modifiche offline soltanto agli elementi del programma standard e la firma del task di sicurezza corrisponde dopo un download possibile riprendere il funzionamento Quando le modifiche offline influiscono sul programma di sicurezza necessario riconvalidare tutti gli elementi interessati dell applicazione secondo quanto determinato dall analisi di impatto prima di riprendere il normale funzionamento Il diagramma di flusso a pagina 61 illustra il processo per le modifiche offline Esecuzione di modifiche online Quando le modifiche online influiscono sul programma di sicurezza necessario riconvalidare tutti gli elementi interessati dell applicazione secondo quanto determinato dall analisi di impatto prima di riprendere il normale funzionamento Il diagramma di flusso a pagina 61 illustra il processo per le modifiche online SUGGERIMENTO Applicare modifiche online che siano soltanto di minore portata ad esempio modifiche al setpoint o aggiunte eliminazioni e modifiche secondarie alla logica Le modifiche online sono influenzate dal blocco di sicurezza e dalla firma del task di sicurezza del controllore GuardLogix Per maggiori informazioni vedere Generazione della firma del task di sicurezza a pagina 53 e Blocco del controllore GuardLogix a pagina 56 Per maggiori informazioni sulle modifiche online alla logica ladder nell applicazione Logix Designer consultare Logix5000 Controllers Quick Start pubbl
71. e nel loop di sicurezza e Testare tutte le modifiche nell ambito della procedura di validazione di sicurezza e Documentare adeguatamente tutte le modifiche apportate al sistema di sicurezza attraverso l interfaccia operatore incluse le seguenti autorizzazione analisi dell impatto esecuzione informazioni sul test informazioni sulla versione e Le modifiche al sistema di sicurezza devono conformarsi alla norma IEC 61511 sulla sicurezza dei processi sezione 11 7 1 Requisiti dell interfaccia operatore e Le modifiche al sistema di sicurezza devono conformarsi alla norma IEC 62061 per la sicurezza delle macchine e Lo sviluppatore deve seguire le procedure e le tecniche di sviluppo utiliz zate anche per lo sviluppo di altri software applicativi tra cui la verifica ed il collaudo dell interfaccia operatore ed il suo accesso ad altre parti del pro gramma Nel software applicativo del controllore creare una tabella che sia accessibile dall interfaccia operatore e limitare l accesso esclusivamente ai dati necessari e Comeil programma del controllore anche il software dell interfaccia operatore ha bisogno di essere protetto e manutenuto per garantire la conformit al livello SIL dopo la validazione ed il test del sistema Un programma di sicurezza dotato di tutti gli attributi di un programma standard ad eccezione del fatto che pu essere pianificato soltanto nel task di sicurezza Un programma di
72. e tutte le istruzioni per applicazioni di sicurezza disponibili e I moduli di ingresso di sicurezza SIL CL3 ossia i moduli Guard I O possono essere utilizzati con la configurazione monocanale per funzioni di sicurezza SIL 2 e Si consiglia di utilizzare la firma del task di sicurezza e di attivare il blocco di sicurezza dell applicazione IMPORTANTE Non utilizzare i dati SIL 2 per controllare direttamente un uscita SIL3 104 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Annullare le modifiche Assemblare le modifiche Collegamento valido Componente di sicurezza Componente standard Controllore primario Controllore standard Coprocessore di sicurezza Errore di sicurezza irreversibile Errore irreversibile del controllore Errore reversibile Firma del task di sicurezza Firma dell istruzione Firma dell istruzione di sicurezza Glossario Di seguito sono riportati termini ed abbreviazioni che vengono utilizzati all interno di questo manuale Per le definizioni dei termini non riportati qui consultare il glossario di automazione industriale di Allen Bradley pubblicazione AG 7 1 Azione eseguita per rifiutare le modifiche online non assemblate Questa azione viene eseguita dopo aver apportato delle modifiche online al programma del controllore e se si desidera che esse diventino permanenti dal momento che possibile testarle non testarle o cancellarle Il collegament
73. eNet Safety cenni generali sulla comunicazione 24 EN50156 101 EN954 1 CAT49 13 errori annullare 66 errori di sicurezza irreversibili 66 errori irreversibili del controllore 66 reversibili 67 105 errori di sicurezza irreversibili 66 105 riavvio del task di sicurezza 66 errori hardware ripristino 66 errori irreversibili del controllore 66 105 errori reversibili 67 105 EtherNet IP cenni generali sulla comunicazione 23 F firma del task di sicurezza cancellazione 54 definizione 105 generazione 53 operazioni limitate 54 firma dell istruzione 75 definizione 105 firma dell istruzione di sicurezza 76 definizione 105 firma della configurazione 29 forzatura 58 funzione di controllo specifica 52 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 109 Indice analitico 110 funzioni di sicurezza 1 0 CIP Safety 27 uscita di sicurezza 28 funzioni di sicurezza relative ai bruciatori 101 G get system value GSV definizione 10 IEC 61508 certificazione livello di integrit di sicurezza SIL 3 39 13 76 inibizione di un modulo 58 installazione di un controllore 21 interfacce operatore uso ed applicazione 43 45 interfaccia uso ed applicazione delle interfacce operatore 43 45 intervallo di pacchetto richiesto campo 42 definizione 106 ISO 13849 1 9 13 istruzione Add On certificazione 73 firma dell istruzione 75 firma dell istruzione di sicurezza 76 istruzione set sy
74. ect Release Notes From Sample Project From Upload About Recent Projects B Sept_Test Integrated_Motion_co B August_2012 L ambiente Studio 5000 rappresenta la base delle funzionalit e degli strumenti futuri di progettazione e sviluppo di Rockwell Automation Un unico ambiente in cui i progettisti possono sviluppare tutti gli elementi di un sistema di controllo Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 9 Prefazione Terminologia La seguente tabella definisce i termini utilizzati nel presente manuale Tabella 1 Termini e definizioni Abbreviazione Termine completo Definizione 1002 One Out of Two uno di due Identifica l architettura del controllore elettronico programmabile CIP Common Industrial Protocol Un protocollo di comunicazione industriale utilizzato dai sistemi di automazione basati su Logix5000 su reti di comunicazione Ethernet ControlNet e DeviceNet CIP Safety Common Industrial Protocol Safety Versione SIL 3 del protocollo CIP DC copertura diagnostica Il rapporto tra il tasso di guasto rilevato ed il tasso di guasto complessivo EN Norma europea Lo standard europeo ufficiale GSV Get System Value Un istruzione della logica ladder che recupera informazioni specifiche sullo stato del controllore e le colloca in un tag di destinazione PC Personal Computer Computer utilizzato per interfacciare e controllare un sistema basa
75. ente le variabili che devono essere modificate e necessario usare una procedura chiara completa ed esplicita per apportare modifiche al sistema di sicurezza attraverso un interfaccia operatore e In un sistema di sicurezza le modifiche possono essere accettate solo in presenza della seguente sequenza di eventi a La nuova variabile deve essere inviata due volte a due tag differenti ovvero entrambi i valori non devono essere scritti con un solo comando b Il codice di sicurezza eseguito nel controllore deve controllare l equivalenza di entrambi i tag e verificare che rientrino nel campo previsto controlli di limite c Entrambe le nuove variabili devono essere rilette e visualizzate sul dispositivo di interfaccia operatore d Operatori qualificati devono controllare visivamente che le variabili siano uguali e che il valore sia corretto e Operatori qualificati devono confermare manualmente la correttezza dei valori visualizzati sulla schermata dell interfaccia operatore che invia alla logica di sicurezza il comando che permette di utilizzare i nuovi valori nella funzione di sicurezza 44 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Programmi di sicurezza Routine di sicurezza Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Capitolo 5 In ogni caso l operatore deve verificare la validit delle modifiche prima che possano essere accettate ed applicat
76. fidabile per assicurare che i dati vengano utilizzati nel modo corretto L uso i dati standard in un tag di sicurezza non equivale a renderli dati di sicurezza Non controllare un uscita di sicurezza direttamente con i dati dei tag standard Questo esempio mostra come qualificare i dati standard con i dati di sicurezza Figura 14 Qualificazione dei dati standard con dati di sicurezza Safety Tag Mapping x nni Standard Tag Name ne n STDBooleanTag MappedBooleanTag Help Delete Row e comboModule 1 Pt07Data Node30ComboModule 0 Pt03Data J E gt ni 7 Node MappedBoole LatchOneShot ons Node30ComboModule O Pt03Data Qualificatore ingresso di sicurezza per tag mappato Circuito latch che ha lo scopo di impedire il riavvio automatico se l ingresso standard Uscita di sicurezza tag mappato ha originato un errore in uno stato bloccato su 1 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 47 Capitolo5 Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Note 48 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Presupposti del concetto di sicurezza Capitolo 6 Sviluppo dell applicazione di sicurezza Argomento Pagina Presupposti del concetto di sicurezza 49 Concetti base per lo sviluppo ed il test dell applicazione 50 Procedura per la messa in servizio 51 Do
77. herNet IP Figura 4 Comunicazione peer to peer tramite bridge EtherNet IP su rete EtherNet IP Switch EtherNet Rete EtherNet IP Rete EtherNet IP Modulo 1 0 CIP Safety Modulo 1 0 CIP Safety Modulo 1 0 CIP Safety a Rete DeviceNet Modulo 1 0 CIP Safety Controllore B 1756 PB75 1756 EN2T 1756 L738 1756 L7SP 1756 1728 1756 L7SP 1756 DNB 1756 EN2T Controllore A Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 23 Capitolo2 Sistema di controllo GuardLogix SUGGERIMENTO La comunicazione di sicurezza peer to peer tra due controllori GuardLogix nello stesso chassis possibile anche mediante il backplane Backplane N Da N n N ji 1 e LO re e 1756 L72S 1756 L7SP Rete DeviceNet Safety I bridge DeviceNet permettono al controllore GuardLogix di controllare e scambiare dati di sicurezza con i moduli I O CIP Safety su una rete DeviceNet Figura 5 Comunicazione mediante un bridge DeviceNet 1756 L72S 1756 L7SP 1756 DNB Modulo 1 0 CIP Safety Modulo 1 0 CIP Safety Rete DeviceNet Rete ControlNet I bridge ControlNet permettono al controllore GuardLogix di produrre e consumare tag di sicurezza su reti ControlNet con altri controllori GuardLogix o reti I O CIP Safety remote Figura 6 Comunicazione mediante un bridge ControlNet Rete ControlNet Controllore A Controllore B 1756 PB75 1768 CN2 17
78. i controllori GuardLogix 5570 previsto un intervallo massimo per le prove funzionali di 20 anni Altri componenti del sistema quali i dispositivi I O di sicurezza i sensori e gli attuatori possono avere intervalli di tempo pi brevi per le prove funzionali Includere il controllore nel test di verifica funzionale degli altri componenti del sistema di sicurezza IMPORTANTE Le applicazioni specifiche dell utente determinano la frequenza delle prove funzionali Tuttavia ci si riferisce principalmente ai dispositivi 1 0 di sicurezza ed alla strumentazione di campo Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Significato di livello di integrit della sicurezza SIL Capitolo 1 Architettura Guard Logix per La seguente illustrazione mostra una tipica funzione SIL che include applicazioni SIL 3 e la funzione di sicurezza complessiva e la parte GuardLogix nell ambito della funzione di sicurezza complessiva e il modo in cui altri dispositivi ad es interfaccia operatore sono collegati e funzionano senza utilizzare la funzione di sicurezza Figura 1 Tipica funzione SIL Software di programmazione HMI Accesso di sola lettura ai tag di sicurezza Alla rete Ethernet a livello di impianto re 7 _ _ 7 _ r Funzione di sicurezza generale i Modulo 1 0 j lese CIP Safety
79. i stato consultare il manuale dell utente GuardLogix 5570 Controllers pubblicazione 1756 UM022 IMPORTANTE Gli indicatori di stato non sono affidabili per le funzioni di sicurezza Utilizzarli soltanto per operazioni di diagnostica generale durante la messa in servizio o la ricerca guasti Non cercare di utilizzare gli indicatori di stato per determinare lo stato di funzionamento Per un elenco dei numeri di catalogo dei controllori di sicurezza GuardLogix vedere la Tabella 2 a pagina 16 Per un elenco dei componenti ControlLogix standard adatti ad applicazioni di sicurezza vedere la Tabella 3 a pagina 17 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 21 Capitolo2 Sistema di controllo GuardLogix Protocollo CIP Safety 22 Controllore primario Il controllore primario il processore che esegue funzioni di controllo standard e di sicurezza e comunica con il coprocessore di sicurezza per le funzioni di sicurezza nel sistema di controllo GuardLogix Il controllore primario composto da un processore centrale un interfaccia I O ed una memoria Coprocessore di sicurezza Per soddisfare i requisiti SIL 3 nello slot immediatamente a destra del controllore primario deve essere installato un coprocessore di sicurezza Il coprocessore di sicurezza garantisce la ridondanza per le funzioni connesse con la sicurezza nel sistema Il controllore primario configura il coprocessore di sicurezza sufficiente un
80. icazione 1756 QS001 Test di impatto delle modifiche Eventuali operazioni di modifica miglioramento o adattamento del software convalidato devono essere pianificate ed analizzate per verificarne l impatto sul sistema di sicurezza funzionale Tutte le corrispondenti fasi del ciclo di vita di sicurezza del software devono essere realizzate come indicato dall analisi di impatto Come minimo deve essere realizzato il collaudo funzionale di tutto il software interessato Tutte le modifiche alle specifiche del software devono essere documentate Anche i risultati dei test devono essere documentati Per informazioni dettagliate far riferimento alla norma IEC 61508 3 sezione 7 8 Modifiche software Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Sviluppo dell applicazione di sicurezza Capitolo 6 Figura 16 Processo di modifica online ed offline Modifica online Modifica offline Aprire il progetto Modifiche alla sicurezza Collegarsi al controllore Modifiche Apportare le modifiche desiderate alla logica standard alla sicurezza S S Sbloccare il controllore Sbloccare il controllore Apportare le modifiche desiderate alla logica i ahe la pat y Eseguire il test del standard ell applicazione di sicurezza Eliminare la firma programma applicativo dell applicazione di sicurezza Apportare le modifiche desiderate alla logica di sicurezza
81. icazione Rockwell Automation 1756 RM099B IT P Novembre 2014 71 Appendice A 72 Istruzioni di sicurezza Se si utilizza Motion Direct Commands con un servoazionamento Kinetix 5500 fare riferimento al manuale dell utente Servoazionamenti Kinetix 5500 pubblicazione 2198 UM001 per informazioni su come utilizzare questa funzione nelle applicazioni di sicurezza IMPORTANTE Per ulteriori informazioni consultare le seguenti pubblicazioni Tabella 12 Altre risorse Descrizione Risorsa Manuale di riferimento Set di istruzioni per l applicazione di sicurezza GuardLogix pubblicazione 1756 RM095 Fornisce ulteriori informazioni sulle istruzioni per applicazioni di sicurezza Contiene informazioni dettagliate sul set di istruzioni Logix5000 Controllers General Instructions Reference Manual Logix pubblicazione 1756 RM003 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Creazione ed utilizzo di un istruzione Add On di sicurezza Appendice B Istruzioni Add On di sicurezza Argomento Creazione ed utilizzo di un istruzione Add On di sicurezza 73 Altre risorse 78 Con l applicazione Logix Designer possibile creare istruzioni Add On di sicu rezza che permettono di integrare logica di sicurezza di uso comune in un istruzione unica In questo modo le istruzioni risultano modulari e facilmente riutilizzabili Le istruzioni Add On di sicurezza utilizzano la firma del
82. ice F di questo manuale ed il manuale di riferimento per la sicurezza Set di istruzioni per l applicazione di sicurezza GuardLogix pubblicazione 1756 RM095 Istruzioni Get System Value GSV e Set System Value SSV Le istruzioni GSV e SSV permettono di ottenere GSV ed impostare SSV i dati del sistema di controllo memorizzati negli oggetti dei dispositivi Inserendo un istruzione GSV SSV il software di programmazione visualizza le classi di oggetti validi i nomi degli oggetti ed i nomi degli attributi per ciascuna istruzione Per l utilizzo delle istruzioni GSV e SSV con i componenti di sicurezza esistono delle limitazioni IMPORTANTE Il task di sicurezza non pu eseguire operazioni GSV o SSV su attributi standard Gli attributi degli oggetti di sicurezza che possono essere scritti dal task standard sono concepiti soltanto per scopi diagnostici Non riguardano l esecuzione del task di sicurezza Per ulteriori informazioni su quali attributi di sicurezza sono accessibili tramite le istruzioni GSV ed SSV consultare il manuale dell utente GuardLogix 5570 Controllers pubblicazione 1756 UM022 Per informazioni generali sull uso delle istruzioni GSV ed SSV consultare il manuale di riferimento Istruzioni generali per controllori Logix5000 pubblicazione 1756 RM003 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 65 Capitolo 7 Monitoraggio dello stato e gestione degli errori Errori del sistema Gua
83. io dei circuiti di sicurezza SIL 2 su moduli di ingresso di sicurezza Guard I O In questi esempi vengono utilizzate sorgenti di test integrate T0 Ix residenti su tutti i moduli di ingresso di sicurezza 1791 e 1732 Figura 11 Cablaggio ingressi I moduli Guard I O raggruppano gli ingressi a coppie per facilitare le funzioni di sicurezza Cat 3 Cat 4 e SIL 3 Nel caso delle funzioni di sicurezza Cat 1 Cat 2 e SIL 2 gli ingressi del modulo devono essere comunque utilizzati a coppie come illustrato Sono inoltre rappresentate due funzioni di sicurezza SIL 2 cablate agli ingressi I0 e I1 che utilizzano rispettivamente le sorgenti di test TO e T1 Figura 12 Cablaggio ingressi a coppie Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 39 Capitolo 5 40 Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Nel caso delle funzioni di sicurezza Cat 1 Cat 2 e SIL 2 i moduli di sicurezza Guard I O richiedono configurazioni specifiche nell ambito del progetto GuardLogix In questo esempio gli ingressi 0 1 6 7 8 9 10 e 11 fanno parte di una funzione di sicurezza Cat 1 2 o SIL 2 Gli ingressi 2 e 3 cos come gli ingressi 4 e 5 fanno parte di una funzione di sicurezza Cat 3 Cat 4 o SIL 3 Figura 13 Configurazione degli ingressi E Module Properties ENet_1 1791ES IB16 A 1 1 Test Source O_ Single a Safety P
84. ione Rockwell Automation 1756 RM099B IT P Novembre 2014 85 AppendiceC Tempi di risposta 5 Fare clic su Advanced per visualizzare o modificare le impostazioni attuali Advanced Connection Reaction Time Limit Configuration Requested Packet Interval RPI 20 H ms 1 500 Timeout Multiplier 2401 4 Network Delay Multiplier 200 4 of RPI 10 600 Connection Reaction Time Limit BO 0 ms Cancel Help Per ulteriori informazioni consultare il manuale del utente controllori GuardLogix 5570 pubblicazione 1756 UM022 86 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Appendice D Checklist per le applicazioni di sicurezza GuardLogix Argomento Pagina Checklist del sistema di controllo GuardLogix 88 Checklist per gli ingressi di sicurezza 89 Checklist per le uscite di sicurezza 90 Checklist per sviluppare un programma di un applicazione di sicurezza 91 Le checklist presenti in questa appendice sono necessarie per la progettazione la programmazione e l avvio di un applicazione GuardLogix certificata SIL 3 Possono essere utilizzate come guide di pianificazione e durante il test di verifica del progetto Se utilizzate come guide di pianificazione le checklist possono essere salvate come registrazione del piano Le checklist presenti nelle seguenti pagine forniscono un esempio di considera zioni sulla sicurezza e non intendono essere un elenco completo di voci da verifi
85. ione di sicurezza Capitolo 6 Procedura per la messa Il diagramma di flusso sottoriportato mostra i passi necessari per la messa in in servizio servizio di un sistema GuardLogix Le voci in grassetto sono spiegate nelle sezioni che seguono Figura 15 Messa in servizio del sistema Specificare la funzione di controllo Creare il progetto Creare il progetto Online Offline Collegare il controllore ed eseguire il download Eseguire il test del programma CE applicativo Generare la firma del task di sicurezza Apportare le modifiche necessarie Test di verifica del progetto Test Eliminare la firma del task di superati sicurezza S Confermare il progetto Registrare la firma del task di sicurezza Compilare le liste di controllo di sicurezza nell Appendice D Validazione di sicurezza verifica indipendente Progetto valido S Bloccare il controllore fine Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 51 Capitolo 6 52 Sviluppo dell applicazione di sicurezza Specifica della funzione di controllo Si deve creare una specifica per la propria funzione di controllo Utilizzare questa specifica per verificare che la logica del programma soddisfi correttamente e completamente i requisiti funzionali e di controllo della sicurezza della propria applicazione La specifica pu essere presentata in numerosi formati in base alla propria applicazione Tuttavia la specifica deve esse
86. iplicatore ritardo rete Il moltiplicatore di ritardo rete considera qualunque ritardo conosciuto sul cavo Quando si verificano questi ritardi i timeout possono essere evitati tramite questo parametro Modificando questi valori possibile cambiare il limite del tempo di risposta delle connessione Per visualizzare o configurare queste impostazioni procedere come segue 1 Nell albero di configurazione fare clic con il pulsante destro del mouse sul dispositivo I O di sicurezza e selezionare Properties 2 Fare clic sulla scheda Safety General Connection Safety Module Info Input Configuration Test Output Output Configuration Connection Requested Packet Connection Reaction Max Observed Type Interval RPI ms Time Limit ms Network Delay ms Safety Input Advanced Safety Output Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 83 AppendiceC Tempi di risposta 3 Fare clic su Advanced per aprire la finestra di dialogo Advanced Connection Reaction Time Limit Advanced Connection Reaction Time Lim Input Requested Packet Interval RPI T4 ms 6 500 Timeout Multiplier 2 3 1 4 Network Delay Multiplier 200 a 10 600 Connection Reaction Time Limit 40 1 ms M Output Requested Packet Interval RPI 20 ms Safety Task Period Timeout Multiplier 2 a 1 4 Network Delay Multiplier 200 3 10 600 Connection Reaction Tim
87. irma del task di sicurezza Lo stato di default del controllore quello sbloccato Si pu portare l applicazione di sicurezza in uno stato di blocco di sicurezza indipendentemente dal fatto che l utente sia online o meno e che si disponga del sorgente originale del programma Tuttavia non possono essere presenti forzature di sicurezza o modifiche di sicurezza in sospeso Gli stati di blocco o sblocco di sicurezza non possono essere modificati quando il selettore a chiave si trova nella posizione RUN Per garantire un ulteriore livello di protezione possibile utilizzare password separate per il blocco di sicurezza e lo sblocco di sicurezza del controllore Le password sono opzionali Durante il download richiesto il test dell applicazione a meno che non esista una firma del task di sicurezza IMPORTANTE Per verificare l integrit di ciascun download necessario annotare manualmente la firma del task di sicurezza dopo la creazione iniziale e verificare la firma del task di sicurezza dopo ogni download per assicurarsi che corrisponda all originale Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Upload del programma per applicazioni di sicurezza Modifiche online Sviluppo dell applicazione di sicurezza Capitolo 6 I download in un controllore GuardLogix in blocco di sicurezza sono ammessi soltanto se la firma del task di sicurezza le serie hardware e la versione del sistema operativo del proge
88. irmware certificate 2198 IN001 2198 UM001 numeri di catalogo che visitare il sito terminano con ERS2 http www rockwellautomation com products certification safety 1 Certificati per l uso con il software RSLogix 5000 versione 14 versione 16 e successiva 2 Certificati per l uso con il software RSLogix 5000 versione 18 e successiva 3 Queste pubblicazioni sono disponibili sul sito Web di Rockwell Automation all indirizzo http www rockwellautomation com literature 4 Perle istruzioni per l installazione vedere il manuale dell utente 16 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Significato di livello di integrit della sicurezza SIL Capitolo 1 Tabella 3 Componenti adatti all uso con sistemi di controllo di sicurezza GuardLogix 1756 Documentazione attinente Tipo di Istruzioni per Manuale dispositivo Num di Cat Descrizione Serie Versione l installazione utente 1756 A4 Chassis a 4 slot 1756 A7 Chassis a 7 slot 1756 A10 Chassis a 10 slot B N A 1756 A13 Chassis a 13 slot Chassis 1756 A17 Chassis a 17 slot 1756 IN005 N A 1756 A4LXT Chassis XT a 4 slot B N A 1756 A5XT Chassis XT a 5 slot 1756 A7XT Chassis XT a 7 slot 1756 A7LXT Chassis XT a 7 slot 1756 PA72 Alimentatore CA C 1756 PB72 Alimentatore CC C 1756 PA75 Alimentatore CA B Alimentatore N A 1756 IN005 N A 1756 PB75 Alimentatore CC B 1756 PAXT Alimentatore XT CA B 1756 PBX
89. istruzione di sicurezza Test di qualificazione dell istruzione Add On SIL 3 Conferma del progetto za sisi Validazione di sicurezza delle istruzioni Add On Creazione di una voce nella cronologia della firma Esportazione ed importazione dell istruzione Add On discenti Verifica delle firme dell istruzione Add On di sicurezza Esecuzione del test del programma applicativo Tescangalicadekpfopettos ornata Esecuzione della validazione di sicurezza del progetto Padara nO selon ilari ri rebcaziona Appendice C Tempo di risposta del sistema 1 1 rei Tempo di risposta del sistema Logix i7rzi sospirare Semplice catena ingresso logica uscita L 0 Catena logica che utilizza tag di sicurezza prodotti consumati Elementi che influiscono sui componenti del tempo di risposta Logix surreali Accesso alle impostazioni di ritardo del modulo di ingresso Guard VO rs indiana a i Accesso al limite del tempo di risposta delle connessioni di sicurezza di ingresso cd usot visioni Configurazione del periodo del task di sicurezza delwarchdoges ies soior ea ea E a AEA EE Accesso ai dati dei tag prodotti consumati Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Indice Checklist per le applicazioni di sicurezza GuardLogix Dati di sicurezza dei sistemi GuardLogix Software RSLogix 5000 versione 14
90. ito del programma I tag di sicurezza nell ambito del controllore possono essere letti dalla logica standard o di sicurezza o da altri dispositivi di comunicazione ma possono essere scritti unicamente dalla logica di sicurezza o da un altro controllore di sicurezza GuardLogix I tag di sicurezza nell ambito del programma sono accessibili solo da routine di sicurezza locali Si tratta di routine che si trovano all interno del programma di sicurezza I tag associati agli I O di sicurezza ed ai dati di sicurezza prodotti o consumati devono essere tag di sicurezza nell ambito del controllore IMPORTANTE I tag di sicurezza nell ambito del controllore sono leggibili da qualsiasi routine standard ma la frequenza di aggiornamento si basa sull esecuzione del task di sicurezza Pertanto i tag di sicurezza vengono aggiornati alla frequenza periodica del task di sicurezza che diversa dal comportamento del tag standard Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Capitolo 5 Tag standard in routine di sicurezza mappatura dei tag I tag standard nell ambito del controllore possono essere mappati in tag di sicurezza fornendo in tal modo un meccanismo per sincronizzare azioni standard ed azioni di sicurezza ATTENZIONE Se si utilizzano dati standard in una routine di sicurezza si responsabili di fornire uno strumento af
91. ito utilizzate durante il funzionamento normale Ricordare inoltre che un test di verifica del progetto valido unicamente per la specifica applicazione testata Se il controllore viene trasferito ad un altra applicazione necessario eseguirne il test di avviamento e di verifica del progetto all interno del nuovo programma applicativo Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Sviluppo dell applicazione di sicurezza Capitolo 6 Confermare il progetto Si deve stampare o visualizzare il progetto e confrontare gli I O di sicurezza caricati e le configurazioni del controllore i dati di sicurezza e la logica del programma del task di sicurezza per assicurarsi che i componenti di sicurezza corretti siano stati scaricati testati e mantenuti nel programma applicativo di sicurezza Se il programma applicativo contiene un istruzione Add On di sicurezza sigillata con una firma dell istruzione inoltre necessario confrontare la firma dell istruzione data e ora e firma dell istruzione di sicurezza con i valori che sono stati registrati quando stata sigillata l istruzione Add On Per informazioni sulla creazione e l uso di istruzioni Add On di sicurezza in applicazioni SIL 3 vedere l Appendice B Istruzioni Add On di sicurezza I punti sotto riportati illustrano un metodo per confermare il progetto 1 Con il controllore in modalit Programmazione salvare il progetto 2 Rispondere Yes S
92. k di sicurezza pu essere ritardato fino al completa mento dell aggiornamento della comunicazione Il tempo necessario per l aggiornamento varia in base alle dimensioni dei tag Pertanto potrebbero verificarsi timeout del watchdog di sicurezza e di una connessione di sicu rezza ad esempio se si eseguono modifiche online con il periodo del task di sicurezza impostato su 1 ms potrebbe verificarsi un timeout del watchdog di sicurezza Per compensare il ritardo dovuto all aggiornamento della comunicazione aggiungere 2 ms al tempo del watchdog di sicurezza Quando il controllore in blocco di sicurezza o presente una firma del task di sicurezza la situazione descritta in questa nota non pu verificarsi Per utilizzare dispositivi di interfaccia operatore in sistemi GuardLogix classificati SIL attenersi alle istruzioni ed alle precauzioni che seguono Precauzioni Con i dispositivi di interfaccia operatore adottare tutte le necessarie precauzioni ed implementare tecniche specifiche Tali precauzioni includono tra l altro le seguenti e limitazione degli accessi e sicurezza e specifiche test e validazione e restrizioni su dati ed accesso e limiti su dati e parametri Per ulteriori informazioni sull utilizzo dei dispositivi di interfaccia operatore in un tipico loop SIL vedere Figura 1 a pagina 15 Utilizzare tecniche sicure nel software applicativo all interno dell interfaccia operatore e del controllore
93. l istruzione per le istru zioni Add On ad alta integrit ed inoltre una firma dell istruzione di sicurezza SIL 3 che vengono impiegate nelle funzioni inerenti alla sicurezza fino al livello SIL 3 compreso Nel diagramma di flusso riportato a pagina 74 sono indicati i passi richiesti per la creazione di un istruzione Add On di sicurezza e l utilizzo di tale istruzione in un programma applicativo di sicurezza SIL 3 Le voci ombreggiate sono passi esclusivi delle istruzioni Add On Le voci in grassetto sono spiegate nelle pagine successive al diagramma di flusso Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 73 AppendiceB Istruzioni Add On di sicurezza Figura 18 Diagramma di flusso relativo alla creazione ed all uso delle istruzioni Add On di sicurezza Per utilizzare un istruzione Add On di sicurezza Y Creare o aprire un progetto y Creare modificare l applicazione Y Download Y S y Eseguire il test del programma applicativo Cambiare modalit passando in Programmazione y Creare la firma del task di sicurezza y Apportare le Confermare il progetto 1 modifiche ti necessarie y i Cambiare modalit passando in Esecuzione Eliminare la firma del task di sicurezza y Test di verifica del progetto y No Tu
94. l momento in cui uscita elaborata disponibile inferiore o pari alla somma del periodo del task di sicurezza e del watchdog del task di sicurezza Periodo del task di sicurezza e watchdog del task di sicurezza Il periodo del task di sicurezza l intervallo in cui viene eseguito il task di sicurezza Il tempo del watchdog del task di sicurezza corrisponde al tempo massimo consentito per l elaborazione del task di sicurezza Se il tempo di elaborazione del task di sicurezza supera il tempo del watchdog del task di sicurezza si verifica un errore di sicurezza irreversibile nel controllore e la transizione automatica delle uscite allo stato di sicurezza off Il tempo del watchdog del task di sicurezza definito dall utente e deve essere inferiore o pari a quello del periodo del task di sicurezza Il tempo del watchdog del task di sicurezza impostato nella finestra delle propriet del task dell applicazione Logix Designer Questo valore pu essere modificato online indipendentemente dalla modalit del controllore ma non pu essere cambiato quando il controllore in blocco di sicurezza oppure dopo che stata creata una firma del task di sicurezza Nel caso in cui si verifichi un guasto in qualsiasi dispositivo certificato SIL 3 contattare il distributore Allen Bradley di zona e procedere come segue e Restituire il dispositivo a Rockwell Automation in modo che il guasto sia opportunamente registrato per il numero di cat
95. la ritenuta latch A t i Le informazioni sul guasto all ingresso dell errore all ingresso Esempio ramo 0 sono necessarie a fini diagnostici Scrivere la logica per impostare gli ingressi sullo stato di sicurezza Esempio rami 2 e 3 Scrivere la logica per la ritenuta latch dell errore all ingresso Esempio ramo 0 Scrivere la logica per lo sgancio unlatch dell errore all ingresso Esempio ramo 1 No Vengono utilizzati ingressi in un istruzione con ingressi diversificati DIN o THRS Scrivere la logica per impostare il valore dello stato di sicurezza in caso di errore di ingresso Esempio ramo 4 96 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Software RSLogix 5000 versione 14 e successiva istruzioni per applicazioni di sicurezza Appendice F Figura 23 Logica ladder esempio 1 Il nodo 30 un modulo combinato di ingresso uscita a 8 punti Il nodo 31 un modulo di ingresso a 12 punti Se lo stato dell ingresso non OK ritenuta latch dell indicazione di errore degli ingressi Noges0 lInpulStatus Node30InputsFaulted 0 JE L Node31 I CombinedStatus Node31InputsFaulted VE L Se viene rilevato il fronte di salita del segnale di reset degli errori e lo stato dell ingresso OK sgancio unlatch dell indicazione di errore FaultReset InputFaultResetOneShot Nodes0 1 InputStatus Node30InputsFa
96. lo stato diseccitato di sicurezza e l ingresso associato sullo stato di errore Se viene rilevato un errore del collegamento di uscita il sistema operativo imposta l uscita associata sullo stato di errore Le uscite vengono diseccitate dal dispositivo di uscita IMPORTANTE l utente responsabile dello sviluppo della logica di ritenuta latch degli errori 1 0 e deve assicurarsi che il riavvio del sistema avvenga in modo corretto Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Monitoraggio dello stato e gestione degli errori Capitolo 7 Sistema di diseccitazione all intervento I controllori GuardLogix fanno parte di un sistema con diseccitazione all inter vento vale a dire che zero lo stato di sicurezza Alcuni errori dei dispositivi I O di sicurezza ma non tutti provocano l impostazione a zero stato di sicurezza di tutti gli ingressi uscite del modulo Gli errori associati ad uno specifico canale di ingresso comportano l impostazione a zero di quel canale ad esempio un errore del test ad impulsi specifico del canale 0 comporta l impostazione in stato di sicu rezza 0 dei dati di ingresso del canale 0 Se l errore riguarda tutto il dispositivo e non uno specifico canale il bit Combined Status visualizza lo stato di errore e tutti i dati del dispositivo vengono impostati in stato di sicurezza 0 Per informazioni su come usare le istruzioni dell applicazione di sicurezza GuardLogix vedere l Append
97. minare lo stato di funzionamento corrente interrogando vari oggetti dei dispositivi responsabilit del utente determinare quali dati sono pi opportuni per iniziare una sequenza di spegnimento Dati CONNECTION_STATUS Il primo membro della struttura di tag associata con i dati di ingresso di sicurezza ed i dati dei tag di sicurezza prodotti consumati contiene lo stato del collegamento Questo membro costituito da un tipo di dati predefinito denominato CONNECTION_STATUS Figura 17 Finestra di dialogo Data Type axi Name MyProducedConsumedSafetyType Description NEET STATUS DINT Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 63 Capitolo 7 64 Monitoraggio dello stato e gestione degli errori I primi due bit del tipo di dati CONNECTION_STATUS contengono i bit di stato RunMode e ConnectionFaulted di un dispositivo La seguente tabella descrive le combinazioni degli stati RunMode e ConnectionFaulted Tabella 8 Stato della connessione di sicurezza Stato MEC RunMode Stato ConnectionFaulted Funzionamento del collegamento di sicurezza 1 Run 0 Valid I dati vengono attivamente controllati dal dispositivo produttore Il dispositivo produttore in modalit Esecuzione 0 ldle 0 Valid Il collegamento attivo ed il dispositivo produttore in stato di riposo dati di sicurezza vengono azzerati 0 Idle 1 Faulted Il collegamento di sicurezza in errore Lo stato del dispo
98. n sono di propriet dei rispettivi titolari Informazioni nuove ed aggiornate Riepilogo delle modifiche Questo manuale contiene informazioni nuove ed aggiornate Questa tabella contiene le modifiche apportate a questa versione Argomento Modifica dei riferimenti al modulo 1 0 di sicurezza come al pi generico dispositivo 1 0 di sicurezza come appropriato Pagina In tutto il manuale Aggiunta del numero di catalogo di Armor GuardLogix 1756 L72EROMS sulla Copertina copertina Aggiunta delle informazioni sui servoazionamenti Kinetix 5500 all elenco dei 16 componenti certificati SIL 3 Aggiunta del modulo 1756 EN2TRXT all elenco dei moduli interfaccia di 23 comunicazione Aggiunta di una nota relativa al fatto che il progetto non esegue la verifica della 35 presenza di combinazioni duplicate di SNN ed indirizzo di nodo Aggiunta di un riferimento al manuale dell utente Servoazionamenti 72 Kinetix 5500 per informazioni sull utilizzo di Motion Direct Commands in applicazioni di sicurezza Aggiunta di dati di sicurezza aggiornati IEC 61508 Ed 2 2010 per i moduli Appendice E Guard 1 0 Aggiunta di dati di sicurezza per i moduli 1734 IB8S serie B e 1734 0B8S serie B Appendice E Aggiornamento dei dati PFH per i moduli 1734 IE4S Appendice E Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Riepilogo delle modifiche Note 4 Pubblicazione Rockwell Automation 1756 RM
99. ne generata automaticamente una firma dell istruzione di sicurezza SIL 3 La firma dell istruzione di sicurezza un numero ID che identifica le caratteristiche di esecuzione dell istruzione Add On di sicurezza Test di qualificazione dell istruzione Add On SIL 3 I test relativi alle istruzioni Add On di sicurezza SIL 3 devono essere eseguiti in un applicazione separata dedicata al fine di ridurre al minimo le influenze impreviste necessario attenersi ad un piano di prova ben progettato e testare l istruzione Add On di sicurezza sull unit provando tutti i percorsi di esecuzione possibili tramite la logica ivi compresi i campi di impostazione validi e non validi di tutti i parametri di ingresso Durante lo sviluppo di tutte le istruzioni Add On di sicurezza occorre rispettare la normativa IEC 61508 Requisiti per le prove relative ai moduli software in cui sono specificati i requisiti dettagliati per le prove relative alle unit Conferma del progetto Si deve stampare o visualizzare il progetto e confrontare manualmente le configurazioni caricate degli I O di sicurezza e del controllore i dati di sicurezza le definizioni dell istruzione Add On di sicurezza e la logica del programma del task di sicurezza per assicurarsi che nel programma applicativo di sicurezza siano stati scaricati testati e mantenuti i componenti di sicurezza corretti In Confermare il progetto a pagina 55 riportata la descrizione di un metodo di
100. ngresso analogico a 4 punti CIP Safety 3 2E 07 8 1E 07 1 6E 06 3 3E 06 funzionamento a doppio canale 1 Questi dati si riferiscono al funzionamento monocanale ed a doppio canale 2 dati relativi alla probabilit PFD su 20 anni valgono soltanto per i prodotti con codice data di produzione 2009 01 01 1 gennaio 2009 o successivo Per informazioni sul codice data fare riferimento all etichetta del prodotto Allen Bradiey CATNO SERIES DATE CODE 1791DS B8XOB8 A wyma y ART NO 10000041926 VER 00 PLY Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 93 AppendiceE Dati di sicurezza dei sistemi GuardLogix Valori di PFH Tabella 15 Calcolo PFH I dati sotto riportati si riferiscono ad un intervallo tra test funzionali minore o pari a 20 anni Num di Cat Descrizione PFH 1 ora 1756 L7xS e 1756 L7SP Controllore GuardLogix 1 2E 09 1756 L7xSXT e 1756 L7SPXT Controllore GuardLogix XT 1 2E 09 1791DS 1B12 Modulo di ingresso a 12 punti CIP Safety 5 776 110 1791DS 1B16 Modulo di ingresso a 16 punti CIP Safety 4 96E 10 1791DS 1B8X0B8 Modulo di ingresso uscita a 8 punti CIP Safety 5 776 110 1791DS IB4X0W4 Modulo di ingresso uscita a rel a 4 punti CIP Safety 9 03E 090 1791DS 1B8XOBV4 Modulo di ingresso a 8 punti e 4 uscite bipolari CIP Safety 5 02E 10 1732DS IB8XOBV4 1732DS 1B8 Modulo di ingresso a 8 punti CIP Safety 4 96E 10 1791ES
101. ngresso di sicurezza di propriet di un unico controllore ma i dati di ingresso di sicurezza possono essere condivisi consumati da diversi controllori GuardLogix Firma della configurazione degli 1 0 di sicurezza Questa autenticazione definisce la configurazione del dispositivo Pu essere letta e monitorata L autenticazione di configurazione viene utilizzata per identificare univocamente la configurazione di un dispositivo Quando si utilizza un control lore GuardLogix non necessario monitorare questa firma Il controllore GuardLogix monitora la firma automaticamente Sostituzione dei dispositivi 1 0 di sicurezza La sostituzione dei dispositivi di sicurezza prevede che il dispositivo sostitutivo sia configurato in modo opportuno e che il funzionamento del dispositivo sostitutivo venga verificato dall utente ATTENZIONE Durante la sostituzione o il collaudo funzionale di un dispositivo la sicurezza del sistema non deve basarsi su alcuna parte del dispositivo interessato Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 29 Capitolo3 1 0 CIP Safety peril sistema di controllo GuardLogix Nella scheda Safety della finestra di dialogo Controller Properties dell applicazione Logix Designer sono disponibili due opzioni per la sostituzione dei dispositivi I O e Configure Only When No Safety Signature Exists e Configure Always Figura 7 Opzioni di sostituzione dei moduli 1 0 di sicurezza fs
102. no al livello SIL CL 3 incluso in conformit alle normative IEC 61508 e IEC 62061 ed applicazioni di sicurezza fino al livello prestazionale PLe Categoria 4 incluso in conformit alla normativa ISO 13849 1 Utilizzare questo manuale se si responsabili dello sviluppo del funzionamento o della manutenzione di un sistema di sicurezza basato su un controllore GuardLo gix 5570 che usa l applicazione Logix Designer Studio 5000 versione 21 000 o successiva Leggere e comprendere i concetti ed i requisiti di sicurezza riportati nel presente manuale prima di utilizzare un sistema di sicurezza basato sul con trollore GuardLogix 5570 Per i requisiti di sicurezza relativi ai controllori GuardLogix 5570 nei p rogetti RSLogix 5000 consultare il manuale di riferimento per la sicurezza GuardLogix Controllers pubblicazione 1756 RM093 Studio 5000 Automation Engineering and Design Environment combina elementi di sviluppo e progettazione in un ambiente comune Il primo elemento dell ambiente Studio 5000 l applicazione Logix Designer L applicazione Logix Designer il rebranding del software RSLogix 5000 e continua ad essere il prodotto destinato alla programmazione dei controllori Logix5000 per soluzioni di controllo discreto di processo batch controllo assi sicurezza e basate su azionamenti r Rockwell Software Studio 5000 Create ZA Explore New Project Existing Project Help From Import Sample Proj
103. non protetta e cancellabile da chiunque acceda al controllore Esecuzione Bloccato Ple Cat 4 e Forzature non ammesse devono essere rimosse per generare la firma del task di sicurezza Con firma Controllo affidabile e Modifiche online non ammesse SIL CL3 e Memoria di sicurezza protetta solo lettura e Logica del task di sicurezza scandita e Controllore primario e coprocessore elaborano la logica ed eseguono il controllo incrociato delle uscite logiche Uscite logiche scritte sulle uscite di sicurezza e La firma del task di sicurezza protetta Prima di poter cancellare la firma del task di sicurezza gli utenti devono inserire la password di sblocco del controllore 1 Per ottenere questo livello necessario attenersi ai requisiti di sicurezza definiti in questa pubblicazione Concetti base per lo sviluppo ed il test dell applicazione 50 consigliabile che il programma applicativo per il sistema SIL CL3 previsto sia sviluppato dall integratore di sistemi o da un utente in possesso di formazione ed esperienza nelle applicazioni di sicurezza Lo sviluppatore deve seguire tecniche di progettazione valide e Utilizzare specifiche funzionali tra cui diagrammi di flusso diagrammi dei tempi e diagrammi sequenziali e Eseguire l analisi della logica del task di sicurezza e Eseguire la validazione dell applicazione Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Sviluppo dell applicaz
104. o Si determinato il modo in cui il proprio sistema gestir gli errori Ogni rete nel sistema di sicurezza dotata di un SNN univoco Ogni dispositivo di sicurezza CIP configurato con l SNN corretto stata generata una firma del task di sicurezza La firma del task di sicurezza stata caricata e registrata per un confronto futuro Dopo un download si verificato che la firma del task di sicurezza presente nel controllore corrisponda alla firma del task di sicurezza registrata OO Ud UDO Si dispone di un meccanismo alternativo per preservare l integrit della sicurezza del sistema mentre si eseguono modifiche online Sono state considerate le checklist per l utilizzo degli ingressi e delle uscite SIL elencati nelle pagine 89 e 90 QIO 88 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Checklist per le applicazioni di sicurezza GuardLogix Appendice D Checklist per gli ing ressi Per la programmazione o l avvio pu essere compilata una checklist individuale di sicurezza per ogni canale di ingresso SIL di un sistema Questo l unico modo per essere certi che i requisiti siano implementati in modo completo e chiaro Questa chec klist pu essere utilizzata anche come documentazione relativa al collegamento del cablaggio esterno al programma applicativo Checklist
105. o nel controllore stato scaricato un programma valido Programma Sbloccato e Connessioni 1 0 stabilite Senza firma e Logica del task di sicurezza non in fase di scansione Esecuzione Sbloccato solo a fini di sviluppo e Forzature ammesse Senza firma e Modifiche online ammesse e Memoria di sicurezza isolata ma non protetta lettura scrittura e Logica del task di sicurezza in fase di scansione Controllore primario e coprocessore elaborano la logica ed eseguono il controllo incrociato delle uscite logiche Uscite logiche scritte sulle uscite di sicurezza Esecuzione Bloccato PLd Cat 3 e Non sono ammesse nuove forzature Forzature esistenti mantenute Senza firma Controllo affidabile e Modifiche online non ammesse SIL CL2 e Memoria di sicurezza protetta solo lettura e Logica del task di sicurezza scandita e Controllore primario e coprocessore elaborano la logica ed eseguono il controllo incrociato delle uscite logiche Uscite logiche scritte sulle uscite di sicurezza Esecuzione Sbloccato Ple Cat 4 e Forzature non ammesse devono essere rimosse per generare la firma del task di sicurezza Con firma Controllo affidabile e Modifiche online non ammesse SIL CL3 e Memoria di sicurezza protetta solo lettura e Logica del task di sicurezza scandita e Controllore primario e coprocessore elaborano la logica ed eseguono il controllo incrociato delle uscite logiche Uscite logiche scritte sulle uscite di sicurezza e Firma del task di sicurezza
106. o che intercorre tra il momento in cui i dati di sicurezza vengono ricevuti dal controllore GuardLogix ed il momento in cui viene modificato lo stato del morsetto di uscita Per informazioni sulla determinazione dei tempi di risposta di ingresso e di uscita fare riferimento alla documentazione prodotto per il dispositivo I O CIP Safety specifico Per informazioni sul calcolo del tempo di risposta del sistema consultare Appendice C Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Considerazioni sulla sicurezza dei dispositivi 1 0 CIP Safety 1 0 CIP Safety per il sistema di controllo GuardLogix Capitolo 3 Tutti i dispositivi devono essere messi in servizio con un indirizzo di nodo o indirizzo IP ed una velocit di comunicazione se necessario prima della loro installazione nella rete di sicurezza Propriet Ciascun dispositivo I O CIP Safety in un sistema GuardLogix di propriet di un controllore GuardLogix possibile utilizzare pi controllori GuardLogix e dispositivi I O CIP Safety negli chassis o sulle reti senza restrizioni Se un con trollore proprietario di un dispositivo I O memorizza i dati di configurazione del dispositivo come definito dall utente Questa configurazione consente di controllare il funzionamento dei dispositivi nel sistema Dal punto di vista del controllo i dispositivi di uscita di sicurezza possono essere gestiti da un solo controllore Anche ogni dispositivo di i
107. o di ingresso se applicabile 2 Limite tempo di risposta connessione ingresso di sicurezza 3 Periodo del task di sicurezza tempo di watchdog del task di sicurezza per il controllore A 4 Limite tempo di risposta connessione di sicurezza P C prodotta consumata 5 Periodo del task di sicurezza tempo di watchdog del task di sicurezza per il controllore B 6 Limite rempo di risposta connessione uscita di sicurezza 7 Tempo di risposta del dispositivo di uscita di sicurezza Per determinare il tempo di risposta del proprio loop di controllo disponibile un foglio di calcolo elettronico Microsoft Excel nella cartella Tools del DVD dell ambiente Studio 5000 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 81 AppendiceC Tempi di risposta Elementi che influiscono I componenti del tempo di risposta Logix descritti nelle sezioni precedenti sui componenti del tempo possono essere influenzati da diversi fattori di risposta Logix Tabella 13 Elementi che influiscono sul tempo di risposta del sistema Logix Questi componenti del tempo di risposta Ritardo del dispositivo di ingresso Sono influenzati dai seguenti elementi Tempo di risposta del dispositivo di ingresso Impostazioni di ritardo On Off e Off On di ogni canale di ingresso se applicabile Limite tempo di risposta connessione ingresso di sicurezza Impostazioni dispositivo di ingresso per e Intervallo di pacchetto richiesto R
108. o di sicurezza aperto ed attivo e non presenta errori Qualsiasi oggetto task programma routine tag o modulo contrassegnato come elemento relativo alla sicurezza Qualsiasi oggetto task tag programma e cos via non contrassegnato come elemento relativo alla sicurezza Il processore di un controllore a due processori che esegue le funzioni standard del controllore e comunica con il coprocessore di sicurezza per eseguire le funzioni di sicurezza In base all utilizzo che ne viene fatto nel presente documento il controllore standard si riferisce genericamente ad un controllore ControlLogix Il processore in un controllore a due processori che lavora con il controllore primario per eseguire le funzioni di sicurezza Un errore che anche se gestito correttamente dai sistemi di gestione errori forniti dal controllore di sicurezza ed implementati dall utente interrompe l intera elaborazione del task di sicurezza e richiede l intervento esterno dell utente per riavviare il task di sicurezza Un errore che determina l interruzione di tutta l elaborazione e che richiede lo spegnimento e la riaccensione del controllore Il programma utente non viene conservato e va ricaricato Un errore che se trattato correttamente implementando i meccanismi di gestione errori del controllore non determina l interruzione dell esecuzione della logica utente Un valore calcolato dal firmware che rappresenta univocamente la logica e la config
109. o oa a ila Memorizzazione e caricamento di un progetto dalla memoria Mondello rain ee ei r Datori leer Inibizione dEi iSpositivo iocsreriaslalra ia rano iorieatie Modifica dell applicazione di sicurezza Esecuzione di modifiche offline L Esecuzione di modifiche online 0 Test di impatto delle modifiche spot Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Indice Capitolo 7 Monitoraggio dello stato e gestione Monitoraggio dello stato del sistema L eene degli errori Istruzioni di sicurezza Istruzioni Add On di sicurezza Tempi di risposta Dati CONNECTION STATUS senner Diagnostica ingressi ed uscite dirai aiar isa Stato della connessione dei dispositivi I O Sistema di diseccitazione all intervento Istruzioni Get System Value GSV e Set System Value SSV Errori del sistema Guatdlogiei rr a Errori irreversibili del controllore Errori di sicurezza irreversibili LL Preoteevesibilii alain Appendice A Appendice B Creazione ed utilizzo di un istruzione Add On di sicurezza Creazione di un progetto di prova per un istruzione Add On Creazione di un istruzione Add On di sicurezza Generazione della firma dell istruzione Download e generazione della firma dell
110. o sul raggiungimento dello stato diseccitato come stato di sicurezza per i tipici sistemi di arresto d emergenza Emergency Shutdown ESD e sicurezza macchine IMPORTANTE L utente del sistema responsabile di quanto segue e impostazione classificazione SIL e validazione di qualsiasi sensore o attuatore collegato al sistema GuardLogix e gestione del progetto e collaudo funzionale e controllo degli accessi al sistema di sicurezza inclusa gestione della password e programmazione dell applicazione e configurazione dei dispositivi nel rispetto delle istruzioni fornite in questo manuale di riferimento per la sicurezza e nel manuale dell utente GuardLogix 5570 Controllers pubblicazione 1756 UM022 Durante l applicazione della sicurezza funzionale limitare l accesso solo a personale qualificato e autorizzato in possesso della debita formazione ed esperienza La funzione di blocco di sicurezza con password fornita nell applicazione Logix Designer Per informazioni sull uso della funzione di blocco di sicurezza consultare il manuale dell utente Controllori GuardLogix 5570 pubblicazione 1756 UM022 La norma IEC 61508 prevede che l utente esegua diverse prove funzionali delle apparecchiature utilizzate nel sistema Le prove funzionali vengono eseguite ad intervalli definiti dall utente Ad esempio le prove funzionali possono essere eseguite una volta all anno una volta ogni 15 anni o quando si ritengano opportune Per
111. og del task di sicurezza 20 definizione 107 impostazione 20 modifica 20 panoramica 20 timeout 41 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 111 Indice analitico 112 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Assistenza Rockwell Automation Rockwell Automation fornisce informazioni tecniche sul Web per assistere i clienti nell utilizzo dei suoi prodotti All indirizzo http www rockwellautomation com support possibile trovare note tecniche ed applicative codici di esempio e collegamenti ai service pack software Inoltre possibile visitare il nostro Support Center all indirizzo https rockwellautomation custhelp com per aggiornamenti software chat e forum di supporto informazioni tecniche FAQ e sottoscrizione di news riguardanti i prodotti Vengono proposti anche numerosi programmi di supporto alle operazioni di installazione configurazione e ricerca guasti Per ulteriori informazioni contattare il proprio distributore di zona o il rappresentante Rockwell Automation oppure visitare il sito http www rockwellautomation com services online phone Assistenza per l installazione Se si verifica un problema entro le prime 24 ore dall installazione si prega di consultare le informazioni contenute in questo manuale Per richiedere assistenza durante la messa in servizio iniziale del prodotto rivolgersi all Assistenza Clienti Stati Uniti o Canada 1 440 646 3434
112. olo SNN univoco Questa raccomandazione vale anche per gli chassis Figura 9 Esempio di CIP Safety con pi di un SNN Router firewall Switch T__TT7777777 Switch A ERE selle glali SSRS 8 8 8 2 8 8 8 SmartGuard SNN_1 SNN_3 SNN_5 j LOIRA 1 0 CIP Safety 1 0 CIP Safety 1 0 CIP Safety L 1 0 CIP Safety SNN_7 1 0 CIP Safety 1 0 CIP Safety 1 0 CIP Safety SNN_2 SNN_4 SNN_6 Ogni dispositivo CIP Safety deve essere configurato con un SNN Qualunque dispositivo che d origine ad una connessione di sicurezza ad un altro dispositivo di sicurezza deve essere configurato con PSNN del dispositivo di destinazione Se il sistema CIP Safety si trova nella fase di avvio prima del test di sicurezza funzio nale del sistema il dispositivo di origine pu essere utilizzato per impostare il rife rimento univoco per i nodi nel dispositivo 34 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Considerazioni sull assegnazione del numero della rete di sicurezza SNN CIP Safety e numero della rete di sicurezza Capitolo 4 L SNN utilizzato dal sistema un numero esadecimale a sei byte LSNN pu essere impostato e visualizzato in uno dei due formati in base al tempo o manuale Quando viene selezionato il formato basato sul tempo P
113. oppio ingresso il cui obiettivo principale quello di fornireuna e BG Test and Lock funzione di arresto ad esempio un pulsante di emergenza una barriera fotoelettrica o un T V interruttore di interblocco porte Inoltre pu avviare un collaudo funzionale del dispositivo di arresto Pu monitorare un segnale di feedback proveniente da un dispositivo di sicurezza e generare una richiesta di blocco destinata ad un dispositivo di sicurezza DCSTM Dual Channel Input Stop With Monitora i dispositivi di sicurezza a doppio ingresso il cui obiettivo principale quello di fornire una T V Test and Mute funzione di arresto ad esempio un pulsante di emergenza una barriera fotoelettrica o un interruttore di interblocco porte Pu inoltre avviare un collaudo funzionale del dispositivo di arresto ed il muting del dispositivo di sicurezza DCM Dual Channel Input Monitor Monitora i dispositivi di sicurezza a doppio ingresso BG e TUV DCSRT Dual Channel Input Start Mette in tensione i dispositivi di sicurezza a doppio ingresso la cui funzione principale quella di BG avviare una macchina in sicurezza ad esempio un interruttore a fune T V SMAT Safety Mat Indica se la pedana di sicurezza occupata T V THRSe Two Hand Run Station Enhanced Monitora due diversi ingressi di sicurezza uno per il pulsante destro ed uno per il pulsante sinistro BG per controllare un unica uscita Consente di configurare il tempo di discrepanza
114. oso le connessioni degli I O di sicurezza IMPORTANTE Quando l esecuzione della logica del programma di sicurezza viene terminata in seguito ad un errore reversibile non ripristinato dal gestore degli errori di sicurezza le connessioni degli 1 0 di sicurezza sono chiuse e riaperte per inizializzare nuovamente le connessioni di sicurezza Se la logica utente terminata in seguito ad un errore reversibile non ripristinato le uscite di sicurezza vengono portate nello stato di sicurezza e il produttore dei tag di sicurezza consumati comanda ai consumatori di portarli in uno stato di sicurezza SUGGERIMENTO Quando si utilizzano gli 1 0 di sicurezza per applicazioni standard gli 1 0 di sicurezza saranno impostati sullo stato di sicurezza se la logica utente viene terminata in seguito ad un errore reversibile non ripristinato Se un errore di sicurezza reversibile viene annullato nel gestore degli errori nell ambito del controllore continua solo l esecuzione dei task standard Se l errore non viene annullato anche i task standard vengono chiusi ATTENZIONE Annullare un errore di sicurezza non significa cancellarlo Se si annulla un errore di sicurezza responsabilit dell utente dimostrare che cos facendo si mantiene il livello SIL 3 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 67 Capitolo 7 Monitoraggio dello stato e gestione degli errori Note 68 Pubblicazione Rockwell Automation 1756 RM099B IT P
115. outer o il firewall servono a limitare il traffico Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 33 Capitolo 4 CIP Safety e numero della rete di sicurezza Riferimento univoco del nodo Il protocollo CIP Safety un protocollo di sicurezza da nodo terminale a nodo terminale Il protocollo CIP Safety permette l instradamento dei messaggi CIP Safety verso e dai dispositivi CIP Safety per mezzo di ponti switch e router non certificati Per impedire che errori in ponti switch o router non certificati diventino pericolosi ogni nodo terminale di un sistema di controllo CIP Safety instradabile deve avere un riferimento univoco per i nodi Il riferimento univoco del nodo una combinazione composta da un numero della rete di sicurezza SNN e dall indirizzo del nodo Numero della rete di sicurezza Il numero della rete di sicurezza SNN assegnato automaticamente da un software oppure manualmente dall utente Ogni rete CIP Safety che contiene nodi I O di sicurezza deve avere almeno un SNN univoco Ogni chassis che contiene uno o pi dispositivi di sicurezza deve avere almeno un SNN univoco I numeri di rete di sicurezza assegnati ad ogni rete o sottorete di sicurezza devono essere univoci SUGGERIMENTO A una sottorete CIP Safety o ad uno chassis che contiene diversi dispositivi di sicurezza possibile assegnare diversi SNN Per semplicit tuttavia consigliabile che ogni sottorete CIP Safety abbia un s
116. per l installazione di un sistema industriale Rockwell Automation Certificazioni di prodotto http www ab com Fornisce le dichiarazioni di conformit i certificati ed ulteriori dettagli sulle certificazioni Le pubblicazioni possono essere visualizzate o scaricate all indirizzo http www rockwellautomation com literature Per ordinare le copie cartacee della documentazione tecnica contattare il distributore Allen Bradley o il rappresentante Rockwell Automation di zona Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 11 Prefazione Note 12 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Certificazione SIL 3 Capitolo 1 Significato di livello di integrit della sicurezza SIL Argomento Pagina Certificazione SIL 3 13 Test di verifica funzionale 14 Architettura GuardLogix per applicazioni SIL 3 15 Componenti del sistema GuardLogix 16 Certificazioni di GuardLogix 18 Specifiche relative a PFD e PFH per GuardLogix 18 Peso e distribuzione della conformit al livello di integrit della sicurezza SIL 19 Tempo di risposta del sistema 19 Periodo del task di sicurezza e watchdog del task di sicurezza 20 Informazioni di contatto per i casi di guasto ai dispositivi 20 I sistemi di controllo GuardLogix 5570 sono type approved e certificati per l uso in applicazioni di sicurezza fino al livello SIL CL3 incluso in conformit alle normative I
117. plicativo di sicurezza 56 Validazione di sicurezza possibile che sia necessaria una verifica indipendente di terza parte del sistema di sicurezza prima che il sistema venga approvato per il funzionamento La normativa IEC 61508 SIL 3 richiede una certificazione indipendente eseguita da terze parti Blocco del controllore GuardLogix Il blocco di sicurezza del sistema di controllo GuardLogix pu essere impostato per contribuire a proteggere i componenti di controllo di sicurezza da eventuali modifiche Tuttavia il blocco di sicurezza del controllore non un requisito delle applicazioni SIL 3 La funzione di blocco di sicurezza pu essere utilizzata solo con i componenti di sicurezza come il task di sicurezza i programmi di sicurezza le routine di sicurezza i tag di sicurezza le istruzioni Add On di sicurezza l I O di sicurezza e la firma del task di sicurezza Tuttavia il blocco di sicurezza da solo non soddisfa i requisiti SIL 3 Nessun aspetto della sicurezza pu essere modificato mentre il controllore si trova nello stato di blocco di sicurezza Quando il controllore in blocco di sicurezza nel task di sicurezza non sono ammesse le seguenti azioni e programmazione o modifica online offline e forzatura degli I O di sicurezza e manipolazione dati eccetto mediante logica di una routine o di un altro controllore GuardLogix e creazione o modifica di istruzioni Add On di sicurezza e generazione o eliminazione della f
118. possibile inibire o abilitare i dispositivi I O CIP Safety o i controllori P P Y produttori se il programma applicativo in blocco di sicurezza oppure se esiste una firma del task di sicurezza Seguire questi passi per inibire uno specifico dispositivo I O di sicurezza 1 Nell applicazione Logix Designer fare clic con il pulsante destro del mouse sul dispositivo e selezionare Properties 58 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Modifica dell applicazione di sicurezza Sviluppo dell applicazione di sicurezza Capitolo 6 2 Fare clic sulla scheda Connection nella finestra di dialogo Module Properties 3 Selezionare Inhibit Connection e fare clic su Apply fi Module Properties Dnetscanner 1791DS 1B12 A 1 1 iof x General Connection Safety Module Info Input Configuration Test Output Major Fault On Controller If Connection Fails While in Run Mode Requested Packet Interval RPI ms Connection Safety Output Module Fault Status Offline Cancel Apply Help Quando la casella di controllo selezionata il dispositivo inibito Se un dispositivo di comunicazione inibito lo saranno anche tutti i dispositivi a valle Per modificare il programma applicativo di sicurezza nell applicazione Logix Designer attenersi alle seguenti regole e Soltanto personale autorizzato specificamente addestrato pu apportare modifiche al programma Que
119. presse a ciclo singolo BG e TUV CPM Crankshaft Position Monitor Utilizzata per determinare la posizione della slitta della pressa BG e TUV CSM Camshaft Monitor Monitora il movimento per le operazioni di avviamento arresto e marcia di un albero a camme BG e TUV EPMS Eight position Mode Selector Monitora otto ingressi di sicurezza per controllare una delle otto uscite corrispondenti all ingresso attivo BG e TUV AVC Auxiliary Valve Control Controlla una valvola ausiliaria utilizzata con una valvola principale T V MVC Main Valve Control Controlla e monitora una valvola principale BG e TUV MMVC Maintenance Manual Valve Control Utilizzata per azionare manualmente una valvola durante operazioni di manutenzione BG T V Le routine del task di sicurezza possono utilizzare queste istruzioni di sicurezza in logica ladder Tabella 11 Istruzioni di sicurezza in logica ladder Tipo Mnemonico Nome Scopo FALO File Arithmetic and Logic Esegue operazioni di copia aritmetiche logiche e di funzione sui dati memorizzati in una matrice Array File FLL File Fill Popola l elemento di una matrice con il valore sorgente lasciando quest ultimo invariato FSCO File Search and Compare Confronta il valore in una matrice elemento per elemento SIZE Size In Elements Trova la dimensione di una matrice XIC Examine If Closed Abilita le uscite quando viene impostato un bit XIO Examine If Open Abilita
120. rd Logix Gli errori nel sistema GuardLogix rientrano nelle seguenti tre categorie 66 e errori irreversibili del controllore e errori di sicurezza irreversibili e errori reversibili Per informazioni sulla gestione degli errori consultare il manuale dell utente GuardLogix 5570 Controllers pubblicazione 1756 UM022 Errori irreversibili del controllore Un errore irreversibile del controllore si verifica se la diagnostica interna del controllore va in errore La partnership viene persa quando si verifica un errore irreversibile del controllore nel controllore primario o nel coprocessore di sicurezza facendo s che l altro generi un errore irreversibile di timeout del watchdog L esecuzione del task standard e del task di sicurezza si arresta e gli I O di sicurezza passano allo stato di sicurezza Il ripristino da un errore irreversibile del controllore richiede di eseguire nuovamente il download del programma applicativo Errori di sicurezza irreversibili In caso di un errore di sicurezza irreversibile il controllore registra l errore nel gestore degli errori nell ambito del controllore e disattiva il task di sicurezza inclusi gli I O di sicurezza e la logica di sicurezza Per il ripristino da un errore di sicurezza irreversibile la memoria di sicurezza viene reinizializzata dalla firma del task di sicurezza avviene automaticamente quando si cancella l errore oppure se non esiste una firma del task di sicurezza attrave
121. re Sensore modalit a bassa percentuale di requisiti che in una modalit ad alta percentuale di requisiti o continua La norma IEC 61508 quantifica questa classificazione impostando la frequenza delle richieste per il funzionamento del sistema di sicurezza su un valore non superiore ad una volta l anno nella modalit a bassa percentuale di requisiti e superiore ad una volta l anno nella modalit ad alta percentuale di requisirti o continua Il valore del livello di integrit della sicurezza SIL per un sistema di sicurezza a bassa percentuale di requisiti direttamente correlato all ordine di grandezza della sua probabilit media di guasto di eseguire in modo conforme la funzione di sicurezza quando richiesto o semplicemente la probabilit di guasto su domanda PFD Il valore SIL per un sistema di sicurezza a alta percentuale di requisiti direttamente correlato alla probabilit di guasto pericoloso all ora PFH I valori PFD e PFH sono associati a ciascuno dei tre elementi primari che costituiscono un sistema di sicurezza i sensori la logica e gli attuatori La logica include gli ingressi il processore e le uscite Per i valori PFD e PFH e gli intervalli delle prove funzionali per i moduli Guard I O vedere Appendice E Dati di sicurezza dei sistemi GuardLogix Figura 2 Esempio di PFH 1791DS 1B12 a STE AMENE Controllore GuardLogix LO 10 1791DS IB4XOX4 Attuatore
122. re tutte le istruzioni Add On referenziate ed i tipi definiti dall utente nello stesso file di esportazione Includendo le istruzioni Add On referenziate pi facile conservare le firme Durante l importazione delle istruzioni Add On tenere presente le seguenti regole generali e Non possibile importare un istruzione Add On di sicurezza in un progetto standard e Non possibile importare un istruzione Add On di sicurezza in un progetto di sicurezza che si trova in blocco di sicurezza o provvisto di una firma del task di sicurezza e Non possibile importare un istruzione Add On di sicurezza mentre si online e Sesiimporta un istruzione Add On con firma dell istruzione in un progetto in cui non sono disponibili istruzioni Add On referenziate o tipi definiti dall utente potrebbe essere necessario rimuovere la firma Verifica delle firme dell istruzione Add On di sicurezza Dopo aver eseguito il download del progetto applicativo contenente l istruzione Add On di sicurezza importata necessario confrontare il valore della firma dell istruzione la data la registrazione cronologica di ora e data ed i valori della firma dell istruzione di sicurezza con i valori originali registrati prima dell esportazione dell istruzione Add On di sicurezza Se corrispondono l istruzione Add On di sicurezza valida ed possibile proseguire con la validazione dell applicazione Pubblicazione Rockwell Automation 1756 RM099B IT P
123. re una descrizione dettagliata che include quanto segue se applicabile Sequenza operativa Diagrammi di flusso e dei tempi Diagrammi sequenziali Descrizione del programma Stampa del programma Descrizioni scritte dei punti con le relative condizioni e gli attuatori da controllare compreso quanto segue Definizioni ingressi Definizioni uscite Schemi di cablaggio I O e riferimenti Principio di funzionamento Matrice o tabella delle condizioni dei punti e degli attuatori da controllare inclusi i diagrammi sequenziali e dei tempi Definizione delle condizioni limite ad esempio modalit operative e ARRESTO D EMERGENZA La parte relativa agli I O della specifica tecnica deve contenere l analisi dei circuiti di campo ossia il tipo di sensori ed attuatori Sensori digitali o analogici Segnale di funzionamento standard principio della corrente a riposo per sensori digitali sensori OFF significa nessun segnale Determinazione delle ridondanze necessarie per i livelli SIL Monitoraggio e visualizzazione di discrepanze inclusa la logica diagnostica dell utente Attuatori Posizione ed attivazione nel funzionamento standard normalmente OFF Reazione posizionamento di sicurezza in caso di spegnimento o di interruzione dell alimentazione Monitoraggio e visualizzazione di discrepanze inclusa la logica diagnostica dell utente Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014
124. riabili correnti dei tag di ingresso in presenza di una condizione di errore Se per la ricerca guasti richiesto lo stato effettivo dell ingresso mentre il guasto all ingresso in latch utilizzare la logica riportata in Logica ladder esempio 2 Questa logica utilizza tag interni che rappresentano gli ingressi da utilizzare nella logica dell applicazione Quando il guasto all ingresso in latch i tag interni sono impostati sullo stato di sicurezza Quando il guasto dell ingresso non in latch i valori di ingresso correnti vengono copiati nei tag interni Utilizzare il Diagramma di flusso per latch e reset degli errori di uscita per determinare quali rami della logica dell applicazione in Logica ladder esempio 3 a pagina 99 sono richiesti Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 95 AppendiceF Software RSLogix 5000 versione 14 e successiva istruzioni per applicazioni di sicurezza Figura 22 Diagramma di flusso di latch e reset degli errori di ingresso Inizio Questa funzione di sicurezza richiede l intervento dell operatore dopo un errore dell ingresso di sicurezza Vengono utilizzati gli ingressi per controllare le istruzioni dell applicazione di sicurezza Assicurarsi di selezionare possibile utilizzare Circuit Reset in caso di Manual Reset come intervento dell operatore istruzione dell applicazione di sicurezza Scrivere la logica per
125. rmit alla norma EN 50156 Argomento Pagina Uscite SIL 2 che utilizzano moduli di uscita SIL 3 Guard 1 0 103 Uscite SIL 2 che utilizzano moduli di uscita 1756 o 1794 SIL 2 103 Funzioni di sicurezza nel task di sicurezza GuardLogix 1756 104 Per garantire la conformit in determinate applicazioni di sicurezza ivi comprese le funzioni di sicurezza relative ai bruciatori richiesta la configurazione a dop pio canale Questi esempi forniscono indicazioni per la conformit ai requisiti della norma EN50156 per il funzionamento a doppio canale SIL 2 con intervalli tra prove funzionali di 1 e 2 anni Si deve prevedere una separazione chiara e facilmente identificabile tra i due canali di ingresso ed ottemperare a tutti i requisiti SIL 2 definiti in Using ControlLogix in SIL 2 Applications pubblicazione 1756 RM001 Figura 27 Ingressi a doppio canale SIL 2 Esempio F Canale A Canale B Trasduttore di tensione A Trasduttore di tensione B Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 101 AppendiceG Utilizzo dei moduli FLEX 1 0 1794 e degli ingressi uscite SIL 2 1756 con controllori GuardLogix 1756 per la conformit alla norma EN 50156 Dati di ingr esso SIL 2 amp amp Controller Controller _L735 A controller Tags controller Fault Handler I dati di ingresso del canale A e del canale B Pa Power Up Handler W E Tasks devono essere mantenuti costantemente separati 3 MainTask In q
126. rso un download del progetto di sicurezza Si pu annullare l errore di sicurezza eliminando la voce del registro errori per mezzo del gestore degli errori di sicurezza nell ambito del controllore Permette ai task standard di continuare a funzionare ATTENZIONE Annullare un errore di sicurezza non significa cancellarlo Se si annulla un errore di sicurezza responsabilit dell utente dimostrare che cos facendo si mantiene il livello SIL 3 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Monitoraggio dello stato e gestione degli errori Capitolo 7 Errori reversibili Gli errori del controllore causati da errori di programmazione dell utente in un programma di sicurezza attivano il controllore che inizia ad elaborare la logica contenuta nel gestore degli errori del programma di sicurezza del progetto Il gestore degli errori del programma di sicurezza fornisce all applicazione l opportunit di eliminare la condizione di errore e quindi di correggerla ATTENZIONE L utente deve dimostrare al proprio ente certificatore che il ripristino automatico degli errori reversibili mantiene il livello SIL 3 Quando non esiste un gestore degli errori del programma di sicurezza oppure l errore non viene ripristinato dal gestore stesso il controllore elabora la logica nel gestore degli errori nell ambito del controllore terminando l esecuzione della logica del programma di sicurezza e lasciando attive ma a rip
127. si possono pianificare o eseguire routine standard nel task di sicurezza Il task di sicurezza un task periodico temporizzato con un watchdog ed una priorit di task selezionabile dall utente Nella maggior parte dei casi rappresenta la priorit massima del controllore ed il watchdog del programma definito dall utente deve essere impostato per adattarsi alle variazioni dell esecuzione del task di sicurezza Limitazioni relative al task di sicurezza L utente deve specificare sia il periodo del task di sicurezza che il watchdog del task di sicurezza Il periodo del task di sicurezza l intervallo con cui viene eseguito il task di sicurezza Il watchdog del task di sicurezza il tempo massimo consentito dall avvio dell esecuzione pianificata del task di sicurezza fino al suo completamento Per maggiori informazioni sul watchdog del task di sicurezza vedere Appendice C Tempi di risposta Il periodo del task di sicurezza limitato ad un massimo di 500 ms e non pu essere modificato in modalit online Assicurarsi che il task di sicurezza disponga del tempo necessario per terminare prima di essere nuovamente avviato Il timeout del watchdog del task di sicurezza un errore di sicurezza irreversibile nel controllore GuardLogix si verifica se il task di sicurezza viene avviato mentre ancora in corso l esecuzione precedente Per ulteriori informazioni vedere Capitolo 7 Monitoraggio dello stato e gestione Pubblicazione
128. sicurezza nell ambito di un sistema Il numero della rete di sicurezza fa parte dell identificatore univoco dei nodi UNID Situazione in cui l utente monitora modifica il programma del controllore Il controllore primario ed il coprocessore di sicurezza devono essere entrambi presenti e l hardware ed il firmware devono essere compatibili affinch la partnership venga stabilita Periodicit di esecuzione del task di sicurezza Un programma di sicurezza dotato di tutti gli attributi di un programma standard ad eccezione del fatto che pu soltanto essere pianificato in un task di sicurezza Il programma di sicurezza composto da zero o pi routine di sicurezza Non pu contenere routine standard o tag standard Un protocollo di comunicazione in rete progettato e certificato per trasportare dati ad elevata integrit Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Routine Routine di sicurezza Sovrapposizione Tag di sicurezza Task Task di sicurezza Task periodico Tempo di risposta del sistema Tempo di risposta task di sicurezza Watchdog del task di sicurezza Glossario Un insieme di istruzioni logiche in un unico linguaggio di programmazione per esempio il linguaggio ladder Le routine forniscono un codice eseguibile per il progetto in un controllore Ogni programma ha una routine principale Si possono anche specificare routine di sicurezza opzionali Una routine di sicurezz
129. sicurezza pu anche definire tag di sicurezza in ambito programma Un programma di sicurezza pu essere pianificato o non pianificato Un programma di sicurezza pu contenere soltanto componenti di sicurezza Tutte le routine contenute in un programma di sicurezza sono routine di sicurezza Un programma di sicurezza non pu contenere routine standard o tag standard Una routine di sicurezza dotata di tutti gli attributi di una routine standard ad eccezione del fatto che pu esistere solo nei programmi di sicurezza Una routine di sicurezza pu essere designata come routine principale Un altra routine di sicurezza pu essere designata come routine di errore Soltanto le istruzioni certi ficate di sicurezza possono essere utilizzate in routine di sicurezza Per un elenco delle istruzioni di sicurezza vedere l Appendice A ATTENZIONE Per mantenere il livello SIL 3 accertarsi che la propria logica di sicurezza non cerchi di leggere o scrivere i tag standard Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 45 Capitolo5 Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Tag di sicurezza 46 Il sistema di controllo GuardLogix supporta l utilizzo sia dei tag standard sia di quelli di sicurezza nello stesso progetto Tuttavia il software di programmazione distingue funzionalmente tra tag standard e tag di sicurezza I tag di sicurezza sono dotati di tutti gli attributi
130. sitivo produttore non noto dati di sicurezza vengono azzerati 1 1 Stato non valido ATTENZIONE collegamenti degli 1 0 di sicurezza ed i collegamenti prodotti consumati non possono essere configurati automaticamente per generare un errore del controllore se un collegamento perso ed il sistema passa allo stato di sicurezza Pertanto se necessario rilevare un errore del dispositivo per assicurarsi che il sistema mantenga il livello SIL 3 si devono monitorare i bit CONNECTION_ STATUS degli 1 0 di sicurezza ed inizializzare l errore attraverso la logica del programma Diagnostica ingressi ed uscite I moduli Guard I O comprendono funzioni di monitoraggio e test ad impulsi Se il modulo rileva un guasto imposta l ingresso o l uscita che causa il problema nello stato di sicurezza e comunica il guasto al controllore L indicazione di guasto viene comunicata attraverso lo stato dell ingresso o dell uscita e conservata per un arco di tempo configurabile dopo che il guasto stato riparato IMPORTANTE l utente responsabile dello sviluppo della logica di ritenuta latch degli errori 1 0 e deve assicurarsi che il riavvio del sistema avvenga in modo corretto Stato della connessione dei dispositivi 1 0 Il protocollo CIP Safety fornisce lo stato di ogni dispositivo I O nel sistema di sicurezza Se viene rilevato un errore del collegamento di ingresso il sistema operativo imposta tutti gli ingressi dei dispositivi sul
131. stem variable SSV 65 istruzioni di sicurezza in logica ladder 70 istruzioni GSV 65 istruzioni per applicazioni di sicurezza definizione 106 L livello di affidabilit 19 livello di integrit della sicurezza SIL concetto 13 20 esempio di funzione 16 peso e distribuzione della conformit 19 livello prestazionale definizione 10 M mappatura dei tag 47 modifiche al programma applicativo 59 modifiche in sospeso 57 modifiche offline 60 modifiche online 57 60 moduli di comunicazione numeri di catalogo 17 panoramica hardware 23 moduli Guard 1 0 applicazioni SIL 2 103 moduli 1 0 sostituzione 29 31 modulo bridge ControlNet panoramica hardware 23 modulo di interfaccia scanner DeviceNet panoramica hardware 23 modulo interfaccia di comunicazione EtherNet IP panoramica hardware 23 moltiplicatore di timeout 82 definizione 106 norma europea definizione 10 numero della rete di sicurezza 34 assegnazione manuale 34 definizione 106 moduli nuovi 36 tag di sicurezza consumati 35 0 online definizione 106 P partnership definizione 106 periodo del task di sicurezza 20 definizione 106 limitazioni 41 panoramica 20 PLe 9 13 probabilit di guasto all ora PFH 18 19 definizione 10 probabilit di guasto su domanda PFD 18 19 definizione 10 procedura per la messa in servizio 51 progetto conferma 55 programma checklist 91 download 56 identificazione 53 modifiche offline 60 modifiche online
132. sto personale dovrebbe utilizzare tutti i metodi di supervisione disponibili ad esempio utilizzando il selettore a chiave del controllore e le protezioni mediante password del software Apportando modifiche al programma il personale autorizzato specificamente addestrato si assume la responsabilit della sicurezza centrale mentre queste modifiche sono in corso Questo personale deve anche mantenere sicuro il funzionamento dell applicazione Eseguendo le modifiche online si deve utilizzare un meccanismo di protezione alternativo per mantenere la sicurezza del sistema Si devono documentare tutte le modifiche apportate al programma incluse le seguenti autorizzazione analisi dell impatto esecuzione informazioni sul test informazioni sulla versione Se esistono modifiche online soltanto nelle routine standard non necessario che queste modifiche vengano validate prima di ritornare al funzionamento normale necessario assicurarsi che le modifiche alla routine standard per quanto riguarda la temporizzazione e la mappatura dei tag siano valide per la propria applicazione di sicurezza possibile modificare la parte logica del proprio programma mentre si offline oppure online come descritto nelle sezioni che seguono Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 59 Capitolo 6 60 Sviluppo dell applicazione di sicurezza Esecuzione di modifiche offline Quando vengono apportat
133. sul modulo Guard I O e selezionare Properties 2 Fare clic sulla scheda Input Configuration 82 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Tempi di risposta Appendice C 3 Modificare il tempo di ritardo di ingresso come desiderato per l applicazione mi Module Properties Enet_Safety 1791ES IBBXOBV4 1 1 5 x Safety Module Info Internet Protocol Fort Configuration Input Configuration Test Output Output Configuration Point Operation Input Delay Time ms Gila Discrepancy Point Mode nos Time ms Equivalent 10 Safety Safety Single O Not Used Mot Used Single 0 Not Used Not Used Single 0 Not Used Not Used Sourke off On on ott None x None y None vy None y None x None v None x None v CU Giu Giu Cu Cu Fu GU FIL CIC CIC CIC CIG CI KIAK KUKUK KKNK KIKI wfo faje jo jn gt o Input Error Latch Time 1000 ms Status Offline OK Cancel Help al Accesso al limite del tempo di risposta delle connessioni di sicurezza di ingresso ed uscita Il limite del tempo di risposta delle connessioni definito da tre valori Valore Descrizione Intervallo di pacchetto richiesto RPI Frequenza alla quale i pacchetti di ingresso e di uscita vengono trasmessi sul cavo rete Moltiplicatore di timeout Il moltiplicatore di timeout essenzialmente il numero di tentativi prima del timeout Molt
134. to su Logix attraverso l ambiente Studio 5000 PFD Probabilit di guasto su domanda La probabilit media di un sistema di non adempiere alla sua funzione di sicurezza quando ne viene richiesto l intervento PFH Probabilit di guasto all ora La probabilit per un sistema di subire un errore pericoloso in un ora PL Livello prestazionale Classe di sicurezza ISO 13849 1 SNN Numero della rete di sicurezza Un numero univoco che identifica una sezione della rete di sicurezza SSV Set System Value Un istruzione della logica ladder che imposta i dati del sistema di controllo Standard Qualsiasi oggetto task tag programma o componente del progetto non considerato relativo alla sicurezza ossia il termine controllore standard si riferisce genericamente ad un controllore ControlLogix o CompactLogix Altre risorse Questi documenti contengono altre informazioni sui prodotti correlati di Rockwell Automation Risorsa Descrizione Manuale dell utente GuardLogix 5570 Controllers pubblicazione 1756 UM022 Manuale di riferimento Set di istruzioni per l applicazione di sicurezza GuardLogix pubblicazione 1756 RM095 Fornisce informazioni sulle modalit di installazione configurazione programmazione ed utilizzo dei controllori GuardLogix 5570 nei progetti Logix Designer Studio 5000 Fornisce informazioni sull insieme di istruzioni GuardLogix per applicazioni di sicurezza Manuale dell utente Guard 1 0 DeviceNet Safety Modules pubblic
135. tte le prove superate S y Registrare la firma del task di sicurezza Esecuzione della valid zione di sicurezza del progetto No Progetto valido 74 Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 Istruzioni Add On di sicurezza Appendice B Creazione di un progetto di prova per un istruzione Add On E necessario creare un progetto di prova univoco specifico per la creazione dell istruzione Add On di sicurezza e le relative prove Il progetto deve essere separato e dedicato per ridurre al minimo eventuali interazioni impreviste Seguire le regole generali relative ai progetti descritte in Creare il progetto a pagina 53 Creazione di un istruzione Add On di sicurezza Per ulteriori indicazioni relative alla creazione di istruzioni Add On consultare il manuale di programmazione Logix5000 Controllers Add On Instruction pubblicazione 1756 PM010 Generazione della firma dell istruzione La firma dell istruzione consente di verificare rapidamente se l istruzione stata modificata Ogni istruzione Add On pu avere la propria firma La firma dell istruzione richiesta quando un istruzione Add On viene impiegata per funzioni relative alla sicurezza e pu talvolta essere obbligatoria nei settori soggetti a norme specifiche La firma dell istruzione deve essere utilizzata quando l applicazione richiede un livello di integrit superiore La firma dell istruzione
136. tto offline corrispondono tutte a quelle contenute nel controllore GuardLogix di destinazione e se lo stato del task di sicurezza del controllore OK IMPORTANTE Se la firma del task di sicurezza non corrisponde ed il controllore in blocco di sicurezza per eseguire il download si deve sbloccare il controllore In tal caso il download sul controllore cancella la firma del task di sicurezza Di conseguenza si deve validare di nuovo l applicazione ATTENZIONE La porta USB adatta solo per la programmazione locale temporanea e non previsto che sia collegata in modo permanente Se il controllore GuardLogix contiene una firma del task di sicurezza quest ultima verr caricata con il progetto Significa che qualsiasi modifica ai dati di sicurezza offline sar sovrascritta come conseguenza dell upload Se non presente alcuna firma del task di sicurezza ed il controllore in sblocco di sicurezza possibile apportare modifiche online alle proprie routine di sicurezza SUGGERIMENTO Non possibile modificare le istruzioni Add On standard o di sicurezza mentre si online Le modifiche in sospeso non possono essere presenti quando il controllore in blocco di sicurezza oppure quando esiste una firma del task di sicurezza Le modifiche online possono essere presenti quando il controllore in blocco di sicurezza Tuttavia non possono essere assemblate o annullate SUGGERIMENTO Le modifiche online nelle routine standard non
137. uard I O di sicurezza moduli rossi indispensabili nel task di sicurezza gli ingressi di sicurezza SIL 2 possono essere monocanale e ci riduce la complessit ed il numero di moduli necessari Compete al progettista del sistema di sicurezza implementare correttamente tutte le funzioni di sicurezza Occorre considerare quanto segue e selezione dei dispositivi di campo scegliere il dispositivo corretto identificare e risolvere tutti gli eventuali errori e considerare i requisiti di sicurezza bassi IEC 61511 o alti ISO 13849 e considerare gli intervalli di prova diagnostica e prove funzionali necessarie a soddisfare i requisiti dell applicazione e identificare e giustificare con la documentazione adeguata ogni esclusione errori utilizzata IMPORTANTE Se si utilizza una combinazione di funzioni di sicurezza SIL 2 e SIL 3 i all interno del task di sicurezza bisogna impedire che i segnali di ingresso SIL 2 controllino direttamente le funzioni di sicurezza SIL 3 Per separare le funzioni di sicurezza SIL 2 e SIL 3 utilizzare programmi o routine specifici peri task di sicurezza Nel task di sicurezza l applicazione Logix Designer include un set di istruzioni in logica ladder relative alla sicurezza I controllori GuardLogix prevedono l uso di istruzioni di sicurezza in classe SIL 3 specifiche per applicazione Tutte queste istruzioni logiche possono essere utilizzate in funzioni di sicurezza di Cat 1 4 e SIL 1 3
138. uardLogix SIL 3 con altri moduli ControlLogix 1756 certificati in base alle direttive Bassa tensione e Compatibilit elettromagnetica IMPORTANTE componenti del sistema ControlLogix XT sono classificati per condizioni ambientali estreme solo se utilizzati correttamente con altri componenti del sistema Logix XT L utilizzo di componenti ControlLogix XT con componenti del sistema ControlLogix o GuardLogix tradizionale annulla la classificazione per ambienti estremi Per trovare i certificati relativi a Controllo programmabile Famiglia di prodotti ControlLogix consultare http www rockwellautomation com products certification ce Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 17 Capitolo 1 Significato di livello di integrit della sicurezza SIL Certificazioni di GuardLogix I dati tecnici ControlLogix Controllers pubblicazione 1756 TD001 includono le specifiche dei prodotti e le certificazioni di terza parte per cui i prodotti sono approvati Se un prodotto ha ottenuto una certificazione di terza parte il marchio viene riportato nell etichetta del prodotto Per informazioni sulle dichiarazioni di conformit i certificati ed altre informazioni sui certificati vedere http www rockwellautomation com products certification Specifiche relative a PFD e I sistemi di sicurezza possono essere classificati come funzionanti sia in una PFH per GuardLogix 18 Sensore Senso
139. uesto esempio illustrato un metodo che si ri 3 marora L _ N i n l fk M_A_LOGIC pu adottare per separare i dati del canale A dai B ProgamTags 5 Et A_Discrete dati del canale B nell applicazione Dil me S Chn_B_Logic A Program Tags B_Discrete E B_Process n ate Tas Attenersi a tutte le regole per i moduli I O 1756 edi moduli FLEX I O 1794 come definite nel manuale di riferimento per la sicurezza Using EB SafetyProgram ControlLogix in SIL 2 Applications Safety A S pubblicazione 1756 RM001 IMPORTANTE Non eseguire funzioni specifiche di sicurezza all interno di queste routine La valutazione di sicurezza deve essere gestita all interno del task di sicurezza GuardLogix 1756 Trasferimento di dati SIL 2 nel task di sicurezza Per trasferire i dati di sicurezza SIL 2 del canale A e del canale B nel task di sicurezza GuardLogix utilizzare la funzionalit di mappatura dei tag di sicurezza dell applicazione Logix Designer I nomi dei tag utilizzati qui sono solo degli esempi Adottare delle convenzioni di attribuzione dei nomi adatte all applicazione specifica Safety Tag Mapping I Chn A Data Chn A_SIL2 Data Chn_B_Data Chn_B_SIL2_Data he sl Delete Row SUGGERIMENTO Per utilizzare la funzionalit di mappatura dei tag di sicurezza selezionare Map Safety Tags dal menu Logic dell applicazione Logix Designer 102 Pubblicazione Rockwell Automation 1756 RM099B IT P Novem
140. ulse Test v 0 zj 6 o2 1 B Safety Pulse Test v 1 v 6 2 US 2 Equivalent Safety None v 12 2 o 3 l Safety None z 122 os 4 Equivalent Safety Pulse Test v 2 vl 6 2 a 5 Ja Safety Pulse Test _v 3 vl 6 2 a 6 Single 5 Safety Pulse Test v 0 xl 6 o 7 Bi Safety Pulse Test v 1 z 6 2 GF 8_ Single wi Not Used None v 6 2 om 9 di Not Used None v 6 2 m _10 Single m 0 a Not Used None v o2 y 11 Bi Not Used None v osi osx Campo Valore Tipo Single Discrepancy Time N A Point Mode Safety Pulse Test Test Source Impostare i valori in base alle modalit con cui il dispositivo di campo fisicamente cablato al modulo Per essere certi che la sorgente di test sia abilitata correttamente aprire e visualizzare le impostazioni della scheda Test Output Input Delay Time Valori immessi dall utente in base alle caratteristiche del dispositivo di campo IMPORTANTE Generalmente con i dispositivi di campo provvisti di contatti meccanici vengono utilizzate le uscite di test ad impulsi integrate T0 Tx Se si utilizza un dispositivo di sicurezza provvisto di uscite elettroniche per alimentare gli ingressi di sicurezza queste ultime dovranno possedere il livello di sicurezza appropriato IMPORTANTE Se si utilizzano istruzioni per applicazioni di sicurezza GuardLogix si raccomanda di configurare i moduli di ingresso di sicurezza come singoli non equivalenti o complementari Queste istruzioni consentono di ottenere tutte
141. ulted 1 qJ E LONS 5 E U Node31 1 CombinedStatus Node31InputsFaulted Mi U Se gli ingressi sono in errore sovrascrivere i tag di ingresso con i valori dello stato di sicurezza Node30lnputsFaulted Node30 1 Pt00Data 2 4 W gt Node30 1 Pt01Data U Node30 1 Pt07Data V Se gli ingressi sono in errore sovrascrivere i tag di ingresso con i valori dello stato di sicurezza Node31InputsFaulted Node31 1 Pt00Data 3 ai UU Node31 1 Pt01Data U Node31 1 Pt11Data U L Se l indicazione di errore degli ingressi corretta impostare i valori degli ingressi diversificati sullo stato di sicurezza 1 Node30lnputsFaulted Node30 1 Pt01Data 4 qJ E CD Node30 1 Pt03Data CL Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 97 Appendice F 98 Il nodo 30 un modulo combinato di ingresso uscita a 8 punti Software RSLogix 5000 versione 14 e successiva istruzioni per applicazioni di sicurezza Figura 24 Logica ladder esempio 2 Il nodo 31 un modulo di ingresso a 12 punti Se lo stato dell ingresso non OK ritenuta latch dell indicazione di errore degli ingressi Nog a0 l InputStatus J AE Node30lnputsFaulted Y Se viene rilevato il fronte di salita del segnale di reset degli errori e lo stato dell ingresso OK sgancio unlatch dell indicazione di errore Node31 9GIIbInedStata np DI Node31InputsFaulted CL C 2 E FaultReset InputFaultResetOneShot Node30 1 InputStatus
142. unico download del programma utente nel controllore primario La modalit operativa del coprocessore di sicurezza controllata dal controllore primario Chassis Lo chassis fornisce le connessioni fisiche tra i moduli ed il sistema GuardLogix 1756 Qualsiasi guasto sebbene improbabile verrebbe rilevato come tale da uno o pi componenti attivi del sistema Pertanto lo chassis non rilevante per il tema della sicurezza I controllori GuardLogix XT devono usare uno chassis ControlLogix XT per ottenere la classificazione per ambiente estremo Alimentatori Non necessaria alcuna configurazione o cablaggio aggiuntivo per il funzionamento SIL 3 degli alimentatori ControlLogix Qualsiasi guasto verrebbe rilevato come tale da uno o pi componenti attivi del sistema GuardLogix Pertanto l alimentatore non rilevante per il tema della sicurezza I controllori GuardLogix XT devono usare un alimentatore ControlLogix XT per ottenere la classificazione per ambiente estremo La comunicazione di sicurezza tra i controllori GuardLogix avviene tramite tag di sicurezza prodotti inviati e consumati ricevuti Questi tag di sicurezza utilizzano il protocollo CIP Safety che progettato per conservare l integrit dei dati durante la comunicazione Per maggiori informazioni sui tag di sicurezza vedere Capitolo 5 Caratteristiche dei tag di sicurezza del task di sicurezza e dei programmi di sicurezza Pubblicazione Rockwell Autom
143. urazione del sistema di sicurezza Viene utilizzata per verificare l integrit del programma applicativo di sicurezza durante i download nel controllore La firma dell istruzione costituita da un numero ID e dalla registrazione cronologica che associa la definizione dell istruzione Add On ad una determinata ora e data La firma dell istruzione di sicurezza un numero ID che identifica le caratteristiche di esecuzione dell istruzione Add On di sicurezza Viene utilizzata per verificare l integrit dell istruzione Add On di sicurezza durante i download nel controllore Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 105 Glossario Firma della configurazione I O di sicurezza Indirizzamento simbolico Intervallo di pacchetto richiesto RPI Istruzione Add On Istruzione Add On di sicurezza Istruzioni per applicazioni di sicurezza Modifica in sospeso Moltiplicatore di timeout Numero della rete di sicurezza SNN Online Partnership Periodo del task di sicurezza Programma di sicurezza Protocollo CIP Safety 106 Un numero univoco che identifica la configurazione di un dispositivo L autenticazione di configurazione composta da numero ID data ed ora Gli I O di sicurezza hanno le stesse caratteristiche degli I O standard ad eccezione del fatto che dispongono dei meccanismi certificati SIL 3 per l integrit dei dati Un metodo di indirizzamento che fornisce una codifi
144. urezza online in sospeso e lo stato del task di sicurezza OK Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 53 Capitolo 6 54 Sviluppo dell applicazione di sicurezza Una volta completato il test del programma applicativo si deve generare la firma del task di sicurezza Il software di programmazione carica automaticamente la firma del task di sicurezza dopo che stata generata IMPORTANTE Per verificare l integrit di ciascun download necessario annotare manualmente la firma del task di sicurezza dopo la creazione iniziale e verificare la firma del task di sicurezza dopo ogni download per assicurarsi che corrisponda all originale La firma del task di sicurezza pu essere eliminata solo se il controllore GuardLogix non in blocco di sicurezza e se online se il selettore a chiave in posizione REM o PROG Quando esiste una firma del task di sicurezza le seguenti azioni non sono ammesse nell ambito del task di sicurezza e programmazione o modifica online o offline dei componenti di sicurezza e forzatura degli I O di sicurezza e manipolazione dati eccetto mediante logica di una routine o di un altro controllore GuardLogix Test di verifica del progetto Per verificare che il programma applicativo sia conforme alla specifica si deve generare un insieme idoneo di test case che coprono l applicazione L insieme di test case deve essere archiviato e conservato come la specifica del
145. variabili ed i numerosi requisiti associati con qualsiasi installazione particolare Rockwell Automation Inc non pu assumersi la responsabilit o l obbligo per legge relativi all utilizzo effettivo sulla base degli esempi e dei diagrammi Rockwell Automation Inc non si assume alcuna responsabilit di brevetto per quanto riguarda l utilizzo di informazioni circuiti elettrici apparecchiature o software descritti nel presente manuale vietata la riproduzione integrale o parziale dei contenuti del presente manuale senza permesso scritto di Rockwell Automation Inc In tutto il presente manuale quando risulta necessario vengono utilizzate note per mettere in evidenza considerazioni sulla sicurezza AVVISO Identifica informazioni sulle pratiche o circostanze che possono causare un esplosione in un ambiente pericoloso con possibili conseguenti lesioni personali o morte danni materiali e perdita economica ATTENZIONE Identifica le informazioni sulle pratiche o circostanze che possono determinare lesioni personali o morte danni materiali o perdita economica simboli Attenzione consentono di identificare o evitare un pericolo e di riconoscerne le conseguenze IMPORTANTE Identifica informazioni che sono cruciali per una corretta applicazione e per la comprensione del prodotto Anche sull apparecchiatura o al suo interno possono essere apposte etichette che segnalano la necessit di adottare precauzioni specifiche P
146. wnload del programma applicativo di sicurezza 56 Upload del programma per applicazioni di sicurezza 57 Modifiche online 57 Memorizzazione e caricamento di un progetto dalla memoria non volatile 58 Dati forzati 58 Inibizione di un dispositivo 58 Modifica dell applicazione di sicurezza 59 Il concetto di sicurezza presuppone che i responsabili dello sviluppo del funzionamento e della manutenzione dell applicazione siano rappresentati da personale debitamente qualificato specificamente addestrato e con esperienza nei sistemi di sicurezza l utente applichi la logica in modo corretto intendendo con ci che gli errori di programmazione possano essere rilevati gli errori di programmazione possono essere rilevati attenendosi rigorosamente alle specifiche tecniche alle regole di programmazione e denominazione l utente esegua un analisi critica dell applicazione e utilizzi tutte le misure possibili per rilevare i guasti l utente confermi tutti i download dell applicazione attraverso un controllo manuale della firma del task di sicurezza prima dell avviamento iniziale del sistema di sicurezza l intero sistema venga controllato con un test funzionale completo Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 49 Capitolo 6 Sviluppo dell applicazione di sicurezza Tabella 7 Modalit del controllore Modalit del Stato del task di Sicurezza Commenti controllore sicurezza fino a ed inclus
147. zionali PFD calcolata Num di Cat Descrizione 2 anni 5 anni 10 anni 20 anni 17 520 ore 43 800 ore 87 600 ore 175 200 ore 1756 L7xS e 1756 L7SP Controllore GuardLogix 5 7E 06 3 5E 05 8 9E 05 1756 L73SXT e 1756 L7SPXT Controllore GuardLogix XT 5 7E 06 3 5E 05 8 9E 05 1791DS 1B12 Modulo di ingresso a 12 punti CIP Safety 4 73E 07 2 35E 06 4 71E 06 1791DS 1B16 Modulo di ingresso a 16 punti CIP Safety 4 11E 06 2 06E 05 4 11E 05 1791DS 1B8X0B8 Modulo di ingresso uscita a 8 punti CIP Safety 4 73E 07 2 35E 06 4 71 E 062 1791DS IB4X0W4 Modulo di ingresso uscita a rel a 4 punti CIP Safety 2 21E 05 1 92E 04 5 88E 04 1791DS IB8X0BV4 Modulo di ingresso a 8 punti e 4 uscite bipolari CIP Safety 4 16E 06 2 08E 05 4 16E 05 1732DS IB8XOBV4 1732DS 1B8 Modulo di ingresso a 8 punti CIP Safety 4 11E 06 2 06E 05 4 11E 05 1791ES 1B16 Modulo di ingresso a 16 punti CIP Safety 4 13E 06 2 06E 05 1791E5 IB8XOBV4 Modulo di ingresso a 8 punti e 4 uscite bipolari CIP Safety 4 17E 06 2 09E 05 1734 IB8S serie A Modulo di ingresso a 8 punti CIP Safety 4 23E 06 2 11E 05 4 23 05 1734 IB8S serie B 1 Modulo di ingresso a 8 punti CIP Safety 4 36E 06 2 18E 05 4 36E 05 1734 0B8S serie A Modulo di uscita a 8 punti CIP Safety 4 27E 06 2 13E 05 4 27E 05 1734 0B8S serie B Modulo di uscita a 8 punti CIP Safety 4 32E 06 2 16E 05 4 32E 05 1734 E4S Modulo di ingresso analogico a 4 punti CIP Safety 4 7E 07 1 2E 06 2 4E 06 4 8E 06 funzionamento monocanale 1734 E4S Modulo di i
148. zza consumati Quando un controllore di sicurezza contenente tag di sicurezza prodotti viene aggiunto alla struttura di configurazione I O deve essere inserito PSNN del controllore produttore possibile copiare PSNN dal progetto del controllore produttore ed incollarlo nel nuovo controllore che viene aggiunto alla struttura di configurazione I O Pubblicazione Rockwell Automation 1756 RM099B IT P Novembre 2014 35 Capitolo 4 36 CIP Safety e numero della rete di sicurezza Consultare il manuale dell utente Controllori GuardLogix 5570 pubblicazione 1756 UM022 per informazioni su come copiare ed incollare un numero SNN Numero della rete di sicurezza SNN per dispositivi con impostazioni predefinite I dispositivi I O CIP Safety con impostazioni predefinite non hanno SNN L SNN viene impostato all invio di una configurazione al dispositivo da parte del controllore GuardLogix proprietario del dispositivo IMPORTANTE Per aggiungere un dispositivo 1 0 CIP Safety ad un sistema GuardLogix configurato il controllore GuardLogix ha un SNN il dispositivo sostitutivo CIP Safety deve disporre del corretto SNN prima dell aggiunta alla rete CIP Safety Numero della rete di sicurezza SNN per un dispositivo di sicurezza con un diverso proprietario della configurazione Quando un dispositivo I O CIP Safety di propriet di un controllore GuardLogix diverso controllore B e viene aggiunto ad un altro progetto GuardLogix progetto
Download Pdf Manuals
Related Search